欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

SpringBoot使用Sa-Token實現(xiàn)權(quán)限認(rèn)證

 更新時間:2023年04月26日 09:00:23   作者:省長  
本文主要介紹了SpringBoot使用Sa-Token實現(xiàn)權(quán)限認(rèn)證,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

一、設(shè)計思路

所謂權(quán)限認(rèn)證,核心邏輯就是判斷一個賬號是否擁有指定權(quán)限:

  • 有,就讓你通過。
  • 沒有?那么禁止訪問!

深入到底層數(shù)據(jù)中,就是每個賬號都會擁有一個權(quán)限碼集合,框架來校驗這個集合中是否包含指定的權(quán)限碼。

例如:當(dāng)前賬號擁有權(quán)限碼集合 ["user-add", "user-delete", "user-get"],這時候我來校驗權(quán)限 "user-update",則其結(jié)果就是:驗證失敗,禁止訪問。

動態(tài)演示圖:

權(quán)限認(rèn)證

所以現(xiàn)在問題的核心就是:

  • 如何獲取一個賬號所擁有的的權(quán)限碼集合?
  • 本次操作需要驗證的權(quán)限碼是哪個?

接下來,我們將介紹在 SpringBoot 中如何使用 Sa-Token 完成權(quán)限認(rèn)證操作。

Sa-Token 是一個輕量級 java 權(quán)限認(rèn)證框架,主要解決登錄認(rèn)證、權(quán)限認(rèn)證、單點登錄、OAuth2、微服務(wù)網(wǎng)關(guān)鑒權(quán) 等一系列權(quán)限相關(guān)問題。Gitee 開源地址:https://gitee.com/dromara/sa-token

首先在項目中引入 Sa-Token 依賴:

<!-- Sa-Token 權(quán)限認(rèn)證 -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.34.0</version>
</dependency>

注:如果你使用的是 SpringBoot 3.x,只需要將 sa-token-spring-boot-starter 修改為 sa-token-spring-boot3-starter 即可。

二、獲取當(dāng)前賬號權(quán)限碼集合

因為每個項目的需求不同,其權(quán)限設(shè)計也千變?nèi)f化,因此 [ 獲取當(dāng)前賬號權(quán)限碼集合 ] 這一操作不可能內(nèi)置到框架中,所以 Sa-Token 將此操作以接口的方式暴露給你,以方便你根據(jù)自己的業(yè)務(wù)邏輯進(jìn)行重寫。

你需要做的就是新建一個類,實現(xiàn) StpInterface接口,例如以下代碼:

/**
 * 自定義權(quán)限驗證接口擴(kuò)展
 */
@Component	// 保證此類被SpringBoot掃描,完成Sa-Token的自定義權(quán)限驗證擴(kuò)展 
public class StpInterfaceImpl implements StpInterface {

	/**
	 * 返回一個賬號所擁有的權(quán)限碼集合 
	 */
	@Override
	public List<String> getPermissionList(Object loginId, String loginType) {
		// 本list僅做模擬,實際項目中要根據(jù)具體業(yè)務(wù)邏輯來查詢權(quán)限
		List<String> list = new ArrayList<String>();	
		list.add("101");
		list.add("user.add");
		list.add("user.update");
		list.add("user.get");
		// list.add("user.delete");
		list.add("art.*");
		return list;
	}

	/**
	 * 返回一個賬號所擁有的角色標(biāo)識集合 (權(quán)限與角色可分開校驗)
	 */
	@Override
	public List<String> getRoleList(Object loginId, String loginType) {
		// 本list僅做模擬,實際項目中要根據(jù)具體業(yè)務(wù)邏輯來查詢角色
		List<String> list = new ArrayList<String>();	
		list.add("admin");
		list.add("super-admin");
		return list;
	}

}

參數(shù)解釋:

  • loginId:賬號id,即你在調(diào)用 StpUtil.login(id) 時寫入的標(biāo)識值。
  • loginType:賬號體系標(biāo)識,此處可以暫時忽略,在 [ 多賬戶認(rèn)證 ] 章節(jié)下會對這個概念做詳細(xì)的解釋。

注意點:類上一定要加上 @Component 注解,保證組件被 Springboot 掃描到,成功注入到 Sa-Token 框架內(nèi)。

三、權(quán)限校驗

啟動類:

@SpringBootApplication
public class SaTokenCaseApplication {
	public static void main(String[] args) {
		SpringApplication.run(SaTokenCaseApplication.class, args); 
		System.out.println("\n啟動成功:Sa-Token配置如下:" + SaManager.getConfig());
	}	
}

然后就可以用以下api來鑒權(quán)了

// 獲?。寒?dāng)前賬號所擁有的權(quán)限集合
StpUtil.getPermissionList();

// 判斷:當(dāng)前賬號是否含有指定權(quán)限, 返回 true 或 false
StpUtil.hasPermission("user.add");		

// 校驗:當(dāng)前賬號是否含有指定權(quán)限, 如果驗證未通過,則拋出異常: NotPermissionException 
StpUtil.checkPermission("user.add");		

// 校驗:當(dāng)前賬號是否含有指定權(quán)限 [指定多個,必須全部驗證通過]
StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");		

// 校驗:當(dāng)前賬號是否含有指定權(quán)限 [指定多個,只要其一驗證通過即可]
StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");

擴(kuò)展:NotPermissionException 對象可通過 getLoginType() 方法獲取具體是哪個 StpLogic 拋出的異常

四、角色校驗

在Sa-Token中,角色和權(quán)限可以獨立驗證

// 獲取:當(dāng)前賬號所擁有的角色集合
StpUtil.getRoleList();

// 判斷:當(dāng)前賬號是否擁有指定角色, 返回 true 或 false
StpUtil.hasRole("super-admin");		

// 校驗:當(dāng)前賬號是否含有指定角色標(biāo)識, 如果驗證未通過,則拋出異常: NotRoleException
StpUtil.checkRole("super-admin");		

// 校驗:當(dāng)前賬號是否含有指定角色標(biāo)識 [指定多個,必須全部驗證通過]
StpUtil.checkRoleAnd("super-admin", "shop-admin");		

// 校驗:當(dāng)前賬號是否含有指定角色標(biāo)識 [指定多個,只要其一驗證通過即可] 
StpUtil.checkRoleOr("super-admin", "shop-admin");

擴(kuò)展:NotRoleException 對象可通過 getLoginType() 方法獲取具體是哪個 StpLogic 拋出的異常

五、攔截全局異常

有同學(xué)要問,鑒權(quán)失敗,拋出異常,然后呢?要把異常顯示給用戶看嗎?當(dāng)然不可以!

你可以創(chuàng)建一個全局異常攔截器,統(tǒng)一返回給前端的格式,參考:

@RestControllerAdvice
public class GlobalExceptionHandler {
    // 全局異常攔截 
    @ExceptionHandler
    public SaResult handlerException(Exception e) {
        e.printStackTrace(); 
        return SaResult.error(e.getMessage());
    }
}

六、權(quán)限通配符

Sa-Token允許你根據(jù)通配符指定泛權(quán)限,例如當(dāng)一個賬號擁有art.*的權(quán)限時,art.add、art.delete、art.update都將匹配通過

// 當(dāng)擁有 art.* 權(quán)限時
StpUtil.hasPermission("art.add");        // true
StpUtil.hasPermission("art.update");     // true
StpUtil.hasPermission("goods.add");      // false

// 當(dāng)擁有 *.delete 權(quán)限時
StpUtil.hasPermission("art.delete");      // true
StpUtil.hasPermission("user.delete");     // true
StpUtil.hasPermission("user.update");     // false

// 當(dāng)擁有 *.js 權(quán)限時
StpUtil.hasPermission("index.js");        // true
StpUtil.hasPermission("index.css");       // false
StpUtil.hasPermission("index.html");      // false

上帝權(quán)限:當(dāng)一個賬號擁有 "*" 權(quán)限時,他可以驗證通過任何權(quán)限碼 (角色認(rèn)證同理)

七、如何把權(quán)限精確到按鈕級?

權(quán)限精確到按鈕級的意思就是指:權(quán)限范圍可以控制到頁面上的每一個按鈕是否顯示。

思路:如此精確的范圍控制只依賴后端已經(jīng)難以完成,此時需要前端進(jìn)行一定的邏輯判斷。

如果是前后端一體項目,可以參考:Thymeleaf 標(biāo)簽方言,如果是前后端分離項目,則:

  • 在登錄時,把當(dāng)前賬號擁有的所有權(quán)限碼一次性返回給前端。
  • 前端將權(quán)限碼集合保存在localStorage或其它全局狀態(tài)管理對象中。
  • 在需要權(quán)限控制的按鈕上,使用 js 進(jìn)行邏輯判斷,例如在Vue框架中我們可以使用如下寫法:
<button v-if="arr.indexOf('user.delete') > -1">刪除按鈕</button>

其中:arr是當(dāng)前用戶擁有的權(quán)限碼數(shù)組,user.delete是顯示按鈕需要擁有的權(quán)限碼,刪除按鈕是用戶擁有權(quán)限碼才可以看到的內(nèi)容。

注意:以上寫法只為提供一個參考示例,不同框架有不同寫法,大家可根據(jù)項目技術(shù)棧靈活封裝進(jìn)行調(diào)用。

八、前端有了鑒權(quán)后端還需要鑒權(quán)嗎?

需要!

前端的鑒權(quán)只是一個輔助功能,對于專業(yè)人員這些限制都是可以輕松繞過的,為保證服務(wù)器安全,無論前端是否進(jìn)行了權(quán)限校驗,后端接口都需要對會話請求再次進(jìn)行權(quán)限校驗!

九、來個小示例,加深一下印象

新建 JurAuthController,復(fù)制以下代碼

package com.pj.cases.use;

import java.util.List;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;

/**
 * Sa-Token 權(quán)限認(rèn)證示例 
 * 
 * @author kong
 * @since 2022-10-13
 */
@RestController
@RequestMapping("/jur/")
public class JurAuthController {

	/*
	 * 前提1:首先調(diào)用登錄接口進(jìn)行登錄,代碼在 com.pj.cases.use.LoginAuthController 中有詳細(xì)解釋,此處不再贅述 
	 * 		---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
	 * 
	 * 前提2:項目實現(xiàn) StpInterface 接口,代碼在  com.pj.satoken.StpInterfaceImpl
	 * 		Sa-Token 將從此實現(xiàn)類獲取 每個賬號擁有哪些權(quán)限。
	 * 
	 * 然后我們就可以使用以下示例中的代碼進(jìn)行鑒權(quán)了 
	 */
	
	// 查詢權(quán)限   ---- http://localhost:8081/jur/getPermission
	@RequestMapping("getPermission")
	public SaResult getPermission() {
		// 查詢權(quán)限信息 ,如果當(dāng)前會話未登錄,會返回一個空集合 
		List<String> permissionList = StpUtil.getPermissionList();
		System.out.println("當(dāng)前登錄賬號擁有的所有權(quán)限:" + permissionList);
		
		// 查詢角色信息 ,如果當(dāng)前會話未登錄,會返回一個空集合 
		List<String> roleList = StpUtil.getRoleList();
		System.out.println("當(dāng)前登錄賬號擁有的所有角色:" + roleList);
		
		// 返回給前端 
		return SaResult.ok()
				.set("roleList", roleList)
				.set("permissionList", permissionList);
	}
	
	// 權(quán)限校驗  ---- http://localhost:8081/jur/checkPermission
	@RequestMapping("checkPermission")
	public SaResult checkPermission() {
		
		// 判斷:當(dāng)前賬號是否擁有一個權(quán)限,返回 true 或 false
		// 		如果當(dāng)前賬號未登錄,則永遠(yuǎn)返回 false 
		StpUtil.hasPermission("user.add");
		StpUtil.hasPermissionAnd("user.add", "user.delete", "user.get");  // 指定多個,必須全部擁有才會返回 true 
		StpUtil.hasPermissionOr("user.add", "user.delete", "user.get");	 // 指定多個,只要擁有一個就會返回 true 
		
		// 校驗:當(dāng)前賬號是否擁有一個權(quán)限,校驗不通過時會拋出 `NotPermissionException` 異常 
		// 		如果當(dāng)前賬號未登錄,則永遠(yuǎn)校驗失敗 
		StpUtil.checkPermission("user.add");
		StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");  // 指定多個,必須全部擁有才會校驗通過 
		StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");  // 指定多個,只要擁有一個就會校驗通過 
		
		return SaResult.ok();
	}

	// 角色校驗  ---- http://localhost:8081/jur/checkRole
	@RequestMapping("checkRole")
	public SaResult checkRole() {
		
		// 判斷:當(dāng)前賬號是否擁有一個角色,返回 true 或 false
		// 		如果當(dāng)前賬號未登錄,則永遠(yuǎn)返回 false 
		StpUtil.hasRole("admin");
		StpUtil.hasRoleAnd("admin", "ceo", "cfo");  // 指定多個,必須全部擁有才會返回 true 
		StpUtil.hasRoleOr("admin", "ceo", "cfo");	  // 指定多個,只要擁有一個就會返回 true 
		
		// 校驗:當(dāng)前賬號是否擁有一個角色,校驗不通過時會拋出 `NotRoleException` 異常 
		// 		如果當(dāng)前賬號未登錄,則永遠(yuǎn)校驗失敗 
		StpUtil.checkRole("admin");
		StpUtil.checkRoleAnd("admin", "ceo", "cfo");  // 指定多個,必須全部擁有才會校驗通過 
		StpUtil.checkRoleOr("admin", "ceo", "cfo");  // 指定多個,只要擁有一個就會校驗通過 
		
		return SaResult.ok();
	}

	// 權(quán)限通配符  ---- http://localhost:8081/jur/wildcardPermission
	@RequestMapping("wildcardPermission")
	public SaResult wildcardPermission() {
		
		// 前提條件:在 StpInterface 實現(xiàn)類中,為賬號返回了 "art.*" 泛權(quán)限
		StpUtil.hasPermission("art.add");  // 返回 true 
		StpUtil.hasPermission("art.delete");  // 返回 true 
		StpUtil.hasPermission("goods.add");  // 返回 false,因為前綴不符合  
		
		// * 符合可以出現(xiàn)在任意位置,比如權(quán)限碼的開頭,當(dāng)賬號擁有 "*.delete" 時  
		StpUtil.hasPermission("goods.add");        // false
		StpUtil.hasPermission("goods.delete");     // true
		StpUtil.hasPermission("art.delete");      // true
		
		// 也可以出現(xiàn)在權(quán)限碼的中間,比如當(dāng)賬號擁有 "shop.*.user" 時  
		StpUtil.hasPermission("shop.add.user");  // true
		StpUtil.hasPermission("shop.delete.user");  // true
		StpUtil.hasPermission("shop.delete.goods");  // false,因為后綴不符合 

		// 注意點:
		// 1、上帝權(quán)限:當(dāng)一個賬號擁有 "*" 權(quán)限時,他可以驗證通過任何權(quán)限碼
		// 2、角色校驗也可以加 * ,指定泛角色,例如: "*.admin",暫不贅述 
		
		return SaResult.ok();
	}
}

代碼注釋已針對每一步操作做出詳細(xì)解釋,大家可根據(jù)可參照注釋中的訪問鏈接進(jìn)行逐步測試。

參考資料

 到此這篇關(guān)于SpringBoot使用Sa-Token實現(xiàn)權(quán)限認(rèn)證的文章就介紹到這了,更多相關(guān)SpringBoot Sa-Token權(quán)限認(rèn)證內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • Java中避免空指針異常的方法

    Java中避免空指針異常的方法

    這篇文章主要介紹了Java中避免空指針異常的方法,本文討論Optional類型、Objects類等技術(shù),需要的朋友可以參考下
    2014-10-10
  • Java?LocalTime的常用時間操作總結(jié)

    Java?LocalTime的常用時間操作總結(jié)

    日常開發(fā)中,?我們會經(jīng)常遇到時間的運(yùn)算,?操作,?格式化等,?這篇文章主要為大家詳細(xì)介紹了LocalTime的常用時間操作,感興趣的小伙伴可以了解一下
    2023-11-11
  • Java快速排序與歸并排序及基數(shù)排序圖解示例

    Java快速排序與歸并排序及基數(shù)排序圖解示例

    快速排序是基于二分的思想,對冒泡排序的一種改進(jìn)。主要思想是確立一個基數(shù),將小于基數(shù)的數(shù)放到基數(shù)左邊,大于基數(shù)的數(shù)字放到基數(shù)的右邊,然后在對這兩部分進(jìn)一步排序,從而實現(xiàn)對數(shù)組的排序
    2022-09-09
  • java實現(xiàn)日歷窗口小程序

    java實現(xiàn)日歷窗口小程序

    這篇文章主要為大家詳細(xì)介紹了java實現(xiàn)日歷窗口小程序,文中示例代碼介紹的非常詳細(xì),具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2022-06-06
  • SpringBoot使用Validation校驗參數(shù)的詳細(xì)過程

    SpringBoot使用Validation校驗參數(shù)的詳細(xì)過程

    這篇文章主要介紹了SpringBoot使用Validation校驗參數(shù),本文結(jié)合實例代碼給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2023-09-09
  • java實現(xiàn)中英文混合字符截取方法

    java實現(xiàn)中英文混合字符截取方法

    這篇文章主要為大家詳細(xì)介紹了java實現(xiàn)中英文混合字符的截取方法,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2019-06-06
  • Jenkins自動部署Net Core過程圖解

    Jenkins自動部署Net Core過程圖解

    這篇文章主要介紹了Jenkins自動部署Net Core過程圖解,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友可以參考下
    2020-12-12
  • smslib發(fā)短信實例代碼(電腦發(fā)短信)

    smslib發(fā)短信實例代碼(電腦發(fā)短信)

    smslib發(fā)短信實例,大家可以參考使用開發(fā)自己的程序
    2013-12-12
  • 基于selenium-java封裝chrome、firefox、phantomjs實現(xiàn)爬蟲

    基于selenium-java封裝chrome、firefox、phantomjs實現(xiàn)爬蟲

    這篇文章主要介紹了基于selenium-java封裝chrome、firefox、phantomjs實現(xiàn)爬蟲,小編覺得挺不錯的,現(xiàn)在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧
    2020-10-10
  • java中Locks的使用詳解

    java中Locks的使用詳解

    這篇文章主要介紹了java中Locks的使用詳解,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2020-03-03

最新評論