sa-token 之权限验证

最新推荐文章于 2025-03-27 16:33:28 发布
置顶 最新推荐文章于 2025-03-27 16:33:28 发布
阅读量2.9k 收藏 4
点赞数 2
分类专栏: 权限框架 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Herat_99/article/details/112787695
版权

权限验证

核心思想

所谓权限验证,验证的核心就是当前账号是否拥有一个权限码
有:就让你通过、没有:那么禁止访问
再往底了说,就是每个账号都会拥有一个权限码集合,我来验证这个集合中是否包括我需要检测的那个权限码
例如:当前账号拥有权限码集合:[“user:add”, “user:delete”, “user:get”],这时候我去验证权限码:“user:update”,则结果就是验证失败,禁止访问
所以现在问题的核心就是:

  1. 如何获取一个账号所拥有的的权限码集合
  2. 本次操作要验证的权限码是哪个

获取当前账号权限码集合

因为每个项目的需求不同,其权限设计也千变万化,【获取当前账号权限码集合】这一操作不可能内置到框架中, 所以sa-token将此操作以接口的方式暴露给你,以方便的你根据自己的业务逻辑进行重写

  • 你需要做的就是新建一个类,重写StpInterface接口,例如以下代码:
package com.pj.satoken;

import java.util.ArrayList;
import java.util.List;
import org.springframework.stereotype.Component;
import cn.dev33.satoken.stp.StpInterface;

/**
 *    自定义权限验证接口扩展 
 */
@Component    // 保证此类被springboot扫描,完成sa-token的自定义权限验证扩展 
public class StpInterfaceImpl implements StpInterface {

    /**
     * 返回一个账号所拥有的权限码集合 
     */
    @Override
    public List<String> getPermissionCodeList(Object loginId, String loginKey) {
        // 本list仅做模拟,实际项目中要根据具体业务逻辑来查询权限
        List<String> list = new ArrayList<String>();    
        list.add("101");
        list.add("user-add");
        list.add("user-delete");
        list.add("user-update");
        list.add("user-get");
        list.add("article-get");
        return list;
    }

    /**
     * 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
     */
    @Override
    public List<String> getRoleList(Object loginId, String loginKey) {
        // 本list仅做模拟,实际项目中要根据具体业务逻辑来查询角色
        List<String> list = new ArrayList<String>();    
        list.add("admin");
        list.add("super-admin");
        return list;
    }

}

验证是否包含指定权限码

然后就可以用以下api来鉴权了

StpUtil.hasPermission(Object pcode)
- 查询当前账号是否含有指定权限,返回true或false

StpUtil.checkPermission(Object pcode)
- 检测当前账号是否含有指定权限,如果有则安全通过,如果没有则抛出异常:NotPermissionException
- 扩展:NotPermissionException 对象可通过 getLoginKey() 方法获取具体是哪个 StpLogic 抛出的异常

StpUtil.checkPermissionAnd(Object... pcode)
检测当前账号是否含有指定权限【指定多个,必须全都有,否则抛出异常】

StpUtil.checkPermissionOr(Object... pcode)
-检测当前账号是否含有指定权限【指定多个,有一个就可以了,全都没有才会抛出异常】

拦截全局异常

有同学要问,鉴权失败,抛出异常,然后呢?要把异常显示给用户看吗?
当然不能把异常抛给用户看,你可以创建一个全局异常拦截器,统一返回给前端的格式,例如以下示例:

写在最后

源码开源,作者不易,如果你喜欢这个框架麻烦你随手点一颗小星星哦!

在这里插入图片描述

【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
使用sa-token 进行权限控制
java大神起床啦
04-11 7823
sa-token
基于SpringBoot的影像注册系统04 sa-token使用(源码解析 + 万字
m0_67614284的博客
05-03 1897
逻辑:查询username存不存在,再查询密码是否正确,只要没有抛异常就调用sa-token的login方法。 StpUtil.login(userReal.getId()); login方法传入我们user的id,比如: 把int类型的数值传进去了。 步骤 4 sa-token登录认证 ================= [核心思想](() 所谓登录认证,说白了就是限制某些API接口必须登录后才能访问(例:查询我的账号资料) 那么如何判断一个会话是否登录?框架会在登录成功后给你做个标记,每次登录认证时校
Sa-Token 一个轻量级Java权限认证框架
何同学
08-15 6123
*** 注册路由拦截器(自定义拦截规则)// 登录认证 拦截所有路由,并排除/user/doLogin 用于开放登录 SaRouter . match("/**" , "/auth/login" , r -> StpUtil . checkLogin());
Spring Boot整合Sa-Token:轻量级权限认证框架实战
咖啡因依赖症晚期
03-15 1523
Sa-Token是一款轻量级Java权限认证框架,专为解决Web系统的登录认证、权限控制、Session会话等问题而设计。其核心优势在于API简洁、功能丰富、扩展性强,支持注解鉴权、多账号体系、单点登录等场景相比Shiro和Spring Security,Sa-Token的学习成本和集成难度更低,适合快速开发。Sa-token功能概览Sa-Token 目前主要五大功能模块:登录认证、权限认证、单点登录、OAuth2.0、微服务鉴权。登录认证—— 单端登录、多端登录、同端互斥登录、七天内免登录。权限认证。
sa-token权限认证
weixin_42510217的博客
11-21 1123
sa-token权限校验十分简单,只需要创建一个实现StpInterface接口的类,重写`getPermissionList`和`getRoleList`两个方法,返回权限列表以及角色列表就可以,sa-token内部会自动判断接口所需的权限字符串或者角色字符串是否在返回的List中。
springboot整合Sa-Token实现登录认证和权限校验(万字长文)
2301_78646673的博客
02-03 9164
我本来是想写一篇介绍spring boot项目中整合Sa-Token来实现最常用的登录校验和权限认证的,但是写着写着就变成官网的复制机了。我在本篇文章中大量复制了官网上的内容,原本只是想复制一些官方介绍就行了。但是这也从侧面说明了Sa-Token官网制作的确实是比较好的,基本上不需要额外的学习,只要你有做过登录和权限方面的项目经验,再看一遍官网的介绍就能直接上手了。我之前写过一个B2C模式的购物商台,分为用户端和管理端。管理端的登录和权限校验是用spring security写的。
Sa-Token,一款更加轻量的权限认证框架
一个人的江湖
07-06 3310
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。// 会话登录,参数填登录人的账号id StpUtil . login(10001);就仅仅这一行代码即可搞定,无需实现任何接口,无需创建任何配置文件,只需要这一句静态代码的调用,便可以完成会话登录认证。
Sa-Token权限认证框架 v1.37.0.zip
03-27
Sa-Token权限认证框架 v1.37.0】是一个专为Java开发人员设计的轻量级权限认证框架,旨在简化应用中的权限控制问题。它提供了丰富的API接口和灵活的扩展机制,使得开发者能够快速地在项目中实现用户权限的管理。 ...
sa-token封装了一下
03-15
sa-token封装了一下”这个标题表明了这是一个关于sa-token的讨论,sa-token是一个轻量级的Java权限认证框架,主要用于解决权限认证和授权问题。这里的“封装了一下”可能意味着有人或团队对sa-token进行了二次开发...
sa-token(权限验证框架)跨域请求中的预检请求问题
qq_35655026的博客
12-28 485
对于非简单请求,浏览器会在实际请求(例如PUT、DELETE、PATCH或具有自定义头部和其他Content-Type的POST请求)之前发送OPTIONS请求(预检请求)。这里出现的情况是,我的axios发起的请求因为不知名的原因停止了,并且请求也变得奇奇怪怪,内容都变少了,并且在控制台中再次出现跨域请求错误,但我已经在后端配置了跨域,并且经过测试可以允许跨域了。可以确认就是这个预检请求导致的token无法验证,如果预检请求没有通过,浏览器不会发送实际的跨域请求,而是直接拒绝这个请求。
SpringBoot 权限认证——Sa-Token的使用与详解
小蜗牛的珍贵百宝箱
09-29 2195
Sa-Token登录认证:用户登录状态的维护权限校验:检查用户是否有操作权限Session 会话:支持分布式 Session 共享单点登录(SSO):支持单点登录踢人下线:强制用户下线多账号体系:支持不同身份登录体系临时身份切换:在不退出登录的情况下,切换身份相比于 Shiro、Spring Security 等框架,Sa-Token 更加轻量易用,且具有非常高的扩展性。Sa-Token 支持基于角色和权限的访问控制。在实际项目中,我们可以将角色和权限与数据库结合,通过和方法来实现权限认证。
SaToken权限认证错误:NotLoginException-未能读取到有效token-可能是远程调用出现了错误
m0_68765858的博客
07-06 1万+
satoken框架,鉴权出现问题,可能是你使用了远程调用
Sa-Token】Spring Boot项目中使用Sa-Token框架
apple_51673523的博客
03-02 2311
本篇介绍的是Sa-Token的使用
SpringCloud+saToken实现登录及权限认证
m0_54088427的博客
01-04 2904
相比于我们常用的spring security框架,sa-Token更轻,更快,更优雅.
Sa-Token在SpringCloud项目中的应用,admin分配超级权限失败的问题总结
君临天下tjm的博客
02-22 944
sa-token权限通配符,"*":代表拥有所有的权限;"*:*:*":表示匹配两个冒号间隔三段字符串的权限格式。
Sa-Token,优雅的实现 Spring Boot 项目鉴权!
doxopcsdn的博客
06-28 535
Sa-Token是一个轻量级Java权限认证框架。主要解决的问题如下:登录认证权限认证单点登录OAuth2.0分布式Session会话微服务网关鉴权等一系列权限相关问题。Sa-Token框架是一个轻量级的登录、鉴权框架,有利于我们开发。
Sa-Token】7、Sa-Token抛出的异常统一处理
热门推荐
Asurplus
08-01 21万+
Sa-Token 的登录,授权,验证过程中,会抛出很多的异常,我们不能将这些异常信息直接返回给用户,因为用户是看不懂这些异常信息的,我们就需要对这些异常信息进行处理,处理之后再返回展示给前端用户 1、统一异常处理 package com.asurplus.common.satoken; import cn.dev33.satoken.exception.*; import com.asurplus.common.utils.RES; import org.springframework.web.bin
Sa-Token核心功能解剖二( Session会话、 持久层Redis扩展 、全局侦听器 、全局过滤器、多账号体系认证、单点登录)
最新发布
HarryChenj的专栏
03-27 1152
Sa-Token核心功能解剖二( Session会话、 持久层Redis扩展 、全局侦听器 、全局过滤器、多账号体系认证、单点登录)
sa-token 权限控制
03-18
### 如何使用 Sa-Token 实现权限控制 #### 1. 引入依赖 为了开始使用 Sa-Token,首先需要在项目中引入其 Maven 或 Gradle 依赖。以下是 Maven 配置示例: ```xml <dependency> <groupId>cn.dev33</groupId> <artifactId>sso-starter-spring-boot2</artifactId> <version>1.28.0</version> </dependency> ``` 此部分操作用于初始化项目的环境设置[^1]。 #### 2. 基本配置 完成依赖引入后,在 Spring Boot 的 `application.yml` 文件中可以进行基础配置,例如 Token 超时时间、Session 类型等参数设定。默认情况下,Sa-Token 提供了多种存储策略(内存、Redis),开发者可以根据需求灵活调整。 ```yaml sa-token: timeout: 2592000 # token有效期,默认单位秒(30天) is-concurrent: false # 是否允许同一账号并发登录 max-concurrency: -1 # 同一账号最大并发数 (is-concurrent=true时有效),-1表示不限制 ``` 上述配置项定义了令牌的有效期以及账户的并发行为约束。 #### 3. 登录功能实现 通过调用 Sa-Token 提供的方法来完成用户的登录逻辑。下面展示了一个简单的登录接口代码片段: ```java @RestController public class LoginController { @PostMapping("/doLogin") public String doLogin(String username, String password) { // 这里通常会查询数据库验证用户名密码是否匹配... boolean loginSuccess = "testUser".equals(username) && "123456".equals(password); if(loginSuccess){ StpUtil.login(10001); // 模拟登录成功后的用户ID设为10001 return "登录成功"; }else{ return "用户名或密码错误"; } } } ``` 在此处实现了基于模拟数据的身份验证过程,并利用 `StpUtil.login()` 方法记录已登录状态。 #### 4. 权限校验机制 对于特定资源访问前需执行权限检查的情况,可借助注解快速达成目标。比如只允许具有某些角色或者指定权限码的人才能进入某方法内部运行如下所示的例子: ```java @SneakyThrows @RequestMapping("/adminOnly") public String adminPage(){ StpUtil.checkRole("admin"); // 如果当前登录者不具备 'admin' 角色,则抛出异常 return "这是管理员页面"; } @RequestMapping("/viewReport") public String viewReport(){ StpUtil.checkPermission("report:view"); // 若无 report:view 权限时阻止继续 return "报告查看页"; } ``` 这里展示了两种不同类型的授权检测——按角色(`checkRole`) 和按具体动作许可 (`checkPermission`)。 #### 5. 自定义过滤器与拦截规则 除了直接应用内置注解外,还可以创建自定义 Filter 对请求路径加以管控。例如针对 `/api/**` 下的所有API端点统一加入身份验证环节: ```java @Configuration public class SaTokenConfigure implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new SaTokenInterceptor()) .addPathPatterns("/api/**") // 应用到 /api/** 所有请求上 .excludePathPatterns("/api/login");// 排除掉无需认证的部分链接 } } ``` 这段脚本设置了全局性的安全防护措施,确保只有经过合法鉴权之后才可以触及受保护的内容。 --- ### 总结 以上介绍了关于如何采用 Sa-Token 构建一套完整的权限管理体系的关键步骤,涵盖了从初步准备直到实际部署使用的整个流程说明。希望这些指导能够帮助您更好地理解和运用该工具库解决日常开发中的问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值