SpringBoot如何使用Sa-Token实现权限认证

今天小编给大家分享一下SpringBoot如何使用Sa-Token实现权限认证的相关知识点，内容详细，逻辑清晰，相信大部分人都还太了解这方面的知识，所以分享这篇文章给大家参考一下，希望大家阅读完这篇文章后有所收获，下面我们一起来了解一下吧。

一、设计思路

所谓权限认证，核心逻辑就是判断一个账号是否拥有指定权限：

• 有，就让你通过。

• 没有？那么禁止访问！

深入到底层数据中，就是每个账号都会拥有一个权限码集合，框架来校验这个集合中是否包含指定的权限码。

例如：当前账号拥有权限码集合 ["user-add", "user-delete", "user-get"]，这时候我来校验权限 "user-update"，则其结果就是：验证失败，禁止访问。

所以现在问题的核心就是：

• 如何获取一个账号所拥有的的权限码集合？

• 本次操作需要验证的权限码是哪个？

接下来，我们将介绍在 springBoot 中如何使用 Sa-Token 完成权限认证操作。

Sa-Token 是一个轻量级 java 权限认证框架，主要解决登录认证、权限认证、单点登录、OAuth4、微服务网关鉴权 等一系列权限相关问题。

首先在项目中引入 Sa-Token 依赖：

<!-- Sa-Token 权限认证 --><dependency>    <groupId>cn.dev33</groupId>    <artifactId>sa-token-spring-boot-starter</artifactId>    <version>1.34.0</version></dependency>

注：如果你使用的是 SpringBoot 3.x，只需要将 sa-token-spring-boot-starter 修改为 sa-token-spring-boot3-starter 即可。

二、获取当前账号权限码集合

因为每个项目的需求不同，其权限设计也千变万化，因此 [ 获取当前账号权限码集合 ] 这一操作不可能内置到框架中，所以 Sa-Token 将此操作以接口的方式暴露给你，以方便你根据自己的业务逻辑进行重写。

你需要做的就是新建一个类，实现 StpInterface接口，例如以下代码：

@Component// 保证此类被SpringBoot扫描，完成Sa-Token的自定义权限验证扩展 public class StpInterfaceImpl implements StpInterface {@Overridepublic List<String> getPermissionList(Object loginId, String loginType) {// 本list仅做模拟，实际项目中要根据具体业务逻辑来查询权限List<String> list = new ArrayList<String>();list.add("101");list.add("user.add");list.add("user.update");list.add("user.get");// list.add("user.delete");list.add("art.*");return list;}@Overridepublic List<String> getRoleList(Object loginId, String loginType) {// 本list仅做模拟，实际项目中要根据具体业务逻辑来查询角色List<String> list = new ArrayList<String>();list.add("admin");list.add("super-admin");return list;}}

参数解释：

• loginId：账号id，即你在调用 StpUtil.login(id) 时写入的标识值。

• loginType：账号体系标识，此处可以暂时忽略，在 [ 多账户认证 ] 章节下会对这个概念做详细的解释。

注意点：类上一定要加上 @Component 注解，保证组件被 Springboot 扫描到，成功注入到 Sa-Token 框架内。

三、权限校验

启动类：

@SpringBootApplicationpublic class SaTokenCaseApplication {public static void main(String[] args) {SpringApplication.run(SaTokenCaseApplication.class, args); System.out.println("\n启动成功：Sa-Token配置如下：" + SaManager.getConfig());}}

然后就可以用以下api来鉴权了

// 获取：当前账号所拥有的权限集合StpUtil.getPermissionList();// 判断：当前账号是否含有指定权限, 返回 true 或 falseStpUtil.hasPermission("user.add");// 校验：当前账号是否含有指定权限, 如果验证未通过，则抛出异常: NotPermissionException StpUtil.checkPermission("user.add");// 校验：当前账号是否含有指定权限 [指定多个，必须全部验证通过]StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");// 校验：当前账号是否含有指定权限 [指定多个，只要其一验证通过即可]StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");

扩展：NotPermissionException 对象可通过 getLoginType() 方法获取具体是哪个 StpLogic 抛出的异常

四、角色校验

在Sa-Token中，角色和权限可以独立验证

// 获取：当前账号所拥有的角色集合StpUtil.getRoleList();// 判断：当前账号是否拥有指定角色, 返回 true 或 falseStpUtil.hasRole("super-admin");// 校验：当前账号是否含有指定角色标识, 如果验证未通过，则抛出异常: NotRoleExceptionStpUtil.checkRole("super-admin");// 校验：当前账号是否含有指定角色标识 [指定多个，必须全部验证通过]StpUtil.checkRoleAnd("super-admin", "shop-admin");// 校验：当前账号是否含有指定角色标识 [指定多个，只要其一验证通过即可] StpUtil.checkRoleOr("super-admin", "shop-admin");

扩展：NotRoleException 对象可通过 getLoginType() 方法获取具体是哪个 StpLogic 抛出的异常

五、拦截全局异常

有同学要问，鉴权失败，抛出异常，然后呢？要把异常显示给用户看吗？当然不可以！

你可以创建一个全局异常拦截器，统一返回给前端的格式，参考：

@RestControllerAdvicepublic class GlobalExceptionHandler {    // 全局异常拦截     @ExceptionHandler    public SaResult handlerException(Exception e) {        e.printStackTrace();         return SaResult.error(e.getMessage());    }}

六、权限通配符

Sa-Token允许你根据通配符指定泛权限，例如当一个账号拥有art.*的权限时，art.add、art.delete、art.update都将匹配通过

// 当拥有 art.* 权限时StpUtil.hasPermission("art.add");        // trueStpUtil.hasPermission("art.update");     // trueStpUtil.hasPermission("Goods.add");      // false// 当拥有 *.delete 权限时StpUtil.hasPermission("art.delete");      // trueStpUtil.hasPermission("user.delete");     // trueStpUtil.hasPermission("user.update");     // false// 当拥有 *.js 权限时StpUtil.hasPermission("index.js");        // trueStpUtil.hasPermission("index.CSS");       // falseStpUtil.hasPermission("index.html");      // false

上帝权限：当一个账号拥有 "*" 权限时，他可以验证通过任何权限码 （角色认证同理）

七、如何把权限精确到按钮级？

权限精确到按钮级的意思就是指：权限范围可以控制到页面上的每一个按钮是否显示。

思路：如此精确的范围控制只依赖后端已经难以完成，此时需要前端进行一定的逻辑判断。

如果是前后端一体项目，可以参考：Thymeleaf 标签方言，如果是前后端分离项目，则：

• 在登录时，把当前账号拥有的所有权限码一次性返回给前端。

• 前端将权限码集合保存在localStorage或其它全局状态管理对象中。

• 在需要权限控制的按钮上，使用 js 进行逻辑判断，例如在Vue框架中我们可以使用如下写法：

<button v-if="arr.indexOf('user.delete') > -1">删除按钮</button>

其中：arr是当前用户拥有的权限码数组，user.delete是显示按钮需要拥有的权限码，删除按钮是用户拥有权限码才可以看到的内容。

注意：以上写法只为提供一个参考示例，不同框架有不同写法，大家可根据项目技术栈灵活封装进行调用。

八、前端有了鉴权后端还需要鉴权吗？

需要！

前端的鉴权只是一个辅助功能，对于专业人员这些限制都是可以轻松绕过的，为保证服务器安全，无论前端是否进行了权限校验，后端接口都需要对会话请求再次进行权限校验！

九、来个小示例，加深一下印象

新建 JurAuthController，复制以下代码

package com.pj.cases.use;import java.util.List;import org.springframework.WEB.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.RestController;import cn.dev33.satoken.stp.StpUtil;import cn.dev33.satoken.util.SaResult;@RestController@RequestMapping("/jur/")public class JurAuthController {// 查询权限   ---- Http://localhost:8081/jur/getPermission@RequestMapping("getPermission")public SaResult getPermission() {// 查询权限信息 ，如果当前会话未登录，会返回一个空集合 List<String> permissionList = StpUtil.getPermissionList();System.out.println("当前登录账号拥有的所有权限：" + permissionList);// 查询角色信息 ，如果当前会话未登录，会返回一个空集合 List<String> roleList = StpUtil.getRoleList();System.out.println("当前登录账号拥有的所有角色：" + roleList);// 返回给前端 return SaResult.ok().set("roleList", roleList).set("permissionList", permissionList);}// 权限校验  ---- http://localhost:8081/jur/checkPermission@RequestMapping("checkPermission")public SaResult checkPermission() {// 判断：当前账号是否拥有一个权限，返回 true 或 false// 如果当前账号未登录，则永远返回 false StpUtil.hasPermission("user.add");StpUtil.hasPermissionAnd("user.add", "user.delete", "user.get");  // 指定多个，必须全部拥有才会返回 true StpUtil.hasPermissionOr("user.add", "user.delete", "user.get"); // 指定多个，只要拥有一个就会返回 true // 校验：当前账号是否拥有一个权限，校验不通过时会抛出 `NotPermissionException` 异常 // 如果当前账号未登录，则永远校验失败 StpUtil.checkPermission("user.add");StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");  // 指定多个，必须全部拥有才会校验通过 StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");  // 指定多个，只要拥有一个就会校验通过 return SaResult.ok();}// 角色校验  ---- http://localhost:8081/jur/checkRole@RequestMapping("checkRole")public SaResult checkRole() {// 判断：当前账号是否拥有一个角色，返回 true 或 false// 如果当前账号未登录，则永远返回 false StpUtil.hasRole("admin");StpUtil.hasRoleAnd("admin", "ceo", "cfo");  // 指定多个，必须全部拥有才会返回 true StpUtil.hasRoleOr("admin", "ceo", "cfo");  // 指定多个，只要拥有一个就会返回 true // 校验：当前账号是否拥有一个角色，校验不通过时会抛出 `NotRoleException` 异常 // 如果当前账号未登录，则永远校验失败 StpUtil.checkRole("admin");StpUtil.checkRoleAnd("admin", "ceo", "cfo");  // 指定多个，必须全部拥有才会校验通过 StpUtil.checkRoleOr("admin", "ceo", "cfo");  // 指定多个，只要拥有一个就会校验通过 return SaResult.ok();}// 权限通配符  ---- http://localhost:8081/jur/wildcardPermission@RequestMapping("wildcardPermission")public SaResult wildcardPermission() {// 前提条件：在 StpInterface 实现类中，为账号返回了 "art.*" 泛权限StpUtil.hasPermission("art.add");  // 返回 true StpUtil.hasPermission("art.delete");  // 返回 true StpUtil.hasPermission("goods.add");  // 返回 false，因为前缀不符合  // * 符合可以出现在任意位置，比如权限码的开头，当账号拥有 "*.delete" 时  StpUtil.hasPermission("goods.add");        // falseStpUtil.hasPermission("goods.delete");     // trueStpUtil.hasPermission("art.delete");      // true// 也可以出现在权限码的中间，比如当账号拥有 "shop.*.user" 时  StpUtil.hasPermission("shop.add.user");  // trueStpUtil.hasPermission("shop.delete.user");  // trueStpUtil.hasPermission("shop.delete.goods");  // false，因为后缀不符合 // 注意点：// 1、上帝权限：当一个账号拥有 "*" 权限时，他可以验证通过任何权限码// 2、角色校验也可以加 * ，指定泛角色，例如： "*.admin"，暂不赘述 return SaResult.ok();}}

代码注释已针对每一步操作做出详细解释，大家可根据可参照注释中的访问链接进行逐步测试。

以上就是“SpringBoot如何使用Sa-Token实现权限认证”这篇文章的所有内容，感谢各位的阅读！相信大家阅读完这篇文章都有很大的收获，小编每天都会为大家更新不同的知识，如果还想学习更多的知识，请关注编程网精选频道。