多角色权限控制的核心是权限与角色解耦,通过RBAC模型(User→Role→Permission)及关联表实现动态组装;权限继承宜用权限聚合而非数据库继承;Spring Security中需重写UserDetailsService并配置权限表达式。
多角色权限控制的核心思路
Java中实现多角色权限控制,关键不在于“给用户分配多个角色”,而在于把权限从角色中解耦出来,再通过角色与权限的多对多关系进行动态组装。用户登录后拥有若干角色,系统根据这些角色查出所有关联权限,合并去重后作为该用户的最终权限集合。
基于RBAC模型的典型实现结构
推荐采用经典RBAC(Role-Based Access Control)三层结构:用户(User)→ 角色(Role)→ 权限(Permission)。每层用实体类表示,通过数据库外键或中间表维护关系:
- User:含id、username等基础字段
- Role:含id、roleCode(如"ADMIN"、"EDITOR")、roleName
- Permission:含id、permCode(如"article:delete"、"user:query")、url、method等
- user_role 和 role_permission 两张关联表,支持一个用户多个角色、一个角色多个权限
权限继承的合理设计方式
Java本身不支持角色间的“继承”语法,但可通过业务逻辑模拟继承效果。常见做法是:
- 定义父子角色关系字段(如parent_id),运行时递归加载子角色的所有权限
- 更推荐的做法是“权限聚合”:例如定义基础角色ROLE_USER,高级角色ROLE_ADMIN自动包含ROLE_USER全部权限 + 额外权限,代码中通过预设权限集实现,而非数据库级继承
- Spring Security中可自定义
GrantedAuthority,将角色转为权限字符串(如"ROLE_ADMIN"、"PERM_article_edit"),统一交由AccessDecisionManager决策
结合Spring Security的实战要点
使用Spring Security时,重点在UserDetailsService和权限表达式配置:
立即学习“Java免费学习笔记(深入)”;
- 重写
loadUserByUsername(),查询用户+角色+权限,封装成UsernamePasswordAuthenticationToken并注入Collection extends GrantedAuthority> - 权限标识建议统一前缀,如角色用
"ROLE_"开头(Spring Security默认识别),自定义权限用"PERM_"或直接用资源操作码(如"order:cancel") - 接口级控制可用
@PreAuthorize("hasAuthority('article:publish') or hasRole('EDITOR')"),支持逻辑组合与方法参数引用 - 避免在Controller里硬编码判断,把权限校验交给SecurityFilterChain或AOP切面统一处理
