Java权限登录模块核心是职责分离:User、Role、Permission分层建模,通过中间关联;LoginService封装验证流程;密码用BCrypt加密;权限支持方法级(@RequiresPermission)与URL级(Spring Security/Filter)校验;Token推荐JWT,兼顾安全与体验。
Java中实现基础权限登录模块,核心在于用面向对象思想把用户、角色、权限、登录验证等职责清晰分离,而不是堆砌逻辑。关键不是写多少代码,而是类怎么设计、关系怎么建、验证流程怎么控制。
用户、角色、权限三者建模要分清职责
别把所有字段塞进一个User类。典型做法是:
- User类只管账号密码、姓名、状态等个人基本信息
- Role类描述角色名称(如“管理员”“普通用户”)、编码、描述
- Permissi
on类定义具体操作权限(如“user:delete”“order:query”) - 通过中间类(如UserRole、RolePermission)或集合关联,比如User里持有一个List
,Role里包含Set
on类定义具体操作权限(如“user:delete”“order:query”)这样后续扩展角色继承、权限动态加载、多角色叠加时才不会乱。
登录过程封装成可复用的验证服务
把登录逻辑抽成LoginService,不要写在Servlet或Controller里。它该做的事很明确:
- 根据用户名查User(含密码和状态校验)
- 加载该用户全部Role,再递归加载每个Role下的Permission
- 生成并返回LoginResult对象(含User、token、权限列表、是否登录成功)
- 密码比对必须用BCryptPasswordEncoder等安全方式,明文或简单MD5坚决不行
权限校验要支持方法级和URL级两种场景
实际项目里常需两类检查:
- 前端跳转前查菜单/按钮是否可见 → 查用户是否有对应Permission字符串
- 后端接口执行前拦请求 → 可用自定义注解(如@RequiresPermission("user:update")),配合AOP在方法执行前校验
- URL拦截推荐用Spring Security的HttpSecurity配置,或手写Filter,按请求路径匹配预设权限规则
注意:权限字符串建议统一格式(如“模块:操作”),便于解析和管理。
会话与Token管理要兼顾安全与体验
登录成功后不能只存Session,尤其分布式系统:
- 单机应用可用HttpSession,但要设置超时、禁用URL重写
- 前后端分离项目推荐JWT:把用户ID、角色、权限列表签发成token,客户端每次带Header传入
- 敏感操作(如改密、删账号)建议二次验证(短信/图形验证码),不依赖单一登录态
Token需设合理过期时间,并提供刷新机制,避免频繁重新登录。
不复杂但容易忽略:权限数据初始化、角色权限分配界面、日志记录登录失败原因、锁定异常账户——这些才是真实项目里最常出问题的地方。
