Sa-Token路由拦截鉴权详解:优雅实现接口权限控制

最新推荐文章于 2025-06-22 07:30:00 发布
原创 最新推荐文章于 2025-06-22 07:30:00 发布 · 265 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Sa-Token路由拦截鉴权详解:优雅实现接口权限控制

Sa-Token 一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!—— 登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0 Sa-Token 项目地址: https://gitcode.com/gh_mirrors/sa/Sa-Token

一、路由拦截鉴权概述

在现代Web应用中,接口权限控制是保障系统安全的重要环节。Sa-Token作为一款轻量级Java权限认证框架,提供了强大的路由拦截鉴权功能,能够帮助开发者以声明式的方式轻松实现接口访问控制。

路由拦截鉴权的核心思想是:根据请求路径匹配规则,对符合特定条件的请求执行权限校验。相比传统的在每个Controller方法上加注解的方式,路由拦截更加集中、灵活,特别适合需要批量控制接口访问权限的场景。

二、基础使用示例

1. 最简单的登录校验拦截

假设我们需要实现"所有接口需要登录,但登录接口本身除外"的需求,可以这样配置:

@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new SaInterceptor(handle -> StpUtil.checkLogin()))
                .addPathPatterns("/**")
                .excludePathPatterns("/user/doLogin");
    }
}

这段代码做了三件事:

  1. 创建SaInterceptor拦截器,设置基础校验规则为登录检查
  2. 拦截所有路径(/**)
  3. 排除登录接口(/user/doLogin)

2. 进阶:模块化权限控制

实际项目中,我们通常需要根据不同业务模块设置不同的权限:

@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new SaInterceptor(handler -> {
            // 通用登录校验
            SaRouter.match("/**")
                   .notMatch("/user/doLogin")
                   .check(r -> StpUtil.checkLogin());
            
            // 模块权限校验
            SaRouter.match("/user/**", r -> StpUtil.checkPermission("user"));
            SaRouter.match("/admin/**", r -> StpUtil.checkPermission("admin"));
            // 其他模块...
        })).addPathPatterns("/**");
    }
}

三、路由匹配的多种方式

Sa-Token提供了丰富的路由匹配方式,满足各种复杂场景:

1. 路径匹配

// 匹配多个路径
SaRouter.match("/user/**", "/goods/**").check(...);

// 排除特定路径
SaRouter.match("/**").notMatch("*.html", "*.css").check(...);

2. 请求方法匹配

// 只拦截GET请求
SaRouter.match(SaHttpMethod.GET).check(...);

3. 条件匹配

// 根据布尔条件匹配
SaRouter.match(StpUtil.isLogin()).check(...);

// 根据Lambda表达式匹配
SaRouter.match(r -> r.getRequest().getHeader("X-Token") != null).check(...);

4. 组合匹配

SaRouter
    .match(SaHttpMethod.POST)
    .match("/admin/**")
    .notMatch("/admin/export")
    .check(...);

四、流程控制与作用域

1. 中断匹配链

// stop()会停止后续匹配,但会继续执行Controller
SaRouter.match("/**").check(...).stop();

// back()会直接返回响应,不执行Controller
SaRouter.match("/error").back("系统错误");

2. 独立作用域

SaRouter.match("/**").free(r -> {
    // 这里的stop只会跳出当前free块
    SaRouter.match("/temp/**").check(...).stop();
});
// 这里的匹配会继续执行
SaRouter.match("/**").check(...);

五、注解与拦截器的配合

1. 使用@SaIgnore忽略校验

@SaIgnore
@RequestMapping("/public/data")
public SaResult getPublicData() {
    // 此接口将跳过所有路由拦截校验
    return SaResult.data(...);
}

2. 关闭注解校验能力

如果只想使用路由拦截,可以关闭注解校验:

new SaInterceptor(...).isAnnotation(false)

六、最佳实践建议

  1. 分层设计:将公共校验(如登录检查)与模块校验分开,提高可读性
  2. 合理使用排除规则:对静态资源、公开接口等做好排除配置
  3. 注意匹配顺序:路由匹配是按代码顺序执行的,应将更具体的规则放在前面
  4. 适度使用free作用域:复杂场景下使用free可以更好地控制校验流程

七、总结

Sa-Token的路由拦截鉴权功能通过简洁的API提供了强大的权限控制能力。无论是简单的登录校验,还是复杂的多模块权限系统,都能通过合理的路由配置优雅实现。相比传统方式,它具有以下优势:

  1. 配置集中,便于维护
  2. 规则灵活,支持多种匹配方式
  3. 执行效率高,减少重复校验
  4. 与注解鉴权互补,形成完整权限体系

掌握Sa-Token的路由拦截功能,能够显著提升开发效率,构建更加安全的Web应用。

Sa-Token 一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!—— 登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0 Sa-Token 项目地址: https://gitcode.com/gh_mirrors/sa/Sa-Token

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关
念兮为美
08-30 4875
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关。演示SpringBoot集成Sa-Token和Spring WebFlux集成Sa-Token这两个常用的开发框架。......
【项目实战】Sa-Token 注解一览
本本本添哥
06-02 378
Sa-TokenSAToken)是一个轻量级的Java限认证框架。Sa-TokenSAToken)提供了一系列注解来简化权限控制实现
SpringCloud3.0+Sa-token+Gateway网关实现token登录拦截功能
weixin_58415189的博客
04-16 5145
上面我用的是StpUtil1而不是StpUtil ,原因是我系统有两个角色,超级管理员和管理员,所以根据官方文档我创建了一个新的类,叫做StpUtil1,然后将其StpUtil1复制过来,更改其属性TYPE。值得注意的是,因为Gateway是基于 WebFlux开发的,所以呢,我们需要去到官网,找一下下资料,如图,要导入的依赖是带有reactor的噢,而且因为使用的是springboot3,所以还要将boot改为boot3,别导错依赖了。此时我们去访问某个服务,先不带token访问,毫无疑问被拦截了。
【RuoYi-Vue-Plus】学习笔记 43 - Sa-Token(六)SaInterceptor 拦截器调用流程分析以及对比(Sa-Token 源码)
MichelleChung的星球
09-22 5945
SaInterceptor 拦截器调用流程分析以及对比,包含 Sa-Token 源码。
手把手教你用 Sa-Token 实现登录权限控制(入门实战篇)
2505_90729871的博客
05-06 275
是一个轻量级的 Java 限认证框架,核心功能包括:对比 Spring Security,它更轻量、配置更简单、API 更易用,非常适合快速开发场景。后台管理系统小程序接口后端独立中台服务上手快,API 简单直观支持多端登录、单点登录、Token 续签等高级功能适配 Spring Boot 无缝集成。
Sa-Token介绍与SpringBoot环境下使用
wnhyang的博客
01-17 1309
Sa-Token登录认证限认证单点登录OAuth2.0分布式Session会话微服务网关等一系列限相关问题。官方文档写的已经非常好了。引用官方文档开头的一段话:本文档将会尽力讲解每个功能的设计原因、应用场景,用心阅读文档,你学习到的将不止是 Sa-Token 框架本身,更是绝大多数场景下限设计的最佳实践。确实,通过阅读官方文档有学到很多东西,收获更大的是结合我的使用体验,下载并阅读源码后有学到了一些东西想和大家分享!这篇文章只是开头。
管理系统的用户角色实现SA-Token
sv
02-07 2100
用户表角色表用户角色关联表菜单表(目录、菜单、按钮)用户菜单关联表接口限表角色接口限关联表部门表RBAC架构概述RBAC架构主要由用户(Users)、角色(Roles)、限(Permissions)和资源(Resources)四个基本元素构成。用户是系统的使用者,角色是限的集合,限是对特定资源的操作许可,资源则是系统中的数据或功能。在RBAC中,限不是直接授予用户,而是先授予角色,然后再将用户分配到相应的角色中,从而间接地赋予用户限。
springboot整合Sa-Token实现登录认证和限校验(万字长文)
2301_78646673的博客
02-03 9585
我本来是想写一篇介绍spring boot项目中整合Sa-Token实现最常用的登录校验和限认证的,但是写着写着就变成官网的复制机了。我在本篇文章中大量复制了官网上的内容,原本只是想复制一些官方介绍就行了。但是这也从侧面说明了Sa-Token官网制作的确实是比较好的,基本上不需要额外的学习,只要你有做过登录和限方面的项目经验,再看一遍官网的介绍就能直接上手了。我之前写过一个B2C模式的购物商台,分为用户端和管理端。管理端的登录和限校验是用spring security写的。
Java认证框架:Sa-Token
love_eat_peach的博客
06-06 2763
(调用角色校验和限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的限码集合后,再将限码和待校验的字符串进行判断是否有限)(调用角色校验和限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的限码集合后,再将限码和待校验的字符串进行判断是否有限)?SaRouter.match("/**").check(r -> System.out.println("----啦啦啦----"))
单点登录(基于Sa-Token-SSO)
weixin_51040479的博客
09-02 906
单点登录详解
Sa-Token SSO 前后端分离 SpringBoot + Vue2
weixin_45850829的博客
07-01 5562
单点登录(SingleSignOn,SSO),就是通过用户的一次性别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是比较流行的。单点登录——便是我们搭建统一认证中心的关键。
SpringBoot集成Sa-Token框架限认证全面指南
最新发布
Clf丶忆笙
06-22 166
Sa-Token是一款轻量级Java限认证框架,提供登录认证、权限控制、单点登录等功能。其核心优势在于简单易用、功能全面,特别适合前后端分离和微服务架构。框架采用分层设计,包含API层、实现层和适配层,支持Token管理和分布式会话。与传统方案相比,Sa-Token具有更低的学习曲线和更好的RESTful支持。集成SpringBoot时仅需添加简单依赖和配置即可快速启用,提供Token有效期、并发登录等灵活配置选项。通过注解和拦截实现限校验,内置自动续期等实用功能,是一款高效便捷的限管理解决方案。
SpringBoot整合sa-token,jwt登录及拦截Demo
qq_36813853的博客
03-19 5203
SaCheckDisable:校验当前账号是否被封禁 comment 服务,如果已被封禁会抛出异常,无法进入方法。@SaCheckBasic:Http Basic 校验:只有通过 Basic 认证后才能进入该方法。SaMode.AND,标注一组限,会话必须全部具有才可通过校验。(5)忽略认证:使用 @SaIgnore 可表示一个接口忽略认证。SaMode.OR,标注一组限,会话只要具有其一即可通过校验。(4)角色限双重 “or校验”4、自定义限验证接口扩展。5、jwt token登录。
SpringBoot 使用 Sa-Token 完成路由拦截
shengzhang_的博客
05-22 3047
free() 的作用是:打开一个独立的作用域,使内部的 stop() 不再一次性跳出整个 Auth 函数,而是仅仅跳出当前 free 作用域。注解,会显得非常冗余且没有必要,在这个需求中我们真正需要的是一种基于路由拦截模式,那么在 Sa-Token 怎么实现路由拦截呢?在前文,我们详细的讲述了在 Sa-Token 如何使用注解进行限认证,注解虽然方便,却并不适合所有场景。如上示例,代码运行至第2条匹配链时,会在stop函数处提前退出整个匹配函数,从而忽略掉剩余的所有match匹配。
Sa-Token v.1.31.0 新增拦截SaInterceptor 功能说明,以及旧代码迁移示例
热门推荐
shengzhang_的博客
08-22 1万+
Sa-Token v.1.31.0 新增拦截SaInterceptor 功能说明,以及旧代码迁移示例
认证框架之—sa-token
weisian的博客
10-30 2249
设置到sa-token缓存中,这样在之后的接口中,我们需要获取当前用户信息或当前用户信息的限等信息时,就可以直接从sa-token缓存中获取,就无需从数据库中再次查询。当调用完成sa-token的登录接口后,我们可以构建当前登录用户的对象SaBaseLoginUser,该对象可以添加限,角色,组织等信息。验证成功时,调用sa-token提供的登录接口,创建token。如上的创建token,到给前端设置token的过程,只需要后端调用sa-token的登录接口,其他无需我们做任何事情。
使用 Sa-Token 的全局过滤器解决跨域问题(三种方式全版)
weixin_43398645的博客
07-24 2274
在 web 开发中,跨域绝对是比较折磨新同学的一个问题,本文将讲解三种常见的跨域情形,并讲解如何使用 Sa-Token 框架解决跨域问题。
SaToken框架
大大怪将军的博客
07-27 2598
SaToken框架介绍及使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

赖旦轩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值