利用ServletContext,实现Session动态权限变更
1、前言
很多Spring Boot应用使用了Session作为缓存,一般会在用户登录后保存用户的关键信息,如:
-
用户ID。
-
用户名。
-
用户token。
-
权限角色集合。
-
等等。。。
在管理员修改了用户的权限后,希望能立即生效。此时,会发现一个问题,管理员的HTTP请求对象,只能获取自己的Session对象,而无法获取用户的Session对象。这样对已登录的用户、或Session未过期的用户似乎没有办法实现动态权限变更。
当然,并不是真的没有办法,通常的做法,可使用Spring Security插件框架来实现动态权限变更。
这里,提供了另一种思路,即利用ServletContext对象的共享特性,来实现用户权限变更的信息传递。
2、总体思路
建立一个用户变更字典globalChangeMap(Map<Integer,Integer>类型)作为userId与changeFlag的映射关系,其中changeFlag暂时没有意义。如果需要通知信息类型超过1种,不足32种,可将changeFlag按位编码,每位表示一种变更类型。还是先假设只有权限变更这一种类型。
对globalChangeMap作为核心进行封装,作为变更服务类ChangeService,提供必要的接口方法。
将ChangeService加入ServletContext对象中,实现全局共享。
如果管理员修改了某个用户的权限后,则在globalChangeMap中加入一条变更数据。
而AuthorizationAspect切面类,该切面类负责token认证、权限认证。现在先检查globalChangeMap有无变更记录,如果有,表示要查询并更新用户权限,并将新的权限角色集合更新到Session中,最后移除globalChangeMap中该用户的变更数据。对于本次拦截的请求,则可根据新的权限配置进行处理。