Spring Cloud Gateway集成 RBAC 权限模型实现动态权限控制（一）

大家好，我是不才陈某~

这是《Spring Cloud 进阶》第18篇文章，往期文章如下：

• 五十五张图告诉你微服务的灵魂摆渡者Nacos究竟有多强？
• openFeign夺命连环9问，这谁受得了？
• 阿里面试这样问：Nacos、Apollo、Config配置中心如何选型？这10个维度告诉你！
• 阿里面试败北：5种微服务注册中心如何选型？这几个维度告诉你！
• 阿里限流神器Sentinel夺命连环 17 问？
• 对比7种分布式事务方案，还是偏爱阿里开源的Seata，真香！(原理+实战)
• Spring Cloud Gateway夺命连环10问？
• Spring Cloud Gateway 整合阿里 Sentinel网关限流实战！
• 分布式链路追踪之Spring Cloud Sleuth夺命连环9问？
• 链路追踪自从用了SkyWalking，睡的真香！
• 3本书了，7万+字，10篇文章，《Spring Cloud 进阶》基础版 PDF
• 妹子始终没搞懂OAuth2.0，今天整合Spring Cloud Security 一次说明白！
• OAuth2.0实战！使用JWT令牌认证！
• OAuth2.0实战！玩转认证、资源服务异常自定义这些骚操作！
• 实战干货！Spring Cloud Gateway 整合 OAuth2.0 实现分布式统一认证授权！
• 字节面试这样问：跨库多表存在大量数据依赖问题有哪些解决方案？
• 实战！退出登录时如何借助外力使JWT令牌失效？

这篇文章介绍下网关层如何集成RBAC权限模型进行认证鉴权，文章目录如下：

 
什么是RBAC权限模型？
RBAC(Role-Based Access Control)基于角色访问控制，目前使用最为广泛的权限模型。

相信大家对这种权限模型已经比较了解了。此模型有三个用户、角色和权限，在传统的权限模型用户直接关联加了角色层，解耦了用户和权限，使得权限系统有了更清晰的职责划分和更高的灵活度。

 
以上五张表的SQL就不再详细贴出来了，都会放在案例源码的doc目录下，如下图：

 
设计思路
RBAC权限模型是基于角色的，因此在Spring Security中的权限就是角色，具体的认证授权流程如下：

1. 用户登录申请令牌
2. 通过UserDetailService查询、加载用户信息、比如密码、权限(角色)....封装到UserDetails中
3. 令牌申请成功，携带令牌访问资源
4. 网关层面比较访问的URL所需要的权限（Redis中）是否与当前令牌具备的权限有交集。有交集则表示具备访问该URL的权限。
5. 具备权限则访问，否则拒绝

上述只是大致的流程，其中还有一些细节有待商榷，如下：

1、URL对应的权限如何维护？
这个就比较容易实现了，涉及到RBAC权限模式的三张表，分别为权限表、角色表、权限角色对应关系表。具体实现流程如下：

1. 项目启动时将权限（URL）和角色的对应关系加载到Redis中。
2. 对于管理界面涉及到URL相应关系的变动要实时的变更到Redis。

比如权限中有这么一条数据，如下：

 
其中的 /order/info 这个URL就是一个权限，管理员可以对其分配给指定的角色。

2、如何实现Restful风格的权限控制？
restful风格的接口URL是相同的，不同的只是请求方式，因此要想做到权限的精细控制还需要保留请求方式，比如POST，GET，PUT，DELETE....

可以在权限表中的url字段放置一个method标识，比如POST，此时的完整URL为：POST:/order/info

“当然*:/order/info中的星号表示一切请求方式都满足。”

3、这样能实现动态权限控制吗？
权限的控制方式有很多种，比如Security自身的注解、方法拦截，其实扩展Spring Security也是可以实现动态权限控制的，这个在后面的文章中会单独介绍！

陈某此篇文章是将权限、角色对应关系存入Redis中，因此想要实现动态权限控制只需要在Redis中维护这种关系即可。Redis中的数据如下：

 
案例实现
此篇文章还是基于以下三个模块进行改动，有不清楚的可以查看陈某往期文章。

涉及到的更改目录如下图：

文章转自公众号：码猿技术专栏