在开发复杂的业务系统时,如何高效地建模具有不同属性和行为的用户角色,并将其与认证授权机制(如spring security)无缝集成,是常见的挑战。以医患关系管理系统为例,医生和患者虽然都是用户,但他们各自拥有独特的属性和业务逻辑。传统的建模方式,无论是完全分离实体还是使用单一臃肿的用户实体,都可能在数据管理和安全集成方面带来不便。
在设计医患关系系统时,我们面临两种常见的初始思路:
为了克服上述挑战,推荐采用一种混合建模方案:将通用用户属性抽象到独立的User实体中,而将特定角色属性和关系分别映射到Doctor和Patient实体,并通过一对一关联将它们与User实体关联起来。 这种设计既保持了数据模型的清晰性,又便于统一的认证管理和灵活的权限控制。
User 实体: User实体承载所有用户的通用信息,如ID、姓名、姓氏以及最重要的用户类型(UserType)。UserType枚举可以明确区分用户是医生还是患者。
import jakarta.persistence.*;
import lombok.Getter;
import lombok.Setter;
@Entity
@Table(name = "MY_USERS") // 避免与数据库保留字冲突
@Setter
@Getter
public class User {
@Id
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;
private String username; // 用户名,用于登录
private String password; // 密码,需要加密存储
private String firstName;
private String lastName;
@Enumerated(EnumType.STRING)
@Column(nullable = false)
private UserType userType; // 用户类型:DOCTOR, PATIENT
// 构造函数、equals/hashCode等省略
}
public enum UserType {
DOCTOR,
PATIENT
}Doctor 实体: Doctor实体包含医生特有的属性和与患者的关系。它通过@OneToOne关联到User实体,并使用@MapsId注解表示Doctor的主键与关联的User实体的主键相同,从而实现共享主键。
import jakarta.persistence.*;
import lombok.Getter;
import lombok.Setter;
import java.util.HashSet;
import java.util.Set;
@Entity
@Setter
@Getter
public class Doctor {
@Id
private Long id; // 与User实体共享主键
@OneToOne(fetch = FetchType.LAZY)
@MapsId // 表示Doctor的主键映射到User的主键
@JoinColumn(name = "id") // 外键列名
private User user;
@ManyToMany(cascade = {CascadeType.PERSIST, CascadeType.MERGE})
@JoinTable(
name = "doctor_patients",
joinColumns = @JoinColumn(name = "doctor_id"),
inverseJoinColumns = @JoinColumn(name = "patient_id")
)
private Set<Patient> patients = new HashSet<>();
// 构造函数、equals/hashCode等省略
public void addPatient(Patient patient) {
this.patients.add(patient);
patient.getDoctors().add(this); // 维护双向关系
}
public void removePatient(Patient patient) {
this.patients.remove(patient);
patient.getDoctors().remove(this); // 维护双向关系
}
}Patient 实体: Patient实体包含患者特有的属性,如药物列表,以及与医生和药物的关系。它同样通过@OneToOne和@MapsId关联到User实体。
import jakarta.persistence.*;
import lombok.Getter;
import lombok.Setter;
import java.util.HashSet;
import java.util.Set;
@Entity
@Setter
@Getter
public class Patient {
@Id
private Long id; // 与User实体共享主键
@OneToOne(fetch = FetchType.LAZY)
@MapsId // 表示Patient的主键映射到User的主键
@JoinColumn(name = "id") // 外键列名
private User user;
@ManyToMany(cascade = {CascadeType.PERSIST, CascadeType.MERGE})
@JoinTable(
name = "patient_medicines",
joinColumns = @JoinColumn(name = "patient_id"),
inverseJoinColumns = @JoinColumn(name = "medicine_id")
)
private Set<Medicine> medicines = new HashSet<>();
@ManyToMany(mappedBy = "patients", fetch = FetchType.LAZY)
private Set<Doctor> doctors = new HashSet<>();
// 构造函数、equals/hashCode等省略
public void addMedicine(Medicine medicine) {
this.medicines.add(medicine);
medicine.getPatients().add(this); // 维护双向关系
}
public void removeMedicine(Medicine medicine) {
this.medicines.remove(medicine);
medicine.getPatients().remove(this); // 维护双向关系
}
}Medicine 实体: Medicine实体代表药物信息,与Patient实体存在多对多关系。
import jakarta.persistence.*;
import lombok.Getter;
import lombok.Setter;
import java.util.HashSet;
import java.util.Set;
@Entity
@Setter
@Getter
public class Medicine {
@Id
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;
private String name;
private String dosage; // 剂量等
@ManyToMany(mappedBy = "medicines", fetch = FetchType.LAZY)
private Set<Patient> patients = new HashSet<>();
// 构造函数、equals/hashCode等省略
}注意事项:
在上述实体设计的基础上,Spring Security的集成将变得相对简单和直观。核心思想是利用User实体中的userType字段进行认证和授权。
你需要实现UserDetailsService接口,Spring Security会使用它来加载用户详情。在这个实现中,你将根据用户名查找User实体,并将其userType映射为Spring Security的GrantedAuthority。
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.stereotype.Service;
import java.util.Collections;
import java.util.List;
import java.util.stream.Collectors;
@Service
public class CustomUserDetailsService implements UserDetailsService {
private final UserRepository userRepository; // 假设你有一个UserRepository
public CustomUserDetailsService(UserRepository userRepository) {
this.userRepository = userRepository;
}
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = userRepository.findByUsername(username)
.orElseThrow(() -> new UsernameNotFoundException("User not found with username: " + username));
// 将UserType映射为Spring Security的GrantedAuthority
List<SimpleGrantedAuthority> authorities = Collections.singletonList(
new SimpleGrantedAuthority("ROLE_" + user.getUserType().name())
);
return new org.springframework.security.core.userdetails.User(
user.getUsername(),
user.getPassword(), // 实际应用中密码应为加密后的
authorities
);
}
}注意: 密码在实际应用中必须是加密存储的,例如使用BCryptPasswordEncoder。
在Spring Security配置中,你需要指定自定义的UserDetailsService和密码编码器。
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;
@Configuration
@EnableWebSecurity
@EnableMethodSecurity(prePostEnabled = true) // 启用方法级别的安全注解
public class SecurityConfig {
private final CustomUserDetailsService customUserDetailsService;
public SecurityConfig(CustomUserDetailsService customUserDetailsService) {
this.customUserDetailsService = customUserDetailsService;
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http
.csrf(csrf -> csrf.disable()) // 生产环境应考虑启用CSRF保护
.authorizeHttpRequests(auth -> auth
.requestMatchers("/public/**", "/auth/**").permitAll() // 允许公共访问和认证接口
.requestMatchers("/api/doctors/**").hasRole("DOCTOR") // 只有医生角色才能访问
.requestMatchers("/api/patients/**").hasRole("PATIENT") // 只有患者角色才能访问
.anyRequest().authenticated() // 其他所有请求需要认证
)
.formLogin(form -> form // 或者使用httpBasic, oauth2Login等
.loginPage("/login").permitAll() // 自定义登录页
.defaultSuccessUrl("/dashboard", true)
)
.logout(logout -> logout
.permitAll()
);
return http.build();
}
}@EnableMethodSecurity(prePostEnabled = true) 允许你在方法级别使用@PreAuthorize等注解进行更细粒度的权限控制。
在Service层或Controller层,你可以根据当前认证用户的UserType来执行不同的业务逻辑或验证权限。
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Service;
@Service
public class PatientService {
private final PatientRepository patientRepository;
private final UserRepository userRepository;
public PatientService(PatientRepository patientRepository, UserRepository userRepository) {
this.patientRepository = patientRepository;
this.userRepository = userRepository;
}
@PreAuthorize("hasRole('PATIENT')") // 只有患者角色才能调用此方法
public void addMedicineToPatient(Long medicineId) {
// 获取当前认证的用户ID
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
String username = authentication.getName();
User currentUser = userRepository.findByUsername(username)
.orElseThrow(() -> new RuntimeException("Authenticated user not found"));
// 确保当前用户是患者,并获取对应的Patient实体
if (currentUser.getUserType() != UserType.PATIENT) {
throw new RuntimeException("Only patients can add medicine.");
}
// 根据 currentUser.getId() 或其他方式获取Patient实体,然后添加药物
// ... 实际的业务逻辑,例如:
// Patient patient = patientRepository.findById(currentUser.getId()).orElseThrow(...);
// Medicine medicine = medicineRepository.findById(medicineId).orElseThrow(...);
// patient.addMedicine(medicine);
// patientRepository.save(patient);
}
}通过@PreAuthorize("hasRole('PATIENT')"),你可以在方法执行前进行角色检查。在方法内部,你可以通过SecurityContextHolder获取当前认证用户的详细信息,包括其ID,然后根据ID查询对应的Patient或Doctor实体来执行特定角色的业务操作。
本文提出的医患关系实体建模方案,通过将通用用户属性与角色特定属性分离,并使用共享主键的@OneToOne关联,有效地解决了复杂用户角色的数据建模问题。这种设计不仅使实体结构清晰、易于维护,也为Spring Security的集成提供了天然的便利。通过UserType字段和CustomUserDetailsService,我们可以轻松实现基于角色的认证和授权,并在业务逻辑层面进行细粒度的权限控制。这种模块化和可扩展的设计模式,对于构建健壮且易于管理的企业级应用具有重要的指导意义。
以上就是Spring Boot中构建医患关系管理系统:实体设计与安全实现的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 //m.sbmmt.com/ All Rights Reserved | php.cn | 湘ICP备2023035733号
865
收藏
