关于java:SpringBoot-使用-SaToken-完成注解鉴权功能

注解鉴权 —— 优雅的将鉴权与业务代码拆散。本篇咱们将介绍在 Sa-Token 中如何通过注解实现权限校验。

Sa-Token 是一个轻量级 java 权限认证框架，次要解决登录认证、权限认证、单点登录、OAuth2、微服务网关鉴权 等一系列权限相干问题。
Gitee 开源地址：https://gitee.com/dromara/sa-token

一、Sa-Token 鉴权注解一览

Sa-Token 为咱们提供的鉴权注解包含但不限于以下：

• @SaCheckLogin: 登录校验 —— 只有登录之后能力进入该办法。
• @SaCheckRole("admin"): 角色校验 —— 必须具备指定角色标识能力进入该办法。
• @SaCheckPermission("user:add"): 权限校验 —— 必须具备指定权限能力进入该办法。
• @SaCheckSafe: 二级认证校验 —— 必须二级认证之后能力进入该办法。
• @SaCheckBasic: HttpBasic校验 —— 只有通过 Basic 认证后能力进入该办法。
• @SaCheckDisable("comment")：账号服务封禁校验 —— 校验以后账号指定服务是否被封禁。
• @SaIgnore：疏忽校验 —— 示意被润饰的办法或类无需进行注解鉴权和路由拦截器鉴权。

首先在我的项目中引入 Sa-Token 依赖：

<!-- Sa-Token 权限认证 --><dependency>    <groupId>cn.dev33</groupId>    <artifactId>sa-token-spring-boot-starter</artifactId>    <version>1.34.0</version></dependency>

注：如果你应用的是 SpringBoot 3.x，只须要将 sa-token-spring-boot-starter 批改为 sa-token-spring-boot3-starter 即可。

二、登录认证

Sa-Token 应用全局拦截器实现注解鉴权性能，为了不为我的项目带来不必要的性能累赘，拦截器默认处于敞开状态

因而，为了应用注解鉴权，你必须手动将 Sa-Token 的全局拦截器注册到你我的项目中。

以SpringBoot2.0为例，新建配置类SaTokenConfigure.java

@Configurationpublic class SaTokenConfigure implements WebMvcConfigurer {    // 注册 Sa-Token 拦截器，关上注解式鉴权性能     @Override    public void addInterceptors(InterceptorRegistry registry) {        // 注册 Sa-Token 拦截器，关上注解式鉴权性能         registry.addInterceptor(new SaInterceptor()).addPathPatterns("/**");        }}

保障此类被springboot启动类扫描到即可。

新建 LoginController，增加以下代码：

/** * 登录认证注解测试 */@RestControllerpublic class LoginController {    // 拜访 home 页，登录后能力拜访  ---- http://localhost:8081/home    @SaCheckLogin    @RequestMapping("home")    public SaResult home() {        return SaResult.ok("拜访胜利，此处为登录后能力看到的信息");    }    // 登录接口  ---- http://localhost:8081/doLogin?name=zhang&pwd=123456    @RequestMapping("doLogin")    public SaResult doLogin(String name, String pwd) {        // 此处仅作模仿示例，实在我的项目须要从数据库中查问数据进行比对        if("zhang".equals(name) && "123456".equals(pwd)) {            StpUtil.login(10001);            return SaResult.ok("登录胜利");        }        return SaResult.error("登录失败");    }}

启动我的项目，首次拜访资源接口：

http://localhost:8081/home

返回如下：

{    "code": 500,    "msg": "未能读取到无效Token",    "data": null}

会话尚未登录，因而无法访问资源。

当初咱们再去拜访一下登录接口：

http://localhost:8081/doLogin?name=zhang&pwd=123456

返回如下：

{    "code": 200,    "msg": "登录胜利",    "data": null}

登录胜利，咱们再去拜访资源接口：

http://localhost:8081/home

返回如下：

{    "code": 200,    "msg": "拜访胜利，此处为登录后能力看到的信息",    "data": null}

通过登录认证校验，胜利获取到信息！

三、权限认证 & 角色认证

首先咱们须要实现 StpInterface 接口，通知框架指定账号领有哪些权限码。

/** * 自定义权限认证接口扩大，Sa-Token 将从此实现类获取每个账号领有的权限码  *  * @author kong * @since 2022-10-13 */@Component    // 关上此注解，保障此类被springboot扫描，即可实现sa-token的自定义权限验证扩大 public class StpInterfaceImpl implements StpInterface {    /**     * 返回一个账号所领有的权限码汇合      */    @Override    public List<String> getPermissionList(Object loginId, String loginType) {        // 本list仅做模仿，理论我的项目中要依据具体业务逻辑来查问权限        List<String> list = new ArrayList<String>();            list.add("101");        list.add("user.add");        list.add("user.update");        list.add("user.get");        // list.add("user.delete");        list.add("art.*");        return list;    }    /**     * 返回一个账号所领有的角色标识汇合      */    @Override    public List<String> getRoleList(Object loginId, String loginType) {        // 本list仅做模仿，理论我的项目中要依据具体业务逻辑来查问角色        List<String> list = new ArrayList<String>();            list.add("admin");        list.add("super-admin");        return list;    }}

应用以下两个注解实现校验：

• @SaCheckPermission("user.add")：校验以后会话是否具备某个权限。
• @SaCheckRole("super-admin")：校验以后会话是否具备某个角色。

/** * Sa-Token 注解鉴权示例  *  * @author kong * @since 2022-10-13 */@RestController@RequestMapping("/at-check/")public class AtCheckController {    /*     * 前提1：首先调用登录接口进行登录     *         ---- http://localhost:8081/doLogin?name=zhang&pwd=123456     *      * 前提2：我的项目在配置类中注册拦截器 SaInterceptor ，此拦截器将关上注解鉴权性能      *      * 前提3：我的项目实现了 StpInterface 接口，此接口会通知框架指定账号领有哪些权限码     *      * 而后咱们就能够应用以下示例中的代码进行注解鉴权了      */        // 权限校验   ---- http://localhost:8081/at-check/checkPermission    //        只有具备 user.add 权限的账号才能够进入办法     @SaCheckPermission("user.add")    @RequestMapping("checkPermission")    public SaResult checkPermission() {        // ...         return SaResult.ok();    }    // 角色校验   ---- http://localhost:8081/at-check/checkRole    //        只有具备 super-admin 角色的账号才能够进入办法     @SaCheckRole("super-admin")    @RequestMapping("checkRole")    public SaResult checkRole() {        // ...         return SaResult.ok();    }    }

可依据代码正文提供的链接进行测试拜访。

四、设定校验模式

@SaCheckRole与@SaCheckPermission注解可设置校验模式，例如：

// 注解式鉴权：只有具备其中一个权限即可通过校验 @RequestMapping("atJurOr")@SaCheckPermission(value = {"user-add", "user-all", "user-delete"}, mode = SaMode.OR)        public SaResult atJurOr() {    return SaResult.data("用户信息");}

mode有两种取值：

• SaMode.AND, 标注一组权限，会话必须全副具备才可通过校验。
• SaMode.OR, 标注一组权限，会话只有具备其一即可通过校验。

五、角色权限双重 “or校验”

假如有以下业务场景：一个接口在具备权限 user.add 或角色 admin 时能够调通。怎么写？

// 角色权限双重 “or校验”：具备指定权限或者指定角色即可通过校验@RequestMapping("userAdd")@SaCheckPermission(value = "user.add", orRole = "admin")        public SaResult userAdd() {    return SaResult.data("用户信息");}

orRole 字段代表权限认证未通过时的主要抉择，两者只有其一认证胜利即可通过校验，其有三种写法：

• 写法一：orRole = "admin"，代表须要领有角色 admin 。
• 写法二：orRole = {"admin", "manager", "staff"}，代表具备三个角色其一即可。
• 写法三：orRole = {"admin, manager, staff"}，代表必须同时具备三个角色。

六、二级认证

@RestController@RequestMapping("/at/")public class AtController {    // 在以后会话实现二级认证  ---- http://localhost:8081/at/openSafe     @RequestMapping("openSafe")    public SaResult openSafe() {        StpUtil.openSafe(200); // 关上二级认证，有效期为200秒        return SaResult.ok();    }        // 通过二级认证后，才能够进入  ---- http://localhost:8081/at/checkSafe     @SaCheckSafe    @RequestMapping("checkSafe")    public SaResult checkSafe() {        return SaResult.ok();    }}

必须先通过 StpUtil.openSafe(1200) 关上二级认证（参数为指定认证有效期，单位：秒），才能够通过 @SaCheckSafe 的查看。

七、HttpBasic认证：

@RestController@RequestMapping("/at/")public class AtController {    // 通过Basic认证后才能够进入  ---- http://localhost:8081/at/checkBasic     @SaCheckBasic(account = "sa:123456")    @RequestMapping("checkBasic")    public SaResult checkBasic() {        return SaResult.ok();    }    }

当咱们拜访这个接口时，浏览器会强制弹出一个表单：

当咱们输出账号密码后 （sa / 123456），才能够持续拜访数据：

八、服务禁用性校验

@RestController@RequestMapping("/at/")public class AtController {    // 只有以后服务没有禁用 comment 服务时，才可能进入办法  ---- http://localhost:8081/at/comment     @SaCheckDisable("comment")    @RequestMapping("comment")    public SaResult comment() {        return SaResult.ok();    }}

@SaCheckDisable 注解的作用是检测以后账号是否被禁用了指定服务，如果已被禁用则无奈进入指定办法，
在之后的章节咱们会具体讲述服务禁用的相干代码，此处先稍作理解即可。

九、疏忽认证

应用 @SaIgnore 可示意一个接口疏忽认证：

@SaCheckLogin@RestControllerpublic class TestController {        // ... 其它办法         // 此接口加上了 @SaIgnore 能够游客拜访     @SaIgnore    @RequestMapping("getList")    public SaResult getList() {        // ...         return SaResult.ok();     }}

如上代码示意：TestController 中的所有办法都须要登录后才能够拜访，然而 getList 接口能够匿名游客拜访。

• @SaIgnore 润饰办法时代表这个办法能够被游客拜访，润饰类时代表这个类中的所有接口都能够游客拜访。
• @SaIgnore 具备最高优先级，当 @SaIgnore 和其它鉴权注解一起呈现时，其它鉴权注解都将被疏忽。
• @SaIgnore 同样能够疏忽掉 Sa-Token 拦截器中的路由鉴权，在上面的 [路由拦挡鉴权] 章节中咱们会讲到。

十、在业务逻辑层应用注解鉴权

疑难：我是否将注解写在其它架构层呢，比方业务逻辑层？

应用拦截器模式，只能在Controller层进行注解鉴权，如需在任意层级应用注解鉴权，可应用 AOP注解鉴权 插件。

<!-- Sa-Token 整合 SpringAOP 实现注解鉴权 --><dependency>    <groupId>cn.dev33</groupId>    <artifactId>sa-token-spring-aop</artifactId>    <version>1.34.0</version></dependency>

集成此插件后，便能够在任意层应用 Sa-Token 的注解鉴权了（例如业务逻辑层），不过须要留神的是：

• 拦截器模式和AOP模式不可同时集成，否则会在 Controller 层产生一个注解校验两次的bug。

参考资料

• Sa-Token 文档：https://sa-token.cc
• Gitee 仓库地址：https://gitee.com/dromara/sa-token
• GitHub 仓库地址：https://github.com/dromara/sa-token