SpringBoot如何使用Sa-Token實現(xiàn)權(quán)限認證

今天小編給大家分享一下SpringBoot如何使用Sa-Token實現(xiàn)權(quán)限認證的相關(guān)知識點，內(nèi)容詳細，邏輯清晰，相信大部分人都還太了解這方面的知識，所以分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后有所收獲，下面我們一起來了解一下吧。

成都創(chuàng)新互聯(lián)是專業(yè)的通化縣網(wǎng)站建設(shè)公司，通化縣接單;提供網(wǎng)站設(shè)計、網(wǎng)站制作,網(wǎng)頁設(shè)計,網(wǎng)站設(shè)計,建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進行通化縣網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團隊,希望更多企業(yè)前來合作!

一、設(shè)計思路

所謂權(quán)限認證，核心邏輯就是判斷一個賬號是否擁有指定權(quán)限：

• 有，就讓你通過。

• 沒有？那么禁止訪問！

深入到底層數(shù)據(jù)中，就是每個賬號都會擁有一個權(quán)限碼集合，框架來校驗這個集合中是否包含指定的權(quán)限碼。

例如：當(dāng)前賬號擁有權(quán)限碼集合 ["user-add", "user-delete", "user-get"]，這時候我來校驗權(quán)限 "user-update"，則其結(jié)果就是：驗證失敗，禁止訪問。

所以現(xiàn)在問題的核心就是：

• 如何獲取一個賬號所擁有的的權(quán)限碼集合？

• 本次操作需要驗證的權(quán)限碼是哪個？

接下來，我們將介紹在 SpringBoot 中如何使用 Sa-Token 完成權(quán)限認證操作。

Sa-Token 是一個輕量級 java 權(quán)限認證框架，主要解決登錄認證、權(quán)限認證、單點登錄、OAuth4、微服務(wù)網(wǎng)關(guān)鑒權(quán) 等一系列權(quán)限相關(guān)問題。

首先在項目中引入 Sa-Token 依賴：

<!-- Sa-Token 權(quán)限認證 -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.34.0</version>
</dependency>

注：如果你使用的是 SpringBoot 3.x，只需要將 sa-token-spring-boot-starter 修改為 sa-token-spring-boot3-starter 即可。

二、獲取當(dāng)前賬號權(quán)限碼集合

因為每個項目的需求不同，其權(quán)限設(shè)計也千變?nèi)f化，因此 [ 獲取當(dāng)前賬號權(quán)限碼集合 ] 這一操作不可能內(nèi)置到框架中，所以 Sa-Token 將此操作以接口的方式暴露給你，以方便你根據(jù)自己的業(yè)務(wù)邏輯進行重寫。

你需要做的就是新建一個類，實現(xiàn) StpInterface接口，例如以下代碼：

/**
 * 自定義權(quán)限驗證接口擴展
 */
@Component	// 保證此類被SpringBoot掃描，完成Sa-Token的自定義權(quán)限驗證擴展 
public class StpInterfaceImpl implements StpInterface {

	/**
	 * 返回一個賬號所擁有的權(quán)限碼集合 
	 */
	@Override
	public List<String> getPermissionList(Object loginId, String loginType) {
		// 本list僅做模擬，實際項目中要根據(jù)具體業(yè)務(wù)邏輯來查詢權(quán)限
		List<String> list = new ArrayList<String>();	
		list.add("101");
		list.add("user.add");
		list.add("user.update");
		list.add("user.get");
		// list.add("user.delete");
		list.add("art.*");
		return list;
	}

	/**
	 * 返回一個賬號所擁有的角色標(biāo)識集合 (權(quán)限與角色可分開校驗)
	 */
	@Override
	public List<String> getRoleList(Object loginId, String loginType) {
		// 本list僅做模擬，實際項目中要根據(jù)具體業(yè)務(wù)邏輯來查詢角色
		List<String> list = new ArrayList<String>();	
		list.add("admin");
		list.add("super-admin");
		return list;
	}

}

參數(shù)解釋：

• loginId：賬號id，即你在調(diào)用 StpUtil.login(id) 時寫入的標(biāo)識值。

• loginType：賬號體系標(biāo)識，此處可以暫時忽略，在 [ 多賬戶認證 ] 章節(jié)下會對這個概念做詳細的解釋。

注意點：類上一定要加上 @Component 注解，保證組件被 Springboot 掃描到，成功注入到 Sa-Token 框架內(nèi)。

三、權(quán)限校驗

啟動類：

@SpringBootApplication
public class SaTokenCaseApplication {
	public static void main(String[] args) {
		SpringApplication.run(SaTokenCaseApplication.class, args); 
		System.out.println("\n啟動成功：Sa-Token配置如下：" + SaManager.getConfig());
	}	
}

然后就可以用以下api來鑒權(quán)了

// 獲?。寒?dāng)前賬號所擁有的權(quán)限集合
StpUtil.getPermissionList();

// 判斷：當(dāng)前賬號是否含有指定權(quán)限, 返回 true 或 false
StpUtil.hasPermission("user.add");		

// 校驗：當(dāng)前賬號是否含有指定權(quán)限, 如果驗證未通過，則拋出異常: NotPermissionException 
StpUtil.checkPermission("user.add");		

// 校驗：當(dāng)前賬號是否含有指定權(quán)限 [指定多個，必須全部驗證通過]
StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");		

// 校驗：當(dāng)前賬號是否含有指定權(quán)限 [指定多個，只要其一驗證通過即可]
StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");	

擴展：NotPermissionException 對象可通過 getLoginType() 方法獲取具體是哪個 StpLogic 拋出的異常

四、角色校驗

在Sa-Token中，角色和權(quán)限可以獨立驗證

// 獲取：當(dāng)前賬號所擁有的角色集合
StpUtil.getRoleList();

// 判斷：當(dāng)前賬號是否擁有指定角色, 返回 true 或 false
StpUtil.hasRole("super-admin");		

// 校驗：當(dāng)前賬號是否含有指定角色標(biāo)識, 如果驗證未通過，則拋出異常: NotRoleException
StpUtil.checkRole("super-admin");		

// 校驗：當(dāng)前賬號是否含有指定角色標(biāo)識 [指定多個，必須全部驗證通過]
StpUtil.checkRoleAnd("super-admin", "shop-admin");		

// 校驗：當(dāng)前賬號是否含有指定角色標(biāo)識 [指定多個，只要其一驗證通過即可] 
StpUtil.checkRoleOr("super-admin", "shop-admin");		

擴展：NotRoleException 對象可通過 getLoginType() 方法獲取具體是哪個 StpLogic 拋出的異常

五、攔截全局異常

有同學(xué)要問，鑒權(quán)失敗，拋出異常，然后呢？要把異常顯示給用戶看嗎？當(dāng)然不可以！

你可以創(chuàng)建一個全局異常攔截器，統(tǒng)一返回給前端的格式，參考：

@RestControllerAdvice
public class GlobalExceptionHandler {
    // 全局異常攔截 
    @ExceptionHandler
    public SaResult handlerException(Exception e) {
        e.printStackTrace(); 
        return SaResult.error(e.getMessage());
    }
}

六、權(quán)限通配符

Sa-Token允許你根據(jù)通配符指定泛權(quán)限，例如當(dāng)一個賬號擁有art.*的權(quán)限時，art.add、art.delete、art.update都將匹配通過

// 當(dāng)擁有 art.* 權(quán)限時
StpUtil.hasPermission("art.add");        // true
StpUtil.hasPermission("art.update");     // true
StpUtil.hasPermission("goods.add");      // false

// 當(dāng)擁有 *.delete 權(quán)限時
StpUtil.hasPermission("art.delete");      // true
StpUtil.hasPermission("user.delete");     // true
StpUtil.hasPermission("user.update");     // false

// 當(dāng)擁有 *.js 權(quán)限時
StpUtil.hasPermission("index.js");        // true
StpUtil.hasPermission("index.css");       // false
StpUtil.hasPermission("index.html");      // false

上帝權(quán)限：當(dāng)一個賬號擁有 "*" 權(quán)限時，他可以驗證通過任何權(quán)限碼 （角色認證同理）

七、如何把權(quán)限精確到按鈕級？

權(quán)限精確到按鈕級的意思就是指：權(quán)限范圍可以控制到頁面上的每一個按鈕是否顯示。

思路：如此精確的范圍控制只依賴后端已經(jīng)難以完成，此時需要前端進行一定的邏輯判斷。

如果是前后端一體項目，可以參考：Thymeleaf 標(biāo)簽方言，如果是前后端分離項目，則：

• 在登錄時，把當(dāng)前賬號擁有的所有權(quán)限碼一次性返回給前端。

• 前端將權(quán)限碼集合保存在localStorage或其它全局狀態(tài)管理對象中。

• 在需要權(quán)限控制的按鈕上，使用 js 進行邏輯判斷，例如在Vue框架中我們可以使用如下寫法：

<button v-if="arr.indexOf('user.delete') > -1">刪除按鈕</button>

其中：arr是當(dāng)前用戶擁有的權(quán)限碼數(shù)組，user.delete是顯示按鈕需要擁有的權(quán)限碼，刪除按鈕是用戶擁有權(quán)限碼才可以看到的內(nèi)容。

注意：以上寫法只為提供一個參考示例，不同框架有不同寫法，大家可根據(jù)項目技術(shù)棧靈活封裝進行調(diào)用。

八、前端有了鑒權(quán)后端還需要鑒權(quán)嗎？

需要！

前端的鑒權(quán)只是一個輔助功能，對于專業(yè)人員這些限制都是可以輕松繞過的，為保證服務(wù)器安全，無論前端是否進行了權(quán)限校驗，后端接口都需要對會話請求再次進行權(quán)限校驗！

九、來個小示例，加深一下印象

新建 JurAuthController，復(fù)制以下代碼

package com.pj.cases.use;

import java.util.List;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;

/**
 * Sa-Token 權(quán)限認證示例 
 * 
 * @author kong
 * @since 2022-10-13
 */
@RestController
@RequestMapping("/jur/")
public class JurAuthController {

	/*
	 * 前提1：首先調(diào)用登錄接口進行登錄，代碼在 com.pj.cases.use.LoginAuthController 中有詳細解釋，此處不再贅述 
	 * 		---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
	 * 
	 * 前提2：項目實現(xiàn) StpInterface 接口，代碼在  com.pj.satoken.StpInterfaceImpl
	 * 		Sa-Token 將從此實現(xiàn)類獲取 每個賬號擁有哪些權(quán)限。
	 * 
	 * 然后我們就可以使用以下示例中的代碼進行鑒權(quán)了 
	 */
	
	// 查詢權(quán)限   ---- http://localhost:8081/jur/getPermission
	@RequestMapping("getPermission")
	public SaResult getPermission() {
		// 查詢權(quán)限信息 ，如果當(dāng)前會話未登錄，會返回一個空集合 
		List<String> permissionList = StpUtil.getPermissionList();
		System.out.println("當(dāng)前登錄賬號擁有的所有權(quán)限：" + permissionList);
		
		// 查詢角色信息 ，如果當(dāng)前會話未登錄，會返回一個空集合 
		List<String> roleList = StpUtil.getRoleList();
		System.out.println("當(dāng)前登錄賬號擁有的所有角色：" + roleList);
		
		// 返回給前端 
		return SaResult.ok()
				.set("roleList", roleList)
				.set("permissionList", permissionList);
	}
	
	// 權(quán)限校驗  ---- http://localhost:8081/jur/checkPermission
	@RequestMapping("checkPermission")
	public SaResult checkPermission() {
		
		// 判斷：當(dāng)前賬號是否擁有一個權(quán)限，返回 true 或 false
		// 		如果當(dāng)前賬號未登錄，則永遠返回 false 
		StpUtil.hasPermission("user.add");
		StpUtil.hasPermissionAnd("user.add", "user.delete", "user.get");  // 指定多個，必須全部擁有才會返回 true 
		StpUtil.hasPermissionOr("user.add", "user.delete", "user.get");	 // 指定多個，只要擁有一個就會返回 true 
		
		// 校驗：當(dāng)前賬號是否擁有一個權(quán)限，校驗不通過時會拋出 `NotPermissionException` 異常 
		// 		如果當(dāng)前賬號未登錄，則永遠校驗失敗 
		StpUtil.checkPermission("user.add");
		StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");  // 指定多個，必須全部擁有才會校驗通過 
		StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");  // 指定多個，只要擁有一個就會校驗通過 
		
		return SaResult.ok();
	}

	// 角色校驗  ---- http://localhost:8081/jur/checkRole
	@RequestMapping("checkRole")
	public SaResult checkRole() {
		
		// 判斷：當(dāng)前賬號是否擁有一個角色，返回 true 或 false
		// 		如果當(dāng)前賬號未登錄，則永遠返回 false 
		StpUtil.hasRole("admin");
		StpUtil.hasRoleAnd("admin", "ceo", "cfo");  // 指定多個，必須全部擁有才會返回 true 
		StpUtil.hasRoleOr("admin", "ceo", "cfo");	  // 指定多個，只要擁有一個就會返回 true 
		
		// 校驗：當(dāng)前賬號是否擁有一個角色，校驗不通過時會拋出 `NotRoleException` 異常 
		// 		如果當(dāng)前賬號未登錄，則永遠校驗失敗 
		StpUtil.checkRole("admin");
		StpUtil.checkRoleAnd("admin", "ceo", "cfo");  // 指定多個，必須全部擁有才會校驗通過 
		StpUtil.checkRoleOr("admin", "ceo", "cfo");  // 指定多個，只要擁有一個就會校驗通過 
		
		return SaResult.ok();
	}

	// 權(quán)限通配符  ---- http://localhost:8081/jur/wildcardPermission
	@RequestMapping("wildcardPermission")
	public SaResult wildcardPermission() {
		
		// 前提條件：在 StpInterface 實現(xiàn)類中，為賬號返回了 "art.*" 泛權(quán)限
		StpUtil.hasPermission("art.add");  // 返回 true 
		StpUtil.hasPermission("art.delete");  // 返回 true 
		StpUtil.hasPermission("goods.add");  // 返回 false，因為前綴不符合  
		
		// * 符合可以出現(xiàn)在任意位置，比如權(quán)限碼的開頭，當(dāng)賬號擁有 "*.delete" 時  
		StpUtil.hasPermission("goods.add");        // false
		StpUtil.hasPermission("goods.delete");     // true
		StpUtil.hasPermission("art.delete");      // true
		
		// 也可以出現(xiàn)在權(quán)限碼的中間，比如當(dāng)賬號擁有 "shop.*.user" 時  
		StpUtil.hasPermission("shop.add.user");  // true
		StpUtil.hasPermission("shop.delete.user");  // true
		StpUtil.hasPermission("shop.delete.goods");  // false，因為后綴不符合 

		// 注意點：
		// 1、上帝權(quán)限：當(dāng)一個賬號擁有 "*" 權(quán)限時，他可以驗證通過任何權(quán)限碼
		// 2、角色校驗也可以加 * ，指定泛角色，例如： "*.admin"，暫不贅述 
		
		return SaResult.ok();
	}
}

代碼注釋已針對每一步操作做出詳細解釋，大家可根據(jù)可參照注釋中的訪問鏈接進行逐步測試。

以上就是“SpringBoot如何使用Sa-Token實現(xiàn)權(quán)限認證”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家閱讀完這篇文章都有很大的收獲，小編每天都會為大家更新不同的知識，如果還想學(xué)習(xí)更多的知識，請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

新聞名稱：SpringBoot如何使用Sa-Token實現(xiàn)權(quán)限認證
本文來源：http://muchs.cn/article32/ghsesc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制網(wǎng)站、網(wǎng)站營銷、云服務(wù)器、搜索引擎優(yōu)化、移動網(wǎng)站建設(shè)、ChatGPT

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)