Java基础权限控制核心是校验用户权限集合是否包含目标权限字符串,通过枚举定义权限、角色映射预加载、登录时缓存用户权限,并在业务逻辑或拦截器中进行精确匹配校验,需注意角色变更后同步刷新权限缓存。
Java中实现基础权限控制,核心是判断当前用户是否具备执行某操作所需的权限。不需要引入复杂框架,用简单的角色-权限模型就能满足多数管理后台或内部系统的需要。
定义权限与角色
先用枚举或常量明确权限标识,比如:
- PERM_USER_READ(查看用户)
- PERM_USER_EDIT(编辑用户)
- PERM_ORDER_DELETE(删除订单)
角色可对应一组权限,例如 ROLE_ADMIN 包含全部权限,ROLE_OPERATOR 只含读和部分编辑权限。可用 Set
用户身份与权限绑定
登录成功后,在用户对象(如 User 类)中持有其角色列表(List
立即学习“Java免费学习笔记(深入)”;
在业务逻辑中做权限检查
不依赖注解或AOP也能快速控制:在关键方法开头加一行校验。
- 例如修改用户前:if (!currentUser.hasPermission("PERM_USER_EDIT")) throw new AccessDeniedException("无编辑权限");
- 也可封装成工具方法:AuthUtils.checkPermission(currentUser, "PERM_USER_EDIT");
- 对Web接口,可在Controller方法里先校验,再调Service;或统一放在拦截器(Interceptor)中,按请求路径匹配所需权限(如 "/api/users/** → PERM_USER_READ")。
简单但有效的权限校验逻辑
校验本质就是判断用户权限集合是否包含目标权限字符串。注意几点:
- 权限名建议全大写、下划线分隔,避免空格和特殊字符
- 支持通配符可扩展(如 PERM_USER_* 表示所有用户相关权限),但基础版用精确匹配即可
- 权限检查失败时,返回403状态码或自定义错误信息,别暴露系统细节
基本上就这些。不复杂但容易忽略的是权限数据的一致性——角色变更后要同步刷新用户权限缓存,否则会出现“已删权限却还能操作”的问题。
