一. 前言

hi，大家好，这应该是农历年前的关于开源项目 的最后一篇文章了。

有来商城 是基于 Spring Cloud OAuth2 + Spring Cloud Gateway + JWT实现的统一认证鉴权，Spring Cloud & Alibaba + vue-element-admin实现的微服务、前后端分离的全栈开源项目。

有来商城 的权限设计主要是为了实现以下几点目标：

• 实现RBAC模式的权限管理设计

• 实现基于 vue-element-admin 后台菜单权限管理系统

• Spring Cloud Gateway 网关针对RESTful接口权限控制

• Vue 自定义指令实现按钮级别权限控制

二. 项目介绍

1. 项目简介

有来商城 是基于Spring Boot 2.4、Spring Cloud 2020 & Alibaba、Vue、element-ui、uni-app快速构建的一套全栈开源商城平台，包括微服务应用、管理平台、微信小程序及APP应用。

2. 项目地址

项目预览地址: http://www.youlai.store

微信小程序体验码

源码地址：

项目名称	Github	码云
微服务后台	youlai-mall	youlai-mall
管理前端	youlai-mall-admin	youlai-mall-admin
微信小程序	youlai-mall-weapp	youlai-mall-weapp
APP应用	youlai-mall-app	youlai-mall-app

3. 项目往期文章

后台微服务

1. Spring Cloud实战 | 第一篇：Windows搭建Nacos服务
2. Spring Cloud实战 | 第二篇：Spring Cloud整合Nacos实现注册中心
3. Spring Cloud实战 | 第三篇：Spring Cloud整合Nacos实现配置中心
4. Spring Cloud实战 | 第四篇：Spring Cloud整合Gateway实现API网关
5. Spring Cloud实战 | 第五篇：Spring Cloud整合OpenFeign实现微服务之间的调用
6. Spring Cloud实战 | 第六篇：Spring Cloud Gateway+Spring Security OAuth2+JWT实现微服务统一认证授权
7. Spring Cloud实战 | 最七篇：Spring Cloud Gateway+Spring Security OAuth2集成统一认证授权平台下实现注销使JWT失效方案
8. Spring Cloud实战 | 最八篇：Spring Cloud +Spring Security OAuth2+ Vue前后端分离模式下无感知刷新实现JWT续期
9. Spring Cloud实战 | 最九篇：Spring Security OAuth2认证服务器统一认证自定义异常处理
10. Spring Cloud实战 | 第十篇 ：Spring Cloud + Nacos整合Seata 1.4.1最新版本实现微服务架构中的分布式事务，进阶之路必须要迈过的槛

后台管理前端

1. vue-element-admin实战 | 第一篇： 移除mock接入微服务接口，搭建SpringCloud+Vue前后端分离管理平台
2. vue-element-admin实战 | 第二篇： 最小改动接入后台实现根据权限动态加载菜单

微信小程序

1. vue+uni-app商城实战 | 第一篇：从0到1快速开发一个商城微信小程序，无缝接入Spring Cloud OAuth2认证授权登录

应用部署

1. Docker实战 | 第一篇：Linux 安装 Docker
2. Docker实战 | 第二篇：Docker部署nacos-server:1.4.0
3. Docker实战 | 第三篇：IDEA集成Docker插件实现一键自动打包部署微服务项目，一劳永逸的技术手段值得一试
4. Docker实战 | 第四篇：Docker安装Nginx，实现基于vue-element-admin框架构建的项目线上部署
5. Docker实战 | 第五篇：Docker启用TLS加密解决暴露2375端口引发的安全漏洞，被黑掉三台云主机的教训总结

三. 数据库设计

RBAC(Role-Based Access Control)基于角色访问控制，目前使用最为广泛的权限模型。

此模型有三个角色用户、角色、权限，在传统的权限模型用户直接关联加了角色层，解耦了用户和权限，使得权限系统有了更清晰的职责划分和更高的灵活度。

以下是有来系统关于RBAC权限模型的数据库

重点说权限，系统权限分3类，如下表:

权限名称	表名	字段	权限标识
菜单权限	sys_menu
接口权限	sys_permission	type=1	PUT_/users/**
按钮权限	sys_permission	type=2	system:user:add

其实了解过目前主流开源系统的权限设计，大概率的把菜单和按钮放一块然后根据类别字段区分，以下就关于这种方式优劣发表下个人意见，仅供大家参考下不必较真：

优势：

1. 理论上合理，按钮肯定属于某个菜单之下
2. 省去了权限表(sys_permission)和关联中间表这两张表

劣势：

1. 菜单模块变的复杂了，菜单表多了和菜单无关联的类型字段和权限标识字段
2. 菜单和按钮查询要区分类型，给代码开发带来复杂和影响查询性能
3. 不能同时满足按钮权限控制和网关根据请求路径Ant匹配鉴权（具体下文说）

四. 权限系统管理界面

先看下vue-element-admin下的RBAC模型下的后台权限管理界面，体验地址：http://www.youlai.store

• 菜单权限管理

• 角色分配权限

五. RESTful接口权限控制

1. 接口和按钮的权限标识的区别

上文说到的关于权限表的拆分，菜单单独一张表，按钮权限和接口权限合为一张表根据类型type字段区分，之所以这样因为接口和按钮权限有些共性，都有一个权限标识字段。

至于按钮和接口为什么要区分呢？都使用system:user:add权限标识不可以吗？

具体做法是接口方法加上Spring Security的注解@PreAuthorize("hasPermission('system:user:add')"),在执行方法前判断用户时候拥有该权限。

答案是一般场景这样设计绝对没问题。但这里使用网关作为统一鉴权的入口，肯定希望网关一次性把鉴权的活做的干脆利落，这样就不需要在各个微服务单独的把Spring Security权限模块引入鉴权，通过网关鉴权能把职责分工明确，减少开发工作量，无权限的请求直接被网关拦截返回，不会走到微服务那里再被告知无权访问，提高请求效率。

Spring Cloud Gateway网关使用请求路径Ant匹配请求标识进行权限判断的，例如/users/1经过Ant匹配到权限标识/users/**,而/users/**是被用户所持有的权限标识，这就标识用户允许访问/users/1的请求，所以和按钮的权限标识system:user:add是有区别的。

这样就完事了吗？当然还没，因为 有来系统 较于其他系统它是比较严格遵守REST接口设计规范，所以如果仅仅是上面根据请求路径URL判断权限肯定是不合理的，/users/1这个请求路径在RESTful接口下可能是GET类型的请求也有可能是PUT类型的请求,那该如何处理？

所以在sys_permission表里还有一个method字段来标识请求方法类型,值可能会是、GET、POST、PUT、PATCH、DELETE等HTTP请求方法类型，其中是不限请求方法类型的意思，然后将请求方法类型和请求路径组合得到接口的权限标识是这样的PUT_users/1。

接下来就通过对 有来系统 的实战操作来演示网关如何细粒度对RESTful接口的权限控制。

2. 添加权限

新增用户管理的增删改查权限

3. 角色授权

赋予系统管理员(admin)用户查询权限，无其他权限

4. 加载角色权限规则数据至缓存

项目启动查看Redis中的角色权限规则：

看到系统管理员这个角色是没有用户修改权限的。你可以给角色添加用户修改权限后尝试是否可以修改成功。

5. 接口权限控制演示

admin系统管理员登录执行一个用户修改的提交的请求，看一下网关鉴权的流程：

结果可想而知，系统管理员不具有修改用户PUT_/youlai-admin/v1/users/2权限，从缓存查询只有超级管理员具有该接口请求方法访问权限。页面结果显示如下：

六. 按钮权限控制

1. 什么是Vue自定义指令？

Vue除了核心功能默认内置的指令 (v-model 和 v-show)，Vue 也允许注册自定义指令。

这里主要使用Vue.directive注册一个全局自定义指令v-has- permission用于权限判断,然后在模板中的任何元素使用v-has- permission属性。

自定义指令学习传送门

2. 添加按钮权限

3. 角色授权

4. 加载角色按钮权限数据

完整代码：youlai-mall-admin

登录成功时获取用户信息，其中包含该用户拥有的权限字符串集合如下：

这里将用户权限拥有的字符串集合缓存到vuex的perms属性中：

5. 自定义和注册全局指令

有来管理前端 是基于vue-element-admin后台前端解决方案，在vue-element-admin项目我们可以看到自定义指令的应用。如下：

然后复制一份permission.js重命名为hasPermission.js,修改后如下：

import store from '@/store'

// 校验用户是否拥有按钮权限

function hasPermission(el, binding) {

  const {value} = binding

  const perms = store.getters && store.getters.perms

  if (value && value instanceof Array) {

    if (value.length > 0) {

      const requiredPerms = value

      const hasPermission = perms.some(perm => {

        return requiredPerms.includes(perm)

      })

      if (!hasPermission) {

        el.parentNode && el.parentNode.removeChild(el)

      }

    }

  } else {

    throw new Error(`need perms! Like v-has-permission="['system:user:add','system:user:edit']"`)

  }

}

export default {

  inserted(el, binding) {

    hasPermission(el,binding)

  },

  update(el, binding) {

    hasPermission(el,binding)

  }

}

注册hasPermission至全局指令：

指令在组件上的应用：

6. 按钮权限控制演示

系统管理员是没有修改按钮的权限的，结果如下页面不显示修改按钮。

那给系统管理员添加修改按钮的权限，再看看用户页面的显示情况

此时用户页面的修改按钮已经显示出来了，至此完成了系统的按钮权限控制。

七. 结语

本篇通过实战的方式讲述如何基于Spring Cloud Gateway + vue-element-admin技术设计一套符合RBAC规范的权限管理系统，通过网关就可以轻易实现RESTful接口方法细粒度的控制，无需将Spring Security模块引入各个微服务；以及使用Vue的自定义指令在组件中使用实现细粒度的按钮权限控制。

如果你对此系统权限设计有更好的建议，欢迎留言给我，在此感谢！如果对项目感兴趣的话，欢迎加我微信和项目交流群。

最后预祝大家新年愉快，有个完美充实的小假期。

Spring Cloud实战 | 第十一篇：Spring Cloud Gateway 网关实现对RESTful接口权限控制和按钮权限控制的更多相关文章

1. spring boot实战(第十三篇)自动配置原理分析

   前言 spring Boot中引入了自动配置,让开发者利用起来更加的简便.快捷,本篇讲利用RabbitMQ的自动配置为例讲分析下Spring Boot中的自动配置原理. 在上一篇末尾讲述了Spring ...

2. [Spring Cloud实战 | 第六篇：Spring Cloud Gateway+Spring Security OAuth2+JWT实现微服务统一认证授权

   一. 前言 本篇实战案例基于 youlai-mall 项目.项目使用的是当前主流和最新版本的技术和解决方案,自己不会太多华丽的言辞去描述,只希望能勾起大家对编程的一点喜欢.所以有兴趣的朋友可以进入 g ...

3. Spring Cloud实战 | 最八篇：Spring Cloud +Spring Security OAuth2+ Axios前后端分离模式下无感刷新实现JWT续期

   一. 前言 记得上一篇Spring Cloud的文章关于如何使JWT失效进行了理论结合代码实践的说明,想当然的以为那篇会是基于Spring Cloud统一认证架构系列的最终篇.但关于JWT另外还有一个 ...

4. Spring Cloud实战 | 第十篇 ：Spring Cloud + Seata 1.4.1 + Nacos1.4.0 整合实现微服务架构中逃不掉的话题分布式事务

   Seata分布式事务在线体验地址:https://www.youlai.store 本篇完整源码地址:https://github.com/hxrui/youlai-mall 有想加入开源项目开发的童 ...

5. 【Java Spring Cloud 实战之路】- 使用Nacos和网关中心的创建

   0. 前言 在上一节中,我们创建了一个项目架构,后续的项目都会在那个架构上做补充. 1. Nacos 1.1 简介 Nacos可以用来发现.配置和管理微服务.提供了一组简单易用的特性集,可以快速实现动 ...

6. Spring Security 实战干货：图解Spring Security中的Servlet过滤器体系

   1. 前言 我在Spring Security 实战干货:内置 Filter 全解析对Spring Security的内置过滤器进行了罗列,但是Spring Security真正的过滤器体系才是我们了 ...

7. 【Spring】看了这篇Spring事务原理，我才知道我对Spring事务的误解有多深！

   写在前面 有很多小伙伴们留言说,冰河,你能不能写一篇关于Spring事务的文章呢?我:可以啊,安排上了!那还等什么呢?走起啊!! 事务的基本原理 Spring事务的本质其实就是数据库对事务的支持,没有 ...

8. Spring第十一篇——–Spring整合Hibernate之配置数据源

   DataSource(数据源)提供了一个标准化的取得数据库连接的方式,通过getConnection()方法即可取得数据库的连接,Spring也提供了数据库连接池(DataBase connectio ...

9. （转）spring boot实战(第三篇)事件监听源码分析

   原文:http://blog.csdn.net/liaokailin/article/details/48194777 监听源码分析 首先是我们自定义的main方法: package com.lkl. ...

随机推荐

1. iOS开发 QQ粘性动画效果

   QQ(iOS)客户端的粘性动画效果 时间 2016-02-17 16:50:00  博客园精华区 原文  http://www.cnblogs.com/ziyi--caolu/p/5195615.ht ...

2. Kerberos认证原理简介

   1.1 What is Kerberos 1.1.1 简单介绍 Kerberos是一个用于鉴定身份(authentication)的协议, 它采取对称密钥加密(symmetric-key crypto ...

3. storyboard xib下label怎么自适应宽度高度

   先看需求:两个Label,要求蓝色的label紧跟在红色的label文字后面  ok首选正常添加约束 红色的Label添加宽度,高度,左边,上边约束 蓝色的Label添加宽度,高度,左边,和红色的水平 ...

4. Selenium自动化中DOM，XPATH，CSS定位Web页面对象的优劣性分析

   加速IE浏览器自动化执行效率:Selenium自动化中DOM,XPATH,CSS定位Web页面对象的优劣性分析 1.技术背景       在Web应用中,用户通过键盘在输入框中输入值和鼠标点击按钮,链 ...

5. linux下生成 SSH 公钥，用于GitHub

   ssh-keygen -t rsa -C <email> 参见 https://help.github.com/articles/generating-ssh-keys/ Then add ...

6. 应用：ValueStack

   理解ValueStack的基本机制!对各种现象作出解释. ValueStack实际上就是对OGNL的封装,OGNL主要的功能就是赋值与取值,Struts2正是通过ValueStack来进行赋值与取值的 ...

7. HDU 2009 求数列的和

   题目链接:HDU 2009 Description 数列的定义如下: 数列的第一项为n,以后各项为前一项的平方根,求数列的前m项的和. Input 输入数据有多组,每组占一行,由两个整数n(n< ...

8. vue&lpar;一&rpar;vue-cli安装

   第一步:我们首先要全局安装vue官方提供的脚手架工具:vue-cli $ npm install vue-cli -g 第二步:然后我们就可以创建自己的vue项目了, $ vue init webpa ...

9. mybatis之级联关系（一对一、一对多）

   0. 表结构 1. 准备工作 1.1 配置文件等信息,请参考  myBatis之入门示例 1.2 entity 1.2.1 TPersonInfo.java package com.blueStarW ...

10. JAX-WS 使用maven创建

    maven 创建jar jar包依赖 <dependency> <groupId>junit</groupId> <artifactId>junit&l ...