SpringBoot 使用 Sa-Token 完成權(quán)限認(rèn)證

一、設(shè)計(jì)思路

所謂權(quán)限認(rèn)證,核心邏輯就是判斷一個(gè)賬號(hào)是否擁有指定權(quán)限:

  • 有,就讓你通過(guò)。
  • 沒(méi)有?那么禁止訪問(wèn)!

深入到底層數(shù)據(jù)中,就是每個(gè)賬號(hào)都會(huì)擁有一個(gè)權(quán)限碼集合,框架來(lái)校驗(yàn)這個(gè)集合中是否包含指定的權(quán)限碼。

例如:當(dāng)前賬號(hào)擁有權(quán)限碼集合 ["user-add", "user-delete", "user-get"],這時(shí)候我來(lái)校驗(yàn)權(quán)限 "user-update",則其結(jié)果就是:驗(yàn)證失敗,禁止訪問(wèn)

動(dòng)態(tài)演示圖:

g3--jur-auth.gif

所以現(xiàn)在問(wèn)題的核心就是:

  1. 如何獲取一個(gè)賬號(hào)所擁有的的權(quán)限碼集合?
  2. 本次操作需要驗(yàn)證的權(quán)限碼是哪個(gè)?

接下來(lái),我們將介紹在 SpringBoot 中如何使用 Sa-Token 完成權(quán)限認(rèn)證操作。

Sa-Token 是一個(gè)輕量級(jí) java 權(quán)限認(rèn)證框架,主要解決登錄認(rèn)證、權(quán)限認(rèn)證、單點(diǎn)登錄、OAuth2、微服務(wù)網(wǎng)關(guān)鑒權(quán) 等一系列權(quán)限相關(guān)問(wèn)題。
Gitee 開(kāi)源地址:https://gitee.com/dromara/sa-token

首先在項(xiàng)目中引入 Sa-Token 依賴:

<!-- Sa-Token 權(quán)限認(rèn)證 -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.34.0</version>
</dependency>

注:如果你使用的是 SpringBoot 3.x,只需要將 sa-token-spring-boot-starter 修改為 sa-token-spring-boot3-starter 即可。

二、獲取當(dāng)前賬號(hào)權(quán)限碼集合

因?yàn)槊總€(gè)項(xiàng)目的需求不同,其權(quán)限設(shè)計(jì)也千變?nèi)f化,因此 [ 獲取當(dāng)前賬號(hào)權(quán)限碼集合 ] 這一操作不可能內(nèi)置到框架中,
所以 Sa-Token 將此操作以接口的方式暴露給你,以方便你根據(jù)自己的業(yè)務(wù)邏輯進(jìn)行重寫(xiě)。

你需要做的就是新建一個(gè)類,實(shí)現(xiàn) StpInterface接口,例如以下代碼:

/**
 * 自定義權(quán)限驗(yàn)證接口擴(kuò)展
 */
@Component  // 保證此類被SpringBoot掃描,完成Sa-Token的自定義權(quán)限驗(yàn)證擴(kuò)展 
public class StpInterfaceImpl implements StpInterface {

    /**
     * 返回一個(gè)賬號(hào)所擁有的權(quán)限碼集合 
     */
    @Override
    public List<String> getPermissionList(Object loginId, String loginType) {
        // 本list僅做模擬,實(shí)際項(xiàng)目中要根據(jù)具體業(yè)務(wù)邏輯來(lái)查詢權(quán)限
        List<String> list = new ArrayList<String>();    
        list.add("101");
        list.add("user.add");
        list.add("user.update");
        list.add("user.get");
        // list.add("user.delete");
        list.add("art.*");
        return list;
    }

    /**
     * 返回一個(gè)賬號(hào)所擁有的角色標(biāo)識(shí)集合 (權(quán)限與角色可分開(kāi)校驗(yàn))
     */
    @Override
    public List<String> getRoleList(Object loginId, String loginType) {
        // 本list僅做模擬,實(shí)際項(xiàng)目中要根據(jù)具體業(yè)務(wù)邏輯來(lái)查詢角色
        List<String> list = new ArrayList<String>();    
        list.add("admin");
        list.add("super-admin");
        return list;
    }

}

參數(shù)解釋:

  • loginId:賬號(hào)id,即你在調(diào)用 StpUtil.login(id) 時(shí)寫(xiě)入的標(biāo)識(shí)值。
  • loginType:賬號(hào)體系標(biāo)識(shí),此處可以暫時(shí)忽略,在 [ 多賬戶認(rèn)證 ] 章節(jié)下會(huì)對(duì)這個(gè)概念做詳細(xì)的解釋。

注意點(diǎn):
類上一定要加上 @Component 注解,保證組件被 Springboot 掃描到,成功注入到 Sa-Token 框架內(nèi)。

三、權(quán)限校驗(yàn)

啟動(dòng)類:

@SpringBootApplication
public class SaTokenCaseApplication {
    public static void main(String[] args) {
        SpringApplication.run(SaTokenCaseApplication.class, args); 
        System.out.println("\n啟動(dòng)成功:Sa-Token配置如下:" + SaManager.getConfig());
    }   
}

然后就可以用以下api來(lái)鑒權(quán)了

// 獲?。寒?dāng)前賬號(hào)所擁有的權(quán)限集合
StpUtil.getPermissionList();

// 判斷:當(dāng)前賬號(hào)是否含有指定權(quán)限, 返回 true 或 false
StpUtil.hasPermission("user.add");      

// 校驗(yàn):當(dāng)前賬號(hào)是否含有指定權(quán)限, 如果驗(yàn)證未通過(guò),則拋出異常: NotPermissionException 
StpUtil.checkPermission("user.add");        

// 校驗(yàn):當(dāng)前賬號(hào)是否含有指定權(quán)限 [指定多個(gè),必須全部驗(yàn)證通過(guò)]
StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");      

// 校驗(yàn):當(dāng)前賬號(hào)是否含有指定權(quán)限 [指定多個(gè),只要其一驗(yàn)證通過(guò)即可]
StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");

擴(kuò)展:NotPermissionException 對(duì)象可通過(guò) getLoginType() 方法獲取具體是哪個(gè) StpLogic 拋出的異常

四、角色校驗(yàn)

在Sa-Token中,角色和權(quán)限可以獨(dú)立驗(yàn)證

// 獲?。寒?dāng)前賬號(hào)所擁有的角色集合
StpUtil.getRoleList();

// 判斷:當(dāng)前賬號(hào)是否擁有指定角色, 返回 true 或 false
StpUtil.hasRole("super-admin");     

// 校驗(yàn):當(dāng)前賬號(hào)是否含有指定角色標(biāo)識(shí), 如果驗(yàn)證未通過(guò),則拋出異常: NotRoleException
StpUtil.checkRole("super-admin");       

// 校驗(yàn):當(dāng)前賬號(hào)是否含有指定角色標(biāo)識(shí) [指定多個(gè),必須全部驗(yàn)證通過(guò)]
StpUtil.checkRoleAnd("super-admin", "shop-admin");      

// 校驗(yàn):當(dāng)前賬號(hào)是否含有指定角色標(biāo)識(shí) [指定多個(gè),只要其一驗(yàn)證通過(guò)即可] 
StpUtil.checkRoleOr("super-admin", "shop-admin");

擴(kuò)展:NotRoleException 對(duì)象可通過(guò) getLoginType() 方法獲取具體是哪個(gè) StpLogic 拋出的異常

五、攔截全局異常

有同學(xué)要問(wèn),鑒權(quán)失敗,拋出異常,然后呢?要把異常顯示給用戶看嗎?當(dāng)然不可以!

你可以創(chuàng)建一個(gè)全局異常攔截器,統(tǒng)一返回給前端的格式,參考:

@RestControllerAdvice
public class GlobalExceptionHandler {
    // 全局異常攔截 
    @ExceptionHandler
    public SaResult handlerException(Exception e) {
        e.printStackTrace(); 
        return SaResult.error(e.getMessage());
    }
}

六、權(quán)限通配符

Sa-Token允許你根據(jù)通配符指定泛權(quán)限,例如當(dāng)一個(gè)賬號(hào)擁有art.*的權(quán)限時(shí),art.add、art.deleteart.update都將匹配通過(guò)

// 當(dāng)擁有 art.* 權(quán)限時(shí)
StpUtil.hasPermission("art.add");        // true
StpUtil.hasPermission("art.update");     // true
StpUtil.hasPermission("goods.add");      // false

// 當(dāng)擁有 *.delete 權(quán)限時(shí)
StpUtil.hasPermission("art.delete");      // true
StpUtil.hasPermission("user.delete");     // true
StpUtil.hasPermission("user.update");     // false

// 當(dāng)擁有 *.js 權(quán)限時(shí)
StpUtil.hasPermission("index.js");        // true
StpUtil.hasPermission("index.css");       // false
StpUtil.hasPermission("index.html");      // false

上帝權(quán)限:當(dāng)一個(gè)賬號(hào)擁有 "*" 權(quán)限時(shí),他可以驗(yàn)證通過(guò)任何權(quán)限碼 (角色認(rèn)證同理)

七、如何把權(quán)限精確到按鈕級(jí)?

權(quán)限精確到按鈕級(jí)的意思就是指:權(quán)限范圍可以控制到頁(yè)面上的每一個(gè)按鈕是否顯示。

思路:如此精確的范圍控制只依賴后端已經(jīng)難以完成,此時(shí)需要前端進(jìn)行一定的邏輯判斷。

如果是前后端一體項(xiàng)目,可以參考:Thymeleaf 標(biāo)簽方言,如果是前后端分離項(xiàng)目,則:

  1. 在登錄時(shí),把當(dāng)前賬號(hào)擁有的所有權(quán)限碼一次性返回給前端。
  2. 前端將權(quán)限碼集合保存在localStorage或其它全局狀態(tài)管理對(duì)象中。
  3. 在需要權(quán)限控制的按鈕上,使用 js 進(jìn)行邏輯判斷,例如在Vue框架中我們可以使用如下寫(xiě)法:
<button v-if="arr.indexOf('user.delete') > -1">刪除按鈕</button>

其中:arr是當(dāng)前用戶擁有的權(quán)限碼數(shù)組,user.delete是顯示按鈕需要擁有的權(quán)限碼,刪除按鈕是用戶擁有權(quán)限碼才可以看到的內(nèi)容。

注意:以上寫(xiě)法只為提供一個(gè)參考示例,不同框架有不同寫(xiě)法,大家可根據(jù)項(xiàng)目技術(shù)棧靈活封裝進(jìn)行調(diào)用。

八、前端有了鑒權(quán)后端還需要鑒權(quán)嗎?

需要!

前端的鑒權(quán)只是一個(gè)輔助功能,對(duì)于專業(yè)人員這些限制都是可以輕松繞過(guò)的,為保證服務(wù)器安全,無(wú)論前端是否進(jìn)行了權(quán)限校驗(yàn),后端接口都需要對(duì)會(huì)話請(qǐng)求再次進(jìn)行權(quán)限校驗(yàn)!

九、來(lái)個(gè)小示例,加深一下印象

新建 JurAuthController,復(fù)制以下代碼

package com.pj.cases.use;

import java.util.List;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;

/**
 * Sa-Token 權(quán)限認(rèn)證示例 
 * 
 * @author kong
 * @since 2022-10-13
 */
@RestController
@RequestMapping("/jur/")
public class JurAuthController {

    /*
     * 前提1:首先調(diào)用登錄接口進(jìn)行登錄,代碼在 com.pj.cases.use.LoginAuthController 中有詳細(xì)解釋,此處不再贅述 
     *      ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
     * 
     * 前提2:項(xiàng)目實(shí)現(xiàn) StpInterface 接口,代碼在  com.pj.satoken.StpInterfaceImpl
     *      Sa-Token 將從此實(shí)現(xiàn)類獲取 每個(gè)賬號(hào)擁有哪些權(quán)限。
     * 
     * 然后我們就可以使用以下示例中的代碼進(jìn)行鑒權(quán)了 
     */
    
    // 查詢權(quán)限   ---- http://localhost:8081/jur/getPermission
    @RequestMapping("getPermission")
    public SaResult getPermission() {
        // 查詢權(quán)限信息 ,如果當(dāng)前會(huì)話未登錄,會(huì)返回一個(gè)空集合 
        List<String> permissionList = StpUtil.getPermissionList();
        System.out.println("當(dāng)前登錄賬號(hào)擁有的所有權(quán)限:" + permissionList);
        
        // 查詢角色信息 ,如果當(dāng)前會(huì)話未登錄,會(huì)返回一個(gè)空集合 
        List<String> roleList = StpUtil.getRoleList();
        System.out.println("當(dāng)前登錄賬號(hào)擁有的所有角色:" + roleList);
        
        // 返回給前端 
        return SaResult.ok()
                .set("roleList", roleList)
                .set("permissionList", permissionList);
    }
    
    // 權(quán)限校驗(yàn)  ---- http://localhost:8081/jur/checkPermission
    @RequestMapping("checkPermission")
    public SaResult checkPermission() {
        
        // 判斷:當(dāng)前賬號(hào)是否擁有一個(gè)權(quán)限,返回 true 或 false
        //      如果當(dāng)前賬號(hào)未登錄,則永遠(yuǎn)返回 false 
        StpUtil.hasPermission("user.add");
        StpUtil.hasPermissionAnd("user.add", "user.delete", "user.get");  // 指定多個(gè),必須全部擁有才會(huì)返回 true 
        StpUtil.hasPermissionOr("user.add", "user.delete", "user.get");  // 指定多個(gè),只要擁有一個(gè)就會(huì)返回 true 
        
        // 校驗(yàn):當(dāng)前賬號(hào)是否擁有一個(gè)權(quán)限,校驗(yàn)不通過(guò)時(shí)會(huì)拋出 `NotPermissionException` 異常 
        //      如果當(dāng)前賬號(hào)未登錄,則永遠(yuǎn)校驗(yàn)失敗 
        StpUtil.checkPermission("user.add");
        StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");  // 指定多個(gè),必須全部擁有才會(huì)校驗(yàn)通過(guò) 
        StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");  // 指定多個(gè),只要擁有一個(gè)就會(huì)校驗(yàn)通過(guò) 
        
        return SaResult.ok();
    }

    // 角色校驗(yàn)  ---- http://localhost:8081/jur/checkRole
    @RequestMapping("checkRole")
    public SaResult checkRole() {
        
        // 判斷:當(dāng)前賬號(hào)是否擁有一個(gè)角色,返回 true 或 false
        //      如果當(dāng)前賬號(hào)未登錄,則永遠(yuǎn)返回 false 
        StpUtil.hasRole("admin");
        StpUtil.hasRoleAnd("admin", "ceo", "cfo");  // 指定多個(gè),必須全部擁有才會(huì)返回 true 
        StpUtil.hasRoleOr("admin", "ceo", "cfo");     // 指定多個(gè),只要擁有一個(gè)就會(huì)返回 true 
        
        // 校驗(yàn):當(dāng)前賬號(hào)是否擁有一個(gè)角色,校驗(yàn)不通過(guò)時(shí)會(huì)拋出 `NotRoleException` 異常 
        //      如果當(dāng)前賬號(hào)未登錄,則永遠(yuǎn)校驗(yàn)失敗 
        StpUtil.checkRole("admin");
        StpUtil.checkRoleAnd("admin", "ceo", "cfo");  // 指定多個(gè),必須全部擁有才會(huì)校驗(yàn)通過(guò) 
        StpUtil.checkRoleOr("admin", "ceo", "cfo");  // 指定多個(gè),只要擁有一個(gè)就會(huì)校驗(yàn)通過(guò) 
        
        return SaResult.ok();
    }

    // 權(quán)限通配符  ---- http://localhost:8081/jur/wildcardPermission
    @RequestMapping("wildcardPermission")
    public SaResult wildcardPermission() {
        
        // 前提條件:在 StpInterface 實(shí)現(xiàn)類中,為賬號(hào)返回了 "art.*" 泛權(quán)限
        StpUtil.hasPermission("art.add");  // 返回 true 
        StpUtil.hasPermission("art.delete");  // 返回 true 
        StpUtil.hasPermission("goods.add");  // 返回 false,因?yàn)榍熬Y不符合  
        
        // * 符合可以出現(xiàn)在任意位置,比如權(quán)限碼的開(kāi)頭,當(dāng)賬號(hào)擁有 "*.delete" 時(shí)  
        StpUtil.hasPermission("goods.add");        // false
        StpUtil.hasPermission("goods.delete");     // true
        StpUtil.hasPermission("art.delete");      // true
        
        // 也可以出現(xiàn)在權(quán)限碼的中間,比如當(dāng)賬號(hào)擁有 "shop.*.user" 時(shí)  
        StpUtil.hasPermission("shop.add.user");  // true
        StpUtil.hasPermission("shop.delete.user");  // true
        StpUtil.hasPermission("shop.delete.goods");  // false,因?yàn)楹缶Y不符合 

        // 注意點(diǎn):
        // 1、上帝權(quán)限:當(dāng)一個(gè)賬號(hào)擁有 "*" 權(quán)限時(shí),他可以驗(yàn)證通過(guò)任何權(quán)限碼
        // 2、角色校驗(yàn)也可以加 * ,指定泛角色,例如: "*.admin",暫不贅述 
        
        return SaResult.ok();
    }
}

代碼注釋已針對(duì)每一步操作做出詳細(xì)解釋,大家可根據(jù)可參照注釋中的訪問(wèn)鏈接進(jìn)行逐步測(cè)試。

參考資料

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容