【RuoYi-Vue-Plus】学习笔记 12 - Sa-Token(二)通过注解校验用户权限(Sa-Token 源码)

最新推荐文章于 2025-08-29 11:25:54 发布
原创 最新推荐文章于 2025-08-29 11:25:54 发布 · 5.4k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #后端 #RuoYi-Vue-Plus #Sa-Token

本文详细解析了Sa-Token权限注解的校验流程,包括请求接口、注解拦截器的工作原理及如何逐级校验权限。最终确保用户具有访问资源所需的权限。

文章目录

前言

上一篇文章主要介绍了 Sa-Token 登录认证流程,本篇文章是对于权限注解的校验流程分析。

参考目录

代码分析

请求接口:TestDemoController#list
在这里插入图片描述
每次请求之前触发的方法:SaAnnotationInterceptor#preHandle
在这里插入图片描述
首先被注解拦截器进行拦截,如果验证通过,则拦截器放行。

查看验证方法:SaStrategy#checkMethodAnnotation
在这里插入图片描述
先校验 Method 所属 Class 上的注解,类上没有标注注解,所以校验 Method 上的注解。

SaTokenActionDefaultImpl#validateAnnotation
在这里插入图片描述
获取注解信息:SaStrategy#getAnnotation
在这里插入图片描述
在这里插入图片描述
根据注解 (@SaCheckPermission) 鉴权:StpLogic#checkByAnnotation
在这里插入图片描述
StpLogic#checkPermissionAnd
在这里插入图片描述
对所有权限进行校验,循环判断登录用户是否拥有该权限参数(用户登录时会把所有权限集合保存到指定对象中),如果没有则抛出没有权限的异常。

所有校验通过后则校验完成,返回 true。
在这里插入图片描述
至此,Sa-Token 完成了关于权限注解的校验。

若依框架集成saToken
sccd2009的专栏
10-24 1250
若依版本3.8.8,鉴权采用security框架,这种框架太重,项目中想实现对外提供接口功能。尽快减少修改原框架的逻辑基础上,采用satoken实现。
Ruoyi-vue-plus-5.x第一篇Sa-Token权限认证体系深度解析:1.3 权限控制与注解使用
最新发布
08-30 1167
本文介绍了Sa-Token权限控制体系的核心注解及其应用场景,包括: 1️⃣ @SaCheckLogin - 基础登录校验 2️⃣ @SaCheckRole - 角色权限校验(支持OR/AND模式) 3️⃣ @SaCheckPermission - 细粒度权限控制(如用户管理模块的CRUD权限) 4️⃣ @SaCheckSafe - 敏感操作的级认证保护 通过注解式开发,开发者可以快速实现从基础登录校验到复杂权限管理的全场景覆盖,代码示例展示了在RuoYi-Vue-Plus中的典型应用方式。
SpringBoot项目中集成Satoken做登录验证以及权限校验
m0_61813994的博客
11-02 984
Sa-Token 是一个轻量级的 Java 权限认证框架,主要用于解决用户登录验证权限校验、多账号体系、分布式会话等。它与 Spring Boot 集成简便,适用于中小型系统的权限需求。可以通过 Spring 的注解创建全局异常处理类,对权限不足或未登录等异常进行统一处理。return "当前用户未登录,请先登录!return "没有访问权限!通过 Sa-Token 的集成,Spring Boot 项目能够快速实现登录验证权限控制,且配置灵活,可以根据实际需求定制权限管理功能。
springboot整合Sa-Token实现登录认证和权限校验(万字长文)
2301_78646673的博客
02-03 1万+
我本来是想写一篇介绍spring boot项目中整合Sa-Token来实现最常用的登录校验权限认证的,但是写着写着就变成官网的复制机了。我在本篇文章中大量复制了官网上的内容,原本只是想复制一些官方介绍就行了。但是这也从侧面说明了Sa-Token官网制作的确实是比较好的,基本上不需要额外的学习,只要你有做过登录和权限方面的项目经验,再看一遍官网的介绍就能直接上手了。我之前写过一个B2C模式的购物商台,分为用户端和管理端。管理端的登录和权限校验是用spring security写的。
SpringBoot集成Sa-Token框架完成登录认证和权限校验
qhj_886的博客
10-12 1851
文章到此就结束了,大家快去试试吧。祝大家都能成为更好的自己,加油!通过百度网盘分享的文件:sa-token-demo-springboot链接:https://pan.baidu.com/s/1OdzK4me__1gS66oz_4Zksw提取码:7777。
Sa-token角色权限认证
Demolist的博客
01-12 1511
配置这个类实现StpInterface接口就可以使用了,这里需要说明下,我们是添加角色的,所以在重写的接口中,我们访问数据库,每次进来的是什么人进来,这里就需要和数据库进行交互,然后再和@SaCheckRole进行搭配,就可以在每次获取用户是什么角色的时候,判断在这个注解的value中没有就可以进行拦截了。在平常使用Sa-token中可能会出现管理员和普通用户,管理员能用的接口,普通用户不能用这种场景,就需要用到我们的角色权限认证,这样可以更快捷的区分不同的用户角色。官网上是这样说明这种情况的。
Ruoyi-vue-plus-5.x第一篇Sa-Token权限认证体系深度解析:1.1 Sa-Token框架基础
08-29 1211
摘要: Sa-Token是一款轻量级Java权限认证框架,提供登录认证、权限控制、会话管理等功能,相比Spring Security更简单易用。核心特性包括简洁API、RBAC模型支持、多端会话管理等。通过StpUtil工具类实现快速登录/鉴权,结合SaSession管理用户数据。RuoYi-Vue-Plus采用Sa-Token构建权限体系,通过StpInterface动态加载角色和权限。配置灵活,支持yml自定义Token有效期、并发控制等,适合快速开发企业级应用。
RuoYi-Vue-PlusRuoYi-Cloud-Plus 高端进阶 源码分析 系列教程
热门推荐
李虹柏的博客
08-29 5万+
高端进阶 源码分析 系列教程
ruoyi-vue-activiti-API接口实战资源
07-15
在本资源包中,“ruoyi-vue-activiti-API接口实战资源”意在指导开发者通过实战项目深入了解和掌握如何利用Vue.js、Spring Boot、Spring Security、Activiti 7、Redis和JWT构建一个完整的API接口应用。这些技术的...
RuoYi Vue 中自定义接口并设置权限验证(2023.12.13)
m0_67347494的博客
12-14 718
通过“超级管理员账号”查看自定义按钮。
RuoYi-Vue-Plus (SaToken 注解鉴权)
javaxueba的博客
04-22 3291
请注意:此注解的忽略效果只针对 SaInterceptor拦截器 和 AOP注解鉴权 生效,对自定义拦截器与过滤器不生效。2- SaManager.getStpLogic(checkLogin.type(), false) 获取到。策略类中 SaManager.getStpLogic(checkLogin.type(), false)实现类位置: cn.dev33.satoken.interceptor.SaInterceptor。调用了checkByAnnotation 方法,进行匹配角色:如下。
sa-token权限认证
weixin_42510217的博客
11-21 1656
sa-token权限校验十分简单,只需要创建一个实现StpInterface接口的类,重写`getPermissionList`和`getRoleList`两个方法,返回权限列表以及角色列表就可以,sa-token内部会自动判断接口所需的权限字符串或者角色字符串是否在返回的List中。
SpringBoot 使用 Sa-Token 完成权限认证
m0_71777195的博客
04-26 750
因为每个项目的需求不同,其权限设计也千变万化,因此 [ 获取当前账号权限码集合 ] 这一操作不可能内置到框架中, 所以 Sa-Token 将此操作以接口的方式暴露给你,以方便你根据自己的业务逻辑进行重写。前端的鉴权只是一个辅助功能,对于专业人员这些限制都是可以轻松绕过的,为保证服务器安全,无论前端是否进行了权限校验后端接口都需要对会话请求再次进行权限校验!深入到底层数据中,就是每个账号都会拥有一个权限码集合,框架来校验这个集合中是否包含指定的权限码。有同学要问,鉴权失败,抛出异常,然后呢?
RuoYi-Vue-Plus学习笔记 10 - 数据权限)关于权限架构的一些想法
MichelleChung的星球
01-13 5274
对比了一下框架和以前项目的数据权限架构设计,简单记录一下自己的想法。
探索 Sa-Token () 权限认证原理
weixin_38982591的博客
09-08 7178
sa-token 权限认证源码分析
SpringBoot 权限认证——Sa-Token的使用与详解
小蜗牛的珍贵百宝箱
09-29 2896
Sa-Token登录认证:用户登录状态的维护权限校验:检查用户是否有操作权限Session 会话:支持分布式 Session 共享单点登录(SSO):支持单点登录踢人下线:强制用户下线多账号体系:支持不同身份登录体系临时身份切换:在不退出登录的情况下,切换身份相比于 Shiro、Spring Security 等框架,Sa-Token 更加轻量易用,且具有非常高的扩展性。Sa-Token 支持基于角色和权限的访问控制。在实际项目中,我们可以将角色和权限与数据库结合,通过和方法来实现权限认证。
SpringBoot 使用 Sa-Token 完成注解鉴权功能
BASK2311的博客
05-16 867
正在上传…重新上传取消注解鉴权 —— 优雅的将鉴权与业务代码分离。本篇我们将介绍在 Sa-Token 中如何通过注解完成权限校验Sa-Token 是一个轻量级 java 权限认证框架,主要解决登录认证、权限认证、单点登录、OAuth2、微服务网关鉴权 等一系列权限相关问题。
RuoYi-Vue-Plus学习笔记 11 - 集成 Sa-Token 实现登录认证流程(Sa-Token 源码
MichelleChung的星球
01-13 8827
本文主要内容是 Sa-Token 登录认证流程分析。
ruoyi-vue-plus sa-token 实现免登录访问
08-23
RuoYi-Vue-Plus 项目中集成 Sa-Token 实现免登录访问功能,主要涉及对 Sa-Token 的配置和权限拦截机制的调整。以下是一个完整的配置方法和实现步骤: ### 配置免登录访问功能 #### 1. 引入 Sa-Token 依赖 确保在 `pom.xml` 文件中引入了 Sa-Token 的依赖,这是使用 Sa-Token 的前提条件[^1]。 ```xml <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.34.0</version> </dependency> ``` #### 2. 配置 Sa-Token 免登录访问 在 `application.yml` 或 `application.properties` 文件中配置 Sa-Token 的免登录访问规则。例如,可以设置特定的 URL 路径无需登录即可访问。 ```yaml sa-token: # 配置免登录访问的URL路径 ignore-url: - /login - /register - /public/** ``` #### 3. 自定义 Sa-Token 配置类 创建一个配置类以自定义 Sa-Token 的行为,例如设置全局的拦截规则和免登录逻辑。 ```java import cn.dev33.satoken.interceptor.SaInterceptor; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class SaTokenConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new SaInterceptor()) .addPathPatterns("/**") // 拦截所有请求 .excludePathPatterns("/login", "/register", "/public/**"); // 排除免登录路径 } } ``` #### 4. 实现免登录逻辑 对于需要免登录访问的接口,可以直接在控制器的方法上使用 `@SaCheckLogin(false)` 注解来跳过登录验证[^1]。 ```java import cn.dev33.satoken.annotation.SaCheckLogin; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; @RestController public class PublicController { @GetMapping("/public/data") @SaCheckLogin(false) public String getPublicData() { return "This is public data."; } } ``` #### 5. 调整权限校验逻辑(可选) 如果需要对某些权限进行动态调整,可以通过扩展 Sa-Token 提供的 `SaStrategy` 或 `StpLogic` 类来实现更复杂的逻辑。例如,可以在用户登录时动态加载权限信息并保存到 Sa-Token 的上下文中。 ### 注意事项 - **路径匹配规则**:确保配置的免登录路径与实际需求一致,避免误拦截或未拦截的情况。 - **权限校验**:对于需要权限校验的接口,保留默认的 Sa-Token 权限校验机制,避免因免登录配置影响其他接口的安全性。 - **测试验证**:在完成配置后,务必对免登录功能进行充分测试,确保其行为符合预期。 ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MichelleChung

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值