网站首页 > 精选教程 正文
通过前文我们已经初步尝试了SaToken的登陆认证功能,从这篇文章开始我们来体验该框架的权限认证功能。所谓权限认证,认证的核心就是一个账号是否拥有一个权限码,有,就让你通过。没有?那么禁止访问!
因为每个项目的需求不同,其权限设计也千变万化,因此【获取当前账号权限码集合】这一操作不可能内置到框架中, 所以 Sa-Token 将此操作以接口的方式暴露给你,以方便你根据自己的业务逻辑进行重写。
我们需要做的就是新建一个类,实现StpInterface接口
package com.demo.satoken;
import cn.dev33.satoken.stp.StpInterface;
import org.springframework.stereotype.Component;
import java.util.ArrayList;
import java.util.List;
/**
* 自定义权限验证接口扩展
*/
@Component // 保证此类被SpringBoot扫描,完成Sa-Token的自定义权限验证扩展
public class StpInterfaceImpl implements StpInterface {
/**
* 返回一个账号所拥有的权限码集合
*/
@Override
public List<String> getPermissionList(Object loginId, String loginType) {
// 本list仅做模拟,实际项目中要根据具体业务逻辑来查询权限
List<String> list = new ArrayList<String>();
list.add("101");
list.add("user-add");
list.add("user-delete");
list.add("user-update");
list.add("user-get");
list.add("article-get");
return list;
}
/**
* 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
*/
@Override
public List<String> getRoleList(Object loginId, String loginType) {
// 本list仅做模拟,实际项目中要根据具体业务逻辑来查询角色
List<String> list = new ArrayList<String>();
list.add("admin");
list.add("super-admin");
return list;
}
}这样我们登录任意账号都可以获取到getPermissionList中写入的权限和getRoleList中写入的角色名称。再新建两个接口用来获取权限和角色:
// 获取所有权限,浏览器访问: http://localhost:9999/user/getPermissions
@RequestMapping("getPermissions")
public String getPermissions() {
return "所有权限:"+StpUtil.getPermissionList().toString();
}
// 获取所有角色,浏览器访问: http://localhost:9999/user/getRoles
@RequestMapping("getRoles")
public String getRoles() {
return "所有角色:"+StpUtil.getRoleList().toString();
}启动项目,先登录,再访问这两个接口
接下来我们来改造一下接口,实现两个用户拥有不同角色和权限,首先是登录接口,让账号可以任意改变,密码暂时固定,把账号作为loginId
// 测试登录,浏览器访问: http://localhost:9999/user/doLogin?username=zhang&password=123456
@RequestMapping("doLogin")
public String doLogin(String username, String password) {
// 此处仅作模拟示例,真实项目需要从数据库中查询数据进行比对
if("123456".equals(password)) {
StpUtil.login(username);
return "登录成功 "+StpUtil.getTokenName()+":"+StpUtil.getTokenValue();
}
return "登录失败";
}然后是权限验证扩展接口的修改,让admin账号拥有101权限和admin角色
package com.demo.satoken;
import cn.dev33.satoken.stp.StpInterface;
import org.springframework.stereotype.Component;
import java.util.ArrayList;
import java.util.List;
/**
* 自定义权限验证接口扩展
*/
@Component // 保证此类被SpringBoot扫描,完成Sa-Token的自定义权限验证扩展
public class StpInterfaceImpl implements StpInterface {
/**
* 返回一个账号所拥有的权限码集合
*/
@Override
public List<String> getPermissionList(Object loginId, String loginType) {
// 本list仅做模拟,实际项目中要根据具体业务逻辑来查询权限
List<String> list = new ArrayList<String>();
if(loginId.equals("admin")){
list.add("101");
}
list.add("user-add");
list.add("user-delete");
list.add("user-update");
list.add("user-get");
list.add("article-get");
return list;
}
/**
* 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
*/
@Override
public List<String> getRoleList(Object loginId, String loginType) {
// 本list仅做模拟,实际项目中要根据具体业务逻辑来查询角色
List<String> list = new ArrayList<String>();
if(loginId.equals("admin")){
list.add("admin");
}
list.add("super-admin");
return list;
}
}
重启项目后用两个浏览器分别访问:
最后我们新增一个接口用来进行一个简单鉴权,看看能否成功鉴别账号是否拥有权限
// 权限角色检查,浏览器访问: http://localhost:9999/user/check
@RequestMapping("check")
public String check() {
return "是否有admin角色:"+StpUtil.hasRole("admin")+"\n是否有101权限:"+StpUtil.hasPermission("101");
}然后运行查看结果
观察结果,鉴权成功[灵光一闪]当然,我们日常写代码时候直接使用API在接口中鉴权毕竟是少数,多数情况下还是会使用注解的方式来鉴权,这样可以把鉴权和业务逻辑分离开。框架同样提供了丰富的注解鉴权方式。
注解鉴权 —— 优雅的将鉴权与业务代码分离!
- @SaCheckLogin: 登录认证 —— 只有登录之后才能进入该方法
- @SaCheckRole("admin"): 角色认证 —— 必须具有指定角色标识才能进入该方法
- @SaCheckPermission("user:add"): 权限认证 —— 必须具有指定权限才能进入该方法
- @SaCheckSafe: 二级认证校验 —— 必须二级认证之后才能进入该方法
- @SaCheckBasic: HttpBasic认证 —— 只有通过 Basic 认证后才能进入该方法
Sa-Token使用全局拦截器完成注解鉴权功能,为了不为项目带来不必要的性能负担,拦截器默认处于关闭状态。因此,为了使用注解鉴权,我们必须手动将Sa-Token的全局拦截器注册到项目中
@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {
// 注册Sa-Token的注解拦截器,打开注解式鉴权功能
@Override
public void addInterceptors(InterceptorRegistry registry) {
// 注册注解拦截器,并排除不需要注解鉴权的接口地址 (与登录拦截器无关)
registry.addInterceptor(new SaAnnotationInterceptor()).addPathPatterns("/**");
}
}这样我们就可以使用注解鉴权了,新增一个注解鉴权接口
// 注解权限角色检查,浏览器访问: http://localhost:9999/user/check1
@RequestMapping("check1")
@SaCheckPermission("101")
@SaCheckRole("admin")
public String check1() {
return "鉴权成功";
}使用不同账号分别访问,接口
可以看出来,鉴权不通过后台会抛出异常,我们可以全局捕捉异常来完成统一处理。并且@SaCheckRole与@SaCheckPermission注解可设置校验模式,例如:
// 注解式鉴权:只要具有其中一个权限即可通过校验
@RequestMapping("atJurOr")
@SaCheckPermission(value = {"user-add", "user-all", "user-delete"}, mode = SaMode.OR)
public AjaxJson atJurOr() {
return AjaxJson.getSuccessData("用户信息");
}还有更多使用方法可以参考官方文档。
以上开起注解式鉴权我们使用的是拦截器方法,但是拦截器方法只能在Controller中使用,如果需要在其他地方使用,我们需要开启AOP注解鉴权,官方提供了AOP插件,并且特意强调了拦截器模式和AOP模式不可同时集成,否则会在Controller层发生一个注解校验两次的bug。也就是说,其实我们并不需要写拦截器,只需要把AOP插件集成进项目就好了[得意]毕竟程序员都想看到最少的代码。
说干就干,删掉拦截器,maven引入AOP插件
<!-- Sa-Token整合SpringAOP实现注解鉴权 -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-spring-aop</artifactId>
<version>1.28.0</version>
</dependency>经过测试一切正常,还少了一个拦截器文件,爽!当然,选择合适的方式才是最好的。什么都有就是合适我的方式[灵光一闪]
- 上一篇: Spring Security权限控制框架使用指南
- 下一篇: JAVA权限后台管理系统
猜你喜欢
- 2024-11-26 关于大后台的权限管理设计
- 2024-11-26 基于Springboot的权限管理系统
- 2024-11-26 Sa-Token,让你的权限认证更简单
- 2024-11-26 Sa-Token之注解鉴权:优雅的将鉴权与业务代码分离
- 2024-11-26 Shiro 权限校验分析
- 2024-11-26 给女朋友讲某宝是如何设计用户权限管理的(一)
- 2024-11-26 基于SpringBoot 的MCMS系统,完全开源,直接商用太爽了
- 2024-11-26 再见前端!纯 Java 撸个后台管理系统,这框架用起来贼爽
- 2024-11-26 AOP编程_Android优雅权限框架(2)Demo完全解析
- 2024-11-26 6个顶级SpringCloud微服务开源项目,企业开发必备
欢迎 你 发表评论:
- 最近发表
- 标签列表
-
- nginx反向代理 (57)
- nginx日志 (56)
- nginx限制ip访问 (62)
- mac安装nginx (55)
- java和mysql (59)
- java中final (62)
- win10安装java (72)
- java启动参数 (64)
- java链表反转 (64)
- 字符串反转java (72)
- java逻辑运算符 (59)
- java 请求url (65)
- java信号量 (57)
- java定义枚举 (59)
- java字符串压缩 (56)
- java中的反射 (59)
- java 三维数组 (55)
- java插入排序 (68)
- java线程的状态 (62)
- java异步调用 (55)
- java中的异常处理 (62)
- java锁机制 (54)
- java静态内部类 (55)
- java怎么添加图片 (60)
- java 权限框架 (55)
本文暂时没有评论,来添加一个吧(●'◡'●)