## 前言 * 动态接口权限为商业版功能,未来即将更新至开源版,大家敬请期待~ ## 什么是接口权限 * 接口权限:顾名思义,配置不通角色调用接口的权限。有些敏感接口,是只能有固定的一些角色才能调用,普通角色是不能调用的。这种情况需要有一个明确的系统来控制对应的访问权限 * 接口权限系统,可以控制某些接口只能由固定的角色调用,可以动态控制不同的角色对不同接口的访问权限 ## 使用步骤 ### 一、注解指定 1. 我们先测试一下上一章节的接口,发现调用返回成功 ![](https://box.kancloud.cn/93cbca8258b16c111ab67e6869986755_1636x1622.png) 2. 在接口上使用注解指定只能由user角色调用 ![](https://box.kancloud.cn/d87c469939c757c5708d2548aaccfa7f_1786x444.png) 3. 重启工程后,再次调用发现已经返回未授权,因为当前调用的角色为`admin`,与`user`不匹配 ![](https://box.kancloud.cn/495a6dc445899fd035373be27508427c_1444x1154.png) 4. 修改授权代码,使`admin`或者`user`其中一个满足要求即可 ![](https://box.kancloud.cn/b6f8dcf72a6dfac1ef40a98e30aafaf3_1718x428.png) 5. 重启工程后再次调用发现返回成功 ![](https://box.kancloud.cn/9210bd80463375ef841a77bbd6bb12b3_1578x1592.png) 注:注解指定级别最高,直接规定了某些重要的敏感接口只能由固定的角色才能访问。但同时带来但问题是不够灵活,适用于不能被篡改,只能由管理员调用但接口配置。 ### 二、web动态配置 1. 打开web,进入`接口权限`模块,点击`权限配置` ![](https://box.kancloud.cn/6f9b38fbf8162fe21ebebfab2d7f0f6e_3352x1662.png) 2. 在弹出的界面点击新增按钮 ![](https://box.kancloud.cn/fe3d5093f0acb62b5ec16c93ff2d9856_2772x1496.png) 3. 填好对应的信息并保存(权限编号推荐使用冒号分割) ![](https://box.kancloud.cn/bd6c579ace18470ba6659cd4d681b8b0_1788x860.png) 4. 发现一条配置已经出现 ![](https://box.kancloud.cn/c3f613a30a92f9d8df09aa1a6cbc5346_3328x1008.png) 5. 打开角色管理进行接口权限配置 ![](https://box.kancloud.cn/7f60b5d7eeda0d6840fe2ac4319e27b4_2306x1402.png) 6. 给后端代码加上注解 ![](https://box.kancloud.cn/da8ca2c71adb2adc3772ec270189412b_1778x438.png) 7. 重启工程后访问接口发现返回成功 ![](https://box.kancloud.cn/265bd6a67d1aecf51674eb7a26d72118_1472x1498.png) 8. 我们尝试修改下code,然后不用重启,直接调用,发现请求未授权 ![](https://box.kancloud.cn/38b492d9dc8e5d2f72fe81d1d4200eba_1788x886.png) ![](https://box.kancloud.cn/e734421da9c759015422ec14094e84b2_970x1140.png) 9. 如此一来我们便可以动态配置接口权限,从而来控制角色能访问的范围 ### 三、接口全局匹配 1. 可能看完以上两点,会有小伙伴觉得需要指定到对应到编号、角色才能进行授权。万一有一些不太确定的场景,需要实时变更,这种情况就不满足要求了。 2. 这种情况BladeX也有考虑到,对与这种情况,又结合整体系统的性能,提供了一个类下面的全局匹配功能,具体看如下 3. 在控制器类写上注解(两种皆可,选其一) ![](https://box.kancloud.cn/83ef5f2ee4d724ce69595bdf1846b3e6_1366x326.png) ![](https://box.kancloud.cn/8734e6ca64e0497df2df661d75020ad5_1348x356.png) 4. 重启工程后,访问list接口,发现请求未授权,因为并没有分配对应的接口权限 ![](https://box.kancloud.cn/3da8776ad9ea16534da55c12ce1fdf8d_1004x1184.png) 5. 新增接口权限(**权限路径为controller的地址,根据这个匹配,匹配为包含关系。比如设置了/notice/list,那如果匹配到的接口地址是/notice/list/abc或者/abc/notice/list也是能校验通过的**) ![](https://box.kancloud.cn/4730701c8259717396f54f697a9a177f_1730x888.png) 6. 分配角色权限(**这里树形控件有个bug,当父级选中后,子节点默认没有选择,他也会给勾上。已经有人反馈,需要等官方修复,这时候我们再次点击下确定即可**) ![](https://box.kancloud.cn/2d4fc591c925edafe5872358669f40fe_786x802.png) 7. 无需重启工程,再次访问发现接口返回成功 ![](https://box.kancloud.cn/b359f2d28e1c1e4ff53681bad213bfde_1400x1604.png) ### 四、结尾语 * 看到这里,相信大家对接口权限有了一个大概对认知,主要代码逻辑为如下两个类 ![](https://box.kancloud.cn/fb82a5009a5b03352cb1073df5ffdde5_944x872.png) * 大家可以进入AuthFun进行拓展@PreAuth的方法,将整个权限打造为自己公司专属的系统