Tencent/APIJSON

用基于接口的可扩展枚举提供更多权限支持

jerrylususu opened this issue · 1 comments

jerrylususu commented

APIJSON 本身的权限定义在枚举 RequestRole 中,且与框架本身的耦合度较高,如果想要在此基础上定义新的权限级别不是很方便。虽然可以通过重载 AbstractVerifier.verifyAccess 方法来自定义鉴权,但是用起来还是相对比较复杂,如(这个 issue https://github.com/Tencent/APIJSON/issues/228)。

为了尝试解决这一问题,我定义了一个新的接口 IRequestRole,令 RequestRole 实现这个接口,再依次修改框架中其他相关联的位置。通过 IRequestRole.register 方法,用户可以注册自己的权限枚举。通过 IRequestRole.get 方法,可以从权限字符串转换回对应的权限枚举。

根据我在自己的示例项目上的测试,基本可以满足需要。但是因为包含一些破坏性变更(MethodAccess 注解返回 String[]),我希望先了解下各位的意见和建议。

可以从这里获取修改后的代码(含 APIJSON ORM 和 Framework)及示例项目:
https://github.com/jerrylususu/apijson_role_extend

具体的使用方法如下:

  1. 首先定义自己的权限枚举类(可参照 apijson.demo.config.MyRole

    public enum MyRole implements IRequestRole {
    STUDENT,
    TEACHER,
    PRINCIPAL;
}

  2. DemoApplication 的 static 块中注册自己的权限枚举类

    static {
    IRequestRole.register(MyRole.class);
    APIJSONApplication.DEFAULT_APIJSON_CREATOR = // ...
}

  3. 在自己的用户类(model.User)中添加 List<String> role 属性,并添加对应的 getter, setter 方法

  4. 重载 AbstractVerifier.verifyAccess,补全一部分框架中未完成的鉴权逻辑(判断用户请求中声明的权限,是否的确存在于用户的权限列表中)

    此部分与用户自己的用户类的类名相关,因此没有在框架中实现(可能可以用 Visitor 接口实现?)

    // 自定义的权限,需要检查是否存在于列表中
if ( !(config.getRole() instanceof RequestRole) ) {
    List<String> visitorRoleList = new ArrayList<>();
    // 处理数据库中 role 列为 NULL
    if (((User) this.visitor).getRole() != null) {
        visitorRoleList = ((User) this.visitor).getRole();
    }

    if (!visitorRoleList.contains(config.getRole().toString())){
        // 用户声明的权限不在自己的 role 列表中(伪造权限)
        throw new IllegalAccessException("当前用户没有声明的权限!");
    }

}

  5. 在数据库 Access 表中完成对应配置

  • GET/GETS/HEAD/HEADS:["STUDENT", "TEACHER","PRINCIPAL"]
  • POST/DELETE:["TEACHER"]
  • PUT:["OWNER","PRINCIPAL"]

  1. 在调用时先登录,然后用 @role 声明对应的权限

    // POST /get
{
    "[]": {
        "Course": {
            "@role": "TEACHER"
        }
    }
}
TommyLemon commented

是一种可行方式,感谢分享,赞!

不过我倾向于把 RequestRole 改为 String,支持用户自己在 AbstractVerifier.java 的 ROLE_LIST 中添加额外的角色名,类似 AbstractSQLConfig.DATABASE_LIST 的处理,这样不管是使用还是实现都会简单很多
https://github.com/Tencent/APIJSON/blob/c663fb21e598873e3395c66192bcfadb04babf60/APIJSONORM/src/main/java/apijson/orm/AbstractSQLConfig.java

public static String ROLE_UNKNOWN = "UNKNOWN";
public static String ROLE_OWNER = "OWNER";
...
public static List<String> ROLE_LIST = new ArrayList<>();
static {
     ROLE_LIST.add(ROLE_UNKNOWN);
     ROLE_LIST.add(ROLE_OWNER);
     ...
}

你的方案也会作为一种备选方式推荐给需要的用户~