權限架構

主體采用RBAC(Role-Base Access Control,基于角色的訪問控制)模型，就是用戶通過角色和權限進行關聯實現，多對多的用戶角色關系模式。

要由用戶管理、角色管理、菜單管理幾部分組成，角色權限管理包括功能菜單權限、操作權限，數據權限控制，權限主要由功能權限(界面權限、菜單權限、操作權限)和數據權限構成。

技術架構

系統整體采用微服務架構，安全模塊采用OAuth2開放式授權標準，Token令牌采用JWT標準實現，技術框架采用SpringCloud+SpringGateway+SpringSecurity+自定義權限表達式。

（Open Authorization，開放授權）是為用戶資源的授權定義了一個安全、開放及簡單的標準，第三方無需知道用戶的賬號及密碼，就可獲取到用戶的授權信息。

Json web token (JWT), 是為了在網絡應用環境間傳遞聲明而執行的一種基于JSON的開放標準（(RFC 7519).該token被設計為緊湊且安全的，特別適用于分布式站點的單點登錄（SSO）場景。

JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息，以便于從資源服務器獲取資源，也可以增加一些額外的其它業務邏輯所必須的聲明信息，該token也可直接被用于認證，也可被加密。

權限配置

密鑰配置

系統遵循OAuth2開放式授權標準協議，Token令牌采用RSA非對稱加密算法加密，系統用戶密碼采用MD5加密。

權限表達式配置

鑒權（authentication）是指驗證用戶是否擁有訪問系統的權利，鑒權配置即配置哪些資源需要什么權限才能訪問，配置資源與權限之間的關系。

權限配置文件位于resources/security.yml

在介紹權限表達式配置之前需要先了解下權限表達式、URL路徑、權限謂詞3個概念， 權限表達式描述資源權限的邏輯關系，包括請求方式、URL路徑、權限謂詞3個部分， 請求方式即HTTP請求方法，如：GET、POST、PUT、DELETE等，URL路徑即需要鑒權的URL路徑地址，支持多種通配符匹配，權限謂詞用于描述或判定權限性質、特征或權限之間關系的表達式。

格式語法

目前支持兩種類型的權限表達語法，分別功能權限表達式、數據權限表達式。

功能權限表達式

HTTP請求方法 URL路徑=權限謂詞表達式

紅色部分：HTTP請求方法，例如GET、POST、PUT、DELETE等

黃色部分：空格占位符

綠色部分：URL表達式，支持多種通配符。例如：/app/*/users，app/**

橙色部分：等于號占位符，描述左側匹配資源需要右側權限。

藍色部分：權限謂詞，例如：(view&&export)||edit表示需要查看與導出權限，或者編輯權限。

數據權限表達式

HTTP請求方法 URL路徑參數=權限謂詞表達式參數

淺綠色部分：參數占位符，數據定位參數顧名思義用于唯一標識行級數據的參數，支持多參數標識，支持批量行數據定位鑒權。

URL路徑表達式

URL路徑表達式，用于配置需要進行鑒權的資源路徑地址。路徑有三種通配符匹配方法，這些可以組合出很多種靈活的路徑模式

示例：

權限謂詞

支持與或非邏輯運算: 例如: a&&b, a||b, (a&&b)||(c&&d), a&&b||c, !a, !(a&&b)，例如：view&&export)||edit表示校驗是否擁有查看和導出的權限，或者編輯權限。

參數

數據權限控制需要唯一標識行數據，用于驗證用戶是否有該數據的操作權限，參數占位符為數據定位器的參數名，支持單參數、復合參數，單條數據定位鑒權({參數名}大括號)，批量數據定位鑒權([參數名]中括號)。例如單參數userId用戶編號，productId產品編號，復合參數type類型、productId產品編碼，批量數據權限鑒權userIds用戶編碼集，需要指出的是每個表達式運算的數據對象是每一條數據。

示例：

一個參數時權限項表達式參數默認可以不配置/user/{id}=view&&eidt等于/user/{id}=view{id}&&eidt{id} 路徑參數

實體參數

復合參數

元素配置

權限配置由permit-paths白名單、jwt-users來賓用戶、resource資源權限3部分元素組成，其中resource元素包括authrities、data-authrities兩部分元素。

permit-paths白名單

無需進行權限過濾的請求路徑，當系統有些資源不需要進行權限過濾的時候配置該元素，配置語法如下圖所示，路徑表達式配置。

Resource資源權限

資源權限配置元素為權限模塊的核心元素，包括authrities功能權限、data-authrities數據權限，兩者的區別在于功能權限為URL匹配路徑的權限控制，數據權限在URL匹配路徑的基礎上增加了數據鑒權控制。

Authrities功能權限

功能權限控制，通常表示界面業務功能接口權限的控制，例如：用戶列表數據獲取接口，用戶信息添加、刪除、更新等等接口的權限控制。

data-authrities數據權限

數據權限控制，為更細粒度的權限控制，是對業務行級數據的操作權限進行控制，例如用戶只能查看、操作自己創建的數據，管理員可以賦權給指定的用戶或角色查看、操作某些某條數據。

微前端

微前端架構是一種類似于微服務的可插拔式架構，它將微服務的理念應用于瀏覽器端，即將 Web 應用由單一單體應用變為多個小型可獨立運行、獨立開發、獨立部署的應用。

前端頁面通過微前端加載器，利用頁面路由和動態加載等技術，實現前端集成主頁面與微前端的“拼圖式”開發。前端集成項目團隊只需關注前端整體風格、微前端之間的數據交互和頁面路由等內容，不涉及前端與后端之間以及后端與后端之間的 API 集成，從而降低集成過程中的技術敏感度、團隊溝通成本和集成復雜度，提高交付效率和用戶體驗。

外部系統前端應用部署集成，各系統前端應用組件獨立打包部署，通過配置部署、動態加載應用、統一生命周期管理。

總結

基于權限表達式實現的系統可輕松集成被集成，業務系統作為子系統存在，安全權限管理由宿主統統一處理，將復雜且耦合性高的權限控制從業務服務中剝離，業務子系統只需關注業務邏輯處理，真正做到無縫集成，降低了系統集成的難度與復雜性，提升了系統的整體性能和可維護性。

系統權限模塊只是實現了基本的權限控制需求，還存在許多需要完善的地方，例如前端頁面功能按鈕的權限控制、大數據量的權限數據維護繁瑣，需要一條條添加維護好菜單、功能權限、操作權限數據，手動配置鑒權數據極易出錯等等。或許將來有需要可以優化的地方。

自動識別功能權限數據

集成新的業務服務維護功能權限數據需要對業務服務接口全面了解，需要一條條維護好功能接口，URL地址、權限標識符極易存在拼寫錯誤，或許可以通過一定的場景自動掃描獲取注冊服務所有公開的資源接口，管理員可以在系統里通過界面自動查看、搜索資源接口動態可選擇地導入接口數據(功能權限數據)。

自動初始化操作權限

一般功能操作為增、刪、改、查，可以在添加菜單數據后自動初始化操作功能，用戶也可以單獨添加修改操作功能數據。

基礎數據權限可配置

根據需要可以通過界面，選擇需要進行數據權限控制的業務模塊，自動導入數據權限控制基礎數據。

自助式鑒權配置

用戶可以通過可視化界面簡單操作配置白名單、來賓用戶權限、資源權限等數據，支持鑒權配置數據導入導出等，例如：自動列出所有功能接口通過搜索、勾選等方式選擇需要鑒權的資源，引導式配置權限謂詞表達式等。