一、规划思路
所谓权限认证,核心逻辑便是判别一个账号是否具有指定权限:
- 有,就让你经过。
- 没有?那么制止拜访!
深入到底层数据中,便是每个账号都会具有一个权限码调集,结构来校验这个调集中是否包含指定的权限码。
例如:当时账号具有权限码调集 ["user-add", "user-delete", "user-get"],这时候我来校验权限 "user-update",则其结果便是:验证失利,制止拜访。
动态演示图:
所以现在问题的核心便是:
- 怎么获取一个账号所具有的的权限码调集?
- 本次操作需求验证的权限码是哪个?
接下来,咱们将介绍在 SpringBoot 中怎么运用 Sa-Token 完结权限认证操作。
Sa-Token 是一个轻量级 java 权限认证结构,主要解决登录认证、权限认证、单点登录、OAuth2、微服务网关鉴权 等一系列权限相关问题。 Gitee 开源地址:gitee.com/dromara/sa-…
首先在项目中引入 Sa-Token 依靠:
<!-- Sa-Token 权限认证 -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-spring-boot-starter</artifactId>
<version>1.34.0</version>
</dependency>
注:假如你运用的是 SpringBoot 3.x,只需求将 sa-token-spring-boot-starter 修改为 sa-token-spring-boot3-starter 即可。
二、获取当时账号权限码调集
由于每个项目的需求不同,其权限规划也千变万化,因而 [ 获取当时账号权限码调集 ] 这一操作不可能内置到结构中, 所以 Sa-Token 将此操作以接口的方法露出给你,以便利你依据自己的事务逻辑进行重写。
你需求做的便是新建一个类,完成 StpInterface接口,例如以下代码:
/**
* 自定义权限验证接口扩展
*/
@Component // 确保此类被SpringBoot扫描,完结Sa-Token的自定义权限验证扩展
public class StpInterfaceImpl implements StpInterface {
/**
* 回来一个账号所具有的权限码调集
*/
@Override
public List<String> getPermissionList(Object loginId, String loginType) {
// 本list仅做模仿,实践项目中要依据具体事务逻辑来查询权限
List<String> list = new ArrayList<String>();
list.add("101");
list.add("user.add");
list.add("user.update");
list.add("user.get");
// list.add("user.delete");
list.add("art.*");
return list;
}
/**
* 回来一个账号所具有的人物标识调集 (权限与人物可分隔校验)
*/
@Override
public List<String> getRoleList(Object loginId, String loginType) {
// 本list仅做模仿,实践项目中要依据具体事务逻辑来查询人物
List<String> list = new ArrayList<String>();
list.add("admin");
list.add("super-admin");
return list;
}
}
参数解释:
- loginId:账号id,即你在调用
StpUtil.login(id)时写入的标识值。 - loginType:账号体系标识,此处能够暂时忽略,在 [ 多账户认证 ] 章节下会对这个概念做具体的解释。
留意点:
类上一定要加上 @Component 注解,确保组件被 Springboot 扫描到,成功注入到 Sa-Token 结构内。
三、权限校验
启动类:
@SpringBootApplication
public class SaTokenCaseApplication {
public static void main(String[] args) {
SpringApplication.run(SaTokenCaseApplication.class, args);
System.out.println("\n启动成功:Sa-Token装备如下:" + SaManager.getConfig());
}
}
然后就能够用以下api来鉴权了
// 获取:当时账号所具有的权限调集
StpUtil.getPermissionList();
// 判别:当时账号是否含有指定权限, 回来 true 或 false
StpUtil.hasPermission("user.add");
// 校验:当时账号是否含有指定权限, 假如验证未经过,则抛出反常: NotPermissionException
StpUtil.checkPermission("user.add");
// 校验:当时账号是否含有指定权限 [指定多个,有必要悉数验证经过]
StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");
// 校验:当时账号是否含有指定权限 [指定多个,只需其一验证经过即可]
StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");
扩展:NotPermissionException 目标可经过 getLoginType() 方法获取具体是哪个 StpLogic 抛出的反常
四、人物校验
在Sa-Token中,人物和权限能够独立验证
// 获取:当时账号所具有的人物调集
StpUtil.getRoleList();
// 判别:当时账号是否具有指定人物, 回来 true 或 false
StpUtil.hasRole("super-admin");
// 校验:当时账号是否含有指定人物标识, 假如验证未经过,则抛出反常: NotRoleException
StpUtil.checkRole("super-admin");
// 校验:当时账号是否含有指定人物标识 [指定多个,有必要悉数验证经过]
StpUtil.checkRoleAnd("super-admin", "shop-admin");
// 校验:当时账号是否含有指定人物标识 [指定多个,只需其一验证经过即可]
StpUtil.checkRoleOr("super-admin", "shop-admin");
扩展:NotRoleException 目标可经过 getLoginType() 方法获取具体是哪个 StpLogic 抛出的反常
五、阻拦大局反常
有同学要问,鉴权失利,抛出反常,然后呢?要把反常显现给用户看吗?当然不能够!
你能够创建一个大局反常阻拦器,一致回来给前端的格局,参阅:
@RestControllerAdvice
public class GlobalExceptionHandler {
// 大局反常阻拦
@ExceptionHandler
public SaResult handlerException(Exception e) {
e.printStackTrace();
return SaResult.error(e.getMessage());
}
}
六、权限通配符
Sa-Token允许你依据通配符指定泛权限,例如当一个账号具有art.*的权限时,art.add、art.delete、art.update都将匹配经过
// 当具有 art.* 权限时
StpUtil.hasPermission("art.add"); // true
StpUtil.hasPermission("art.update"); // true
StpUtil.hasPermission("goods.add"); // false
// 当具有 *.delete 权限时
StpUtil.hasPermission("art.delete"); // true
StpUtil.hasPermission("user.delete"); // true
StpUtil.hasPermission("user.update"); // false
// 当具有 *.js 权限时
StpUtil.hasPermission("index.js"); // true
StpUtil.hasPermission("index.css"); // false
StpUtil.hasPermission("index.html"); // false
天主权限:当一个账号具有
"*"权限时,他能够验证经过任何权限码 (人物认证同理)
七、怎么把权限准确到按钮级?
权限准确到按钮级的意思便是指:权限规模能够操控到页面上的每一个按钮是否显现。
思路:如此准确的规模操控只依靠后端已经难以完结,此时需求前端进行一定的逻辑判别。
假如是前后端一体项目,能够参阅:Thymeleaf 标签方言,假如是前后端别离项目,则:
- 在登录时,把当时账号具有的一切权限码一次性回来给前端。
- 前端将权限码调集保存在
localStorage或其它大局状态办理目标中。 - 在需求权限操控的按钮上,运用 js 进行逻辑判别,例如在
Vue结构中咱们能够运用如下写法:
<button v-if="arr.indexOf('user.delete') > -1">删除按钮</button>
其间:arr是当时用户具有的权限码数组,user.delete是显现按钮需求具有的权限码,删除按钮是用户具有权限码才能够看到的内容。
留意:以上写法只为供给一个参阅示例,不同结构有不同写法,我们可依据项目技术栈灵敏封装进行调用。
八、前端有了鉴权后端还需求鉴权吗?
需求!
前端的鉴权仅仅一个辅佐功能,对于专业人员这些约束都是能够轻松绕过的,为确保服务器安全,不管前端是否进行了权限校验,后端接口都需求对会话请求再次进行权限校验!
九、来个小示例,加深一下印象
新建 JurAuthController,仿制以下代码
package com.pj.cases.use;
import java.util.List;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;
/**
* Sa-Token 权限认证示例
*
* @author kong
* @since 2022-10-13
*/
@RestController
@RequestMapping("/jur/")
public class JurAuthController {
/*
* 前提1:首先调用登录接口进行登录,代码在 com.pj.cases.use.LoginAuthController 中有具体解释,此处不再赘述
* ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
*
* 前提2:项目完成 StpInterface 接口,代码在 com.pj.satoken.StpInterfaceImpl
* Sa-Token 将从此完成类获取 每个账号具有哪些权限。
*
* 然后咱们就能够运用以下示例中的代码进行鉴权了
*/
// 查询权限 ---- http://localhost:8081/jur/getPermission
@RequestMapping("getPermission")
public SaResult getPermission() {
// 查询权限信息 ,假如当时会话未登录,会回来一个空调集
List<String> permissionList = StpUtil.getPermissionList();
System.out.println("当时登录账号具有的一切权限:" + permissionList);
// 查询人物信息 ,假如当时会话未登录,会回来一个空调集
List<String> roleList = StpUtil.getRoleList();
System.out.println("当时登录账号具有的一切人物:" + roleList);
// 回来给前端
return SaResult.ok()
.set("roleList", roleList)
.set("permissionList", permissionList);
}
// 权限校验 ---- http://localhost:8081/jur/checkPermission
@RequestMapping("checkPermission")
public SaResult checkPermission() {
// 判别:当时账号是否具有一个权限,回来 true 或 false
// 假如当时账号未登录,则永久回来 false
StpUtil.hasPermission("user.add");
StpUtil.hasPermissionAnd("user.add", "user.delete", "user.get"); // 指定多个,有必要悉数具有才会回来 true
StpUtil.hasPermissionOr("user.add", "user.delete", "user.get"); // 指定多个,只需具有一个就会回来 true
// 校验:当时账号是否具有一个权限,校验不经过时会抛出 `NotPermissionException` 反常
// 假如当时账号未登录,则永久校验失利
StpUtil.checkPermission("user.add");
StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get"); // 指定多个,有必要悉数具有才会校验经过
StpUtil.checkPermissionOr("user.add", "user.delete", "user.get"); // 指定多个,只需具有一个就会校验经过
return SaResult.ok();
}
// 人物校验 ---- http://localhost:8081/jur/checkRole
@RequestMapping("checkRole")
public SaResult checkRole() {
// 判别:当时账号是否具有一个人物,回来 true 或 false
// 假如当时账号未登录,则永久回来 false
StpUtil.hasRole("admin");
StpUtil.hasRoleAnd("admin", "ceo", "cfo"); // 指定多个,有必要悉数具有才会回来 true
StpUtil.hasRoleOr("admin", "ceo", "cfo"); // 指定多个,只需具有一个就会回来 true
// 校验:当时账号是否具有一个人物,校验不经过时会抛出 `NotRoleException` 反常
// 假如当时账号未登录,则永久校验失利
StpUtil.checkRole("admin");
StpUtil.checkRoleAnd("admin", "ceo", "cfo"); // 指定多个,有必要悉数具有才会校验经过
StpUtil.checkRoleOr("admin", "ceo", "cfo"); // 指定多个,只需具有一个就会校验经过
return SaResult.ok();
}
// 权限通配符 ---- http://localhost:8081/jur/wildcardPermission
@RequestMapping("wildcardPermission")
public SaResult wildcardPermission() {
// 前提条件:在 StpInterface 完成类中,为账号回来了 "art.*" 泛权限
StpUtil.hasPermission("art.add"); // 回来 true
StpUtil.hasPermission("art.delete"); // 回来 true
StpUtil.hasPermission("goods.add"); // 回来 false,由于前缀不契合
// * 契合能够出现在恣意位置,比方权限码的开头,当账号具有 "*.delete" 时
StpUtil.hasPermission("goods.add"); // false
StpUtil.hasPermission("goods.delete"); // true
StpUtil.hasPermission("art.delete"); // true
// 也能够出现在权限码的中心,比方当账号具有 "shop.*.user" 时
StpUtil.hasPermission("shop.add.user"); // true
StpUtil.hasPermission("shop.delete.user"); // true
StpUtil.hasPermission("shop.delete.goods"); // false,由于后缀不契合
// 留意点:
// 1、天主权限:当一个账号具有 "*" 权限时,他能够验证经过任何权限码
// 2、人物校验也能够加 * ,指定泛人物,例如: "*.admin",暂不赘述
return SaResult.ok();
}
}
代码注释已针对每一步操作做出具体解释,我们可依据可参照注释中的拜访链接进行逐步测验。
参阅资料
- Sa-Token 文档:sa-token.cc
- Gitee 仓库地址:gitee.com/dromara/sa-…
- GitHub 仓库地址:github.com/dromara/sa-…
