权限管理的痛点

在我们的日常开发工作中，经常会遇到这样的场景：

• 不同角色看到的菜单不一样，需要手动在前端写各种判断逻辑
• 新增一个按钮权限，前后端都要修改，开发效率低
• 权限变更需要重新发布，影响业务连续性
• 按钮级别的权限控制实现复杂，容易遗漏

传统的静态权限配置方式不仅开发效率低，维护成本也很高。今天我们就来聊聊如何用SpringBoot + 动态权限实现灵活的菜单和按钮级控制。

解决方案思路

今天我们要解决的，就是如何构建一个动态权限控制系统，实现后端返回权限树，前端自动渲染的效果。

核心思路是：

1. 权限模型设计：建立用户-角色-权限的关联关系
2. 动态权限树：后端根据用户权限生成权限树
3. 前端自动渲染：前端根据权限树自动显示对应菜单和按钮
4. 细粒度控制：支持菜单级和按钮级的权限控制

核心实现方案

1. 权限模型设计

我们设计了四个核心实体：用户、角色、权限（菜单/按钮）、用户角色关系、角色权限关系：

@Entity
@Table(name = "sys_user")
@Data
public class SysUser {
    @Id
    private Long id;
    private String username;
    private String password;
    // 用户角色列表
    @ManyToMany(fetch = FetchType.LAZY)
    @JoinTable(
        name = "sys_user_role",
        joinColumns = @JoinColumn(name = "user_id"),
        inverseJoinColumns = @JoinColumn(name = "role_id")
    )
    private List<SysRole> roles;
}

2. 权限树构建

后端根据用户权限动态构建权限树：

@Service
public class PermissionService {
    
    public PermissionTree getUserPermissionTree(Long userId) {
        // 获取用户拥有的权限列表
        List<SysPermission> permissions = getUserPermissions(userId);
        
        // 构建权限树
        PermissionTree tree = buildPermissionTree(permissions);
        return tree;
    }
    
    private PermissionTree buildPermissionTree(List<SysPermission> permissions) {
        // 按层级组织权限，构建树形结构
        PermissionTree root = new PermissionTree();
        root.setName("根节点");
        root.setChildren(buildTree(permissions, 0L));
        return root;
    }
}

3. 权限验证拦截

使用Spring Security进行权限验证：

@RestController
@RequestMapping("/api/auth")
public class AuthController {
    
    @GetMapping("/permission-tree")
    public PermissionTree getCurrentUserPermissions(Authentication auth) {
        String username = auth.getName();
        Long userId = userService.getUserIdByUsername(username);
        return permissionService.getUserPermissionTree(userId);
    }
}

4. 动态菜单生成

前端根据权限树动态生成菜单：

// 伪代码示例
function generateMenu(permissionTree) {
    const menus = [];
    permissionTree.children.forEach(node => {
        if (node.type === 'MENU') {  // 只显示菜单类型的节点
            menus.push({
                name: node.name,
                path: node.path,
                component: node.component,
                meta: { permissions: node.permissions }
            });
        }
    });
    return menus;
}

按钮级权限控制

1. 权限指令实现

在前端实现权限指令：

// Vue.js 权限指令示例
Vue.directive('permission', {
    bind(el, binding) {
        const { value } = binding;
        const permissions = store.getters.permissions; // 当前用户权限
        
        if (value && !permissions.includes(value)) {
            el.style.display = 'none';
        }
    }
});

2. 后端权限标识

在后端为每个按钮分配权限标识：

@Entity
@Table(name = "sys_permission")
@Data
public class SysPermission {
    @Id
    private Long id;
    private String name;      // 权限名称
    private String code;      // 权限标识，如 user:add, user:edit
    private String type;      // MENU/BUTTON
    private Long parentId;    // 父权限ID
    private String path;      // 菜单路径
}

关键特性实现

1. 缓存优化

为提高性能，对权限数据进行缓存：

@Service
public class CachedPermissionService {
    
    @Cacheable(value = "userPermissions", key = "#userId")
    public PermissionTree getUserPermissionTree(Long userId) {
        return permissionService.getUserPermissionTree(userId);
    }
    
    @CacheEvict(value = "userPermissions", key = "#userId")
    public void updateUserPermissions(Long userId) {
        // 更新用户权限时清除缓存
    }
}

2. 权限继承机制

实现权限继承，简化权限配置：

public class PermissionInheritanceUtil {
    
    /**
     * 检查用户是否拥有指定权限（含继承权限）
     */
    public static boolean hasPermission(List<String> userPermissions, String requiredPermission) {
        // 支持通配符匹配，如 user:* 包含 user:add, user:edit
        return userPermissions.stream()
            .anyMatch(permission -> matchPermission(permission, requiredPermission));
    }
    
    private static boolean matchPermission(String userPerm, String requiredPerm) {
        // 实现权限匹配逻辑
        return userPerm.equals(requiredPerm) || 
               userPerm.equals("*") || 
               (userPerm.endsWith("*") && requiredPerm.startsWith(userPerm.replace("*", "")));
    }
}

3. 实时权限更新

支持权限变更的实时生效：

@Component
public class PermissionUpdateListener {
    
    @EventListener
    public void handlePermissionUpdate(PermissionChangeEvent event) {
        // 清除相关用户的权限缓存
        String cacheName = "userPermissions";
        Cache cache = cacheManager.getCache(cacheName);
        if (cache != null) {
            // 清除受影响用户的缓存
            event.getAffectedUserIds().forEach(userId -> 
                cache.evict(userId)
            );
        }
    }
}

最佳实践建议

1. 权限粒度控制：合理设计权限粒度，避免过于细化导致管理复杂
2. 缓存策略：合理使用缓存，在性能和实时性之间平衡
3. 安全性考虑：前后端都要进行权限校验，避免前端绕过
4. 审计日志：记录权限变更和访问日志，便于安全审计

通过这种方式，我们可以构建一个灵活、高效的动态权限控制系统，实现菜单和按钮级的精细化权限控制，提升开发效率和用户体验。

以上就是本期分享的内容，希望对你有所帮助。更多技术干货，请关注服务端技术精选，我们下期再见！