注解鉴权 —— 优雅的将鉴权与业务代码拆散。本篇咱们将介绍在 Sa-Token 中如何通过注解实现权限校验。
Sa-Token 是一个轻量级 java 权限认证框架,次要解决登录认证、权限认证、单点登录、OAuth2、微服务网关鉴权 等一系列权限相干问题。
Gitee 开源地址:https://gitee.com/dromara/sa-token
一、Sa-Token 鉴权注解一览
Sa-Token 为咱们提供的鉴权注解包含但不限于以下:
@SaCheckLogin: 登录校验 —— 只有登录之后能力进入该办法。@SaCheckRole("admin"): 角色校验 —— 必须具备指定角色标识能力进入该办法。@SaCheckPermission("user:add"): 权限校验 —— 必须具备指定权限能力进入该办法。@SaCheckSafe: 二级认证校验 —— 必须二级认证之后能力进入该办法。@SaCheckBasic: HttpBasic校验 —— 只有通过 Basic 认证后能力进入该办法。@SaCheckDisable("comment"):账号服务封禁校验 —— 校验以后账号指定服务是否被封禁。@SaIgnore:疏忽校验 —— 示意被润饰的办法或类无需进行注解鉴权和路由拦截器鉴权。
首先在我的项目中引入 Sa-Token 依赖:
<!-- Sa-Token 权限认证 -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-spring-boot-starter</artifactId>
<version>1.34.0</version>
</dependency>注:如果你应用的是 SpringBoot 3.x,只须要将 sa-token-spring-boot-starter 批改为 sa-token-spring-boot3-starter 即可。
二、登录认证
Sa-Token 应用全局拦截器实现注解鉴权性能,为了不为我的项目带来不必要的性能累赘,拦截器默认处于敞开状态
因而,为了应用注解鉴权,你必须手动将 Sa-Token 的全局拦截器注册到你我的项目中。
以SpringBoot2.0为例,新建配置类SaTokenConfigure.java
@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {
// 注册 Sa-Token 拦截器,关上注解式鉴权性能
@Override
public void addInterceptors(InterceptorRegistry registry) {
// 注册 Sa-Token 拦截器,关上注解式鉴权性能
registry.addInterceptor(new SaInterceptor()).addPathPatterns("/**");
}
}保障此类被springboot启动类扫描到即可。
新建 LoginController,增加以下代码:
/**
* 登录认证注解测试
*/
@RestController
public class LoginController {
// 拜访 home 页,登录后能力拜访 ---- http://localhost:8081/home
@SaCheckLogin
@RequestMapping("home")
public SaResult home() {
return SaResult.ok("拜访胜利,此处为登录后能力看到的信息");
}
// 登录接口 ---- http://localhost:8081/doLogin?name=zhang&pwd=123456
@RequestMapping("doLogin")
public SaResult doLogin(String name, String pwd) {
// 此处仅作模仿示例,实在我的项目须要从数据库中查问数据进行比对
if("zhang".equals(name) && "123456".equals(pwd)) {
StpUtil.login(10001);
return SaResult.ok("登录胜利");
}
return SaResult.error("登录失败");
}
}启动我的项目,首次拜访资源接口:
http://localhost:8081/home返回如下:
{
"code": 500,
"msg": "未能读取到无效Token",
"data": null
}会话尚未登录,因而无法访问资源。
当初咱们再去拜访一下登录接口:
http://localhost:8081/doLogin?name=zhang&pwd=123456返回如下:
{
"code": 200,
"msg": "登录胜利",
"data": null
}登录胜利,咱们再去拜访资源接口:
http://localhost:8081/home返回如下:
{
"code": 200,
"msg": "拜访胜利,此处为登录后能力看到的信息",
"data": null
}通过登录认证校验,胜利获取到信息!
三、权限认证 & 角色认证
首先咱们须要实现 StpInterface 接口,通知框架指定账号领有哪些权限码。
/**
* 自定义权限认证接口扩大,Sa-Token 将从此实现类获取每个账号领有的权限码
*
* @author kong
* @since 2022-10-13
*/
@Component // 关上此注解,保障此类被springboot扫描,即可实现sa-token的自定义权限验证扩大
public class StpInterfaceImpl implements StpInterface {
/**
* 返回一个账号所领有的权限码汇合
*/
@Override
public List<String> getPermissionList(Object loginId, String loginType) {
// 本list仅做模仿,理论我的项目中要依据具体业务逻辑来查问权限
List<String> list = new ArrayList<String>();
list.add("101");
list.add("user.add");
list.add("user.update");
list.add("user.get");
// list.add("user.delete");
list.add("art.*");
return list;
}
/**
* 返回一个账号所领有的角色标识汇合
*/
@Override
public List<String> getRoleList(Object loginId, String loginType) {
// 本list仅做模仿,理论我的项目中要依据具体业务逻辑来查问角色
List<String> list = new ArrayList<String>();
list.add("admin");
list.add("super-admin");
return list;
}
}应用以下两个注解实现校验:
@SaCheckPermission("user.add"):校验以后会话是否具备某个权限。@SaCheckRole("super-admin"):校验以后会话是否具备某个角色。
/**
* Sa-Token 注解鉴权示例
*
* @author kong
* @since 2022-10-13
*/
@RestController
@RequestMapping("/at-check/")
public class AtCheckController {
/*
* 前提1:首先调用登录接口进行登录
* ---- http://localhost:8081/doLogin?name=zhang&pwd=123456
*
* 前提2:我的项目在配置类中注册拦截器 SaInterceptor ,此拦截器将关上注解鉴权性能
*
* 前提3:我的项目实现了 StpInterface 接口,此接口会通知框架指定账号领有哪些权限码
*
* 而后咱们就能够应用以下示例中的代码进行注解鉴权了
*/
// 权限校验 ---- http://localhost:8081/at-check/checkPermission
// 只有具备 user.add 权限的账号才能够进入办法
@SaCheckPermission("user.add")
@RequestMapping("checkPermission")
public SaResult checkPermission() {
// ...
return SaResult.ok();
}
// 角色校验 ---- http://localhost:8081/at-check/checkRole
// 只有具备 super-admin 角色的账号才能够进入办法
@SaCheckRole("super-admin")
@RequestMapping("checkRole")
public SaResult checkRole() {
// ...
return SaResult.ok();
}
}可依据代码正文提供的链接进行测试拜访。
四、设定校验模式
@SaCheckRole与@SaCheckPermission注解可设置校验模式,例如:
// 注解式鉴权:只有具备其中一个权限即可通过校验
@RequestMapping("atJurOr")
@SaCheckPermission(value = {"user-add", "user-all", "user-delete"}, mode = SaMode.OR)
public SaResult atJurOr() {
return SaResult.data("用户信息");
}mode有两种取值:
SaMode.AND, 标注一组权限,会话必须全副具备才可通过校验。SaMode.OR, 标注一组权限,会话只有具备其一即可通过校验。
五、角色权限双重 “or校验”
假如有以下业务场景:一个接口在具备权限 user.add 或角色 admin 时能够调通。怎么写?
// 角色权限双重 “or校验”:具备指定权限或者指定角色即可通过校验
@RequestMapping("userAdd")
@SaCheckPermission(value = "user.add", orRole = "admin")
public SaResult userAdd() {
return SaResult.data("用户信息");
}orRole 字段代表权限认证未通过时的主要抉择,两者只有其一认证胜利即可通过校验,其有三种写法:
- 写法一:
orRole = "admin",代表须要领有角色 admin 。 - 写法二:
orRole = {"admin", "manager", "staff"},代表具备三个角色其一即可。 - 写法三:
orRole = {"admin, manager, staff"},代表必须同时具备三个角色。
六、二级认证
@RestController
@RequestMapping("/at/")
public class AtController {
// 在以后会话实现二级认证 ---- http://localhost:8081/at/openSafe
@RequestMapping("openSafe")
public SaResult openSafe() {
StpUtil.openSafe(200); // 关上二级认证,有效期为200秒
return SaResult.ok();
}
// 通过二级认证后,才能够进入 ---- http://localhost:8081/at/checkSafe
@SaCheckSafe
@RequestMapping("checkSafe")
public SaResult checkSafe() {
return SaResult.ok();
}
}必须先通过 StpUtil.openSafe(1200) 关上二级认证(参数为指定认证有效期,单位:秒),才能够通过 @SaCheckSafe 的查看。
七、HttpBasic认证:
@RestController
@RequestMapping("/at/")
public class AtController {
// 通过Basic认证后才能够进入 ---- http://localhost:8081/at/checkBasic
@SaCheckBasic(account = "sa:123456")
@RequestMapping("checkBasic")
public SaResult checkBasic() {
return SaResult.ok();
}
}当咱们拜访这个接口时,浏览器会强制弹出一个表单:
当咱们输出账号密码后 (sa / 123456),才能够持续拜访数据:
八、服务禁用性校验
@RestController
@RequestMapping("/at/")
public class AtController {
// 只有以后服务没有禁用 comment 服务时,才可能进入办法 ---- http://localhost:8081/at/comment
@SaCheckDisable("comment")
@RequestMapping("comment")
public SaResult comment() {
return SaResult.ok();
}
}@SaCheckDisable 注解的作用是检测以后账号是否被禁用了指定服务,如果已被禁用则无奈进入指定办法,
在之后的章节咱们会具体讲述服务禁用的相干代码,此处先稍作理解即可。
九、疏忽认证
应用 @SaIgnore 可示意一个接口疏忽认证:
@SaCheckLogin
@RestController
public class TestController {
// ... 其它办法
// 此接口加上了 @SaIgnore 能够游客拜访
@SaIgnore
@RequestMapping("getList")
public SaResult getList() {
// ...
return SaResult.ok();
}
}如上代码示意:TestController 中的所有办法都须要登录后才能够拜访,然而 getList 接口能够匿名游客拜访。
- @SaIgnore 润饰办法时代表这个办法能够被游客拜访,润饰类时代表这个类中的所有接口都能够游客拜访。
- @SaIgnore 具备最高优先级,当 @SaIgnore 和其它鉴权注解一起呈现时,其它鉴权注解都将被疏忽。
- @SaIgnore 同样能够疏忽掉 Sa-Token 拦截器中的路由鉴权,在上面的 [路由拦挡鉴权] 章节中咱们会讲到。
十、在业务逻辑层应用注解鉴权
疑难:我是否将注解写在其它架构层呢,比方业务逻辑层?
应用拦截器模式,只能在Controller层进行注解鉴权,如需在任意层级应用注解鉴权,可应用 AOP注解鉴权 插件。
<!-- Sa-Token 整合 SpringAOP 实现注解鉴权 -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-spring-aop</artifactId>
<version>1.34.0</version>
</dependency>集成此插件后,便能够在任意层应用 Sa-Token 的注解鉴权了(例如业务逻辑层),不过须要留神的是:
- 拦截器模式和AOP模式不可同时集成,否则会在
Controller层产生一个注解校验两次的bug。
参考资料
- Sa-Token 文档:https://sa-token.cc
- Gitee 仓库地址:https://gitee.com/dromara/sa-token
- GitHub 仓库地址:https://github.com/dromara/sa-token
发表回复