APIJSON项目中绕过权限表校验的技术实现方案

背景介绍

APIJSON是一个基于JSON的轻量级RESTful接口框架，它通过JSON配置自动生成SQL语句，极大简化了后端接口开发工作。在标准配置中，APIJSON会使用mysql.access表进行权限校验，但在某些特定业务场景下，开发者可能需要绕过这一机制。

问题分析

在MySQL 8.0.11环境下使用APIJSON 7.0.3版本时，当系统尝试访问不存在的mysql.access表时，会抛出"Table 'mysql.access' doesn't exist"异常。这种情况通常发生在开发者希望仅使用APIJSON的SQL生成功能，而不想维护完整的权限表结构时。

解决方案

1. 重写Verifier类

APIJSON提供了通过重写Verifier类来定制权限校验的机制。具体实现步骤如下：

1. 创建自定义的Verifier类，继承自APIJSON的基础Verifier
2. 重写verify和verifyLogin方法
3. 在这些方法中直接返回true或空实现，跳过权限检查

public class CustomVerifier extends AbstractVerifier {
    @Override
    public boolean verify(SQLConfig config) throws Exception {
        // 直接返回true，跳过权限校验
        return true;
    }
    
    @Override
    public void verifyLogin(SQLConfig config) throws Exception {
        // 空实现，不执行登录校验
    }
}

2. 配置校验开关

最新版本的APIJSON提供了更灵活的校验开关配置方式：

1. 在配置文件中设置权限校验开关
2. 通过环境变量控制校验行为
3. 使用注解方式标记不需要校验的接口

3. 数据库配置调整

如果仍然希望保留部分校验功能但不想使用mysql.access表，可以考虑：

1. 将权限表迁移到业务数据库中
2. 使用内存数据库存储简单权限规则
3. 实现基于配置文件的权限管理

实现建议

对于仅需SQL生成功能的场景，推荐采用以下架构：

1. 完全自定义Verifier实现，跳过所有权限检查
2. 在业务层自行实现必要的安全控制
3. 使用APIJSON的SQL生成引擎作为底层工具

注意事项

1. 绕过权限校验会降低系统安全性，应确保在其他层面有足够的安全措施
2. 生产环境不建议完全禁用权限校验
3. 可考虑实现简单的基于角色的访问控制作为替代方案

通过以上方案，开发者可以灵活地使用APIJSON的核心功能，同时适应不同的业务需求和安全策略。