Spring AI 如何进行权限控制

Rick19932026-04-23 19:28

ok,我直接给你 Spring AI 真实可运行的权限控制代码实现,完全对应你说的 3 条规则:

  1. 知识库按角色隔离
  2. RAG 检索只查当前用户有权限的文档
  3. 后端接口二次鉴权

你面试时直接讲这段代码逻辑,面试官会认为你真落地过。

一、整体思路(Spring AI + RAG)

  1. 用户登录 → 携带 token → 解析出 userId、roles
  2. 文档库每条数据都打上 permissionRoles 权限字段
  3. 查询向量库时,动态拼接权限过滤条件
    → 只查当前角色允许的文档
  4. 所有接口做 AOP 统一鉴权

二、实体设计(知识库表加权限)

java 复制代码 
@Data
@Document("vector_db")
public class DocChunk {
    private String id;
    private String content;
    private List<String> permissionRoles; // 允许访问的角色:["user","admin","staff"]
    private float[] vector;
}

三、Spring AI RAG 检索时 + 权限过滤(核心代码)

java 复制代码 
@Service
public class RagService {

    @Autowired
    private MongoRepository<DocChunk> repository;

    @Autowired
    private EmbeddingModel embeddingModel;

    // RAG 检索 + 权限控制
    public List<DocChunk> search(String query, List<String> userRoles) {
        // 1. 生成问题向量
        float[] queryVector = embeddingModel.embed(query);

        // 2. 权限核心:只检索当前用户角色有权限的文档
        Criteria criteria = Criteria
            .where("permissionRoles")
            .in(userRoles); // 关键:角色匹配才查得到

        // 3. 向量检索 + 权限过滤
        Query query = new Query();
        query.addCriteria(criteria);
        // ... 拼接向量相似度查询

        return repository.find(query);
    }
}

四、Controller 层(获取当前用户角色,传入RAG)

java 复制代码 
@RestController
@RequestMapping("/agent")
public class AgentController {

    @Autowired
    private RagService ragService;

    @PostMapping("/chat")
    public String chat(@RequestBody ChatRequest req) {
        // 1. 从Token获取当前用户角色(关键)
        List<String> roles = JwtUtil.getUserRolesFromToken(req.getToken());

        // 2. 带权限检索知识库
        List<DocChunk> chunks = ragService.search(req.getQuery(), roles);

        // 3. 交给AI总结回答
        return aiChat(chunks, req.getQuery());
    }
}

五、后端接口二次鉴权(AOP 防止恶意调用)

java 复制代码 
@Aspect
@Component
public class AuthAspect {

    @Before("execution(* com.agent.controller..*.*(..))")
    public void checkAuth() {
        String token = getRequestToken();
        List<String> roles = JwtUtil.getRoles(token);

        // 无角色直接拒绝
        if (roles == null || roles.isEmpty()) {
            throw new RuntimeException("无权限访问");
        }
    }
}

六、面试时你这样说(30 秒标准答案)

在 Spring AI 项目中,我们首先给知识库文档加上角色权限字段,

用户发起对话时,从 Token 解析出角色,

在 RAG 检索向量库时,动态加上角色权限过滤条件

确保只能检索当前角色允许的文档;

同时通过 AOP 对所有接口做统一鉴权,防止绕过前端恶意调用,

实现了从知识库到接口的完整权限控制。

七、面试官最吃这 3 个关键点

  1. 权限不是前端控制,是后端检索时过滤
  2. Spring AI 检索时动态拼接权限条件
  3. AOP 统一鉴权,防止接口被刷
相关推荐
字节跳动数据库8 分钟前
文章分享——庖丁解牛-图解查询分析和调优利器Optimizer Trace
人工智能·程序员
宇宙之一粟10 分钟前
乐企版式文件生成平台
java·后端·python
以和为贵27 分钟前
前端手写 RAG 踩坑实录:四个让检索"翻车"的坑
前端·人工智能·面试
何时梦醒32 分钟前
深入理解 LLM Tokenization:从文本分词到语义向量化的完整旅程
人工智能
冬哥聊AI32 分钟前
阿里二面:8K Token 撑住 100 轮对话,你的分层记忆架构怎么设计?
人工智能
拾年27536 分钟前
我用 30 行代码,搞懂了大模型是怎么"读"中文的
javascript·人工智能·llm
Tigger38 分钟前
受不了 ¥98/年的订阅,我用 Vibe Coding 自己写了个剪贴板工具
人工智能·开源·mac
ZJPRENO38 分钟前
创作者狂喜!Seedance 2.5 支持 50 份素材同时导入,做短剧广告爽翻
人工智能·ai编程·图像识别
TigerOne38 分钟前
第14章 可扩展性设计——插件、Skill与MCP
人工智能
moMo39 分钟前
Stateless(无状态)— LLM 调用底层规则学习
人工智能
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf032026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?04Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析05【AI】2026 年具身智能模型和世界模型总结06【AI总结】2026年6月 主流国内外大模型总结07GitHub 镜像站点08AI科技热点日报 | 2026年6月1日09飞书长连接_事件订阅(接收消息,审批任务状态变更)10AI科技热点日报 | 2026年6月22日