今天小编给大家分享一下SpringBoot怎么使用Sa-Token实现权限认证的相关知识点,内容详细,逻辑清晰,相信大部分人都还太了解这方面的知识,所以分享这篇文章给大家参考一下,希望大家阅读完这篇文章后有所收获,下面我们一起来了解一下吧。
一、设计思路
所谓权限认证,核心逻辑就是判断一个账号是否拥有指定权限:
有,就让你通过。
没有?那么禁止访问!
深入到底层数据中,就是每个账号都会拥有一个权限码集合,框架来校验这个集合中是否包含指定的权限码。
例如:当前账号拥有权限码集合
,这时候我来校验权限
["user-add", "user-delete", "user-get"]
,则其结果就是:验证失败,禁止访问。
"user-update"
所以现在问题的核心就是:
如何获取一个账号所拥有的的权限码集合?
本次操作需要验证的权限码是哪个?
接下来,我们将介绍在 SpringBoot 中如何使用 Sa-Token 完成权限认证操作。
Sa-Token 是一个轻量级 java 权限认证框架,主要解决登录认证、权限认证、单点登录、OAuth3、微服务网关鉴权 等一系列权限相关问题。
首先在项目中引入 Sa-Token 依赖:
<!-- Sa-Token 权限认证 --><dependency><groupId>cn.dev33</groupId><artifactId>sa-token-spring-boot-starter</artifactId><version>1.34.0</version></dependency>
注:如果你使用的是
,只需要将
SpringBoot 3.x
修改为
sa-token-spring-boot-starter
即可。
sa-token-spring-boot3-starter
二、获取当前账号权限码集合
因为每个项目的需求不同,其权限设计也千变万化,因此 [ 获取当前账号权限码集合 ] 这一操作不可能内置到框架中,所以 Sa-Token 将此操作以接口的方式暴露给你,以方便你根据自己的业务逻辑进行重写。
你需要做的就是新建一个类,实现
接口,例如以下代码:
StpInterface
/*** 自定义权限验证接口扩展*/@Component // 保证此类被SpringBoot扫描,完成Sa-Token的自定义权限验证扩展public class StpInterfaceImpl implements StpInterface {/*** 返回一个账号所拥有的权限码集合*/@Overridepublic List<String> getPermissionList(Object loginId, String loginType) {// 本list仅做模拟,实际项目中要根据具体业务逻辑来查询权限List<String> list = new ArrayList<String>();list.add("101");list.add("user.add");list.add("user.update");list.add("user.get");// list.add("user.delete");list.add("art.*");return list;}/*** 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)*/@Overridepublic List<String> getRoleList(Object loginId, String loginType) {// 本list仅做模拟,实际项目中要根据具体业务逻辑来查询角色List<String> list = new ArrayList<String>();list.add("admin");list.add("super-admin");return list;}}
参数解释:
loginId:账号id,即你在调用
时写入的标识值。
StpUtil.login(id)
loginType:账号体系标识,此处可以暂时忽略,在 [ 多账户认证 ] 章节下会对这个概念做详细的解释。
注意点:类上一定要加上
注解,保证组件被 Springboot 扫描到,成功注入到 Sa-Token 框架内。
@Component
三、权限校验
启动类:
@SpringBootApplicationpublic class SaTokenCaseApplication {public static void main(String[] args) {SpringApplication.run(SaTokenCaseApplication.class, args);System.out.println("启动成功:Sa-Token配置如下:" + SaManager.getConfig());}}
然后就可以用以下api来鉴权了
// 获取:当前账号所拥有的权限集合StpUtil.getPermissionList();// 判断:当前账号是否含有指定权限, 返回 true 或 falseStpUtil.hasPermission("user.add");// 校验:当前账号是否含有指定权限, 如果验证未通过,则抛出异常: NotPermissionExceptionStpUtil.checkPermission("user.add");// 校验:当前账号是否含有指定权限 [指定多个,必须全部验证通过]StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");// 校验:当前账号是否含有指定权限 [指定多个,只要其一验证通过即可]StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");
扩展:
对象可通过
NotPermissionException
方法获取具体是哪个
getLoginType()
抛出的异常
StpLogic
四、角色校验
在Sa-Token中,角色和权限可以独立验证
// 获取:当前账号所拥有的角色集合StpUtil.getRoleList();// 判断:当前账号是否拥有指定角色, 返回 true 或 falseStpUtil.hasRole("super-admin");// 校验:当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleExceptionStpUtil.checkRole("super-admin");// 校验:当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]StpUtil.checkRoleAnd("super-admin", "shop-admin");// 校验:当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可]StpUtil.checkRoleOr("super-admin", "shop-admin");
扩展:
对象可通过
NotRoleException
方法获取具体是哪个
getLoginType()
抛出的异常
StpLogic
五、拦截全局异常
有同学要问,鉴权失败,抛出异常,然后呢?要把异常显示给用户看吗?当然不可以!
你可以创建一个全局异常拦截器,统一返回给前端的格式,参考:
@RestControllerAdvicepublic class GlobalExceptionHandler {// 全局异常拦截@ExceptionHandlerpublic SaResult handlerException(Exception e) {e.printStackTrace();return SaResult.error(e.getMessage());}}
六、权限通配符
Sa-Token允许你根据通配符指定泛权限,例如当一个账号拥有
的权限时,
art.*
、
art.add
、
art.delete
都将匹配通过
art.update
// 当拥有 art.* 权限时StpUtil.hasPermission("art.add"); // trueStpUtil.hasPermission("art.update"); // trueStpUtil.hasPermission("goods.add"); // false// 当拥有 *.delete 权限时StpUtil.hasPermission("art.delete"); // trueStpUtil.hasPermission("user.delete"); // trueStpUtil.hasPermission("user.update"); // false// 当拥有 *.js 权限时StpUtil.hasPermission("index.js"); // trueStpUtil.hasPermission("index.css"); // falseStpUtil.hasPermission("index.html"); // false
上帝权限:当一个账号拥有
权限时,他可以验证通过任何权限码 (角色认证同理)
"*"
七、如何把权限精确到按钮级?
权限精确到按钮级的意思就是指:权限范围可以控制到页面上的每一个按钮是否显示。
思路:如此精确的范围控制只依赖后端已经难以完成,此时需要前端进行一定的逻辑判断。
如果是前后端一体项目,可以参考:Thymeleaf 标签方言,如果是前后端分离项目,则:
在登录时,把当前账号拥有的所有权限码一次性返回给前端。
前端将权限码集合保存在
或其它全局状态管理对象中。
localStorage
在需要权限控制的按钮上,使用 js 进行逻辑判断,例如在
框架中我们可以使用如下写法:
Vue
<button v-if="arr.indexOf('user.delete') > -1">删除按钮</button>
其中:
是当前用户拥有的权限码数组,
arr
是显示按钮需要拥有的权限码,
user.delete
是用户拥有权限码才可以看到的内容。
删除按钮
注意:以上写法只为提供一个参考示例,不同框架有不同写法,大家可根据项目技术栈灵活封装进行调用。
八、前端有了鉴权后端还需要鉴权吗?
需要!
前端的鉴权只是一个辅助功能,对于专业人员这些限制都是可以轻松绕过的,为保证服务器安全,无论前端是否进行了权限校验,后端接口都需要对会话请求再次进行权限校验!
九、来个小示例,加深一下印象
新建
,复制以下代码
JurAuthController
package com.pj.cases.use;import java.util.List;import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.RestController;import cn.dev33.satoken.stp.StpUtil;import cn.dev33.satoken.util.SaResult;/*** Sa-Token 权限认证示例** @author kong* @since 2022-10-13*/@RestController@RequestMapping("/jur/")public class JurAuthController {/** 前提1:首先调用登录接口进行登录,代码在 com.pj.cases.use.LoginAuthController 中有详细解释,此处不再赘述* ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456** 前提2:项目实现 StpInterface 接口,代码在 com.pj.satoken.StpInterfaceImpl* Sa-Token 将从此实现类获取 每个账号拥有哪些权限。** 然后我们就可以使用以下示例中的代码进行鉴权了*/// 查询权限 ---- http://localhost:8081/jur/getPermission@RequestMapping("getPermission")public SaResult getPermission() {// 查询权限信息 ,如果当前会话未登录,会返回一个空集合List<String> permissionList = StpUtil.getPermissionList();System.out.println("当前登录账号拥有的所有权限:" + permissionList);// 查询角色信息 ,如果当前会话未登录,会返回一个空集合List<String> roleList = StpUtil.getRoleList();System.out.println("当前登录账号拥有的所有角色:" + roleList);// 返回给前端return SaResult.ok().set("roleList", roleList).set("permissionList", permissionList);}// 权限校验 ---- http://localhost:8081/jur/checkPermission@RequestMapping("checkPermission")public SaResult checkPermission() {// 判断:当前账号是否拥有一个权限,返回 true 或 false// 如果当前账号未登录,则永远返回 falseStpUtil.hasPermission("user.add");StpUtil.hasPermissionAnd("user.add", "user.delete", "user.get"); // 指定多个,必须全部拥有才会返回 trueStpUtil.hasPermissionOr("user.add", "user.delete", "user.get"); // 指定多个,只要拥有一个就会返回 true// 校验:当前账号是否拥有一个权限,校验不通过时会抛出 `NotPermissionException` 异常// 如果当前账号未登录,则永远校验失败StpUtil.checkPermission("user.add");StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get"); // 指定多个,必须全部拥有才会校验通过StpUtil.checkPermissionOr("user.add", "user.delete", "user.get"); // 指定多个,只要拥有一个就会校验通过return SaResult.ok();}// 角色校验 ---- http://localhost:8081/jur/checkRole@RequestMapping("checkRole")public SaResult checkRole() {// 判断:当前账号是否拥有一个角色,返回 true 或 false// 如果当前账号未登录,则永远返回 falseStpUtil.hasRole("admin");StpUtil.hasRoleAnd("admin", "ceo", "cfo"); // 指定多个,必须全部拥有才会返回 trueStpUtil.hasRoleOr("admin", "ceo", "cfo"); // 指定多个,只要拥有一个就会返回 true// 校验:当前账号是否拥有一个角色,校验不通过时会抛出 `NotRoleException` 异常// 如果当前账号未登录,则永远校验失败StpUtil.checkRole("admin");StpUtil.checkRoleAnd("admin", "ceo", "cfo"); // 指定多个,必须全部拥有才会校验通过StpUtil.checkRoleOr("admin", "ceo", "cfo"); // 指定多个,只要拥有一个就会校验通过return SaResult.ok();}// 权限通配符 ---- http://localhost:8081/jur/wildcardPermission@RequestMapping("wildcardPermission")public SaResult wildcardPermission() {// 前提条件:在 StpInterface 实现类中,为账号返回了 "art.*" 泛权限StpUtil.hasPermission("art.add"); // 返回 trueStpUtil.hasPermission("art.delete"); // 返回 trueStpUtil.hasPermission("goods.add"); // 返回 false,因为前缀不符合// * 符合可以出现在任意位置,比如权限码的开头,当账号拥有 "*.delete" 时StpUtil.hasPermission("goods.add"); // falseStpUtil.hasPermission("goods.delete"); // trueStpUtil.hasPermission("art.delete"); // true// 也可以出现在权限码的中间,比如当账号拥有 "shop.*.user" 时StpUtil.hasPermission("shop.add.user"); // trueStpUtil.hasPermission("shop.delete.user"); // trueStpUtil.hasPermission("shop.delete.goods"); // false,因为后缀不符合// 注意点:// 1、上帝权限:当一个账号拥有 "*" 权限时,他可以验证通过任何权限码// 2、角色校验也可以加 * ,指定泛角色,例如: "*.admin",暂不赘述return SaResult.ok();}}
代码注释已针对每一步操作做出详细解释,大家可根据可参照注释中的访问链接进行逐步测试。
以上就是SpringBoot怎么使用Sa-Token实现权限认证的详细内容,更多关于SpringBoot怎么使用Sa-Token实现权限认证的资料请关注九品源码其它相关文章!