IT评测·应用市场-qidao123.com

标题: SpringBoot 使用 Sa-Token 完成注解鉴权功能 [打印本页]

作者: 盛世宏图    时间: 2023-5-15 12:54
标题: SpringBoot 使用 Sa-Token 完成注解鉴权功能
注解鉴权 —— 优雅的将鉴权与业务代码分离。本篇我们将介绍在 Sa-Token 中如何通过注解完成权限校验。
Sa-Token 是一个轻量级 java 权限认证框架,主要解决登录认证、权限认证、单点登录、OAuth2、微服务网关鉴权 等一系列权限相关问题。
Gitee 开源地址:https://gitee.com/dromara/sa-token
一、Sa-Token 鉴权注解一览

Sa-Token 为我们提供的鉴权注解包括但不限于以下:
首先在项目中引入 Sa-Token 依赖:
  1. <dependency>
  2.     <groupId>cn.dev33</groupId>
  3.     <artifactId>sa-token-spring-boot-starter</artifactId>
  4.     <version>1.34.0</version>
  5. </dependency>
复制代码
注:如果你使用的是 SpringBoot 3.x,只需要将 sa-token-spring-boot-starter 修改为 sa-token-spring-boot3-starter 即可。
二、登录认证

Sa-Token 使用全局拦截器完成注解鉴权功能,为了不为项目带来不必要的性能负担,拦截器默认处于关闭状态

因此,为了使用注解鉴权,你必须手动将 Sa-Token 的全局拦截器注册到你项目中
以SpringBoot2.0为例,新建配置类SaTokenConfigure.java
  1. @Configuration
  2. public class SaTokenConfigure implements WebMvcConfigurer {
  3.         // 注册 Sa-Token 拦截器,打开注解式鉴权功能
  4.         @Override
  5.         public void addInterceptors(InterceptorRegistry registry) {
  6.                 // 注册 Sa-Token 拦截器,打开注解式鉴权功能
  7.                 registry.addInterceptor(new SaInterceptor()).addPathPatterns("/**");       
  8.         }
  9. }
复制代码
保证此类被springboot启动类扫描到即可。
新建 LoginController,添加以下代码:
  1. /**
  2. * 登录认证注解测试
  3. */
  4. @RestController
  5. public class LoginController {
  6.     // 访问 home 页,登录后才能访问  ---- http://localhost:8081/home
  7.     @SaCheckLogin
  8.     @RequestMapping("home")
  9.     public SaResult home() {
  10.         return SaResult.ok("访问成功,此处为登录后才能看到的信息");
  11.     }
  12.     // 登录接口  ---- http://localhost:8081/doLogin?name=zhang&pwd=123456
  13.     @RequestMapping("doLogin")
  14.     public SaResult doLogin(String name, String pwd) {
  15.         // 此处仅作模拟示例,真实项目需要从数据库中查询数据进行比对
  16.         if("zhang".equals(name) && "123456".equals(pwd)) {
  17.             StpUtil.login(10001);
  18.             return SaResult.ok("登录成功");
  19.         }
  20.         return SaResult.error("登录失败");
  21.     }
  22. }
复制代码
启动项目,首次访问资源接口:
  1. http://localhost:8081/home
复制代码
返回如下:
  1. {
  2.         "code": 500,
  3.         "msg": "未能读取到有效Token",
  4.         "data": null
  5. }
复制代码
会话尚未登录,因此无法访问资源。
现在我们再去访问一下登录接口:
  1. http://localhost:8081/doLogin?name=zhang&pwd=123456
复制代码
返回如下:
  1. {
  2.         "code": 200,
  3.         "msg": "登录成功",
  4.         "data": null
  5. }
复制代码
登录成功,我们再去访问资源接口:
  1. http://localhost:8081/home
复制代码
返回如下:
  1. {
  2.         "code": 200,
  3.         "msg": "访问成功,此处为登录后才能看到的信息",
  4.         "data": null
  5. }
复制代码
通过登录认证校验,成功获取到信息!
三、权限认证 & 角色认证

首先我们需要实现 StpInterface 接口,告诉框架指定账号拥有哪些权限码。
  1. /**
  2. * 自定义权限认证接口扩展,Sa-Token 将从此实现类获取每个账号拥有的权限码
  3. *
  4. * @author kong
  5. * @since 2022-10-13
  6. */
  7. @Component        // 打开此注解,保证此类被springboot扫描,即可完成sa-token的自定义权限验证扩展
  8. public class StpInterfaceImpl implements StpInterface {
  9.         /**
  10.          * 返回一个账号所拥有的权限码集合
  11.          */
  12.         @Override
  13.         public List<String> getPermissionList(Object loginId, String loginType) {
  14.                 // 本list仅做模拟,实际项目中要根据具体业务逻辑来查询权限
  15.                 List<String> list = new ArrayList<String>();       
  16.                 list.add("101");
  17.                 list.add("user.add");
  18.                 list.add("user.update");
  19.                 list.add("user.get");
  20.                 // list.add("user.delete");
  21.                 list.add("art.*");
  22.                 return list;
  23.         }
  24.         /**
  25.          * 返回一个账号所拥有的角色标识集合
  26.          */
  27.         @Override
  28.         public List<String> getRoleList(Object loginId, String loginType) {
  29.                 // 本list仅做模拟,实际项目中要根据具体业务逻辑来查询角色
  30.                 List<String> list = new ArrayList<String>();       
  31.                 list.add("admin");
  32.                 list.add("super-admin");
  33.                 return list;
  34.         }
  35. }
复制代码
使用以下两个注解完成校验:
  1. /**
  2. * Sa-Token 注解鉴权示例
  3. *
  4. * @author kong
  5. * @since 2022-10-13
  6. */
  7. @RestController
  8. @RequestMapping("/at-check/")
  9. public class AtCheckController {
  10.         /*
  11.          * 前提1:首先调用登录接口进行登录
  12.          *                 ---- http://localhost:8081/doLogin?name=zhang&pwd=123456
  13.          *
  14.          * 前提2:项目在配置类中注册拦截器 SaInterceptor ,此拦截器将打开注解鉴权功能
  15.          *
  16.          * 前提3:项目实现了 StpInterface 接口,此接口会告诉框架指定账号拥有哪些权限码
  17.          *
  18.          * 然后我们就可以使用以下示例中的代码进行注解鉴权了
  19.          */
  20.        
  21.         // 权限校验   ---- http://localhost:8081/at-check/checkPermission
  22.         //                只有具有 user.add 权限的账号才可以进入方法
  23.         @SaCheckPermission("user.add")
  24.         @RequestMapping("checkPermission")
  25.         public SaResult checkPermission() {
  26.                 // ...
  27.                 return SaResult.ok();
  28.         }
  29.         // 角色校验   ---- http://localhost:8081/at-check/checkRole
  30.         //                只有具有 super-admin 角色的账号才可以进入方法
  31.         @SaCheckRole("super-admin")
  32.         @RequestMapping("checkRole")
  33.         public SaResult checkRole() {
  34.                 // ...
  35.                 return SaResult.ok();
  36.         }
  37.        
  38. }
复制代码
可根据代码注释提供的链接进行测试访问。
四、设定校验模式

@SaCheckRole与@SaCheckPermission注解可设置校验模式,例如:
  1. // 注解式鉴权:只要具有其中一个权限即可通过校验
  2. @RequestMapping("atJurOr")
  3. @SaCheckPermission(value = {"user-add", "user-all", "user-delete"}, mode = SaMode.OR)               
  4. public SaResult atJurOr() {
  5.         return SaResult.data("用户信息");
  6. }
复制代码
mode有两种取值:
五、角色权限双重 “or校验”

假设有以下业务场景:一个接口在具有权限 user.add 或角色 admin 时可以调通。怎么写?
  1. // 角色权限双重 “or校验”:具备指定权限或者指定角色即可通过校验
  2. @RequestMapping("userAdd")
  3. @SaCheckPermission(value = "user.add", orRole = "admin")               
  4. public SaResult userAdd() {
  5.         return SaResult.data("用户信息");
  6. }
复制代码
orRole 字段代表权限认证未通过时的次要选择,两者只要其一认证成功即可通过校验,其有三种写法:
六、二级认证
  1. @RestController
  2. @RequestMapping("/at/")
  3. public class AtController {
  4.         // 在当前会话完成二级认证  ---- http://localhost:8081/at/openSafe
  5.         @RequestMapping("openSafe")
  6.         public SaResult openSafe() {
  7.                 StpUtil.openSafe(200); // 打开二级认证,有效期为200秒
  8.                 return SaResult.ok();
  9.         }
  10.        
  11.         // 通过二级认证后,才可以进入  ---- http://localhost:8081/at/checkSafe
  12.         @SaCheckSafe
  13.         @RequestMapping("checkSafe")
  14.         public SaResult checkSafe() {
  15.                 return SaResult.ok();
  16.         }
  17. }
复制代码
必须先经过 StpUtil.openSafe(1200) 打开二级认证(参数为指定认证有效期,单位:秒),才可以通过 @SaCheckSafe 的检查。
七、HttpBasic认证:
  1. @RestController
  2. @RequestMapping("/at/")
  3. public class AtController {
  4.         // 通过Basic认证后才可以进入  ---- http://localhost:8081/at/checkBasic
  5.         @SaCheckBasic(account = "sa:123456")
  6.         @RequestMapping("checkBasic")
  7.         public SaResult checkBasic() {
  8.                 return SaResult.ok();
  9.         }
  10.        
  11. }
复制代码
当我们访问这个接口时,浏览器会强制弹出一个表单:

当我们输入账号密码后 (sa / 123456),才可以继续访问数据:

八、服务禁用性校验
  1. @RestController
  2. @RequestMapping("/at/")
  3. public class AtController {
  4.         // 只有当前服务没有禁用 comment 服务时,才能够进入方法  ---- http://localhost:8081/at/comment
  5.         @SaCheckDisable("comment")
  6.         @RequestMapping("comment")
  7.         public SaResult comment() {
  8.                 return SaResult.ok();
  9.         }
  10. }
复制代码
@SaCheckDisable 注解的作用是检测当前账号是否被禁用了指定服务,如果已被禁用则无法进入指定方法,
在之后的章节我们会详细讲述服务禁用的相关代码,此处先稍作了解即可。
九、忽略认证

使用 @SaIgnore 可表示一个接口忽略认证:
  1. @SaCheckLogin
  2. @RestController
  3. public class TestController {
  4.        
  5.         // ... 其它方法
  6.        
  7.         // 此接口加上了 @SaIgnore 可以游客访问
  8.         @SaIgnore
  9.         @RequestMapping("getList")
  10.         public SaResult getList() {
  11.                 // ...
  12.                 return SaResult.ok();
  13.         }
  14. }
复制代码
如上代码表示:TestController 中的所有方法都需要登录后才可以访问,但是 getList 接口可以匿名游客访问。
十、在业务逻辑层使用注解鉴权

疑问:我能否将注解写在其它架构层呢,比如业务逻辑层?
使用拦截器模式,只能在Controller层进行注解鉴权,如需在任意层级使用注解鉴权,可使用 AOP注解鉴权 插件。
  1. <dependency>
  2.     <groupId>cn.dev33</groupId>
  3.     <artifactId>sa-token-spring-aop</artifactId>
  4.     <version>1.34.0</version>
  5. </dependency>
复制代码
集成此插件后,便可以在任意层使用 Sa-Token 的注解鉴权了(例如业务逻辑层),不过需要注意的是:
参考资料


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!




欢迎光临 IT评测·应用市场-qidao123.com (https://dis.qidao123.com/) Powered by Discuz! X3.4