国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

SpringBoot 使用 Sa-Token 完成權(quán)限認證

2年前作者：孔明click33分類：Toy博客閱讀(20)違法舉報

這篇具有很好參考價值的文章主要介紹了SpringBoot 使用 Sa-Token 完成權(quán)限認證。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點擊"舉報違法"按鈕提交疑問。

一、設(shè)計思路

所謂權(quán)限認證，核心邏輯就是判斷一個賬號是否擁有指定權(quán)限：

有，就讓你通過。
沒有？那么禁止訪問！

深入到底層數(shù)據(jù)中，就是每個賬號都會擁有一個權(quán)限碼集合，框架來校驗這個集合中是否包含指定的權(quán)限碼。

例如：當前賬號擁有權(quán)限碼集合 ["user-add", "user-delete", "user-get"]，這時候我來校驗權(quán)限 "user-update"，則其結(jié)果就是：驗證失敗，禁止訪問。

動態(tài)演示圖：

所以現(xiàn)在問題的核心就是：

如何獲取一個賬號所擁有的的權(quán)限碼集合？
本次操作需要驗證的權(quán)限碼是哪個？

接下來，我們將介紹在 SpringBoot 中如何使用 Sa-Token 完成權(quán)限認證操作。

Sa-Token 是一個輕量級 java 權(quán)限認證框架，主要解決登錄認證、權(quán)限認證、單點登錄、OAuth2、微服務(wù)網(wǎng)關(guān)鑒權(quán) 等一系列權(quán)限相關(guān)問題。
Gitee 開源地址：https://gitee.com/dromara/sa-token

首先在項目中引入 Sa-Token 依賴：

<!-- Sa-Token 權(quán)限認證 -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.34.0</version>
</dependency>

注：如果你使用的是 SpringBoot 3.x，只需要將 sa-token-spring-boot-starter 修改為 sa-token-spring-boot3-starter 即可。

二、獲取當前賬號權(quán)限碼集合

因為每個項目的需求不同，其權(quán)限設(shè)計也千變?nèi)f化，因此 [ 獲取當前賬號權(quán)限碼集合 ] 這一操作不可能內(nèi)置到框架中，
所以 Sa-Token 將此操作以接口的方式暴露給你，以方便你根據(jù)自己的業(yè)務(wù)邏輯進行重寫。

你需要做的就是新建一個類，實現(xiàn) StpInterface接口，例如以下代碼：

/**
 * 自定義權(quán)限驗證接口擴展
 */
@Component	// 保證此類被SpringBoot掃描，完成Sa-Token的自定義權(quán)限驗證擴展 
public class StpInterfaceImpl implements StpInterface {

	/**
	 * 返回一個賬號所擁有的權(quán)限碼集合 
	 */
	@Override
	public List<String> getPermissionList(Object loginId, String loginType) {
		// 本list僅做模擬，實際項目中要根據(jù)具體業(yè)務(wù)邏輯來查詢權(quán)限
		List<String> list = new ArrayList<String>();	
		list.add("101");
		list.add("user.add");
		list.add("user.update");
		list.add("user.get");
		// list.add("user.delete");
		list.add("art.*");
		return list;
	}

	/**
	 * 返回一個賬號所擁有的角色標識集合 (權(quán)限與角色可分開校驗)
	 */
	@Override
	public List<String> getRoleList(Object loginId, String loginType) {
		// 本list僅做模擬，實際項目中要根據(jù)具體業(yè)務(wù)邏輯來查詢角色
		List<String> list = new ArrayList<String>();	
		list.add("admin");
		list.add("super-admin");
		return list;
	}

}

參數(shù)解釋：

loginId：賬號id，即你在調(diào)用 StpUtil.login(id) 時寫入的標識值。
loginType：賬號體系標識，此處可以暫時忽略，在 [ 多賬戶認證 ] 章節(jié)下會對這個概念做詳細的解釋。

注意點：
類上一定要加上 @Component 注解，保證組件被 Springboot 掃描到，成功注入到 Sa-Token 框架內(nèi)。

三、權(quán)限校驗

啟動類：

@SpringBootApplication
public class SaTokenCaseApplication {
	public static void main(String[] args) {
		SpringApplication.run(SaTokenCaseApplication.class, args); 
		System.out.println("\n啟動成功：Sa-Token配置如下：" + SaManager.getConfig());
	}	
}

然后就可以用以下api來鑒權(quán)了

// 獲?。寒斍百~號所擁有的權(quán)限集合
StpUtil.getPermissionList();

// 判斷：當前賬號是否含有指定權(quán)限, 返回 true 或 false
StpUtil.hasPermission("user.add");		

// 校驗：當前賬號是否含有指定權(quán)限, 如果驗證未通過，則拋出異常: NotPermissionException 
StpUtil.checkPermission("user.add");		

// 校驗：當前賬號是否含有指定權(quán)限 [指定多個，必須全部驗證通過]
StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");		

// 校驗：當前賬號是否含有指定權(quán)限 [指定多個，只要其一驗證通過即可]
StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");

擴展：NotPermissionException 對象可通過 getLoginType() 方法獲取具體是哪個 StpLogic 拋出的異常

四、角色校驗

在Sa-Token中，角色和權(quán)限可以獨立驗證

// 獲?。寒斍百~號所擁有的角色集合
StpUtil.getRoleList();

// 判斷：當前賬號是否擁有指定角色, 返回 true 或 false
StpUtil.hasRole("super-admin");		

// 校驗：當前賬號是否含有指定角色標識, 如果驗證未通過，則拋出異常: NotRoleException
StpUtil.checkRole("super-admin");		

// 校驗：當前賬號是否含有指定角色標識 [指定多個，必須全部驗證通過]
StpUtil.checkRoleAnd("super-admin", "shop-admin");		

// 校驗：當前賬號是否含有指定角色標識 [指定多個，只要其一驗證通過即可] 
StpUtil.checkRoleOr("super-admin", "shop-admin");

擴展：NotRoleException 對象可通過 getLoginType() 方法獲取具體是哪個 StpLogic 拋出的異常

五、攔截全局異常

有同學要問，鑒權(quán)失敗，拋出異常，然后呢？要把異常顯示給用戶看嗎？當然不可以！

你可以創(chuàng)建一個全局異常攔截器，統(tǒng)一返回給前端的格式，參考：

@RestControllerAdvice
public class GlobalExceptionHandler {
    // 全局異常攔截 
    @ExceptionHandler
    public SaResult handlerException(Exception e) {
        e.printStackTrace(); 
        return SaResult.error(e.getMessage());
    }
}

六、權(quán)限通配符

Sa-Token允許你根據(jù)通配符指定泛權(quán)限，例如當一個賬號擁有art.*的權(quán)限時，art.add、art.delete、art.update都將匹配通過

// 當擁有 art.* 權(quán)限時
StpUtil.hasPermission("art.add");        // true
StpUtil.hasPermission("art.update");     // true
StpUtil.hasPermission("goods.add");      // false

// 當擁有 *.delete 權(quán)限時
StpUtil.hasPermission("art.delete");      // true
StpUtil.hasPermission("user.delete");     // true
StpUtil.hasPermission("user.update");     // false

// 當擁有 *.js 權(quán)限時
StpUtil.hasPermission("index.js");        // true
StpUtil.hasPermission("index.css");       // false
StpUtil.hasPermission("index.html");      // false

上帝權(quán)限：當一個賬號擁有 "*" 權(quán)限時，他可以驗證通過任何權(quán)限碼（角色認證同理）

七、如何把權(quán)限精確到按鈕級？

權(quán)限精確到按鈕級的意思就是指：權(quán)限范圍可以控制到頁面上的每一個按鈕是否顯示。

思路：如此精確的范圍控制只依賴后端已經(jīng)難以完成，此時需要前端進行一定的邏輯判斷。

如果是前后端一體項目，可以參考：Thymeleaf 標簽方言，如果是前后端分離項目，則：

在登錄時，把當前賬號擁有的所有權(quán)限碼一次性返回給前端。
前端將權(quán)限碼集合保存在localStorage或其它全局狀態(tài)管理對象中。
在需要權(quán)限控制的按鈕上，使用 js 進行邏輯判斷，例如在Vue框架中我們可以使用如下寫法：

<button v-if="arr.indexOf('user.delete') > -1">刪除按鈕</button>

其中：arr是當前用戶擁有的權(quán)限碼數(shù)組，user.delete是顯示按鈕需要擁有的權(quán)限碼，刪除按鈕是用戶擁有權(quán)限碼才可以看到的內(nèi)容。

注意：以上寫法只為提供一個參考示例，不同框架有不同寫法，大家可根據(jù)項目技術(shù)棧靈活封裝進行調(diào)用。

八、前端有了鑒權(quán)后端還需要鑒權(quán)嗎？

需要！

前端的鑒權(quán)只是一個輔助功能，對于專業(yè)人員這些限制都是可以輕松繞過的，為保證服務(wù)器安全，無論前端是否進行了權(quán)限校驗，后端接口都需要對會話請求再次進行權(quán)限校驗！

九、來個小示例，加深一下印象

新建 JurAuthController，復(fù)制以下代碼

package com.pj.cases.use;

import java.util.List;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;

/**
 * Sa-Token 權(quán)限認證示例 
 * 
 * @author kong
 * @since 2022-10-13
 */
@RestController
@RequestMapping("/jur/")
public class JurAuthController {

	/*
	 * 前提1：首先調(diào)用登錄接口進行登錄，代碼在 com.pj.cases.use.LoginAuthController 中有詳細解釋，此處不再贅述 
	 * 		---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
	 * 
	 * 前提2：項目實現(xiàn) StpInterface 接口，代碼在  com.pj.satoken.StpInterfaceImpl
	 * 		Sa-Token 將從此實現(xiàn)類獲取 每個賬號擁有哪些權(quán)限。
	 * 
	 * 然后我們就可以使用以下示例中的代碼進行鑒權(quán)了 
	 */
	
	// 查詢權(quán)限   ---- http://localhost:8081/jur/getPermission
	@RequestMapping("getPermission")
	public SaResult getPermission() {
		// 查詢權(quán)限信息 ，如果當前會話未登錄，會返回一個空集合 
		List<String> permissionList = StpUtil.getPermissionList();
		System.out.println("當前登錄賬號擁有的所有權(quán)限：" + permissionList);
		
		// 查詢角色信息 ，如果當前會話未登錄，會返回一個空集合 
		List<String> roleList = StpUtil.getRoleList();
		System.out.println("當前登錄賬號擁有的所有角色：" + roleList);
		
		// 返回給前端 
		return SaResult.ok()
				.set("roleList", roleList)
				.set("permissionList", permissionList);
	}
	
	// 權(quán)限校驗  ---- http://localhost:8081/jur/checkPermission
	@RequestMapping("checkPermission")
	public SaResult checkPermission() {
		
		// 判斷：當前賬號是否擁有一個權(quán)限，返回 true 或 false
		// 		如果當前賬號未登錄，則永遠返回 false 
		StpUtil.hasPermission("user.add");
		StpUtil.hasPermissionAnd("user.add", "user.delete", "user.get");  // 指定多個，必須全部擁有才會返回 true 
		StpUtil.hasPermissionOr("user.add", "user.delete", "user.get");	 // 指定多個，只要擁有一個就會返回 true 
		
		// 校驗：當前賬號是否擁有一個權(quán)限，校驗不通過時會拋出 `NotPermissionException` 異常 
		// 		如果當前賬號未登錄，則永遠校驗失敗 
		StpUtil.checkPermission("user.add");
		StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");  // 指定多個，必須全部擁有才會校驗通過 
		StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");  // 指定多個，只要擁有一個就會校驗通過 
		
		return SaResult.ok();
	}

	// 角色校驗  ---- http://localhost:8081/jur/checkRole
	@RequestMapping("checkRole")
	public SaResult checkRole() {
		
		// 判斷：當前賬號是否擁有一個角色，返回 true 或 false
		// 		如果當前賬號未登錄，則永遠返回 false 
		StpUtil.hasRole("admin");
		StpUtil.hasRoleAnd("admin", "ceo", "cfo");  // 指定多個，必須全部擁有才會返回 true 
		StpUtil.hasRoleOr("admin", "ceo", "cfo");	  // 指定多個，只要擁有一個就會返回 true 
		
		// 校驗：當前賬號是否擁有一個角色，校驗不通過時會拋出 `NotRoleException` 異常 
		// 		如果當前賬號未登錄，則永遠校驗失敗 
		StpUtil.checkRole("admin");
		StpUtil.checkRoleAnd("admin", "ceo", "cfo");  // 指定多個，必須全部擁有才會校驗通過 
		StpUtil.checkRoleOr("admin", "ceo", "cfo");  // 指定多個，只要擁有一個就會校驗通過 
		
		return SaResult.ok();
	}

	// 權(quán)限通配符  ---- http://localhost:8081/jur/wildcardPermission
	@RequestMapping("wildcardPermission")
	public SaResult wildcardPermission() {
		
		// 前提條件：在 StpInterface 實現(xiàn)類中，為賬號返回了 "art.*" 泛權(quán)限
		StpUtil.hasPermission("art.add");  // 返回 true 
		StpUtil.hasPermission("art.delete");  // 返回 true 
		StpUtil.hasPermission("goods.add");  // 返回 false，因為前綴不符合  
		
		// * 符合可以出現(xiàn)在任意位置，比如權(quán)限碼的開頭，當賬號擁有 "*.delete" 時  
		StpUtil.hasPermission("goods.add");        // false
		StpUtil.hasPermission("goods.delete");     // true
		StpUtil.hasPermission("art.delete");      // true
		
		// 也可以出現(xiàn)在權(quán)限碼的中間，比如當賬號擁有 "shop.*.user" 時  
		StpUtil.hasPermission("shop.add.user");  // true
		StpUtil.hasPermission("shop.delete.user");  // true
		StpUtil.hasPermission("shop.delete.goods");  // false，因為后綴不符合 

		// 注意點：
		// 1、上帝權(quán)限：當一個賬號擁有 "*" 權(quán)限時，他可以驗證通過任何權(quán)限碼
		// 2、角色校驗也可以加 * ，指定泛角色，例如： "*.admin"，暫不贅述 
		
		return SaResult.ok();
	}
}

代碼注釋已針對每一步操作做出詳細解釋，大家可根據(jù)可參照注釋中的訪問鏈接進行逐步測試。文章來源地址http://www.zghlxwxcb.cn/news/detail-424834.html

參考資料

Sa-Token 文檔：https://sa-token.cc
Gitee 倉庫地址：https://gitee.com/dromara/sa-token
GitHub 倉庫地址：https://github.com/dromara/sa-token

到了這里，關(guān)于SpringBoot 使用 Sa-Token 完成權(quán)限認證的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務(wù)，不擁有所有權(quán)，不承擔相關(guān)法律責任。如若轉(zhuǎn)載，請注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符，請點擊違法舉報進行投訴反饋，一經(jīng)查實，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費用

Spring Gateway、Sa-Token、nacos完成認證/鑒權(quán)
之前進行鑒權(quán)、授權(quán)都要寫一大堆代碼。如果使用像Spring Security這樣的框架，又要花好多時間學習，拿過來一用，好多配置項也不知道是干嘛用的，又不想了解。要是不用Spring Security，token的生成、校驗、刷新，權(quán)限的驗證分配，又全要自己寫，想想都頭大。 Spring Security太重
2024年02月09日
瀏覽(23)
使用 Sa-Token 完成踢人下線功能
在企業(yè)級項目中，踢人下線是一個很常見的需求，如果要設(shè)計比較完善的話，至少需要以下功能點：可以根據(jù)用戶 userId 踢出指定會話，對方再次訪問系統(tǒng)會被提示：您已被踢下線，請重新登錄。可以查詢出一個賬號共在幾個設(shè)備端登錄，并返回其對應(yīng)的 Token 憑證，以便后
2024年02月03日
瀏覽(23)
對敏感操作的二次認證 —— 詳解 Sa-Token 二級認證
在某些敏感操作下，我們需要對已登錄的會話進行二次驗證。比如代碼托管平臺的倉庫刪除操作，盡管我們已經(jīng)登錄了賬號，當我們點擊 [刪除] 按鈕時，還是需要再次輸入一遍密碼，這么做主要為了兩點：保證操作者是當前賬號本人。增加操作步驟，防止誤刪除重要數(shù)據(jù)。
2024年02月12日
瀏覽(23)
【Sa-Token】SpringBoot 整合 Sa-Token 快速實現(xiàn) API 接口簽名安全校驗
在涉及跨系統(tǒng)接口調(diào)用時，我們?nèi)菀着龅揭韵掳踩珕栴}：請求身份被偽造請求參數(shù)被篡改請求被抓包，然后重放攻擊 sa-token api-sign 模塊將幫你輕松解決以上難題。（此插件是內(nèi)嵌到 sa-token-core 核心包中的模塊，開發(fā)者無需再次引入其它依賴，插件直接可用）假設(shè)我們有如
2024年02月17日
瀏覽(20)
Sa-Token 多賬號認證：同時為系統(tǒng)的 Admin 賬號和 User 賬號提供鑒權(quán)操作
Sa-Token 是一個輕量級 java 權(quán)限認證框架，主要解決登錄認證、權(quán)限認證、單點登錄、OAuth2、微服務(wù)網(wǎng)關(guān)鑒權(quán) 等一系列權(quán)限相關(guān)問題。 Gitee 開源地址：https://gitee.com/dromara/sa-token 本篇將介紹 Sa-Token 中的多賬號認證操作。有的時候，我們會在一個項目中設(shè)計兩套賬號體系，比如
2024年02月16日
瀏覽(17)
springboot解決sa-token報未能獲取有效的上下文處理器
我的springboot版本3.2.3，引入的是這個依賴sa-token-spring-boot-starter就會報未能獲取有效的上下文處理器看了官方文檔就是spring boot 版本的問題，引入依賴sa-token-spring-boot3-starter 解決問題官方地址:https://sa-token.cc/doc.html#/more/common-questions?id=q%ef%bc%9a%e6%8a%a5%e9%94%99%ef%bc%9a%e6%9c%aa%e8%83
2024年04月26日
瀏覽(24)
使用 Sa-Token 實現(xiàn) [記住我] 模式登錄、七天免登錄
如圖所示，一般網(wǎng)站的登錄界面都會有一個 [記住我] 按鈕，當你勾選它登錄后，即使你關(guān)閉瀏覽器再次打開網(wǎng)站，也依然會處于登錄狀態(tài)，無須重復(fù)驗證密碼：本文將詳細介紹在 Sa-Token中，如何做到以下登錄模式：記住我登錄：登錄后關(guān)閉瀏覽器，再次打開網(wǎng)站登錄狀態(tài)依
2024年02月09日
瀏覽(20)
Sa-Token淺談
主要介紹Sa-Token的鑒權(quán)使用以及實現(xiàn)原理。官網(wǎng)介紹的非常詳細，主要突出這是一個輕量級鑒權(quán)框架的特點，詳情可自行訪問：https://sa-token.dev33.cn/doc.html#/ 旨在簡單使用，大部分功能均可以在一行代碼內(nèi)實現(xiàn)，這里舉幾個官網(wǎng)示例：首先添加依賴: yaml配置文件：功能圖如下
2024年02月09日
瀏覽(25)
使用 Sa-Token 實現(xiàn)不同的登錄模式：單地登錄、多地登錄、同端互斥登錄
如果你經(jīng)常使用騰訊QQ，就會發(fā)現(xiàn)它的登錄有如下特點：它可以手機電腦同時在線，但是不能在兩個手機上同時登錄一個賬號。同端互斥登錄，指的就是：像騰訊QQ一樣，在同一類型設(shè)備上只允許單地點登錄，在不同類型設(shè)備上允許同時在線。動態(tài)演示圖： Sa-Token 是一個輕量
2024年02月13日
瀏覽(16)
Sa-Token組件介紹
個人博客：無奈何楊（wnhyang）個人語雀：wnhyang 共享語雀：在線知識共享 Github：wnhyang - Overview 前文講了Sa-Token介紹與SpringBoot環(huán)境下使用，但是 satoken 最重要的登錄鑒權(quán)直接略過了，那這篇文章就開講，??當然不是啦?？礃祟}就知道這次要講的是 satoken 組件，為什么這么安排
2024年01月20日
瀏覽(29)

<legend id="gtvgx"><dl id="gtvgx"></dl></legend>