中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

SpringBoot怎么使用Sa-Token實現權限認證

發布時間:2023-04-26 16:55:26 來源:億速云 閱讀:116 作者:iii 欄目:開發技術

今天小編給大家分享一下SpringBoot怎么使用Sa-Token實現權限認證的相關知識點,內容詳細,邏輯清晰,相信大部分人都還太了解這方面的知識,所以分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后有所收獲,下面我們一起來了解一下吧。

一、設計思路

所謂權限認證,核心邏輯就是判斷一個賬號是否擁有指定權限:

  • 有,就讓你通過。

  • 沒有?那么禁止訪問!

深入到底層數據中,就是每個賬號都會擁有一個權限碼集合,框架來校驗這個集合中是否包含指定的權限碼。

例如:當前賬號擁有權限碼集合 ["user-add", "user-delete", "user-get"],這時候我來校驗權限 "user-update",則其結果就是:驗證失敗,禁止訪問

所以現在問題的核心就是:

  • 如何獲取一個賬號所擁有的的權限碼集合?

  • 本次操作需要驗證的權限碼是哪個?

接下來,我們將介紹在 SpringBoot 中如何使用 Sa-Token 完成權限認證操作。

Sa-Token 是一個輕量級 java 權限認證框架,主要解決登錄認證、權限認證、單點登錄、OAuth3、微服務網關鑒權 等一系列權限相關問題。

首先在項目中引入 Sa-Token 依賴:

<!-- Sa-Token 權限認證 -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.34.0</version>
</dependency>

注:如果你使用的是 SpringBoot 3.x,只需要將 sa-token-spring-boot-starter 修改為 sa-token-spring-boot3-starter 即可。

二、獲取當前賬號權限碼集合

因為每個項目的需求不同,其權限設計也千變萬化,因此 [ 獲取當前賬號權限碼集合 ] 這一操作不可能內置到框架中,所以 Sa-Token 將此操作以接口的方式暴露給你,以方便你根據自己的業務邏輯進行重寫。

你需要做的就是新建一個類,實現 StpInterface接口,例如以下代碼:

/**
 * 自定義權限驗證接口擴展
 */
@Component	// 保證此類被SpringBoot掃描,完成Sa-Token的自定義權限驗證擴展 
public class StpInterfaceImpl implements StpInterface {

	/**
	 * 返回一個賬號所擁有的權限碼集合 
	 */
	@Override
	public List<String> getPermissionList(Object loginId, String loginType) {
		// 本list僅做模擬,實際項目中要根據具體業務邏輯來查詢權限
		List<String> list = new ArrayList<String>();	
		list.add("101");
		list.add("user.add");
		list.add("user.update");
		list.add("user.get");
		// list.add("user.delete");
		list.add("art.*");
		return list;
	}

	/**
	 * 返回一個賬號所擁有的角色標識集合 (權限與角色可分開校驗)
	 */
	@Override
	public List<String> getRoleList(Object loginId, String loginType) {
		// 本list僅做模擬,實際項目中要根據具體業務邏輯來查詢角色
		List<String> list = new ArrayList<String>();	
		list.add("admin");
		list.add("super-admin");
		return list;
	}

}

參數解釋:

  • loginId:賬號id,即你在調用 StpUtil.login(id) 時寫入的標識值。

  • loginType:賬號體系標識,此處可以暫時忽略,在 [ 多賬戶認證 ] 章節下會對這個概念做詳細的解釋。

注意點:類上一定要加上 @Component 注解,保證組件被 Springboot 掃描到,成功注入到 Sa-Token 框架內。

三、權限校驗

啟動類:

@SpringBootApplication
public class SaTokenCaseApplication {
	public static void main(String[] args) {
		SpringApplication.run(SaTokenCaseApplication.class, args); 
		System.out.println("\n啟動成功:Sa-Token配置如下:" + SaManager.getConfig());
	}	
}

然后就可以用以下api來鑒權了

// 獲取:當前賬號所擁有的權限集合
StpUtil.getPermissionList();

// 判斷:當前賬號是否含有指定權限, 返回 true 或 false
StpUtil.hasPermission("user.add");		

// 校驗:當前賬號是否含有指定權限, 如果驗證未通過,則拋出異常: NotPermissionException 
StpUtil.checkPermission("user.add");		

// 校驗:當前賬號是否含有指定權限 [指定多個,必須全部驗證通過]
StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");		

// 校驗:當前賬號是否含有指定權限 [指定多個,只要其一驗證通過即可]
StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");	

擴展:NotPermissionException 對象可通過 getLoginType() 方法獲取具體是哪個 StpLogic 拋出的異常

四、角色校驗

在Sa-Token中,角色和權限可以獨立驗證

// 獲取:當前賬號所擁有的角色集合
StpUtil.getRoleList();

// 判斷:當前賬號是否擁有指定角色, 返回 true 或 false
StpUtil.hasRole("super-admin");		

// 校驗:當前賬號是否含有指定角色標識, 如果驗證未通過,則拋出異常: NotRoleException
StpUtil.checkRole("super-admin");		

// 校驗:當前賬號是否含有指定角色標識 [指定多個,必須全部驗證通過]
StpUtil.checkRoleAnd("super-admin", "shop-admin");		

// 校驗:當前賬號是否含有指定角色標識 [指定多個,只要其一驗證通過即可] 
StpUtil.checkRoleOr("super-admin", "shop-admin");		

擴展:NotRoleException 對象可通過 getLoginType() 方法獲取具體是哪個 StpLogic 拋出的異常

五、攔截全局異常

有同學要問,鑒權失敗,拋出異常,然后呢?要把異常顯示給用戶看嗎?當然不可以!

你可以創建一個全局異常攔截器,統一返回給前端的格式,參考:

@RestControllerAdvice
public class GlobalExceptionHandler {
    // 全局異常攔截 
    @ExceptionHandler
    public SaResult handlerException(Exception e) {
        e.printStackTrace(); 
        return SaResult.error(e.getMessage());
    }
}

六、權限通配符

Sa-Token允許你根據通配符指定泛權限,例如當一個賬號擁有art.*的權限時,art.addart.deleteart.update都將匹配通過

// 當擁有 art.* 權限時
StpUtil.hasPermission("art.add");        // true
StpUtil.hasPermission("art.update");     // true
StpUtil.hasPermission("goods.add");      // false

// 當擁有 *.delete 權限時
StpUtil.hasPermission("art.delete");      // true
StpUtil.hasPermission("user.delete");     // true
StpUtil.hasPermission("user.update");     // false

// 當擁有 *.js 權限時
StpUtil.hasPermission("index.js");        // true
StpUtil.hasPermission("index.css");       // false
StpUtil.hasPermission("index.html");      // false

上帝權限:當一個賬號擁有 "*" 權限時,他可以驗證通過任何權限碼 (角色認證同理)

七、如何把權限精確到按鈕級?

權限精確到按鈕級的意思就是指:權限范圍可以控制到頁面上的每一個按鈕是否顯示

思路:如此精確的范圍控制只依賴后端已經難以完成,此時需要前端進行一定的邏輯判斷。

如果是前后端一體項目,可以參考:Thymeleaf 標簽方言,如果是前后端分離項目,則:

  • 在登錄時,把當前賬號擁有的所有權限碼一次性返回給前端。

  • 前端將權限碼集合保存在localStorage或其它全局狀態管理對象中。

  • 在需要權限控制的按鈕上,使用 js 進行邏輯判斷,例如在Vue框架中我們可以使用如下寫法:

<button v-if="arr.indexOf('user.delete') > -1">刪除按鈕</button>

其中:arr是當前用戶擁有的權限碼數組,user.delete是顯示按鈕需要擁有的權限碼,刪除按鈕是用戶擁有權限碼才可以看到的內容。

注意:以上寫法只為提供一個參考示例,不同框架有不同寫法,大家可根據項目技術棧靈活封裝進行調用。

八、前端有了鑒權后端還需要鑒權嗎?

需要!

前端的鑒權只是一個輔助功能,對于專業人員這些限制都是可以輕松繞過的,為保證服務器安全,無論前端是否進行了權限校驗,后端接口都需要對會話請求再次進行權限校驗!

九、來個小示例,加深一下印象

新建 JurAuthController,復制以下代碼

package com.pj.cases.use;

import java.util.List;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;

/**
 * Sa-Token 權限認證示例 
 * 
 * @author kong
 * @since 2022-10-13
 */
@RestController
@RequestMapping("/jur/")
public class JurAuthController {

	/*
	 * 前提1:首先調用登錄接口進行登錄,代碼在 com.pj.cases.use.LoginAuthController 中有詳細解釋,此處不再贅述 
	 * 		---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
	 * 
	 * 前提2:項目實現 StpInterface 接口,代碼在  com.pj.satoken.StpInterfaceImpl
	 * 		Sa-Token 將從此實現類獲取 每個賬號擁有哪些權限。
	 * 
	 * 然后我們就可以使用以下示例中的代碼進行鑒權了 
	 */
	
	// 查詢權限   ---- http://localhost:8081/jur/getPermission
	@RequestMapping("getPermission")
	public SaResult getPermission() {
		// 查詢權限信息 ,如果當前會話未登錄,會返回一個空集合 
		List<String> permissionList = StpUtil.getPermissionList();
		System.out.println("當前登錄賬號擁有的所有權限:" + permissionList);
		
		// 查詢角色信息 ,如果當前會話未登錄,會返回一個空集合 
		List<String> roleList = StpUtil.getRoleList();
		System.out.println("當前登錄賬號擁有的所有角色:" + roleList);
		
		// 返回給前端 
		return SaResult.ok()
				.set("roleList", roleList)
				.set("permissionList", permissionList);
	}
	
	// 權限校驗  ---- http://localhost:8081/jur/checkPermission
	@RequestMapping("checkPermission")
	public SaResult checkPermission() {
		
		// 判斷:當前賬號是否擁有一個權限,返回 true 或 false
		// 		如果當前賬號未登錄,則永遠返回 false 
		StpUtil.hasPermission("user.add");
		StpUtil.hasPermissionAnd("user.add", "user.delete", "user.get");  // 指定多個,必須全部擁有才會返回 true 
		StpUtil.hasPermissionOr("user.add", "user.delete", "user.get");	 // 指定多個,只要擁有一個就會返回 true 
		
		// 校驗:當前賬號是否擁有一個權限,校驗不通過時會拋出 `NotPermissionException` 異常 
		// 		如果當前賬號未登錄,則永遠校驗失敗 
		StpUtil.checkPermission("user.add");
		StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");  // 指定多個,必須全部擁有才會校驗通過 
		StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");  // 指定多個,只要擁有一個就會校驗通過 
		
		return SaResult.ok();
	}

	// 角色校驗  ---- http://localhost:8081/jur/checkRole
	@RequestMapping("checkRole")
	public SaResult checkRole() {
		
		// 判斷:當前賬號是否擁有一個角色,返回 true 或 false
		// 		如果當前賬號未登錄,則永遠返回 false 
		StpUtil.hasRole("admin");
		StpUtil.hasRoleAnd("admin", "ceo", "cfo");  // 指定多個,必須全部擁有才會返回 true 
		StpUtil.hasRoleOr("admin", "ceo", "cfo");	  // 指定多個,只要擁有一個就會返回 true 
		
		// 校驗:當前賬號是否擁有一個角色,校驗不通過時會拋出 `NotRoleException` 異常 
		// 		如果當前賬號未登錄,則永遠校驗失敗 
		StpUtil.checkRole("admin");
		StpUtil.checkRoleAnd("admin", "ceo", "cfo");  // 指定多個,必須全部擁有才會校驗通過 
		StpUtil.checkRoleOr("admin", "ceo", "cfo");  // 指定多個,只要擁有一個就會校驗通過 
		
		return SaResult.ok();
	}

	// 權限通配符  ---- http://localhost:8081/jur/wildcardPermission
	@RequestMapping("wildcardPermission")
	public SaResult wildcardPermission() {
		
		// 前提條件:在 StpInterface 實現類中,為賬號返回了 "art.*" 泛權限
		StpUtil.hasPermission("art.add");  // 返回 true 
		StpUtil.hasPermission("art.delete");  // 返回 true 
		StpUtil.hasPermission("goods.add");  // 返回 false,因為前綴不符合  
		
		// * 符合可以出現在任意位置,比如權限碼的開頭,當賬號擁有 "*.delete" 時  
		StpUtil.hasPermission("goods.add");        // false
		StpUtil.hasPermission("goods.delete");     // true
		StpUtil.hasPermission("art.delete");      // true
		
		// 也可以出現在權限碼的中間,比如當賬號擁有 "shop.*.user" 時  
		StpUtil.hasPermission("shop.add.user");  // true
		StpUtil.hasPermission("shop.delete.user");  // true
		StpUtil.hasPermission("shop.delete.goods");  // false,因為后綴不符合 

		// 注意點:
		// 1、上帝權限:當一個賬號擁有 "*" 權限時,他可以驗證通過任何權限碼
		// 2、角色校驗也可以加 * ,指定泛角色,例如: "*.admin",暫不贅述 
		
		return SaResult.ok();
	}
}

代碼注釋已針對每一步操作做出詳細解釋,大家可根據可參照注釋中的訪問鏈接進行逐步測試。

以上就是“SpringBoot怎么使用Sa-Token實現權限認證”這篇文章的所有內容,感謝各位的閱讀!相信大家閱讀完這篇文章都有很大的收獲,小編每天都會為大家更新不同的知識,如果還想學習更多的知識,請關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

朝阳县| 济源市| 揭西县| 拜泉县| 菏泽市| 靖西县| 米脂县| 张家川| 青田县| 如皋市| 丰台区| 克什克腾旗| 柳林县| 文水县| 乌鲁木齐市| 涿州市| 长白| 新营市| 扎囊县| 邹平县| 家居| 井冈山市| 姚安县| 诸城市| 云霄县| 河东区| 上栗县| 威信县| 花莲市| 灯塔市| 凤山市| 太康县| 崇州市| 加查县| 平顺县| 连江县| 桂东县| 黄梅县| 武汉市| 漳浦县| 平和县|