溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
今天小編給大家分享一下SpringBoot怎么使用Sa-Token實現權限認證的相關知識點,內容詳細,邏輯清晰,相信大部分人都還太了解這方面的知識,所以分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后有所收獲,下面我們一起來了解一下吧。
所謂權限認證,核心邏輯就是判斷一個賬號是否擁有指定權限:
有,就讓你通過。
沒有?那么禁止訪問!
深入到底層數據中,就是每個賬號都會擁有一個權限碼集合,框架來校驗這個集合中是否包含指定的權限碼。
例如:當前賬號擁有權限碼集合 ["user-add", "user-delete", "user-get"],這時候我來校驗權限 "user-update",則其結果就是:驗證失敗,禁止訪問。
所以現在問題的核心就是:
如何獲取一個賬號所擁有的的權限碼集合?
本次操作需要驗證的權限碼是哪個?
接下來,我們將介紹在 SpringBoot 中如何使用 Sa-Token 完成權限認證操作。
Sa-Token 是一個輕量級 java 權限認證框架,主要解決登錄認證、權限認證、單點登錄、OAuth3、微服務網關鑒權 等一系列權限相關問題。
首先在項目中引入 Sa-Token 依賴:
<!-- Sa-Token 權限認證 --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.34.0</version> </dependency>
注:如果你使用的是 SpringBoot 3.x,只需要將 sa-token-spring-boot-starter 修改為 sa-token-spring-boot3-starter 即可。
因為每個項目的需求不同,其權限設計也千變萬化,因此 [ 獲取當前賬號權限碼集合 ] 這一操作不可能內置到框架中,所以 Sa-Token 將此操作以接口的方式暴露給你,以方便你根據自己的業務邏輯進行重寫。
你需要做的就是新建一個類,實現 StpInterface接口,例如以下代碼:
/**
* 自定義權限驗證接口擴展
*/
@Component // 保證此類被SpringBoot掃描,完成Sa-Token的自定義權限驗證擴展
public class StpInterfaceImpl implements StpInterface {
/**
* 返回一個賬號所擁有的權限碼集合
*/
@Override
public List<String> getPermissionList(Object loginId, String loginType) {
// 本list僅做模擬,實際項目中要根據具體業務邏輯來查詢權限
List<String> list = new ArrayList<String>();
list.add("101");
list.add("user.add");
list.add("user.update");
list.add("user.get");
// list.add("user.delete");
list.add("art.*");
return list;
}
/**
* 返回一個賬號所擁有的角色標識集合 (權限與角色可分開校驗)
*/
@Override
public List<String> getRoleList(Object loginId, String loginType) {
// 本list僅做模擬,實際項目中要根據具體業務邏輯來查詢角色
List<String> list = new ArrayList<String>();
list.add("admin");
list.add("super-admin");
return list;
}
}參數解釋:
loginId:賬號id,即你在調用 StpUtil.login(id) 時寫入的標識值。
loginType:賬號體系標識,此處可以暫時忽略,在 [ 多賬戶認證 ] 章節下會對這個概念做詳細的解釋。
注意點:類上一定要加上 @Component 注解,保證組件被 Springboot 掃描到,成功注入到 Sa-Token 框架內。
啟動類:
@SpringBootApplication
public class SaTokenCaseApplication {
public static void main(String[] args) {
SpringApplication.run(SaTokenCaseApplication.class, args);
System.out.println("\n啟動成功:Sa-Token配置如下:" + SaManager.getConfig());
}
}然后就可以用以下api來鑒權了
// 獲取:當前賬號所擁有的權限集合
StpUtil.getPermissionList();
// 判斷:當前賬號是否含有指定權限, 返回 true 或 false
StpUtil.hasPermission("user.add");
// 校驗:當前賬號是否含有指定權限, 如果驗證未通過,則拋出異常: NotPermissionException
StpUtil.checkPermission("user.add");
// 校驗:當前賬號是否含有指定權限 [指定多個,必須全部驗證通過]
StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");
// 校驗:當前賬號是否含有指定權限 [指定多個,只要其一驗證通過即可]
StpUtil.checkPermissionOr("user.add", "user.delete", "user.get"); 擴展:NotPermissionException 對象可通過 getLoginType() 方法獲取具體是哪個 StpLogic 拋出的異常
在Sa-Token中,角色和權限可以獨立驗證
// 獲取:當前賬號所擁有的角色集合
StpUtil.getRoleList();
// 判斷:當前賬號是否擁有指定角色, 返回 true 或 false
StpUtil.hasRole("super-admin");
// 校驗:當前賬號是否含有指定角色標識, 如果驗證未通過,則拋出異常: NotRoleException
StpUtil.checkRole("super-admin");
// 校驗:當前賬號是否含有指定角色標識 [指定多個,必須全部驗證通過]
StpUtil.checkRoleAnd("super-admin", "shop-admin");
// 校驗:當前賬號是否含有指定角色標識 [指定多個,只要其一驗證通過即可]
StpUtil.checkRoleOr("super-admin", "shop-admin"); 擴展:NotRoleException 對象可通過 getLoginType() 方法獲取具體是哪個 StpLogic 拋出的異常
有同學要問,鑒權失敗,拋出異常,然后呢?要把異常顯示給用戶看嗎?當然不可以!
你可以創建一個全局異常攔截器,統一返回給前端的格式,參考:
@RestControllerAdvice
public class GlobalExceptionHandler {
// 全局異常攔截
@ExceptionHandler
public SaResult handlerException(Exception e) {
e.printStackTrace();
return SaResult.error(e.getMessage());
}
}Sa-Token允許你根據通配符指定泛權限,例如當一個賬號擁有art.*的權限時,art.add、art.delete、art.update都將匹配通過
// 當擁有 art.* 權限時
StpUtil.hasPermission("art.add"); // true
StpUtil.hasPermission("art.update"); // true
StpUtil.hasPermission("goods.add"); // false
// 當擁有 *.delete 權限時
StpUtil.hasPermission("art.delete"); // true
StpUtil.hasPermission("user.delete"); // true
StpUtil.hasPermission("user.update"); // false
// 當擁有 *.js 權限時
StpUtil.hasPermission("index.js"); // true
StpUtil.hasPermission("index.css"); // false
StpUtil.hasPermission("index.html"); // false上帝權限:當一個賬號擁有
"*"權限時,他可以驗證通過任何權限碼 (角色認證同理)
權限精確到按鈕級的意思就是指:權限范圍可以控制到頁面上的每一個按鈕是否顯示。
思路:如此精確的范圍控制只依賴后端已經難以完成,此時需要前端進行一定的邏輯判斷。
如果是前后端一體項目,可以參考:Thymeleaf 標簽方言,如果是前后端分離項目,則:
在登錄時,把當前賬號擁有的所有權限碼一次性返回給前端。
前端將權限碼集合保存在localStorage或其它全局狀態管理對象中。
在需要權限控制的按鈕上,使用 js 進行邏輯判斷,例如在Vue框架中我們可以使用如下寫法:
<button v-if="arr.indexOf('user.delete') > -1">刪除按鈕</button>其中:arr是當前用戶擁有的權限碼數組,user.delete是顯示按鈕需要擁有的權限碼,刪除按鈕是用戶擁有權限碼才可以看到的內容。
注意:以上寫法只為提供一個參考示例,不同框架有不同寫法,大家可根據項目技術棧靈活封裝進行調用。
需要!
前端的鑒權只是一個輔助功能,對于專業人員這些限制都是可以輕松繞過的,為保證服務器安全,無論前端是否進行了權限校驗,后端接口都需要對會話請求再次進行權限校驗!
新建 JurAuthController,復制以下代碼
package com.pj.cases.use;
import java.util.List;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;
/**
* Sa-Token 權限認證示例
*
* @author kong
* @since 2022-10-13
*/
@RestController
@RequestMapping("/jur/")
public class JurAuthController {
/*
* 前提1:首先調用登錄接口進行登錄,代碼在 com.pj.cases.use.LoginAuthController 中有詳細解釋,此處不再贅述
* ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
*
* 前提2:項目實現 StpInterface 接口,代碼在 com.pj.satoken.StpInterfaceImpl
* Sa-Token 將從此實現類獲取 每個賬號擁有哪些權限。
*
* 然后我們就可以使用以下示例中的代碼進行鑒權了
*/
// 查詢權限 ---- http://localhost:8081/jur/getPermission
@RequestMapping("getPermission")
public SaResult getPermission() {
// 查詢權限信息 ,如果當前會話未登錄,會返回一個空集合
List<String> permissionList = StpUtil.getPermissionList();
System.out.println("當前登錄賬號擁有的所有權限:" + permissionList);
// 查詢角色信息 ,如果當前會話未登錄,會返回一個空集合
List<String> roleList = StpUtil.getRoleList();
System.out.println("當前登錄賬號擁有的所有角色:" + roleList);
// 返回給前端
return SaResult.ok()
.set("roleList", roleList)
.set("permissionList", permissionList);
}
// 權限校驗 ---- http://localhost:8081/jur/checkPermission
@RequestMapping("checkPermission")
public SaResult checkPermission() {
// 判斷:當前賬號是否擁有一個權限,返回 true 或 false
// 如果當前賬號未登錄,則永遠返回 false
StpUtil.hasPermission("user.add");
StpUtil.hasPermissionAnd("user.add", "user.delete", "user.get"); // 指定多個,必須全部擁有才會返回 true
StpUtil.hasPermissionOr("user.add", "user.delete", "user.get"); // 指定多個,只要擁有一個就會返回 true
// 校驗:當前賬號是否擁有一個權限,校驗不通過時會拋出 `NotPermissionException` 異常
// 如果當前賬號未登錄,則永遠校驗失敗
StpUtil.checkPermission("user.add");
StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get"); // 指定多個,必須全部擁有才會校驗通過
StpUtil.checkPermissionOr("user.add", "user.delete", "user.get"); // 指定多個,只要擁有一個就會校驗通過
return SaResult.ok();
}
// 角色校驗 ---- http://localhost:8081/jur/checkRole
@RequestMapping("checkRole")
public SaResult checkRole() {
// 判斷:當前賬號是否擁有一個角色,返回 true 或 false
// 如果當前賬號未登錄,則永遠返回 false
StpUtil.hasRole("admin");
StpUtil.hasRoleAnd("admin", "ceo", "cfo"); // 指定多個,必須全部擁有才會返回 true
StpUtil.hasRoleOr("admin", "ceo", "cfo"); // 指定多個,只要擁有一個就會返回 true
// 校驗:當前賬號是否擁有一個角色,校驗不通過時會拋出 `NotRoleException` 異常
// 如果當前賬號未登錄,則永遠校驗失敗
StpUtil.checkRole("admin");
StpUtil.checkRoleAnd("admin", "ceo", "cfo"); // 指定多個,必須全部擁有才會校驗通過
StpUtil.checkRoleOr("admin", "ceo", "cfo"); // 指定多個,只要擁有一個就會校驗通過
return SaResult.ok();
}
// 權限通配符 ---- http://localhost:8081/jur/wildcardPermission
@RequestMapping("wildcardPermission")
public SaResult wildcardPermission() {
// 前提條件:在 StpInterface 實現類中,為賬號返回了 "art.*" 泛權限
StpUtil.hasPermission("art.add"); // 返回 true
StpUtil.hasPermission("art.delete"); // 返回 true
StpUtil.hasPermission("goods.add"); // 返回 false,因為前綴不符合
// * 符合可以出現在任意位置,比如權限碼的開頭,當賬號擁有 "*.delete" 時
StpUtil.hasPermission("goods.add"); // false
StpUtil.hasPermission("goods.delete"); // true
StpUtil.hasPermission("art.delete"); // true
// 也可以出現在權限碼的中間,比如當賬號擁有 "shop.*.user" 時
StpUtil.hasPermission("shop.add.user"); // true
StpUtil.hasPermission("shop.delete.user"); // true
StpUtil.hasPermission("shop.delete.goods"); // false,因為后綴不符合
// 注意點:
// 1、上帝權限:當一個賬號擁有 "*" 權限時,他可以驗證通過任何權限碼
// 2、角色校驗也可以加 * ,指定泛角色,例如: "*.admin",暫不贅述
return SaResult.ok();
}
}代碼注釋已針對每一步操作做出詳細解釋,大家可根據可參照注釋中的訪問鏈接進行逐步測試。
以上就是“SpringBoot怎么使用Sa-Token實現權限認證”這篇文章的所有內容,感謝各位的閱讀!相信大家閱讀完這篇文章都有很大的收獲,小編每天都會為大家更新不同的知識,如果還想學習更多的知識,請關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
