RBAC 模型核心原理
详情可参考之前的笔记:https://blog.csdn.net/qq_35201802/article/details/146036789?spm=1011.2415.3001.5331
RBAC 定义与优势
RBAC(Role-Based Access Control,基于角色的访问控制)** 是一种通过角色关联用户和权限的权限管理模型。其核心思想是将权限分配给角色,再将角色授予用户,从而解耦用户与权限的直接关系。
核心优势:
- 灵活性,权限变更只需调整角色,无需逐个修改用户。
- 可维护性,通过角色层级和约束规则实现复杂权限场景。
- 最小权限原则,用户仅拥有完成工作所需的最小权限集。
Spring Boot 集成 RBAC 实现原理
技术架构
┌───────────────┐
│ 客户端请求 │
└──────┬────────┘
│
┌──────▼────────┐
│ Spring Security 过滤器链 │
└──────┬────────┘
│
┌──────▼────────┐
│ 身份认证 (Authentication) │
└──────┬────────┘
│
┌──────▼────────┐
│ 权限验证 (Authorization) │
└──────┬────────┘
│
┌──────▼────────┐
│ 业务逻辑处理 │
└───────────────┘
权限验证流程
- 请求拦截:FilterSecurityInterceptor` 拦截受保护请求
- 身份提取:从 SecurityContext` 获取已认证的用户信息
- 元数据匹配:将请求 URL/Method 与 SecurityMetadataSource` 中的规则匹配
- 权限决策:调用 AccessDecisionManager` 对比用户权限与资源所需权限
- 访问控制:通过则继续执行,否则抛出 AccessDeniedException`
Spring Boot 实战实现
数据库设计
-- `user`.tb_user definition
CREATE TABLE `tb_user` (
`id` int NOT NULL AUTO_INCREMENT COMMENT '用户 ID(主键)',
`user_id` varchar(50) NOT NULL COMMENT '用户编号',
`username` varchar(50) NOT NULL COMMENT '用户名',
`password` varchar(255) NOT NULL COMMENT '密码',
`email` varchar(100) NOT NULL COMMENT '邮箱',
`status` tinyint DEFAULT '1' COMMENT '状态:1-启用, 0-禁用',
`is_deleted` tinyint DEFAULT '0' COMMENT '删除标志:0-未删除, 1-已删除',
`create_time` datetime DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
`create_by` int DEFAULT NULL COMMENT '创建人 ID(关联 tb_user.user_id)',
`update_time` datetime DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '修改时间',
`update_by` int DEFAULT NULL COMMENT '修改人 ID(关联 tb_user.user_id)',
PRIMARY KEY (`id`),
UNIQUE KEY `user_id` (`user_id`),
UNIQUE KEY `username` (`username`),
UNIQUE KEY `email` (`email`),
UNIQUE KEY `user_id_2` (`user_id`)
) ENGINE=InnoDB AUTO_INCREMENT=13 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='用户表';
-- `user`.tb_role definition
CREATE TABLE `tb_role` (
`id` int NOT NULL AUTO_INCREMENT COMMENT '角色 ID(主键)',
`role_id` varchar(50) NOT NULL COMMENT '角色编号',
`role_name` varchar(50) NOT NULL COMMENT '角色名称',
`role_description` varchar(500) DEFAULT NULL COMMENT '角色描述',
`is_deleted` tinyint DEFAULT '0' COMMENT '删除标志:0-未删除, 1-已删除',
`create_time` datetime DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
`create_by` int DEFAULT NULL COMMENT '创建人 ID(关联 tb_user.user_id)',
`update_time` datetime DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '修改时间',
`update_by` int DEFAULT NULL COMMENT '修改人 ID(关联 tb_user.user_id)',
PRIMARY KEY (`id`),
UNIQUE KEY `role_id` (`role_id`),
UNIQUE KEY `role_name` (`role_name`),
UNIQUE KEY `role_id_2` (`role_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='角色表';
-- `user`.tb_permission definition
CREATE TABLE `tb_permission` (
`id` int NOT NULL AUTO_INCREMENT COMMENT '权限 ID(主键)',
`permission_id` varchar(100) NOT NULL COMMENT '权限编号',
`permission_name` varchar(100) NOT NULL COMMENT '权限标识(如 user:read)',
`permission_desc` varchar(500) DEFAULT NULL COMMENT '权限描述',
`is_deleted` tinyint DEFAULT '0' COMMENT '删除标志:0-未删除, 1-已删除',
`create_time` datetime DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
`create_by` int DEFAULT NULL COMMENT '创建人 ID(关联 tb_user.user_id)',
`update_time` datetime DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '修改时间',
`update_by` int DEFAULT NULL COMMENT '修改人 ID(关联 tb_user.user_id)',
PRIMARY KEY (`id`),
UNIQUE KEY `permission_id` (`permission_id`),
UNIQUE KEY `permission_name` (`permission_name`),
UNIQUE KEY `permission_id_2` (`permission_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='权限表';
-- `user`.tb_user_role definition
CREATE TABLE `tb_user_role` (
`id` int NOT NULL AUTO_INCREMENT COMMENT '用户角色 ID(主键)',
`user_role_id` varchar(100) NOT NULL COMMENT '用户角色编号',
`user_id` varchar(100) NOT NULL COMMENT '用户 ID(关联 tb_user.user_id)',
`role_id` varchar(100) NOT NULL COMMENT '角色 ID(关联 tb_role.role_id)',
PRIMARY KEY (`id`),
UNIQUE KEY `user_id` (`user_id`,`role_id`),
UNIQUE KEY `user_role_id` (`user_role_id`),
KEY `role_id` (`role_id`),
CONSTRAINT `tb_user_role_ibfk_1` FOREIGN KEY (`user_id`) REFERENCES `tb_user` (`user_id`) ON DELETE CASCADE,
CONSTRAINT `tb_user_role_ibfk_2` FOREIGN KEY (`role_id`) REFERENCES `tb_role` (`role_id`) ON DELETE CASCADE
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='用户角色关联表';
-- `user`.tb_role_permission definition
CREATE TABLE `tb_role_permission` (
`id` int NOT NULL AUTO_INCREMENT COMMENT '角色权限 ID(主键)',
`role_permission_id` varchar(100) NOT NULL COMMENT '角色权限编号',
`role_id` varchar(100) NOT NULL COMMENT '角色 ID(关联 tb_role.role_id)',
`permission_id` varchar(100) NOT NULL COMMENT '权限 ID(关联 tb_permission.permission_id)',
PRIMARY KEY (`id`),
UNIQUE KEY `role_id` (`role_id`,`permission_id`),
UNIQUE KEY `role_permission_id` (`role_permission_id`),
KEY `permission_id` (`permission_id`),
CONSTRAINT `tb_role_permission_ibfk_1` FOREIGN KEY (`role_id`) REFERENCES `tb_role` (`role_id`) ON DELETE CASCADE,
CONSTRAINT `tb_role_permission_ibfk_2` FOREIGN KEY (`permission_id`) REFERENCES `tb_permission` (`permission_id`) ON DELETE CASCADE
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='角色权限关联表';
角色权限配置接口设计
用户
public interface UserService {
void saveUser(UserReq req);
UserVO getUser(UserReq req);
void updateUser(UserReq req);
void deleteUser(UserReq req);
PageVO<UserVO> pageUser(UserReq req);
void addRole(UserRoleReq req);
}
角色
public interface RoleService {
void saveRole(RoleReq req);
void updateRole(RoleReq req);
void deleteRole(RoleReq req);
RoleVO getRole(RoleReq req);
PageVO<RoleVO> pageRole(RoleReq req);
void addPermission(RolePermissionReq req);
}
权限
public interface PermissionService {
void savePermission(PermissionReq req);
void updatePermission(PermissionReq req);
void deletePermission(PermissionReq req);
PermissionVO getPermission(PermissionReq req);
PageVO<PermissionVO> pagePermission(PermissionReq req);
}
总结
本篇主要对 Springboot 集成 RBAC 模型设计进行梳理,关键点在于用户与权限解耦,通过角色关联权限,其他逻辑的实现,比如接口的权限校验,tooken校验请关注后续文章更新
![[密码学基础]GB与GM国密标准深度解析:定位、差异与协同发展](https://i-blog.csdnimg.cn/direct/c0887140f6664f3bb49b9915ad087560.png#pic_center)
