Springboot 集成 RBAC 模型实战指南

RBAC 模型核心原理

详情可参考之前的笔记：https://blog.csdn.net/qq_35201802/article/details/146036789?spm=1011.2415.3001.5331

RBAC 定义与优势

RBAC（Role-Based Access Control，基于角色的访问控制）** 是一种通过角色关联用户和权限的权限管理模型。其核心思想是将权限分配给角色，再将角色授予用户，从而解耦用户与权限的直接关系。

核心优势：

- 灵活性，权限变更只需调整角色，无需逐个修改用户。
- 可维护性，通过角色层级和约束规则实现复杂权限场景。
- 最小权限原则，用户仅拥有完成工作所需的最小权限集。

Spring Boot 集成 RBAC 实现原理

技术架构

          ┌───────────────┐│  客户端请求    │└──────┬────────┘│┌──────▼────────┐│ Spring Security 过滤器链 │└──────┬────────┘│┌──────▼────────┐│ 身份认证 (Authentication) │└──────┬────────┘│┌──────▼────────┐│ 权限验证 (Authorization) │└──────┬────────┘│┌──────▼────────┐│  业务逻辑处理  │└───────────────┘

权限验证流程

1. 请求拦截：FilterSecurityInterceptor` 拦截受保护请求
2. 身份提取：从 SecurityContext` 获取已认证的用户信息
3. 元数据匹配：将请求 URL/Method 与 SecurityMetadataSource` 中的规则匹配
4. 权限决策：调用 AccessDecisionManager` 对比用户权限与资源所需权限
5. 访问控制：通过则继续执行，否则抛出 AccessDeniedException`

Spring Boot 实战实现

数据库设计

-- `user`.tb_user definitionCREATE TABLE `tb_user` (`id` int NOT NULL AUTO_INCREMENT COMMENT '用户 ID（主键）',`user_id` varchar(50) NOT NULL COMMENT '用户编号',`username` varchar(50) NOT NULL COMMENT '用户名',`password` varchar(255) NOT NULL COMMENT '密码',`email` varchar(100) NOT NULL COMMENT '邮箱',`status` tinyint DEFAULT '1' COMMENT '状态：1-启用, 0-禁用',`is_deleted` tinyint DEFAULT '0' COMMENT '删除标志：0-未删除, 1-已删除',`create_time` datetime DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',`create_by` int DEFAULT NULL COMMENT '创建人 ID（关联 tb_user.user_id）',`update_time` datetime DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '修改时间',`update_by` int DEFAULT NULL COMMENT '修改人 ID（关联 tb_user.user_id）',PRIMARY KEY (`id`),UNIQUE KEY `user_id` (`user_id`),UNIQUE KEY `username` (`username`),UNIQUE KEY `email` (`email`),UNIQUE KEY `user_id_2` (`user_id`)
) ENGINE=InnoDB AUTO_INCREMENT=13 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='用户表';-- `user`.tb_role definitionCREATE TABLE `tb_role` (`id` int NOT NULL AUTO_INCREMENT COMMENT '角色 ID（主键）',`role_id` varchar(50) NOT NULL COMMENT '角色编号',`role_name` varchar(50) NOT NULL COMMENT '角色名称',`role_description` varchar(500) DEFAULT NULL COMMENT '角色描述',`is_deleted` tinyint DEFAULT '0' COMMENT '删除标志：0-未删除, 1-已删除',`create_time` datetime DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',`create_by` int DEFAULT NULL COMMENT '创建人 ID（关联 tb_user.user_id）',`update_time` datetime DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '修改时间',`update_by` int DEFAULT NULL COMMENT '修改人 ID（关联 tb_user.user_id）',PRIMARY KEY (`id`),UNIQUE KEY `role_id` (`role_id`),UNIQUE KEY `role_name` (`role_name`),UNIQUE KEY `role_id_2` (`role_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='角色表';-- `user`.tb_permission definitionCREATE TABLE `tb_permission` (`id` int NOT NULL AUTO_INCREMENT COMMENT '权限 ID（主键）',`permission_id` varchar(100) NOT NULL COMMENT '权限编号',`permission_name` varchar(100) NOT NULL COMMENT '权限标识（如 user:read）',`permission_desc` varchar(500) DEFAULT NULL COMMENT '权限描述',`is_deleted` tinyint DEFAULT '0' COMMENT '删除标志：0-未删除, 1-已删除',`create_time` datetime DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',`create_by` int DEFAULT NULL COMMENT '创建人 ID（关联 tb_user.user_id）',`update_time` datetime DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '修改时间',`update_by` int DEFAULT NULL COMMENT '修改人 ID（关联 tb_user.user_id）',PRIMARY KEY (`id`),UNIQUE KEY `permission_id` (`permission_id`),UNIQUE KEY `permission_name` (`permission_name`),UNIQUE KEY `permission_id_2` (`permission_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='权限表';-- `user`.tb_user_role definitionCREATE TABLE `tb_user_role` (`id` int NOT NULL AUTO_INCREMENT COMMENT '用户角色 ID（主键）',`user_role_id` varchar(100) NOT NULL COMMENT '用户角色编号',`user_id` varchar(100) NOT NULL COMMENT '用户 ID（关联 tb_user.user_id）',`role_id` varchar(100) NOT NULL COMMENT '角色 ID（关联 tb_role.role_id）',PRIMARY KEY (`id`),UNIQUE KEY `user_id` (`user_id`,`role_id`),UNIQUE KEY `user_role_id` (`user_role_id`),KEY `role_id` (`role_id`),CONSTRAINT `tb_user_role_ibfk_1` FOREIGN KEY (`user_id`) REFERENCES `tb_user` (`user_id`) ON DELETE CASCADE,CONSTRAINT `tb_user_role_ibfk_2` FOREIGN KEY (`role_id`) REFERENCES `tb_role` (`role_id`) ON DELETE CASCADE
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='用户角色关联表';-- `user`.tb_role_permission definitionCREATE TABLE `tb_role_permission` (`id` int NOT NULL AUTO_INCREMENT COMMENT '角色权限 ID（主键）',`role_permission_id` varchar(100) NOT NULL COMMENT '角色权限编号',`role_id` varchar(100) NOT NULL COMMENT '角色 ID（关联 tb_role.role_id）',`permission_id` varchar(100) NOT NULL COMMENT '权限 ID（关联 tb_permission.permission_id）',PRIMARY KEY (`id`),UNIQUE KEY `role_id` (`role_id`,`permission_id`),UNIQUE KEY `role_permission_id` (`role_permission_id`),KEY `permission_id` (`permission_id`),CONSTRAINT `tb_role_permission_ibfk_1` FOREIGN KEY (`role_id`) REFERENCES `tb_role` (`role_id`) ON DELETE CASCADE,CONSTRAINT `tb_role_permission_ibfk_2` FOREIGN KEY (`permission_id`) REFERENCES `tb_permission` (`permission_id`) ON DELETE CASCADE
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='角色权限关联表';

角色权限配置接口设计

用户

public interface UserService {void saveUser(UserReq req);UserVO getUser(UserReq req);void updateUser(UserReq req);void deleteUser(UserReq req);PageVO<UserVO> pageUser(UserReq req);void addRole(UserRoleReq req);
}

角色

public interface RoleService {void saveRole(RoleReq req);void updateRole(RoleReq req);void deleteRole(RoleReq req);RoleVO getRole(RoleReq req);PageVO<RoleVO> pageRole(RoleReq req);void addPermission(RolePermissionReq req);
}

权限

public interface PermissionService {void savePermission(PermissionReq req);void updatePermission(PermissionReq req);void deletePermission(PermissionReq req);PermissionVO getPermission(PermissionReq req);PageVO<PermissionVO> pagePermission(PermissionReq req);
}

总结

本篇主要对 Springboot 集成 RBAC 模型设计进行梳理，关键点在于用户与权限解耦，通过角色关联权限，其他逻辑的实现，比如接口的权限校验，tooken校验请关注后续文章更新