SpringBoot가 Sa-Token을 사용하여 권한 인증을 구현하는 방법
- PHPz앞으로
- 2023-05-16 13:19:131165검색
1. 디자인 아이디어
권한 인증이라고 하는 핵심 논리는 계정에 지정된 권한이 있는지 확인하는 것입니다.
그렇다면 통과가 허용됩니다.
아니요? 그러면 접근이 금지됩니다!
기본 데이터를 자세히 살펴보면, 즉 각 계정에는 일련의 권한 코드가 있으며 프레임워크는 이 세트에 지정된 권한 코드가 포함되어 있는지 확인합니다.
예: 현재 계정의 권한 코드는 ["user-add", "user-delete", "user-get"]입니다. 이때 권한을 확인하겠습니다. code>"user- update", 결과는 다음과 같습니다: ["user-add", "user-delete", "user-get"],这时候我来校验权限 "user-update",则其结果就是:验证失败,禁止访问。
所以现在问题的核心就是:
如何获取一个账号所拥有的的权限码集合?
本次操作需要验证的权限码是哪个?
接下来,我们将介绍在 SpringBoot 中如何使用 Sa-Token 完成权限认证操作。
Sa-Token 是一个轻量级 java 权限认证框架,主要解决登录认证、权限认证、单点登录、OAuth3、微服务网关鉴权 等一系列权限相关问题。
首先在项目中引入 Sa-Token 依赖:
<!-- Sa-Token 权限认证 -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-spring-boot-starter</artifactId>
<version>1.34.0</version>
</dependency>注:如果你使用的是 SpringBoot 3.x,只需要将 sa-token-spring-boot-starter 修改为 sa-token-spring-boot3-starter 即可。
二、获取当前账号权限码集合
因为每个项目的需求不同,其权限设计也千变万化,因此 [ 获取当前账号权限码集合 ] 这一操作不可能内置到框架中,所以 Sa-Token 将此操作以接口的方式暴露给你,以方便你根据自己的业务逻辑进行重写。
你需要做的就是新建一个类,实现 StpInterface接口,例如以下代码:
/**
* 自定义权限验证接口扩展
*/
@Component // 保证此类被SpringBoot扫描,完成Sa-Token的自定义权限验证扩展
public class StpInterfaceImpl implements StpInterface {
/**
* 返回一个账号所拥有的权限码集合
*/
@Override
public List<String> getPermissionList(Object loginId, String loginType) {
// 本list仅做模拟,实际项目中要根据具体业务逻辑来查询权限
List<String> list = new ArrayList<String>();
list.add("101");
list.add("user.add");
list.add("user.update");
list.add("user.get");
// list.add("user.delete");
list.add("art.*");
return list;
}
/**
* 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
*/
@Override
public List<String> getRoleList(Object loginId, String loginType) {
// 本list仅做模拟,实际项目中要根据具体业务逻辑来查询角色
List<String> list = new ArrayList<String>();
list.add("admin");
list.add("super-admin");
return list;
}
}参数解释:
loginId:账号id,即你在调用
StpUtil.login(id)时写入的标识值。loginType:账号体系标识,此处可以暂时忽略,在 [ 多账户认证 ] 章节下会对这个概念做详细的解释。
注意点:类上一定要加上 @Component 注解,保证组件被 Springboot 扫描到,成功注入到 Sa-Token 框架内。
三、权限校验
启动类:
@SpringBootApplication
public class SaTokenCaseApplication {
public static void main(String[] args) {
SpringApplication.run(SaTokenCaseApplication.class, args);
System.out.println("\n启动成功:Sa-Token配置如下:" + SaManager.getConfig());
}
}然后就可以用以下api来鉴权了
// 获取:当前账号所拥有的权限集合
StpUtil.getPermissionList();
// 判断:当前账号是否含有指定权限, 返回 true 或 false
StpUtil.hasPermission("user.add");
// 校验:当前账号是否含有指定权限, 如果验证未通过,则抛出异常: NotPermissionException
StpUtil.checkPermission("user.add");
// 校验:当前账号是否含有指定权限 [指定多个,必须全部验证通过]
StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");
// 校验:当前账号是否含有指定权限 [指定多个,只要其一验证通过即可]
StpUtil.checkPermissionOr("user.add", "user.delete", "user.get"); 扩展:NotPermissionException 对象可通过 getLoginType() 方法获取具体是哪个 StpLogic 抛出的异常
四、角色校验
在Sa-Token中,角色和权限可以独立验证
// 获取:当前账号所拥有的角色集合
StpUtil.getRoleList();
// 判断:当前账号是否拥有指定角色, 返回 true 或 false
StpUtil.hasRole("super-admin");
// 校验:当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleException
StpUtil.checkRole("super-admin");
// 校验:当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]
StpUtil.checkRoleAnd("super-admin", "shop-admin");
// 校验:当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可]
StpUtil.checkRoleOr("super-admin", "shop-admin"); 扩展:NotRoleException 对象可通过 getLoginType() 方法获取具体是哪个 StpLogic 抛出的异常
五、拦截全局异常
有同学要问,鉴权失败,抛出异常,然后呢?要把异常显示给用户看吗?当然不可以!
你可以创建一个全局异常拦截器,统一返回给前端的格式,参考:
@RestControllerAdvice
public class GlobalExceptionHandler {
// 全局异常拦截
@ExceptionHandler
public SaResult handlerException(Exception e) {
e.printStackTrace();
return SaResult.error(e.getMessage());
}
}六、权限通配符
Sa-Token允许你根据通配符指定泛权限,例如当一个账号拥有art.*的权限时,art.add、art.delete、art.update都将匹配通过
// 当拥有 art.* 权限时
StpUtil.hasPermission("art.add"); // true
StpUtil.hasPermission("art.update"); // true
StpUtil.hasPermission("goods.add"); // false
// 当拥有 *.delete 权限时
StpUtil.hasPermission("art.delete"); // true
StpUtil.hasPermission("user.delete"); // true
StpUtil.hasPermission("user.update"); // false
// 当拥有 *.js 权限时
StpUtil.hasPermission("index.js"); // true
StpUtil.hasPermission("index.css"); // false
StpUtil.hasPermission("index.html"); // false上帝权限:当一个账号拥有
"*"权限时,他可以验证通过任何权限码 (角色认证同理)
七、如何把权限精确到按钮级?
权限精确到按钮级的意思就是指:权限范围可以控制到页面上的每一个按钮是否显示。
思路:如此精确的范围控制只依赖后端已经难以完成,此时需要前端进行一定的逻辑判断。
如果是前后端一体项目,可以参考:Thymeleaf 标签方言,如果是前后端分离项目,则:
在登录时,把当前账号拥有的所有权限码一次性返回给前端。
前端将权限码集合保存在
localStorage或其它全局状态管理对象中。在需要权限控制的按钮上,使用 js 进行逻辑判断,例如在
Vue框架中我们可以使用如下写法:
<button v-if="arr.indexOf('user.delete') > -1">删除按钮</button>
其中:arr是当前用户拥有的权限码数组,user.delete是显示按钮需要拥有的权限码,删除按钮확인 실패, 액세스 금지
계정이 소유한 권한 코드 세트를 어떻게 얻을 수 있나요?
🎜🎜이 작업을 위해 확인해야 하는 권한 코드는 무엇입니까? 🎜🎜🎜🎜다음으로 Sa-Token을 사용하여 SpringBoot에서 권한 인증 작업을 완료하는 방법을 소개하겠습니다. 🎜🎜Sa-Token은 로그인 인증, 권한 인증, Single Sign-On, OAuth3, 마이크로서비스 게이트웨이 인증 등과 같은 일련의 권한 관련 문제를 주로 해결하는 경량 Java 권한 인증 프레임워크입니다. 🎜🎜먼저 프로젝트에 Sa-Token 종속성을 도입하세요. 🎜
package com.pj.cases.use;
import java.util.List;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;
/**
* Sa-Token 权限认证示例
*
* @author kong
* @since 2022-10-13
*/
@RestController
@RequestMapping("/jur/")
public class JurAuthController {
/*
* 前提1:首先调用登录接口进行登录,代码在 com.pj.cases.use.LoginAuthController 中有详细解释,此处不再赘述
* ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
*
* 前提2:项目实现 StpInterface 接口,代码在 com.pj.satoken.StpInterfaceImpl
* Sa-Token 将从此实现类获取 每个账号拥有哪些权限。
*
* 然后我们就可以使用以下示例中的代码进行鉴权了
*/
// 查询权限 ---- http://localhost:8081/jur/getPermission
@RequestMapping("getPermission")
public SaResult getPermission() {
// 查询权限信息 ,如果当前会话未登录,会返回一个空集合
List<String> permissionList = StpUtil.getPermissionList();
System.out.println("当前登录账号拥有的所有权限:" + permissionList);
// 查询角色信息 ,如果当前会话未登录,会返回一个空集合
List<String> roleList = StpUtil.getRoleList();
System.out.println("当前登录账号拥有的所有角色:" + roleList);
// 返回给前端
return SaResult.ok()
.set("roleList", roleList)
.set("permissionList", permissionList);
}
// 权限校验 ---- http://localhost:8081/jur/checkPermission
@RequestMapping("checkPermission")
public SaResult checkPermission() {
// 判断:当前账号是否拥有一个权限,返回 true 或 false
// 如果当前账号未登录,则永远返回 false
StpUtil.hasPermission("user.add");
StpUtil.hasPermissionAnd("user.add", "user.delete", "user.get"); // 指定多个,必须全部拥有才会返回 true
StpUtil.hasPermissionOr("user.add", "user.delete", "user.get"); // 指定多个,只要拥有一个就会返回 true
// 校验:当前账号是否拥有一个权限,校验不通过时会抛出 `NotPermissionException` 异常
// 如果当前账号未登录,则永远校验失败
StpUtil.checkPermission("user.add");
StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get"); // 指定多个,必须全部拥有才会校验通过
StpUtil.checkPermissionOr("user.add", "user.delete", "user.get"); // 指定多个,只要拥有一个就会校验通过
return SaResult.ok();
}
// 角色校验 ---- http://localhost:8081/jur/checkRole
@RequestMapping("checkRole")
public SaResult checkRole() {
// 判断:当前账号是否拥有一个角色,返回 true 或 false
// 如果当前账号未登录,则永远返回 false
StpUtil.hasRole("admin");
StpUtil.hasRoleAnd("admin", "ceo", "cfo"); // 指定多个,必须全部拥有才会返回 true
StpUtil.hasRoleOr("admin", "ceo", "cfo"); // 指定多个,只要拥有一个就会返回 true
// 校验:当前账号是否拥有一个角色,校验不通过时会抛出 `NotRoleException` 异常
// 如果当前账号未登录,则永远校验失败
StpUtil.checkRole("admin");
StpUtil.checkRoleAnd("admin", "ceo", "cfo"); // 指定多个,必须全部拥有才会校验通过
StpUtil.checkRoleOr("admin", "ceo", "cfo"); // 指定多个,只要拥有一个就会校验通过
return SaResult.ok();
}
// 权限通配符 ---- http://localhost:8081/jur/wildcardPermission
@RequestMapping("wildcardPermission")
public SaResult wildcardPermission() {
// 前提条件:在 StpInterface 实现类中,为账号返回了 "art.*" 泛权限
StpUtil.hasPermission("art.add"); // 返回 true
StpUtil.hasPermission("art.delete"); // 返回 true
StpUtil.hasPermission("goods.add"); // 返回 false,因为前缀不符合
// * 符合可以出现在任意位置,比如权限码的开头,当账号拥有 "*.delete" 时
StpUtil.hasPermission("goods.add"); // false
StpUtil.hasPermission("goods.delete"); // true
StpUtil.hasPermission("art.delete"); // true
// 也可以出现在权限码的中间,比如当账号拥有 "shop.*.user" 时
StpUtil.hasPermission("shop.add.user"); // true
StpUtil.hasPermission("shop.delete.user"); // true
StpUtil.hasPermission("shop.delete.goods"); // false,因为后缀不符合
// 注意点:
// 1、上帝权限:当一个账号拥有 "*" 权限时,他可以验证通过任何权限码
// 2、角色校验也可以加 * ,指定泛角色,例如: "*.admin",暂不赘述
return SaResult.ok();
}
}🎜참고: SpringBoot 3.x를 사용하는 경우 sa-token-만 추가하면 됩니다. spring-boot-starter를 sa-token-spring-boot3-starter로 변경할 수 있습니다. 🎜🎜2. 현재 계정 권한 코드 세트 가져오기🎜🎜각 프로젝트마다 요구 사항이 다르고 권한 디자인도 끊임없이 변경되므로 [현재 계정 권한 코드 세트 가져오기] 이 작업은 프레임워크에 내장될 수 없으므로 Sa -토큰 의지 이 작업은 사용자 고유의 비즈니스 논리에 따라 다시 작성할 수 있도록 인터페이스 형태로 사용자에게 노출됩니다. 🎜🎜해야 할 일은 새 클래스를 만들고 다음 코드와 같은 StpInterface 인터페이스를 구현하는 것뿐입니다. 🎜rrreee🎜🎜매개변수 설명: 🎜🎜🎜🎜🎜loginId: 계정 ID, that 즉, StpUtil.login(id)를 사용할 때 작성한 식별값을 호출하고 있는 것입니다. 🎜🎜🎜🎜loginType: 일시적으로 무시할 수 있는 계정 시스템 식별자입니다. 이 개념은 [다중 계정 인증] 장에서 자세히 설명합니다. 🎜🎜🎜🎜🎜참고: 🎜Springboot에서 구성 요소를 검색하고 Sa-Token 프레임워크에 성공적으로 삽입하려면 클래스에 @Component로 주석을 달아야 합니다. 🎜🎜3. 권한 확인🎜🎜Startup 클래스: 🎜rrreee🎜그런 다음 다음 API를 사용하여 인증할 수 있습니다🎜rrreee🎜Extension: NotPermissionException 개체는 getLoginType()을 전달할 수 있습니다. > StpLogic🎜🎜4. 역할 확인🎜🎜Sa-Token에서는 역할과 권한을 독립적으로 확인할 수 있습니다🎜rrreee🎜확장: NotRoleException code> 객체는 <code>getLoginType() 메서드를 사용하여 StpLogic🎜🎜5에서 발생한 특정 예외를 얻을 수 있습니다. 전역 예외 차단🎜🎜어떤 학생들은 인증에 실패했습니다. 예외인데 그럼 어쩌지? 사용자에게 예외를 표시하시겠습니까? 🎜당연하지! 🎜🎜🎜전역 예외 인터셉터를 생성하여 프런트 엔드에 반환된 형식을 통합할 수 있습니다. 참조: 🎜rrreee🎜 6. 권한 와일드카드 🎜🎜Sa-Token을 사용하면 와일드카드를 기반으로 🎜pan 권한🎜을 지정할 수 있습니다. 계정에는 art.* 권한이 있으며, art.add, art.delete 및 art.update는 모두 match 🎜rrreee 🎜신의 권한: 계정에 "*" 권한이 있으면 모든 권한 코드를 확인할 수 있습니다(역할 인증의 경우에도 마찬가지)🎜🎜 7. 방법 권한 버튼 수준을 정확하게 확인하려면? 🎜🎜버튼 수준의 권한은 다음을 의미합니다. 🎜권한 범위는 페이지의 각 버튼 표시 여부를 제어할 수 있습니다🎜. 🎜🎜생각하기: 이러한 정확한 범위 제어는 백엔드에만 의존하여 달성하기 어렵습니다. 이때 프런트엔드는 특정한 논리적 판단을 내려야 합니다. 🎜🎜프런트엔드와 백엔드 통합 프로젝트인 경우 다음을 참조할 수 있습니다: Thymeleaf 태그 방언 프론트엔드와 백엔드 분리 프로젝트인 경우: 🎜🎜🎜🎜로그인 시 모든 현재 계정이 소유한 권한 코드가 프런트엔드에 한번에 반환됩니다. 🎜🎜🎜🎜프런트 엔드는 권한 코드 수집을 localStorage 또는 기타 전역 상태 관리 개체에 저장합니다. 🎜🎜🎜🎜권한 제어가 필요한 버튼에서는 js를 사용하여 논리적 판단을 내립니다. 예를 들어 Vue 프레임워크에서는 다음과 같이 작성할 수 있습니다. 🎜🎜🎜rrreee🎜where: arr 는 현재 사용자가 소유한 권한 코드의 배열입니다. user.delete는 버튼을 표시하는 데 필요한 권한 코드입니다. 사용자는 자신에게 권한 코드가 있는지 여부만 알 수 있습니다. 🎜🎜참고: 위의 작성 방법은 참고용 예시일 뿐입니다. 프레임워크마다 작성 방법이 다르므로 프로젝트 기술 스택에 따라 유연하게 캡슐화하고 호출할 수 있습니다. 🎜🎜8. 프론트엔드에 인증이 있으면 백엔드에도 인증이 필요한가요? 🎜🎜🎜필요해요! 🎜🎜前端的鉴权只是一个辅助功能,对于专业人员这些限制都是可以轻松绕过的,为保证服务器安全,无论前端是否进行了权限校验,后端接口都需要对会话请求再次进行权限校验!
九、来个小示例,加深一下印象
新建 JurAuthController,复制以下代码
package com.pj.cases.use;
import java.util.List;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;
/**
* Sa-Token 权限认证示例
*
* @author kong
* @since 2022-10-13
*/
@RestController
@RequestMapping("/jur/")
public class JurAuthController {
/*
* 前提1:首先调用登录接口进行登录,代码在 com.pj.cases.use.LoginAuthController 中有详细解释,此处不再赘述
* ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
*
* 前提2:项目实现 StpInterface 接口,代码在 com.pj.satoken.StpInterfaceImpl
* Sa-Token 将从此实现类获取 每个账号拥有哪些权限。
*
* 然后我们就可以使用以下示例中的代码进行鉴权了
*/
// 查询权限 ---- http://localhost:8081/jur/getPermission
@RequestMapping("getPermission")
public SaResult getPermission() {
// 查询权限信息 ,如果当前会话未登录,会返回一个空集合
List<String> permissionList = StpUtil.getPermissionList();
System.out.println("当前登录账号拥有的所有权限:" + permissionList);
// 查询角色信息 ,如果当前会话未登录,会返回一个空集合
List<String> roleList = StpUtil.getRoleList();
System.out.println("当前登录账号拥有的所有角色:" + roleList);
// 返回给前端
return SaResult.ok()
.set("roleList", roleList)
.set("permissionList", permissionList);
}
// 权限校验 ---- http://localhost:8081/jur/checkPermission
@RequestMapping("checkPermission")
public SaResult checkPermission() {
// 判断:当前账号是否拥有一个权限,返回 true 或 false
// 如果当前账号未登录,则永远返回 false
StpUtil.hasPermission("user.add");
StpUtil.hasPermissionAnd("user.add", "user.delete", "user.get"); // 指定多个,必须全部拥有才会返回 true
StpUtil.hasPermissionOr("user.add", "user.delete", "user.get"); // 指定多个,只要拥有一个就会返回 true
// 校验:当前账号是否拥有一个权限,校验不通过时会抛出 `NotPermissionException` 异常
// 如果当前账号未登录,则永远校验失败
StpUtil.checkPermission("user.add");
StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get"); // 指定多个,必须全部拥有才会校验通过
StpUtil.checkPermissionOr("user.add", "user.delete", "user.get"); // 指定多个,只要拥有一个就会校验通过
return SaResult.ok();
}
// 角色校验 ---- http://localhost:8081/jur/checkRole
@RequestMapping("checkRole")
public SaResult checkRole() {
// 判断:当前账号是否拥有一个角色,返回 true 或 false
// 如果当前账号未登录,则永远返回 false
StpUtil.hasRole("admin");
StpUtil.hasRoleAnd("admin", "ceo", "cfo"); // 指定多个,必须全部拥有才会返回 true
StpUtil.hasRoleOr("admin", "ceo", "cfo"); // 指定多个,只要拥有一个就会返回 true
// 校验:当前账号是否拥有一个角色,校验不通过时会抛出 `NotRoleException` 异常
// 如果当前账号未登录,则永远校验失败
StpUtil.checkRole("admin");
StpUtil.checkRoleAnd("admin", "ceo", "cfo"); // 指定多个,必须全部拥有才会校验通过
StpUtil.checkRoleOr("admin", "ceo", "cfo"); // 指定多个,只要拥有一个就会校验通过
return SaResult.ok();
}
// 权限通配符 ---- http://localhost:8081/jur/wildcardPermission
@RequestMapping("wildcardPermission")
public SaResult wildcardPermission() {
// 前提条件:在 StpInterface 实现类中,为账号返回了 "art.*" 泛权限
StpUtil.hasPermission("art.add"); // 返回 true
StpUtil.hasPermission("art.delete"); // 返回 true
StpUtil.hasPermission("goods.add"); // 返回 false,因为前缀不符合
// * 符合可以出现在任意位置,比如权限码的开头,当账号拥有 "*.delete" 时
StpUtil.hasPermission("goods.add"); // false
StpUtil.hasPermission("goods.delete"); // true
StpUtil.hasPermission("art.delete"); // true
// 也可以出现在权限码的中间,比如当账号拥有 "shop.*.user" 时
StpUtil.hasPermission("shop.add.user"); // true
StpUtil.hasPermission("shop.delete.user"); // true
StpUtil.hasPermission("shop.delete.goods"); // false,因为后缀不符合
// 注意点:
// 1、上帝权限:当一个账号拥有 "*" 权限时,他可以验证通过任何权限码
// 2、角色校验也可以加 * ,指定泛角色,例如: "*.admin",暂不赘述
return SaResult.ok();
}
}代码注释已针对每一步操作做出详细解释,大家可根据可参照注释中的访问链接进行逐步测试。
위 내용은 SpringBoot가 Sa-Token을 사용하여 권한 인증을 구현하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
성명:
이 기사는 yisu.com에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제
이전 기사:SpringBoot 인터셉터를 사용하는 방법다음 기사:SpringBoot 인터셉터를 사용하는 방법