SpringBoot 使用 Sa-Token 完成权限认证

逃离我推掉我的手 2023-09-26 23:07 153阅读 0赞

### 一、设计思路 ###

所谓权限认证，核心逻辑就是判断一个账号是否拥有指定权限：

*  有，就让你通过。
 *  没有？那么禁止访问！

深入到底层数据中，就是每个账号都会拥有一个权限码集合，框架来校验这个集合中是否包含指定的权限码。

例如：当前账号拥有权限码集合 `["user-add", "user-delete", "user-get"]`，这时候我来校验权限 `"user-update"`，则其结果就是：**验证失败，禁止访问**。

动态演示图：

![format_png][]

所以现在问题的核心就是：

1.  如何获取一个账号所拥有的的权限码集合？
2.  本次操作需要验证的权限码是哪个？

接下来，我们将介绍在 SpringBoot 中如何使用 Sa-Token 完成权限认证操作。

> Sa-Token 是一个轻量级 java 权限认证框架，主要解决登录认证、权限认证、单点登录、OAuth2、微服务网关鉴权 等一系列权限相关问题。 Gitee 开源地址：[gitee.com/dromara/sa-…][gitee.com_dromara_sa-]

首先在项目中引入 Sa-Token 依赖：

<dependency>
        <groupId>cn.dev33</groupId>
        <artifactId>sa-token-spring-boot-starter</artifactId>
        <version>1.34.0</version>
    </dependency>
    复制代码

注：如果你使用的是 `SpringBoot 3.x`，只需要将 `sa-token-spring-boot-starter` 修改为 `sa-token-spring-boot3-starter` 即可。

### 二、获取当前账号权限码集合 ###

因为每个项目的需求不同，其权限设计也千变万化，因此 \[ 获取当前账号权限码集合 \] 这一操作不可能内置到框架中， 所以 Sa-Token 将此操作以接口的方式暴露给你，以方便你根据自己的业务逻辑进行重写。

你需要做的就是新建一个类，实现 `StpInterface`接口，例如以下代码：

/**
     * 自定义权限验证接口扩展
     */
    @Component	// 保证此类被SpringBoot扫描，完成Sa-Token的自定义权限验证扩展 
    public class StpInterfaceImpl implements StpInterface {
    
    	/**
    	 * 返回一个账号所拥有的权限码集合 
    	 */
    	@Override
    	public List<String> getPermissionList(Object loginId, String loginType) {
    		// 本list仅做模拟，实际项目中要根据具体业务逻辑来查询权限
    		List<String> list = new ArrayList<String>();	
    		list.add("101");
    		list.add("user.add");
    		list.add("user.update");
    		list.add("user.get");
    		// list.add("user.delete");
    		list.add("art.*");
    		return list;
    	}
    
    	/**
    	 * 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
    	 */
    	@Override
    	public List<String> getRoleList(Object loginId, String loginType) {
    		// 本list仅做模拟，实际项目中要根据具体业务逻辑来查询角色
    		List<String> list = new ArrayList<String>();	
    		list.add("admin");
    		list.add("super-admin");
    		return list;
    	}
    
    }
    复制代码

**参数解释：**

*  loginId：账号id，即你在调用 `StpUtil.login(id)` 时写入的标识值。
 *  loginType：账号体系标识，此处可以暂时忽略，在 \[ 多账户认证 \] 章节下会对这个概念做详细的解释。

**注意点：** 类上一定要加上 `@Component` 注解，保证组件被 Springboot 扫描到，成功注入到 Sa-Token 框架内。

### 三、权限校验 ###

启动类：

@SpringBootApplication
    public class SaTokenCaseApplication {
    	public static void main(String[] args) {
    		SpringApplication.run(SaTokenCaseApplication.class, args); 
    		System.out.println("\n启动成功：Sa-Token配置如下：" + SaManager.getConfig());
    	}	
    }
    复制代码

然后就可以用以下api来鉴权了

// 获取：当前账号所拥有的权限集合
    StpUtil.getPermissionList();
    
    // 判断：当前账号是否含有指定权限, 返回 true 或 false
    StpUtil.hasPermission("user.add");		
    
    // 校验：当前账号是否含有指定权限, 如果验证未通过，则抛出异常: NotPermissionException 
    StpUtil.checkPermission("user.add");		
    
    // 校验：当前账号是否含有指定权限 [指定多个，必须全部验证通过]
    StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");		
    
    // 校验：当前账号是否含有指定权限 [指定多个，只要其一验证通过即可]
    StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");	
    复制代码

扩展：`NotPermissionException` 对象可通过 `getLoginType()` 方法获取具体是哪个 `StpLogic` 抛出的异常

### 四、角色校验 ###

在Sa-Token中，角色和权限可以独立验证

// 获取：当前账号所拥有的角色集合
    StpUtil.getRoleList();
    
    // 判断：当前账号是否拥有指定角色, 返回 true 或 false
    StpUtil.hasRole("super-admin");		
    
    // 校验：当前账号是否含有指定角色标识, 如果验证未通过，则抛出异常: NotRoleException
    StpUtil.checkRole("super-admin");		
    
    // 校验：当前账号是否含有指定角色标识 [指定多个，必须全部验证通过]
    StpUtil.checkRoleAnd("super-admin", "shop-admin");		
    
    // 校验：当前账号是否含有指定角色标识 [指定多个，只要其一验证通过即可] 
    StpUtil.checkRoleOr("super-admin", "shop-admin");		
    复制代码

扩展：`NotRoleException` 对象可通过 `getLoginType()` 方法获取具体是哪个 `StpLogic` 抛出的异常

### 五、拦截全局异常 ###

有同学要问，鉴权失败，抛出异常，然后呢？要把异常显示给用户看吗？**当然不可以！**

你可以创建一个全局异常拦截器，统一返回给前端的格式，参考：

@RestControllerAdvice
    public class GlobalExceptionHandler {
        // 全局异常拦截 
        @ExceptionHandler
        public SaResult handlerException(Exception e) {
            e.printStackTrace(); 
            return SaResult.error(e.getMessage());
        }
    }
    复制代码

### 六、权限通配符 ###

Sa-Token允许你根据通配符指定**泛权限**，例如当一个账号拥有`art.*`的权限时，`art.add`、`art.delete`、`art.update`都将匹配通过

// 当拥有 art.* 权限时
    StpUtil.hasPermission("art.add");        // true
    StpUtil.hasPermission("art.update");     // true
    StpUtil.hasPermission("goods.add");      // false
    
    // 当拥有 *.delete 权限时
    StpUtil.hasPermission("art.delete");      // true
    StpUtil.hasPermission("user.delete");     // true
    StpUtil.hasPermission("user.update");     // false
    
    // 当拥有 *.js 权限时
    StpUtil.hasPermission("index.js");        // true
    StpUtil.hasPermission("index.css");       // false
    StpUtil.hasPermission("index.html");      // false
    复制代码

> 上帝权限：当一个账号拥有 `"*"` 权限时，他可以验证通过任何权限码 （角色认证同理）

### 七、如何把权限精确到按钮级？ ###

权限精确到按钮级的意思就是指：**权限范围可以控制到页面上的每一个按钮是否显示**。

思路：如此精确的范围控制只依赖后端已经难以完成，此时需要前端进行一定的逻辑判断。

如果是前后端一体项目，可以参考：[Thymeleaf 标签方言][Thymeleaf]，如果是前后端分离项目，则：

1.  在登录时，把当前账号拥有的所有权限码一次性返回给前端。
2.  前端将权限码集合保存在`localStorage`或其它全局状态管理对象中。
3.  在需要权限控制的按钮上，使用 js 进行逻辑判断，例如在`Vue`框架中我们可以使用如下写法：

<button v-if="arr.indexOf('user.delete') > -1">删除按钮</button>
    复制代码

其中：`arr`是当前用户拥有的权限码数组，`user.delete`是显示按钮需要拥有的权限码，`删除按钮`是用户拥有权限码才可以看到的内容。

注意：以上写法只为提供一个参考示例，不同框架有不同写法，大家可根据项目技术栈灵活封装进行调用。

### 八、前端有了鉴权后端还需要鉴权吗？ ###

**需要！**

前端的鉴权只是一个辅助功能，对于专业人员这些限制都是可以轻松绕过的，为保证服务器安全，无论前端是否进行了权限校验，后端接口都需要对会话请求再次进行权限校验！

### 九、来个小示例，加深一下印象 ###

新建 `JurAuthController`，复制以下代码

package com.pj.cases.use;
    
    import java.util.List;
    
    import org.springframework.web.bind.annotation.RequestMapping;
    import org.springframework.web.bind.annotation.RestController;
    
    import cn.dev33.satoken.stp.StpUtil;
    import cn.dev33.satoken.util.SaResult;
    
    /**
     * Sa-Token 权限认证示例 
     * 
     * @author kong
     * @since 2022-10-13
     */
    @RestController
    @RequestMapping("/jur/")
    public class JurAuthController {
    
    	/*
    	 * 前提1：首先调用登录接口进行登录，代码在 com.pj.cases.use.LoginAuthController 中有详细解释，此处不再赘述 
    	 * 		---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
    	 * 
    	 * 前提2：项目实现 StpInterface 接口，代码在  com.pj.satoken.StpInterfaceImpl
    	 * 		Sa-Token 将从此实现类获取 每个账号拥有哪些权限。
    	 * 
    	 * 然后我们就可以使用以下示例中的代码进行鉴权了 
    	 */
    	
    	// 查询权限   ---- http://localhost:8081/jur/getPermission
    	@RequestMapping("getPermission")
    	public SaResult getPermission() {
    		// 查询权限信息 ，如果当前会话未登录，会返回一个空集合 
    		List<String> permissionList = StpUtil.getPermissionList();
    		System.out.println("当前登录账号拥有的所有权限：" + permissionList);
    		
    		// 查询角色信息 ，如果当前会话未登录，会返回一个空集合 
    		List<String> roleList = StpUtil.getRoleList();
    		System.out.println("当前登录账号拥有的所有角色：" + roleList);
    		
    		// 返回给前端 
    		return SaResult.ok()
    				.set("roleList", roleList)
    				.set("permissionList", permissionList);
    	}
    	
    	// 权限校验  ---- http://localhost:8081/jur/checkPermission
    	@RequestMapping("checkPermission")
    	public SaResult checkPermission() {
    		
    		// 判断：当前账号是否拥有一个权限，返回 true 或 false
    		// 		如果当前账号未登录，则永远返回 false 
    		StpUtil.hasPermission("user.add");
    		StpUtil.hasPermissionAnd("user.add", "user.delete", "user.get");  // 指定多个，必须全部拥有才会返回 true 
    		StpUtil.hasPermissionOr("user.add", "user.delete", "user.get");	 // 指定多个，只要拥有一个就会返回 true 
    		
    		// 校验：当前账号是否拥有一个权限，校验不通过时会抛出 `NotPermissionException` 异常 
    		// 		如果当前账号未登录，则永远校验失败 
    		StpUtil.checkPermission("user.add");
    		StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");  // 指定多个，必须全部拥有才会校验通过 
    		StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");  // 指定多个，只要拥有一个就会校验通过 
    		
    		return SaResult.ok();
    	}
    
    	// 角色校验  ---- http://localhost:8081/jur/checkRole
    	@RequestMapping("checkRole")
    	public SaResult checkRole() {
    		
    		// 判断：当前账号是否拥有一个角色，返回 true 或 false
    		// 		如果当前账号未登录，则永远返回 false 
    		StpUtil.hasRole("admin");
    		StpUtil.hasRoleAnd("admin", "ceo", "cfo");  // 指定多个，必须全部拥有才会返回 true 
    		StpUtil.hasRoleOr("admin", "ceo", "cfo");	  // 指定多个，只要拥有一个就会返回 true 
    		
    		// 校验：当前账号是否拥有一个角色，校验不通过时会抛出 `NotRoleException` 异常 
    		// 		如果当前账号未登录，则永远校验失败 
    		StpUtil.checkRole("admin");
    		StpUtil.checkRoleAnd("admin", "ceo", "cfo");  // 指定多个，必须全部拥有才会校验通过 
    		StpUtil.checkRoleOr("admin", "ceo", "cfo");  // 指定多个，只要拥有一个就会校验通过 
    		
    		return SaResult.ok();
    	}
    
    	// 权限通配符  ---- http://localhost:8081/jur/wildcardPermission
    	@RequestMapping("wildcardPermission")
    	public SaResult wildcardPermission() {
    		
    		// 前提条件：在 StpInterface 实现类中，为账号返回了 "art.*" 泛权限
    		StpUtil.hasPermission("art.add");  // 返回 true 
    		StpUtil.hasPermission("art.delete");  // 返回 true 
    		StpUtil.hasPermission("goods.add");  // 返回 false，因为前缀不符合  
    		
    		// * 符合可以出现在任意位置，比如权限码的开头，当账号拥有 "*.delete" 时  
    		StpUtil.hasPermission("goods.add");        // false
    		StpUtil.hasPermission("goods.delete");     // true
    		StpUtil.hasPermission("art.delete");      // true
    		
    		// 也可以出现在权限码的中间，比如当账号拥有 "shop.*.user" 时  
    		StpUtil.hasPermission("shop.add.user");  // true
    		StpUtil.hasPermission("shop.delete.user");  // true
    		StpUtil.hasPermission("shop.delete.goods");  // false，因为后缀不符合 
    
    		// 注意点：
    		// 1、上帝权限：当一个账号拥有 "*" 权限时，他可以验证通过任何权限码
    		// 2、角色校验也可以加 * ，指定泛角色，例如： "*.admin"，暂不赘述 
    		
    		return SaResult.ok();
    	}
    }
    复制代码

代码注释已针对每一步操作做出详细解释，大家可根据可参照注释中的访问链接进行逐步测试。

### 参考资料 ###

*  Sa-Token 文档：[sa-token.cc][]
 *  Gitee 仓库地址：[gitee.com/dromara/sa-…][gitee.com_dromara_sa- 1]
 *  GitHub 仓库地址：[github.com/dromara/sa-…][github.com_dromara_sa-]

[format_png]: https://img-blog.csdnimg.cn/img_convert/fc04270efd34ce815ee13d4461db8d28.webp?x-oss-process=image/format,png
[gitee.com_dromara_sa-]: https://link.juejin.cn?target=https%3A%2F%2Fgitee.com%2Fdromara%2Fsa-token
[Thymeleaf]: https://link.juejin.cn?target=https%3A%2F%2Fsa-token.cc%2Fdoc.html%23%2Fplugin%2Fthymeleaf-extend
[sa-token.cc]: https://link.juejin.cn/?target=https%3A%2F%2Fsa-token.cc
[gitee.com_dromara_sa- 1]: https://link.juejin.cn/?target=https%3A%2F%2Fgitee.com%2Fdromara%2Fsa-token
[github.com_dromara_sa-]: https://link.juejin.cn/?target=https%3A%2F%2Fgithub.com%2Fdromara%2Fsa-token