关于java:SpringBoot-使用-SaToken-完成权限认证

37次阅读

共计 7285 个字符,预计需要花费 19 分钟才能阅读完成。

一、设计思路

所谓权限认证,外围逻辑就是判断一个账号是否领有指定权限:

  • 有,就让你通过。
  • 没有?那么禁止拜访!

深刻到底层数据中,就是每个账号都会领有一个权限码汇合,框架来校验这个汇合中是否蕴含指定的权限码。

例如:以后账号领有权限码汇合 ["user-add", "user-delete", "user-get"],这时候我来校验权限 "user-update",则其后果就是:验证失败,禁止拜访

动静演示图:

所以当初问题的外围就是:

  1. 如何获取一个账号所领有的的权限码汇合?
  2. 本次操作须要验证的权限码是哪个?

接下来,咱们将介绍在 SpringBoot 中如何应用 Sa-Token 实现权限认证操作。

Sa-Token 是一个轻量级 java 权限认证框架,次要解决登录认证、权限认证、单点登录、OAuth2、微服务网关鉴权 等一系列权限相干问题。
Gitee 开源地址:https://gitee.com/dromara/sa-token

首先在我的项目中引入 Sa-Token 依赖:

<!-- Sa-Token 权限认证 -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.34.0</version>
</dependency>

注:如果你应用的是 SpringBoot 3.x,只须要将 sa-token-spring-boot-starter 批改为 sa-token-spring-boot3-starter 即可。

二、获取以后账号权限码汇合

因为每个我的项目的需要不同,其权限设计也变幻无穷,因而 [获取以后账号权限码汇合] 这一操作不可能内置到框架中,
所以 Sa-Token 将此操作以接口的形式裸露给你,以不便你依据本人的业务逻辑进行重写。

你须要做的就是新建一个类,实现 StpInterface接口,例如以下代码:

/**
 * 自定义权限验证接口扩大
 */
@Component    // 保障此类被 SpringBoot 扫描,实现 Sa-Token 的自定义权限验证扩大 
public class StpInterfaceImpl implements StpInterface {

    /**
     * 返回一个账号所领有的权限码汇合 
     */
    @Override
    public List<String> getPermissionList(Object loginId, String loginType) {
        // 本 list 仅做模仿,理论我的项目中要依据具体业务逻辑来查问权限
        List<String> list = new ArrayList<String>();    
        list.add("101");
        list.add("user.add");
        list.add("user.update");
        list.add("user.get");
        // list.add("user.delete");
        list.add("art.*");
        return list;
    }

    /**
     * 返回一个账号所领有的角色标识汇合 (权限与角色可离开校验)
     */
    @Override
    public List<String> getRoleList(Object loginId, String loginType) {
        // 本 list 仅做模仿,理论我的项目中要依据具体业务逻辑来查问角色
        List<String> list = new ArrayList<String>();    
        list.add("admin");
        list.add("super-admin");
        return list;
    }

}

参数解释:

  • loginId:账号 id,即你在调用 StpUtil.login(id) 时写入的标识值。
  • loginType:账号体系标识,此处能够临时疏忽,在 [多账户认证] 章节下会对这个概念做具体的解释。

留神点:
类上肯定要加上 @Component 注解,保障组件被 Springboot 扫描到,胜利注入到 Sa-Token 框架内。

三、权限校验

启动类:

@SpringBootApplication
public class SaTokenCaseApplication {public static void main(String[] args) {SpringApplication.run(SaTokenCaseApplication.class, args); 
        System.out.println("\n 启动胜利:Sa-Token 配置如下:" + SaManager.getConfig());
    }    
}

而后就能够用以下 api 来鉴权了

// 获取:以后账号所领有的权限汇合
StpUtil.getPermissionList();

// 判断:以后账号是否含有指定权限, 返回 true 或 false
StpUtil.hasPermission("user.add");        

// 校验:以后账号是否含有指定权限, 如果验证未通过,则抛出异样: NotPermissionException 
StpUtil.checkPermission("user.add");        

// 校验:以后账号是否含有指定权限 [指定多个,必须全副验证通过]
StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");        

// 校验:以后账号是否含有指定权限 [指定多个,只有其一验证通过即可]
StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");    

扩大:NotPermissionException 对象可通过 getLoginType() 办法获取具体是哪个 StpLogic 抛出的异样

四、角色校验

在 Sa-Token 中,角色和权限能够独立验证

// 获取:以后账号所领有的角色汇合
StpUtil.getRoleList();

// 判断:以后账号是否领有指定角色, 返回 true 或 false
StpUtil.hasRole("super-admin");        

// 校验:以后账号是否含有指定角色标识, 如果验证未通过,则抛出异样: NotRoleException
StpUtil.checkRole("super-admin");        

// 校验:以后账号是否含有指定角色标识 [指定多个,必须全副验证通过]
StpUtil.checkRoleAnd("super-admin", "shop-admin");        

// 校验:以后账号是否含有指定角色标识 [指定多个,只有其一验证通过即可] 
StpUtil.checkRoleOr("super-admin", "shop-admin");        

扩大:NotRoleException 对象可通过 getLoginType() 办法获取具体是哪个 StpLogic 抛出的异样

五、拦挡全局异样

有同学要问,鉴权失败,抛出异样,而后呢?要把异样显示给用户看吗?当然不能够!

你能够创立一个全局异样拦截器,对立返回给前端的格局,参考:

@RestControllerAdvice
public class GlobalExceptionHandler {
    // 全局异样拦挡 
    @ExceptionHandler
    public SaResult handlerException(Exception e) {e.printStackTrace(); 
        return SaResult.error(e.getMessage());
    }
}

六、权限通配符

Sa-Token 容许你依据通配符指定 泛权限 ,例如当一个账号领有art.* 的权限时,art.addart.deleteart.update都将匹配通过

// 当领有 art.* 权限时
StpUtil.hasPermission("art.add");        // true
StpUtil.hasPermission("art.update");     // true
StpUtil.hasPermission("goods.add");      // false

// 当领有 *.delete 权限时
StpUtil.hasPermission("art.delete");      // true
StpUtil.hasPermission("user.delete");     // true
StpUtil.hasPermission("user.update");     // false

// 当领有 *.js 权限时
StpUtil.hasPermission("index.js");        // true
StpUtil.hasPermission("index.css");       // false
StpUtil.hasPermission("index.html");      // false

上帝权限:当一个账号领有 "*" 权限时,他能够验证通过任何权限码(角色认证同理)

七、如何把权限准确到按钮级?

权限准确到按钮级的意思就是指:权限范畴能够管制到页面上的每一个按钮是否显示

思路:如此准确的范畴管制只依赖后端曾经难以完成,此时须要前端进行肯定的逻辑判断。

如果是前后端一体我的项目,能够参考:Thymeleaf 标签方言,如果是前后端拆散我的项目,则:

  1. 在登录时,把以后账号领有的所有权限码一次性返回给前端。
  2. 前端将权限码汇合保留在 localStorage 或其它全局状态治理对象中。
  3. 在须要权限管制的按钮上,应用 js 进行逻辑判断,例如在 Vue 框架中咱们能够应用如下写法:

    <button v-if="arr.indexOf('user.delete') > -1"> 删除按钮 </button>

    其中:arr是以后用户领有的权限码数组,user.delete是显示按钮须要领有的权限码,删除按钮 是用户领有权限码才能够看到的内容。

留神:以上写法只为提供一个参考示例,不同框架有不同写法,大家可依据我的项目技术栈灵便封装进行调用。

八、前端有了鉴权后端还须要鉴权吗?

须要!

前端的鉴权只是一个辅助性能,对于业余人员这些限度都是能够轻松绕过的,为保障服务器平安,无论前端是否进行了权限校验,后端接口都须要对会话申请再次进行权限校验!

九、来个小示例,加深一下印象

新建 JurAuthController,复制以下代码

package com.pj.cases.use;

import java.util.List;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;

/**
 * Sa-Token 权限认证示例 
 * 
 * @author kong
 * @since 2022-10-13
 */
@RestController
@RequestMapping("/jur/")
public class JurAuthController {

    /*
     * 前提 1:首先调用登录接口进行登录,代码在 com.pj.cases.use.LoginAuthController 中有具体解释,此处不再赘述 
     *         ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
     * 
     * 前提 2:我的项目实现 StpInterface 接口,代码在  com.pj.satoken.StpInterfaceImpl
     *         Sa-Token 将从此实现类获取 每个账号领有哪些权限。* 
     * 而后咱们就能够应用以下示例中的代码进行鉴权了 
     */
    
    // 查问权限   ---- http://localhost:8081/jur/getPermission
    @RequestMapping("getPermission")
    public SaResult getPermission() {
        // 查问权限信息,如果以后会话未登录,会返回一个空集合 
        List<String> permissionList = StpUtil.getPermissionList();
        System.out.println("以后登录账号领有的所有权限:" + permissionList);
        
        // 查问角色信息,如果以后会话未登录,会返回一个空集合 
        List<String> roleList = StpUtil.getRoleList();
        System.out.println("以后登录账号领有的所有角色:" + roleList);
        
        // 返回给前端 
        return SaResult.ok()
                .set("roleList", roleList)
                .set("permissionList", permissionList);
    }
    
    // 权限校验  ---- http://localhost:8081/jur/checkPermission
    @RequestMapping("checkPermission")
    public SaResult checkPermission() {
        
        // 判断:以后账号是否领有一个权限,返回 true 或 false
        //         如果以后账号未登录,则永远返回 false 
        StpUtil.hasPermission("user.add");
        StpUtil.hasPermissionAnd("user.add", "user.delete", "user.get");  // 指定多个,必须全副领有才会返回 true 
        StpUtil.hasPermissionOr("user.add", "user.delete", "user.get");     // 指定多个,只有领有一个就会返回 true 
        
        // 校验:以后账号是否领有一个权限,校验不通过时会抛出 `NotPermissionException` 异样 
        //         如果以后账号未登录,则永远校验失败 
        StpUtil.checkPermission("user.add");
        StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");  // 指定多个,必须全副领有才会校验通过 
        StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");  // 指定多个,只有领有一个就会校验通过 
        
        return SaResult.ok();}

    // 角色校验  ---- http://localhost:8081/jur/checkRole
    @RequestMapping("checkRole")
    public SaResult checkRole() {
        
        // 判断:以后账号是否领有一个角色,返回 true 或 false
        //         如果以后账号未登录,则永远返回 false 
        StpUtil.hasRole("admin");
        StpUtil.hasRoleAnd("admin", "ceo", "cfo");  // 指定多个,必须全副领有才会返回 true 
        StpUtil.hasRoleOr("admin", "ceo", "cfo");      // 指定多个,只有领有一个就会返回 true 
        
        // 校验:以后账号是否领有一个角色,校验不通过时会抛出 `NotRoleException` 异样 
        //         如果以后账号未登录,则永远校验失败 
        StpUtil.checkRole("admin");
        StpUtil.checkRoleAnd("admin", "ceo", "cfo");  // 指定多个,必须全副领有才会校验通过 
        StpUtil.checkRoleOr("admin", "ceo", "cfo");  // 指定多个,只有领有一个就会校验通过 
        
        return SaResult.ok();}

    // 权限通配符  ---- http://localhost:8081/jur/wildcardPermission
    @RequestMapping("wildcardPermission")
    public SaResult wildcardPermission() {
        
        // 前提条件:在 StpInterface 实现类中,为账号返回了 "art.*" 泛权限
        StpUtil.hasPermission("art.add");  // 返回 true 
        StpUtil.hasPermission("art.delete");  // 返回 true 
        StpUtil.hasPermission("goods.add");  // 返回 false,因为前缀不合乎  
        
        // * 合乎能够呈现在任意地位,比方权限码的结尾,当账号领有 "*.delete" 时  
        StpUtil.hasPermission("goods.add");        // false
        StpUtil.hasPermission("goods.delete");     // true
        StpUtil.hasPermission("art.delete");      // true
        
        // 也能够呈现在权限码的两头,比方当账号领有 "shop.*.user" 时  
        StpUtil.hasPermission("shop.add.user");  // true
        StpUtil.hasPermission("shop.delete.user");  // true
        StpUtil.hasPermission("shop.delete.goods");  // false,因为后缀不合乎 

        // 留神点:// 1、上帝权限:当一个账号领有 "*" 权限时,他能够验证通过任何权限码
        // 2、角色校验也能够加 *,指定泛角色,例如:"*.admin",暂不赘述 
        
        return SaResult.ok();}
}

代码正文已针对每一步操作做出具体解释,大家可依据可参照正文中的拜访链接进行逐渐测试。


参考资料

  • Sa-Token 文档:https://sa-token.cc
  • Gitee 仓库地址:https://gitee.com/dromara/sa-token
  • GitHub 仓库地址:https://github.com/dromara/sa-token

正文完
 0