企业官网建设流程全解析

xxx理系统权限体系总结与配置指南

根据过往相关的数据表结构、初始数据和AuthController等设计代码，总结了一份完整的权限体系总结与配置指南文档：

文件位置：c:\DevOpsK8s\ABC\carbon-manage-platform\PERMISSION_SYSTEM_COMPLETE_GUIDE.md

文档主要内容

一、权限体系概述

• 基于角色的访问控制（RBAC）模型
• 多租户（Multi-Tenancy）架构
• 核心设计理念：最小权限原则、职责分离、租户隔离、灵活配置、审计追踪

二、数据库表结构

• 核心权限表：sys_tenant、sys_user、sys_role、sys_permission、sys_user_role、sys_role_permission
• 权限类型：模块权限、菜单权限、按钮权限

三、认证与授权流程

• 登录认证流程：用户验证、密码检查、角色验证、JWT令牌生成
• JWT令牌结构：包含用户名、用户ID、租户ID、用户角色等信息
• 权限检查流程：令牌验证、权限提取、访问控制

四、从0配置用户权限的详细步骤

1. 准备工作：确保系统初始化完成，超级管理员账户可用
2. 创建租户（可选）：为新企业或组织创建独立工作空间
3. 创建权限：按模块、菜单、按钮层次创建权限
4. 创建角色：根据岗位需求创建角色
5. 分配角色权限：将权限分配给角色
6. 创建用户：创建新用户并设置初始密码
7. 分配用户角色：将角色分配给用户
8. 验证权限配置：登录验证权限是否正确

五、权限管理最佳实践

• 权限设计原则：模块化管理、层级分明、命名规范、最小权限、定期审计
• 常见角色设计：超级管理员、租户管理员、碳分析师、数据采集员、监控操作员等

六、权限问题排查

• 常见权限错误及解决方案
• 排查步骤：登录状态、令牌验证、角色分配、权限关联

七、代码实现关键点

• AuthController核心代码分析：用户认证、角色检查、JWT令牌生成
• 权限检查实现：Spring Security的@PreAuthorize注解

这份文档提供了完整的权限体系说明和详细的配置步骤，您可以根据实际需求参考使用。(详细文档可私)

地图模块权限配置案例

一、需求分析

• 新增功能模块：地图模块
  • 主菜单：地图模块
  • 子菜单：地图设备分布、地图事件分布
• 授权对象：
  • 管理角色（假设对应设备管理员角色）
  • 普通查看用户（对应数据查看员角色）

二、详细配置步骤

1. 创建地图模块主权限

-- 创建地图模块主权限（模块级）INSERTIGNOREINTO`sys_permission`(...)VALUES('perm-0050','MAP_MANAGE','地图模块',...);

2. 创建地图设备分布子菜单权限

-- 创建地图设备分布子菜单权限（菜单级）INSERTIGNOREINTO`sys_permission`(...)VALUES('perm-0051','MAP_DEVICE_DISTRIBUTION','地图设备分布',...);

3. 创建地图事件分布子菜单权限

-- 创建地图事件分布子菜单权限（菜单级）INSERTIGNOREINTO`sys_permission`(...)VALUES('perm-0052','MAP_EVENT_DISTRIBUTION','地图事件分布',...);

备注这里使用的是给出角色赋予权限，（还有一种基于用户属性配置权限的方式）

role-0008、 role-0009 这2个的角色赋予权限说明如下

4. 为管理角色分配权限

-- 为设备管理员角色分配地图权限INSERTIGNOREINTO`sys_role_permission`VALUES('role-0008','perm-0050',NOW());-- 分配子菜单权限...INSERTIGNOREINTO`sys_role_permission`VALUES('role-0008','perm-0051',NOW());INSERTIGNOREINTO`sys_role_permission`VALUES('role-0008','perm-0052',NOW());

5. 为普通查看用户分配权限

-- 为数据查看员角色分配地图权限INSERTIGNOREINTO`sys_role_permission`VALUES('role-0009','perm-0050',NOW());-- 分配子菜单权限...INSERTIGNOREINTO`sys_role_permission`VALUES('role-0009','perm-0051',NOW());INSERTIGNOREINTO`sys_role_permission`VALUES('role-0009','perm-0052',NOW());

三、验证配置

提供了验证权限创建和角色权限分配的SQL查询语句。

文章最后提供

四、扩展配置（可选）

为地图模块添加按钮权限（导出设备分布、搜索事件）并分配给相应角色。

文字最后提供

五、完整SQL脚本

包含所有配置的完整SQL脚本，可直接执行。

六、后续操作

• 重启后端服务刷新权限缓存
• 用户重新登录获取最新权限
• 前端验证菜单显示
• 验证权限差异

这份文档提供了完整的配置步骤和SQL语句，您可以根据实际情况调整角色ID和权限参数。

全面的权限验证查询，涵盖「角色权限明细核对」「用户实际权限穿透查询」「权限分配完整性校验」等场景，方便快速验证权限创建和角色分配是否符合预期：

一、角色-权限明细查询（核心验证）

查看每个角色具体拥有哪些权限（含权限层级、类型、URL），直接核对权限分配是否正确：

-- 角色-权限明细清单（按租户、角色分组）SELECTt.`name`AS租户名称,r.codeAS角色编码,r.`name`AS角色名称,p.parent_idAS父权限ID,p.codeAS权限编码,p.`name`AS权限名称,p.resource_typeAS资源类型,-- MODULE/MENU/BUTTONp.resource_urlAS权限URL,p.resource_methodAS请求方式FROMsys_role rJOINsys_tenant tONr.tenant_id=t.idJOINsys_role_permission rpONr.id=rp.role_idJOINsys_permission pONrp.permission_id=p.idORDERBYt.id,r.id,p.parent_id,p.sort_order;

二、用户-角色-权限穿透查询（最终权限验证）

模拟用户登录后的实际权限范围，验证「用户→角色→权限」的穿透关系是否正确：

-- 单个用户的完整权限清单（以超级管理员为例，可替换username）SELECTu.usernameAS用户名,u.real_nameAS真实姓名,t.`name`AS所属租户,r.`name`AS角色名称,p.codeAS权限编码,p.`name`AS权限名称,p.resource_typeAS资源类型,p.resource_urlAS访问URLFROMsys_user uJOINsys_tenant tONu.tenant_id=t.idJOINsys_user_role urONu.id=ur.user_idJOINsys_role rONur.role_id=r.idJOINsys_role_permission rpONr.id=rp.role_idJOINsys_permission pONrp.permission_id=p.idWHEREu.username='superadmin'-- 可替换为其他用户（如analyst001、collector001）ORDERBYp.parent_id,p.sort_order;-- 所有用户的权限数量统计（快速排查权限缺失）SELECTu.usernameAS用户名,u.real_nameAS真实姓名,t.`name`AS所属租户,COUNT(DISTINCTp.id)AS拥有权限总数FROMsys_user uJOINsys_tenant tONu.tenant_id=t.idJOINsys_user_role urONu.id=ur.user_idJOINsys_role rONur.role_id=r.idJOINsys_role_permission rpONr.id=rp.role_idJOINsys_permission pONrp.permission_id=p.idGROUPBYu.id,u.username,u.real_name,t.`name`ORDERBYt.id,u.username;

三、权限分配完整性校验

验证是否存在「角色无权限」「权限未分配给任何角色」「用户无角色」等异常情况：

-- 1. 检查无权限的角色（正常应无结果，除非刻意配置空角色）SELECTr.codeAS角色编码,r.`name`AS角色名称,t.`name`AS租户名称FROMsys_role rJOINsys_tenant tONr.tenant_id=t.idLEFTJOINsys_role_permission rpONr.id=rp.role_idWHERErp.permission_idISNULL;-- 2. 检查未分配给任何角色的权限（正常应无结果，除非冗余权限）SELECTp.codeAS权限编码,p.`name`AS权限名称,p.resource_typeAS资源类型FROMsys_permission pLEFTJOINsys_role_permission rpONp.id=rp.permission_idWHERErp.role_idISNULL;-- 3. 检查无角色的用户（正常应无结果，所有用户都应分配角色）SELECTu.usernameAS用户名,u.real_nameAS真实姓名,t.`name`AS所属租户FROMsys_user uJOINsys_tenant tONu.tenant_id=t.idLEFTJOINsys_user_role urONu.id=ur.user_idWHEREur.role_idISNULL;

四、按权限类型/模块统计（权限维度验证）

验证不同模块、不同类型（按钮/菜单/模块）的权限分配情况：

-- 按权限模块统计各角色的权限数量SELECTr.`name`AS角色名称,parent_p.`name`AS权限模块,-- 顶层模块（如系统管理、碳数据管理）COUNT(DISTINCTp.id)AS模块下权限总数FROMsys_role rJOINsys_role_permission rpONr.id=rp.role_idJOINsys_permission pONrp.permission_id=p.idJOINsys_permission parent_pONp.parent_id=parent_p.id-- 关联顶层模块GROUPBYr.id,r.`name`,parent_p.id,parent_p.`name`ORDERBYr.id,parent_p.sort_order;-- 按资源类型（MODULE/MENU/BUTTON）统计权限分布SELECTp.resource_typeAS资源类型,COUNT(DISTINCTp.id)AS权限数量,GROUP_CONCAT(DISTINCTp.code SEPARATOR',')AS权限编码示例FROMsys_permission pGROUPBYp.resource_type;

五、租户隔离权限验证（多租户场景核心）

验证不同租户的角色/权限是否隔离，避免跨租户权限泄漏：

-- 验证租户权限隔离（确保租户A的角色无法访问租户B的权限）SELECTt1.`name`AS角色所属租户,r.codeAS角色编码,t2.`name`AS权限所属租户,p.codeAS权限编码FROMsys_role rJOINsys_tenant t1ONr.tenant_id=t1.idJOINsys_role_permission rpONr.id=rp.role_idJOINsys_permission pONrp.permission_id=p.idJOINsys_tenant t2ONp.tenant_id=t2.idWHEREt1.id!=t2.id;-- 正常应无结果，若有结果则存在跨租户权限泄漏

使用说明：

1. 执行初始化SQL后，直接运行上述查询即可验证；
2. 重点关注「无权限角色」「未分配权限」「跨租户权限」查询，若返回结果则说明权限分配存在异常；
3. 可通过修改WHERE条件中的username「角色编码」等，针对性验证某个用户/角色的权限；
4. 结合初始化SQL中的「密码说明」，登录系统后可手动操作验证权限是否生效（如超级管理员能访问/system/tenants，租户管理员不能访问）。

这些查询覆盖了权限体系的「创建完整性」「分配正确性」「隔离有效性」，能快速定位初始化过程中的权限相关问题。