Go / Golang大前端算法
Go 语言企业级权限管理系统设计与实现
基于 Go 语言与 RBAC 模型设计企业级权限管理系统。内容涵盖传统权限方案对比、RBAC 模型改进、中间件鉴权设计、权限树结构构建及前后端权限控制流程。重点解析了 Gin 中间件实现路径跳过与 JWT 验证,以及 Casbin 框架结合 GORM 进行策略持久化的实践。同时介绍了前端 Vue 在菜单过滤、指令控制及路由守卫层面的多层防护机制,确保系统安全性与可维护性。
基于 Go 语言与 RBAC 模型设计企业级权限管理系统。内容涵盖传统权限方案对比、RBAC 模型改进、中间件鉴权设计、权限树结构构建及前后端权限控制流程。重点解析了 Gin 中间件实现路径跳过与 JWT 验证,以及 Casbin 框架结合 GORM 进行策略持久化的实践。同时介绍了前端 Vue 在菜单过滤、指令控制及路由守卫层面的多层防护机制,确保系统安全性与可维护性。
传统的权限管理方式往往在代码中硬编码,例如:
// 传统方式:硬编码权限检查
func DeleteBook(userType string) {
if userType == "student" {
return // 学生不能删除
}
if userType == "teacher" {
return // 老师也不能删除
}
if userType == "admin" {
deleteBook()
}
}
这种方式存在以下问题:
这违背了开闭原则(Open/Closed Principle),即对扩展开放,对修改关闭。
基于角色的访问控制(Role-Based Access Control, RBAC)将用户与权限解耦,通过角色作为中间层。设计关系如下:
用户 (User) ←→ 角色 (Role) ←→ 权限 (Permission)
具体映射示例:
不再硬编码,而是使用数据库存储。
// 定义角色
type Role struct {
ID uint `json:"id"`
Name string `json:"name"` // "学生", "教师", "管理员"
Description string `json:"description"`
}
// 定义权限
type Permission struct {
ID uint `json:"id"`
Name string `json:"name"` // "book:borrow", "user:create"
Action string `json:"action"` // "借阅图书", "创建用户"
}
新增角色只需配置数据,无需修改代码。
// 权限检查逻辑
func DeleteBook(userID uint) error {
if !permission.HasPermission(userID, "book:delete") {
return errors.New("权限不足:您无法删除图书")
}
return deleteBook()
}
引入 RBAC 后,每个 API 都需要手动检查权限,导致代码重复。通过中间件(Middleware)可以统一处理鉴权逻辑。
在路由注册时应用权限中间件:
router.POST("/role", middleware.RequirePermission("role:create"), roleHandler.CreateRole)
router.GET("/role", middleware.RequirePermission("role:read"), roleHandler.GetRoles)
以 Gin 框架为例,中间件主要完成以下流程:
X-Userinfo 中获取 Base64 编码的用户信息。func Auth() gin.HandlerFunc {
return AuthWithConfig(AuthConfig{})
}
func AuthWithConfig(config AuthConfig) gin.HandlerFunc {
notAuth := config.SkipPaths
var skip map[string]struct{}
if len(notAuth) > 0 {
skip = make(map[string]struct{})
for _, path := range notAuth {
skip[path] = struct{}{}
}
}
return func(c *gin.Context) {
// 跳过检查
if _, ok := skip[c.FullPath()]; ok {
c.Next()
return
}
userInfos := c.Request.Header.Get("X-Userinfo")
if userInfos == "" {
err := errs.NewUnauthorizedError("missing user information")
response.BuildErrorResponse(err, c)
c.Abort()
return
}
userProfile := &userModel.UserInfo{}
user, err := base64.StdEncoding.DecodeString(userInfos)
if err != nil {
logrus.Error("x-userinfo base64 decoding failed", err)
err = errs.NewUnauthorizedError("invalid user info encoding")
response.BuildErrorResponse(err, c)
c.Abort()
return
}
err = json.Unmarshal(user, &userProfile)
if err != nil {
logrus.Error(, err)
err = errs.NewUnauthorizedError()
response.BuildErrorResponse(err, c)
c.Abort()
}
requestTenantId := c.GetHeader()
c.Set(, requestTenantId)
authorized :=
_, tenantId := userProfile.TenantIds {
tenantId == requestTenantId {
authorized =
}
}
!authorized {
logrus.Warnf(, requestTenantId)
err = errs.NewUnauthorizedError()
response.BuildErrorResponse(err, c)
c.Abort()
}
c.Set(, userProfile)
c.Next()
}
}
系统采用 Keycloak 作为身份和访问管理(IAM)解决方案,支持单点登录(SSO)、多因素认证(MFA)及 OAuth 2.0 等标准协议。
JWT 令牌生成流程:
LoginAdmin() 请求 JWT。使用递归结构体定义权限层级。
type Permission struct {
Key string `json:"key"`
Title string `json:"title"`
Children []Permission `json:"children,omitempty"`
}
var DefaultPermissions = []Permission{
{Key: "home", Title: "首页"},
{Key: "system-manage", Title: "系统管理",
Children: []Permission{
{Key: "book-manage", Title: "图书管理",
Children: []Permission{
{Key: "book-entry", Title: "图书录入"},
{Key: "book-list", Title: "图书列表"},
},
},
{Key: "user-manage", Title: "读者管理"},
},
},
}
构建父子节点关系映射,便于快速查找。
func BuildPermissionParentMap() map[string]string {
parentMap := make(map[string]string)
buildParentMapRecursive(DefaultPermissions, "", parentMap)
return parentMap
}
func buildParentMapRecursive(permissions []Permission, parentKey string, parentMap map[string]string) {
for _, perm := range permissions {
if parentKey != "" {
parentMap[perm.Key] = parentKey
}
if len(perm.Children) > 0 {
buildParentMapRecursive(perm.Children, perm.Key, parentMap)
}
}
}
前端权限控制分为多层防护,确保安全性。
用户登录后,后端返回权限列表,前端存储至 Store。
async fetchAndSetStaffInfo() {
try {
const response = await getCurrentStaff();
if (response && response.code === 0) {
this.permissions = response.data.permissions || [];
}
} catch (error) {
console.error('获取用户信息失败:', error);
}
}
根据权限过滤路由表,无权限的菜单项不渲染。
const filterRoute = (routeList, currentPermissions) => {
for (let i = routeList.length - 1; i >= 0; i--) {
const route = routeList[i];
if (!hasSystemManagePermission(currentPermissions)) {
routeList.splice(i, 1);
}
}
};
侧边栏组件进一步过滤子菜单项。
const filteredMenuGroups = computed(() => {
return menuGroups.map((group) => ({
...group,
items: group.items.filter((item) => {
const requiredPermission = menuPermissionMap[item.key];
return !requiredPermission || permissions.value.includes(requiredPermission);
}),
})).filter((group) => group.items.length > 0);
});
使用自定义指令控制页面元素显示。
<a-button v-permission="'user-manage'" type="primary">读者管理</a-button>
const permission = {
mounted(el, binding) {
const { value } = binding;
const { permissions } = useUserStore();
if (value && !permissions.includes(value)) {
el.style.display = 'none';
}
},
};
在组件逻辑中直接调用权限检查函数。
import { usePermission } from '@/hooks/usePermission';
const { hasPermission } = usePermission();
if (!hasPermission('user-manage')) {
router.push('/403');
}
针对直接 URL 访问,在路由层面进行拦截。
Casbin 是强大的开源访问控制框架,支持多种模型。
初始化 Casbin 加载模型和策略文件。
package main
import (
"fmt"
"github.com/casbin/casbin/v2"
"log"
)
func check(e *casbin.Enforcer, sub, obj, act string) {
ok, _ := e.Enforce(sub, obj, act)
if ok {
fmt.Printf("%s CAN %s %s\n", sub, act, obj)
} else {
fmt.Printf("%s CANNOT %s %s\n", sub, act, obj)
}
}
func main() {
e, err := casbin.NewEnforcer("casbin/model.ini", "casbin/policy.csv")
if err != nil {
log.Fatalf("NewEnforecer failed:%v\n", err)
}
check(e, "zhangsan", "/index", "GET")
}
配置文件 model.ini 定义角色关系。
[request_definition]
r = sub, obj, act
[policy_definition]
p = sub, obj, act
[role_definition]
g = _, _
[policy_effect]
e = some(where (p.eft == allow))
[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act
将策略存储到数据库中。
import (
"gorm.io/gorm"
"github.com/casbin/gorm-adapter/v3"
)
// 初始化 GORM 连接
db := core.InitGorm()
// 迁移 CasbinRule 表
db.AutoMigrate(&gormadapter.CasbinRule{})
// 创建适配器
a, _ := gormadapter.NewAdapterByDB(db)
// 创建 Enforcer
e, _ := casbin.NewCachedEnforcer(m, a)
e.LoadPolicy()
在移除用户角色关系时,需保证数据库与 Casbin 的一致性,采用补偿机制。
// 从数据库中移除关联
if err = roleRepo.RemoveRoleFromUser(ctx, userID, roleID); err != nil {
return fmt.Errorf("数据库移除角色失败:%w", err)
}
// 从 Casbin 中移除用户角色关系
userIDStr := strconv.FormatUint(uint64(userID), 10)
_, err = p.casbinSvc.Enforcer.DeleteRoleForUser(userIDStr, role.Code)
if err != nil {
// 补偿性原则:回滚数据库操作
roleRepo.AddRoleFromUser(ctx, userID, roleID)
return fmt.Errorf("Casbin 移除用户角色失败:%w", err)
}
本文详细阐述了基于 Go 语言的企业级权限管理系统设计,涵盖 RBAC 模型、中间件鉴权、权限树构建、前后端多层防护以及 Casbin 框架的深度集成。通过模块化设计与严格的权限校验机制,确保了系统的安全性与可维护性。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
使用加密算法(如AES、TripleDES、Rabbit或RC4)加密和解密文本明文。 在线工具,加密/解密文本在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online