SpringBoot使用Sa-Token實現(xiàn)權(quán)限認(rèn)證
一、設(shè)計思路
所謂權(quán)限認(rèn)證,核心邏輯就是判斷一個賬號是否擁有指定權(quán)限:
- 有,就讓你通過。
- 沒有?那么禁止訪問!
深入到底層數(shù)據(jù)中,就是每個賬號都會擁有一個權(quán)限碼集合,框架來校驗這個集合中是否包含指定的權(quán)限碼。
例如:當(dāng)前賬號擁有權(quán)限碼集合 ["user-add", "user-delete", "user-get"]
,這時候我來校驗權(quán)限 "user-update"
,則其結(jié)果就是:驗證失敗,禁止訪問。
動態(tài)演示圖:
所以現(xiàn)在問題的核心就是:
- 如何獲取一個賬號所擁有的的權(quán)限碼集合?
- 本次操作需要驗證的權(quán)限碼是哪個?
接下來,我們將介紹在 SpringBoot 中如何使用 Sa-Token 完成權(quán)限認(rèn)證操作。
Sa-Token 是一個輕量級 java 權(quán)限認(rèn)證框架,主要解決登錄認(rèn)證、權(quán)限認(rèn)證、單點登錄、OAuth2、微服務(wù)網(wǎng)關(guān)鑒權(quán) 等一系列權(quán)限相關(guān)問題。Gitee 開源地址:https://gitee.com/dromara/sa-token
首先在項目中引入 Sa-Token 依賴:
<!-- Sa-Token 權(quán)限認(rèn)證 --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.34.0</version> </dependency>
注:如果你使用的是 SpringBoot 3.x
,只需要將 sa-token-spring-boot-starter
修改為 sa-token-spring-boot3-starter
即可。
二、獲取當(dāng)前賬號權(quán)限碼集合
因為每個項目的需求不同,其權(quán)限設(shè)計也千變?nèi)f化,因此 [ 獲取當(dāng)前賬號權(quán)限碼集合 ] 這一操作不可能內(nèi)置到框架中,所以 Sa-Token 將此操作以接口的方式暴露給你,以方便你根據(jù)自己的業(yè)務(wù)邏輯進(jìn)行重寫。
你需要做的就是新建一個類,實現(xiàn) StpInterface
接口,例如以下代碼:
/** * 自定義權(quán)限驗證接口擴(kuò)展 */ @Component // 保證此類被SpringBoot掃描,完成Sa-Token的自定義權(quán)限驗證擴(kuò)展 public class StpInterfaceImpl implements StpInterface { /** * 返回一個賬號所擁有的權(quán)限碼集合 */ @Override public List<String> getPermissionList(Object loginId, String loginType) { // 本list僅做模擬,實際項目中要根據(jù)具體業(yè)務(wù)邏輯來查詢權(quán)限 List<String> list = new ArrayList<String>(); list.add("101"); list.add("user.add"); list.add("user.update"); list.add("user.get"); // list.add("user.delete"); list.add("art.*"); return list; } /** * 返回一個賬號所擁有的角色標(biāo)識集合 (權(quán)限與角色可分開校驗) */ @Override public List<String> getRoleList(Object loginId, String loginType) { // 本list僅做模擬,實際項目中要根據(jù)具體業(yè)務(wù)邏輯來查詢角色 List<String> list = new ArrayList<String>(); list.add("admin"); list.add("super-admin"); return list; } }
參數(shù)解釋:
- loginId:賬號id,即你在調(diào)用
StpUtil.login(id)
時寫入的標(biāo)識值。 - loginType:賬號體系標(biāo)識,此處可以暫時忽略,在 [ 多賬戶認(rèn)證 ] 章節(jié)下會對這個概念做詳細(xì)的解釋。
注意點:類上一定要加上 @Component
注解,保證組件被 Springboot 掃描到,成功注入到 Sa-Token 框架內(nèi)。
三、權(quán)限校驗
啟動類:
@SpringBootApplication public class SaTokenCaseApplication { public static void main(String[] args) { SpringApplication.run(SaTokenCaseApplication.class, args); System.out.println("\n啟動成功:Sa-Token配置如下:" + SaManager.getConfig()); } }
然后就可以用以下api來鑒權(quán)了
// 獲?。寒?dāng)前賬號所擁有的權(quán)限集合 StpUtil.getPermissionList(); // 判斷:當(dāng)前賬號是否含有指定權(quán)限, 返回 true 或 false StpUtil.hasPermission("user.add"); // 校驗:當(dāng)前賬號是否含有指定權(quán)限, 如果驗證未通過,則拋出異常: NotPermissionException StpUtil.checkPermission("user.add"); // 校驗:當(dāng)前賬號是否含有指定權(quán)限 [指定多個,必須全部驗證通過] StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get"); // 校驗:當(dāng)前賬號是否含有指定權(quán)限 [指定多個,只要其一驗證通過即可] StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");
擴(kuò)展:NotPermissionException
對象可通過 getLoginType()
方法獲取具體是哪個 StpLogic
拋出的異常
四、角色校驗
在Sa-Token中,角色和權(quán)限可以獨立驗證
// 獲取:當(dāng)前賬號所擁有的角色集合 StpUtil.getRoleList(); // 判斷:當(dāng)前賬號是否擁有指定角色, 返回 true 或 false StpUtil.hasRole("super-admin"); // 校驗:當(dāng)前賬號是否含有指定角色標(biāo)識, 如果驗證未通過,則拋出異常: NotRoleException StpUtil.checkRole("super-admin"); // 校驗:當(dāng)前賬號是否含有指定角色標(biāo)識 [指定多個,必須全部驗證通過] StpUtil.checkRoleAnd("super-admin", "shop-admin"); // 校驗:當(dāng)前賬號是否含有指定角色標(biāo)識 [指定多個,只要其一驗證通過即可] StpUtil.checkRoleOr("super-admin", "shop-admin");
擴(kuò)展:NotRoleException
對象可通過 getLoginType()
方法獲取具體是哪個 StpLogic
拋出的異常
五、攔截全局異常
有同學(xué)要問,鑒權(quán)失敗,拋出異常,然后呢?要把異常顯示給用戶看嗎?當(dāng)然不可以!
你可以創(chuàng)建一個全局異常攔截器,統(tǒng)一返回給前端的格式,參考:
@RestControllerAdvice public class GlobalExceptionHandler { // 全局異常攔截 @ExceptionHandler public SaResult handlerException(Exception e) { e.printStackTrace(); return SaResult.error(e.getMessage()); } }
六、權(quán)限通配符
Sa-Token允許你根據(jù)通配符指定泛權(quán)限,例如當(dāng)一個賬號擁有art.*
的權(quán)限時,art.add
、art.delete
、art.update
都將匹配通過
// 當(dāng)擁有 art.* 權(quán)限時 StpUtil.hasPermission("art.add"); // true StpUtil.hasPermission("art.update"); // true StpUtil.hasPermission("goods.add"); // false // 當(dāng)擁有 *.delete 權(quán)限時 StpUtil.hasPermission("art.delete"); // true StpUtil.hasPermission("user.delete"); // true StpUtil.hasPermission("user.update"); // false // 當(dāng)擁有 *.js 權(quán)限時 StpUtil.hasPermission("index.js"); // true StpUtil.hasPermission("index.css"); // false StpUtil.hasPermission("index.html"); // false
上帝權(quán)限:當(dāng)一個賬號擁有
"*"
權(quán)限時,他可以驗證通過任何權(quán)限碼 (角色認(rèn)證同理)
七、如何把權(quán)限精確到按鈕級?
權(quán)限精確到按鈕級的意思就是指:權(quán)限范圍可以控制到頁面上的每一個按鈕是否顯示。
思路:如此精確的范圍控制只依賴后端已經(jīng)難以完成,此時需要前端進(jìn)行一定的邏輯判斷。
如果是前后端一體項目,可以參考:Thymeleaf 標(biāo)簽方言,如果是前后端分離項目,則:
- 在登錄時,把當(dāng)前賬號擁有的所有權(quán)限碼一次性返回給前端。
- 前端將權(quán)限碼集合保存在
localStorage
或其它全局狀態(tài)管理對象中。 - 在需要權(quán)限控制的按鈕上,使用 js 進(jìn)行邏輯判斷,例如在
Vue
框架中我們可以使用如下寫法:
<button v-if="arr.indexOf('user.delete') > -1">刪除按鈕</button>
其中:arr
是當(dāng)前用戶擁有的權(quán)限碼數(shù)組,user.delete
是顯示按鈕需要擁有的權(quán)限碼,刪除按鈕
是用戶擁有權(quán)限碼才可以看到的內(nèi)容。
注意:以上寫法只為提供一個參考示例,不同框架有不同寫法,大家可根據(jù)項目技術(shù)棧靈活封裝進(jìn)行調(diào)用。
八、前端有了鑒權(quán)后端還需要鑒權(quán)嗎?
需要!
前端的鑒權(quán)只是一個輔助功能,對于專業(yè)人員這些限制都是可以輕松繞過的,為保證服務(wù)器安全,無論前端是否進(jìn)行了權(quán)限校驗,后端接口都需要對會話請求再次進(jìn)行權(quán)限校驗!
九、來個小示例,加深一下印象
新建 JurAuthController
,復(fù)制以下代碼
package com.pj.cases.use; import java.util.List; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; import cn.dev33.satoken.stp.StpUtil; import cn.dev33.satoken.util.SaResult; /** * Sa-Token 權(quán)限認(rèn)證示例 * * @author kong * @since 2022-10-13 */ @RestController @RequestMapping("/jur/") public class JurAuthController { /* * 前提1:首先調(diào)用登錄接口進(jìn)行登錄,代碼在 com.pj.cases.use.LoginAuthController 中有詳細(xì)解釋,此處不再贅述 * ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456 * * 前提2:項目實現(xiàn) StpInterface 接口,代碼在 com.pj.satoken.StpInterfaceImpl * Sa-Token 將從此實現(xiàn)類獲取 每個賬號擁有哪些權(quán)限。 * * 然后我們就可以使用以下示例中的代碼進(jìn)行鑒權(quán)了 */ // 查詢權(quán)限 ---- http://localhost:8081/jur/getPermission @RequestMapping("getPermission") public SaResult getPermission() { // 查詢權(quán)限信息 ,如果當(dāng)前會話未登錄,會返回一個空集合 List<String> permissionList = StpUtil.getPermissionList(); System.out.println("當(dāng)前登錄賬號擁有的所有權(quán)限:" + permissionList); // 查詢角色信息 ,如果當(dāng)前會話未登錄,會返回一個空集合 List<String> roleList = StpUtil.getRoleList(); System.out.println("當(dāng)前登錄賬號擁有的所有角色:" + roleList); // 返回給前端 return SaResult.ok() .set("roleList", roleList) .set("permissionList", permissionList); } // 權(quán)限校驗 ---- http://localhost:8081/jur/checkPermission @RequestMapping("checkPermission") public SaResult checkPermission() { // 判斷:當(dāng)前賬號是否擁有一個權(quán)限,返回 true 或 false // 如果當(dāng)前賬號未登錄,則永遠(yuǎn)返回 false StpUtil.hasPermission("user.add"); StpUtil.hasPermissionAnd("user.add", "user.delete", "user.get"); // 指定多個,必須全部擁有才會返回 true StpUtil.hasPermissionOr("user.add", "user.delete", "user.get"); // 指定多個,只要擁有一個就會返回 true // 校驗:當(dāng)前賬號是否擁有一個權(quán)限,校驗不通過時會拋出 `NotPermissionException` 異常 // 如果當(dāng)前賬號未登錄,則永遠(yuǎn)校驗失敗 StpUtil.checkPermission("user.add"); StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get"); // 指定多個,必須全部擁有才會校驗通過 StpUtil.checkPermissionOr("user.add", "user.delete", "user.get"); // 指定多個,只要擁有一個就會校驗通過 return SaResult.ok(); } // 角色校驗 ---- http://localhost:8081/jur/checkRole @RequestMapping("checkRole") public SaResult checkRole() { // 判斷:當(dāng)前賬號是否擁有一個角色,返回 true 或 false // 如果當(dāng)前賬號未登錄,則永遠(yuǎn)返回 false StpUtil.hasRole("admin"); StpUtil.hasRoleAnd("admin", "ceo", "cfo"); // 指定多個,必須全部擁有才會返回 true StpUtil.hasRoleOr("admin", "ceo", "cfo"); // 指定多個,只要擁有一個就會返回 true // 校驗:當(dāng)前賬號是否擁有一個角色,校驗不通過時會拋出 `NotRoleException` 異常 // 如果當(dāng)前賬號未登錄,則永遠(yuǎn)校驗失敗 StpUtil.checkRole("admin"); StpUtil.checkRoleAnd("admin", "ceo", "cfo"); // 指定多個,必須全部擁有才會校驗通過 StpUtil.checkRoleOr("admin", "ceo", "cfo"); // 指定多個,只要擁有一個就會校驗通過 return SaResult.ok(); } // 權(quán)限通配符 ---- http://localhost:8081/jur/wildcardPermission @RequestMapping("wildcardPermission") public SaResult wildcardPermission() { // 前提條件:在 StpInterface 實現(xiàn)類中,為賬號返回了 "art.*" 泛權(quán)限 StpUtil.hasPermission("art.add"); // 返回 true StpUtil.hasPermission("art.delete"); // 返回 true StpUtil.hasPermission("goods.add"); // 返回 false,因為前綴不符合 // * 符合可以出現(xiàn)在任意位置,比如權(quán)限碼的開頭,當(dāng)賬號擁有 "*.delete" 時 StpUtil.hasPermission("goods.add"); // false StpUtil.hasPermission("goods.delete"); // true StpUtil.hasPermission("art.delete"); // true // 也可以出現(xiàn)在權(quán)限碼的中間,比如當(dāng)賬號擁有 "shop.*.user" 時 StpUtil.hasPermission("shop.add.user"); // true StpUtil.hasPermission("shop.delete.user"); // true StpUtil.hasPermission("shop.delete.goods"); // false,因為后綴不符合 // 注意點: // 1、上帝權(quán)限:當(dāng)一個賬號擁有 "*" 權(quán)限時,他可以驗證通過任何權(quán)限碼 // 2、角色校驗也可以加 * ,指定泛角色,例如: "*.admin",暫不贅述 return SaResult.ok(); } }
代碼注釋已針對每一步操作做出詳細(xì)解釋,大家可根據(jù)可參照注釋中的訪問鏈接進(jìn)行逐步測試。
參考資料
- Sa-Token 文檔:sa-token.cc
- Gitee 倉庫地址:gitee.com/dromara/sa-token
- GitHub 倉庫地址:github.com/dromara/sa-token
到此這篇關(guān)于SpringBoot使用Sa-Token實現(xiàn)權(quán)限認(rèn)證的文章就介紹到這了,更多相關(guān)SpringBoot Sa-Token權(quán)限認(rèn)證內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
- springboot+springsecurity如何實現(xiàn)動態(tài)url細(xì)粒度權(quán)限認(rèn)證
- SpringBoot集成Spring security JWT實現(xiàn)接口權(quán)限認(rèn)證
- Springboot+SpringSecurity+JWT實現(xiàn)用戶登錄和權(quán)限認(rèn)證示例
- SpringBoot使用Sa-Token實現(xiàn)路徑攔截和特定接口放行
- SpringBoot使用Sa-Token實現(xiàn)賬號封禁、分類封禁、階梯封禁的示例代碼
- SpringBoot權(quán)限認(rèn)證-Sa-Token的使用詳解
相關(guān)文章
SpringBoot使用Validation校驗參數(shù)的詳細(xì)過程
這篇文章主要介紹了SpringBoot使用Validation校驗參數(shù),本文結(jié)合實例代碼給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下2023-09-09基于selenium-java封裝chrome、firefox、phantomjs實現(xiàn)爬蟲
這篇文章主要介紹了基于selenium-java封裝chrome、firefox、phantomjs實現(xiàn)爬蟲,小編覺得挺不錯的,現(xiàn)在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧2020-10-10