百度360必应搜狗淘宝本站头条
php redisredis 命令redis 锁redis 主从redis 删除
当前位置:网站首页 > 技术教程 > 正文

SpringBoot动态权限校验终极指南:3种高赞方案让老板主动加薪!

mhr18 2025-05-11 17:09 4 浏览 0 评论

“上周用这套方案重构权限系统,CTO当着全组的面摔了祖传代码!” 一位脉脉匿名网友的血泪经验:还在用硬编码写Shiro过滤器?RBAC模型搞出200张表?是时候用Spring Security+动态路由+注解驱动,让你的权限系统优雅到飞起了!

一、权限校验的三大致命痛点(你中几个?)

  1. 硬编码地狱:每加个接口就要改代码重启服务
  2. 性能黑洞:每次请求都查数据库,QPS上200就崩
  3. 权限颗粒度失控:按钮级权限用if-else写到吐

二、动态权限三叉戟方案(总有一款适合你)

方案1:Spring Security + 动态路由(中小项目首选)

java

// 动态路由核心代码  
@Bean  
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {  
    http.authorizeRequests()  
        .antMatchers("/admin/**").access("@rbacService.check(request,authentication)")  
        .anyRequest().authenticated();  
    return http.build();  
}  

// 自定义权限校验服务  
@Service  
public class RbacService {  
    public boolean check(HttpServletRequest request, Authentication auth) {  
        String url = request.getRequestURI();  
        return auth.getAuthorities().stream()  
            .anyMatch(role -> roleRepository.checkPermission(role, url));  
    }  
}

优势:URL级权限动态更新,10行代码实现热加载

方案2:@PreAuthorize注解 + 表达式引擎(微服务最爱)

java

// 方法级细粒度控制  
@PreAuthorize("@permissionCheck.hasPermission('order:delete')")  
@DeleteMapping("/order/{id}")  
public void deleteOrder(@PathVariable Long id) {  
    // 业务代码  
}  

// SpEL表达式处理器  
@Component  
public class PermissionCheck {  
    public boolean hasPermission(String permissionCode) {  
        return SecurityContextHolder.getContext().getAuthentication()  
            .getAuthorities().contains(permissionCode);  
    }  
}

技巧:配合Redis缓存权限标签,TPS提升5倍实测有效

方案3:AOP + 自定义注解(极致灵活)

java

@Retention(RetentionPolicy.RUNTIME)  
@Target(ElementType.METHOD)  
public @interface Permission {  
    String value();  
}  

@Aspect  
@Component  
public class PermissionAspect {  
    @Around("@annotation(permission)")  
    public Object check(ProceedingJoinPoint joinPoint, Permission permission) throws Throwable {  
        String requiredPerm = permission.value();  
        if(!currentUserHasPerm(requiredPerm)) {  
            throw new AccessDeniedException("权限不足");  
        }  
        return joinPoint.proceed();  
    }  
}

适用场景:需要动态组合权限逻辑(如:部门+角色+时间)

三、性能优化核弹级方案(百万级用户验证)

1. 三级缓存架构

请求 → Redis权限缓存(60s) → Caffeine本地缓存(10s) → DB

效果:数据库查询次数下降99.8%

2. 权限变更实时推送

java

// 使用Spring事件机制  
@Transactional  
public void updateRolePermissions(Role role) {  
    roleRepository.save(role);  
    applicationContext.publishEvent(new PermissionUpdateEvent(role.getId()));  
}  

@EventListener  
public void handlePermissionUpdate(PermissionUpdateEvent event) {  
    redisTemplate.delete("perms:" + event.getRoleId());  
    caffeineCache.invalidate("local_perms:" + event.getRoleId());  
}

四、避坑指南(血与泪的教训)

  1. Swagger接口全裸奔

java

// 安全配置必须排除文档路径!!  
.antMatchers("/v3/api-docs/**", "/swagger-ui/**").permitAll()
  1. 前后端分离的CORS陷阱
Access-Control-Allow-Headers必须包含Authorization
  1. JWT令牌过期引发的灵异事件

java

// 刷新令牌方案  
if (tokenExpiredButRefreshTokenValid()) {  
    String newToken = refreshTokenService.refresh(oldToken);  
    response.setHeader("New-Access-Token", newToken);  
}

五、实战效果(真实数据说话)

优化项

优化前

优化后

权限校验耗时

120ms/次

3ms/次

权限变更生效延迟

重启服务

实时生效

系统吞吐量

300QPS

2800QPS

技术总监评价:“这套方案让我们的权限系统从拖拉机变成了超跑!”

相关推荐

使用 Docker 部署 Java 项目(通俗易懂)

前言:搜索镜像的网站(推荐):DockerDocs1、下载与配置Docker1.1docker下载(这里使用的是Ubuntu,Centos命令可能有不同)以下命令,默认不是root用户操作,...

Spring Boot 3.3.5 + CRaC:从冷启动到秒级响应的架构实践与踩坑实录

去年,我们团队负责的电商订单系统因扩容需求需在10分钟内启动200个Pod实例。当运维组按下扩容按钮时,传统SpringBoot应用的冷启动耗时(平均8.7秒)直接导致流量洪峰期出现30%的请求超时...

《github精选系列》——SpringBoot 全家桶

1简单总结1SpringBoot全家桶简介2项目简介3子项目列表4环境5运行6后续计划7问题反馈gitee地址:https://gitee.com/yidao620/springbo...

Nacos简介—1.Nacos使用简介

大纲1.Nacos的在服务注册中心+配置中心中的应用2.Nacos2.x最新版本下载与目录结构3.Nacos2.x的数据库存储与日志存储4.Nacos2.x服务端的startup.sh启动脚...

spring-ai ollama小试牛刀

序本文主要展示下spring-aiollama的使用示例pom.xml<dependency><groupId>org.springframework.ai<...

SpringCloud系列——10Spring Cloud Gateway网关

学习目标Gateway是什么?它有什么作用?Gateway中的断言使用Gateway中的过滤器使用Gateway中的路由使用第1章网关1.1网关的概念简单来说,网关就是一个网络连接到另外一个网络的...

Spring Boot 自动装配原理剖析

前言在这瞬息万变的技术领域,比了解技术的使用方法更重要的是了解其原理及应用背景。以往我们使用SpringMVC来构建一个项目需要很多基础操作:添加很多jar,配置web.xml,配置Spr...

疯了!Spring 再官宣惊天大漏洞

Spring官宣高危漏洞大家好,我是栈长。前几天爆出来的Spring漏洞,刚修复完又来?今天愚人节来了,这是和大家开玩笑吗?不是的,我也是猝不及防!这个玩笑也开的太大了!!你之前看到的这个漏洞已...

「架构师必备」基于SpringCloud的SaaS型微服务脚手架

简介基于SpringCloud(Hoxton.SR1)+SpringBoot(2.2.4.RELEASE)的SaaS型微服务脚手架,具备用户管理、资源权限管理、网关统一鉴权、Xss防跨站攻击、...

SpringCloud分布式框架&amp;分布式事务&amp;分布式锁

总结本文承接上一篇SpringCloud分布式框架实践之后,进一步实践分布式事务与分布式锁,其中分布式事务主要是基于Seata的AT模式进行强一致性,基于RocketMQ事务消息进行最终一致性,分布式...

SpringBoot全家桶:23篇博客加23个可运行项目让你对它了如指掌

SpringBoot现在已经成为Java开发领域的一颗璀璨明珠,它本身是包容万象的,可以跟各种技术集成。本项目对目前Web开发中常用的各个技术,通过和SpringBoot的集成,并且对各种技术通...

开发好物推荐12之分布式锁redisson-sb

前言springboot开发现在基本都是分布式环境,分布式环境下分布式锁的使用必不可少,主流分布式锁主要包括数据库锁,redis锁,还有zookepper实现的分布式锁,其中最实用的还是Redis分...

拥抱Kubernetes,再见了Spring Cloud

相信很多开发者在熟悉微服务工作后,才发现:以为用SpringCloud已经成功打造了微服务架构帝国,殊不知引入了k8s后,却和CloudNative的生态发展脱轨。从2013年的...

Zabbix/J监控框架和Spring框架的整合方法

Zabbix/J是一个Java版本的系统监控框架,它可以完美地兼容于Zabbix监控系统,使得开发、运维等技术人员能够对整个业务系统的基础设施、应用软件/中间件和业务逻辑进行全方位的分层监控。Spri...

SpringBoot+JWT+Shiro+Mybatis实现Restful快速开发后端脚手架

作者:lywJee来源:cnblogs.com/lywJ/p/11252064.html一、背景前后端分离已经成为互联网项目开发标准,它会为以后的大型分布式架构打下基础。SpringBoot使编码配置...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表