sa-token进阶

最新推荐文章于 2024-03-13 22:28:03 发布
最新推荐文章于 2024-03-13 22:28:03 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: 鉴权 java 文章标签: java sa-token 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imVainiycos/article/details/128374546
版权
java 同时被 2 个专栏收录
56 篇文章 4 订阅
订阅专栏
鉴权
2 篇文章 0 订阅
订阅专栏

介绍sa-token实际应用的高阶用法。

文章目录

路由拦截鉴权

定义配置类SaTokenConfigure->实现WebMvcConfigurer,设置一个只对login请求放通的拦截器:

@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new SaInterceptor(handle-> StpUtil.checkLogin()))
                .addPathPatterns("/**")
                .excludePathPatterns("/login");
    }
}

测试结果:

我们在未登录的情况下,此时cookie值为空,访问其他接口则返回NotLoginException异常(通常情况下我们可以做个全局异常捕获,如果获取到该异常则用统一格式返回,这里不做详细描述,可以参考:实现全局异常处理):

image-20221219135927945

登录成功之后,cookie值存在,访问其他接口正常:

image-20221219140106216

至此,我们一个简单的登录拦截器就已经实现了。

其实我们可以继续进行优化,使用sa-token封装的SaRouter路由写法使得更容易定义,具体SaRouter的用法可以参考官网-校验函数详解,以下仅为官网示例:

@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new SaInterceptor(Handler -> {
            // 等同于下方的简写写法
            // SaRouter
            //        // 拦截的path列表 支持写多个
            //        .match("/**")
            //        // 排除掉的path 支持写多个
            //        .notMatch("/login")
            //        // 要执行的校验动作
            //        .check(r -> StpUtil.checkLogin());
            // 可以简写登录校验 -- 拦截所有路由,并排除/user/doLogin 用于开放登录
            SaRouter.match("/**", "/login", r -> StpUtil.checkLogin());
            // 角色校验 -- 拦截以 admin 开头的路由,必须具备 admin 角色或者 super-admin 角色才可以通过认证
            SaRouter.match("/admin/**", r -> StpUtil.checkRoleOr("admin", "super-admin"));

            // 根据路由划分模块,不同模块不同鉴权
            SaRouter.match("/orders/**", r -> StpUtil.checkPermission("orders"));
        }));
    }
}

绑定角色权限标识

接下来我们介绍如何将自定义的角色和权限标识与sa-token结合在一起。

首先我们需要定义一个StpInterfaceImpl -> 实现StpInterface接口,需要实现两个方法分别是getPermissionList,getRoleList,此处需要注意的是只要配置了角色或者权限标识的拦截,那么每一次请求都会访问这两个方法,可以考虑做个缓存,以避免频繁请求用户信息:

@Component
public class StpInterfaceImpl implements StpInterface {

    /**
     * 返回一个账号所拥有的权限码集合
      * @param loginId  账号id
     * @param loginType 账号类型
     * @return
     */ 
    @Override
    public List<String> getPermissionList(Object loginId, String loginType) {
        // 此处通常对接用户权限表根据loginId查询对应用户的权限信息。此处仅作模拟loginId="1" 则拥有order权限标识,否则没有
        if ("1".equals(loginId)){
            return Arrays.asList("orders");
        }else {
            return Arrays.asList("default");
        }
    }

    /**
     * 返回一个账号所拥有的角色标识集合
      * @param loginId  账号id
     * @param loginType 账号类型
     * @return
     */ 
    @Override
    public List<String> getRoleList(Object loginId, String loginType) {
        // 此处通常对接用户角色表根据loginId查询对应用户的角色标识信息。此处仅作模拟loginId="666" 表示管理员,否则非管理员
        if ("666".equals(loginId)){
            return Arrays.asList("admin");
        }else {
            return Arrays.asList("general");
        }
    }
}

角色校验/权限校验

结合上一章节中的配置信息,我们创建对应的controller进行测试:

// 角色校验 -- 拦截以 admin 开头的路由,必须具备 admin 角色或者 super-admin 角色才可以通过认证
SaRouter.match("/admin/**", r -> StpUtil.checkRoleOr("admin", "super-admin"));

// 根据路由划分模块,不同模块不同鉴权
SaRouter.match("/orders/**", r -> StpUtil.checkPermission("orders"));

测试角色标识

@RestController
@RequestMapping("/admin")
public class AdminController {

    @GetMapping("/test")
    public String test(){
        return "admin角色允许访问";
    }
}

我们用usId=“2”,即表示没有管理员角色进行访问/admin/test,结果如下表示该用户无此角色被拒:

image-20221219154427345

我们用usId=“666”,即表示管理员角色进行访问/admin/test,结果如下表示用户具备该角色请求放通:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AUzuMozV-1671439109823)(null)]

测试权限标识

@RestController
@RequestMapping("/orders")
public class AdminController {

    @GetMapping("/test")
    public String test(){
        return "orders权限标识允许访问";
    }
}

我们用usId=“2”,即表示没有管理员角色进行访问/orders/test,结果如下表示该用户无此权限被拒:

image-20221219160703980

我们用usId=“1”,即表示管理员角色进行访问/orders/test,结果如下表示用户具备该权限请求放通:

image-20221219160959487

进阶用法

那每一个权限标识或者角色我们都要手动配置到配置类中吗,有没有更加简便的方法在我们写controller就对应好角色和标识的关系。

这里我们需要了解两个注解:

  • @SaCheckRole:角色认证
  • @SaCheckPermission:权限标识

此时我们只需要在管控的controller对应位置上加上注解就能完成配置类中的功能,加在类名上表示该controller下的所有入口遵从认证标识:

@SaCheckRole("admin")
@RestController
@RequestMapping("/admin")
public class AdminController {

    // 所有的请求都需要满足角色admin...
}


@RestController
@RequestMapping("/admin")
public class AdminController {

    // 只有该请求需要满足角色admin
    @SaCheckRole("admin")
    @GetMapping("/testAnno")
    public String testAnno(){
        return "注解方式实现角色放通";
    }
}

同理,权限标识也是如此:

@SaCheckPermission("orders")
@RestController
@RequestMapping("/orders")
public class OrderController {

    // 所有的请求都需要满足权限标识orders...
}

@RestController
@RequestMapping("/orders")
public class OrderController {
    
    @SaCheckPermission("orders")
    @GetMapping("/test")
    public String test(){
        return "orders权限标识允许访问";
    }
}

若存在需要多个权限或者角色标识来判断的情况,我们可以使用如下写法:

// 同时具备大括号中的所有权限标识才放通
@SaCheckPermission({"user-add", "user-delete", "user-update"})
// 只要具备其中一个权限标识就可以进入
@SaCheckPermission(value = {"user-add", "user-delete", "user-update"}, mode = SaMode.OR)

角色注解同理:

// 同时具备大括号中的所有角色才放通
@SaCheckRole({"admin", "my-role"})
// 只要具备其中一个角色就可以进入
@SaCheckRole(value = {"admin", "my-role"}, mode = SaMode.OR)

还有其他相关注解,例如:

  • @SaCheckLogin:登录认证 —— 只有登录之后才能进入该方法
  • @SaCheckSafe:二级认证校验 —— 必须二级认证之后才能进入该方法
  • @SaCheckBasic:HttpBasic认证 —— 只有通过 Basic 认证后才能进入该方法

参考资料:

Vainycos
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sa-token封装了一下
03-15
sa-token封装了一下
基于SpringBoot的影像注册系统04 sa-token使用(源码解析 + 万字
m0_67614284的博客
05-03 1568
逻辑:查询username存不存在,再查询密码是否正确,只要没有抛异常就调用sa-token的login方法。 StpUtil.login(userReal.getId()); login方法传入我们user的id,比如: 把int类型的数值传进去了。 步骤 4 sa-token登录认证 ================= [核心思想](() 所谓登录认证,说白了就是限制某些API接口必须登录后才能访问(例:查询我的账号资料) 那么如何判断一个会话是否登录?框架会在登录成功后给你做个标记,每次登录认证时校
Sa-Token基本到深入操作
最新发布
cxl0209的博客
03-13 1260
1.Sa-Token 介绍 Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。 Sa-Token 旨在以简单、优雅的方式完成系统的权限认证部分,以登录认证为例,你只需要: 下面展示一些 内联代码片。 // 会话登录,参数填登录人的账号id StpUtil.login(10001); 无需实现任何接口,无需创建任何配置文件,只需要这一句静态代码的调用,便可以完成会话登录认证。如果
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用
05-22
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用 前端使用html jquery ajax异步请求 后端springboot框架,Sa-Token框架。 jdk使用1.8 mysql 8.0
SpringBoot 使用 Sa-Token 完成注解鉴权功能
m0_71777195的博客
05-16 2706
注解鉴权 —— 优雅的将鉴权与业务代码分离。本篇我们将介绍在 Sa-Token 中如何通过注解完成权限校验。Sa-Token 是一个轻量级 java 权限认证框架,主要解决登录认证、权限认证、单点登录、OAuth2、微服务网关鉴权 等一系列权限相关问题。Gitee 开源地址:gitee.com/dromara/sa-…
sa-token 注解式鉴权
Iloveskr
12-31 2362
一.sa-token注解式鉴权 首先配置注解式拦截器 /** * @author Fetter * @ClassName SaTokenConfigure.java * @Description 拦截器 * @createTime 2021年12月31日 11:39:00 */ @Configuration public class SaTokenConfigure implements WebMvcConfigurer { // 注册Sa-Token的注解拦截器,打开注解式鉴权功能
探索 Sa-Token (三) 权限认证原理
weixin_38982591的博客
09-08 3492
sa-token 权限认证源码分析
Sa-Token】4、Sa-Token开启注解式鉴权
热门推荐
Asurplus
08-01 20万+
前面我们已经介绍了路由式的鉴权方式,即就是拦截需要鉴权的 API 路径,允许哪些能够匿名访问,哪些必须要登录后才能访问,本篇文章介绍,如何使用 “注解式” 鉴权方式 1、开启注解式鉴权 /** * 注册拦截器 * * @param registry */ @Override public void addInterceptors(InterceptorRegistry registry) { // 注册登录拦截器 registry.addInterceptor(new SaToken
SaToken登录鉴权示例的源码跟踪
Jinondo's Blog
04-01 4621
源码跟踪 这里使用官方的springboot-demo来测试跟踪 源码跟踪 - 登录 登录分为存有session时的登录和没有session时的登录 没有session时的登录: StpLogic: /** * 会话登录,并指定所有登录参数Model * @param id 登录id,建议的类型:(long | int | String) * @param loginModel 此次登录的参数Model */ public void login(Object id, SaLogin
再见Spring Security!推荐一款功能强大的权限认证框架,用起来够优雅!
HollisChuang's Blog
08-23 1542
‍‍在我们做SpringBoot项目的时候,认证授权是必不可少的功能!我们经常会选择Shiro、Spring Security这类权限认证框架来实现,但这些框架使用起来有点繁琐,而且功能也...
SpringBoot 使用 Sa-Token 完成路由拦截鉴权
shengzhang_的博客
05-22 1354
free() 的作用是:打开一个独立的作用域,使内部的 stop() 不再一次性跳出整个 Auth 函数,而是仅仅跳出当前 free 作用域。注解,会显得非常冗余且没有必要,在这个需求中我们真正需要的是一种基于路由拦截的鉴权模式,那么在 Sa-Token 怎么实现路由拦截鉴权呢?在前文,我们详细的讲述了在 Sa-Token 如何使用注解进行权限认证,注解鉴权虽然方便,却并不适合所有鉴权场景。如上示例,代码运行至第2条匹配链时,会在stop函数处提前退出整个匹配函数,从而忽略掉剩余的所有match匹配。
SpringBoot(51) 整合Sa-Token实现权限认证
08-17
SpringBoot(51) 整合Sa-Token实现权限认证
sa-token:这可能是史上功能最全的Java权限认证框架!目前已集成-登录验证,权限验证,会话会话,踢人下线,分布式会话,单点登录,OAuth2.0,记住我模式,模拟公众账号,临时身份切换,集成Redis,多账号认证体系,前后台分离模式,注解式鉴权,路由拦截式鉴权,花式令牌生成,自动续签,同端互斥登录,会话治理,密码加密,jwt集成,Spring集成..
04-02
sa-token v1.15.2这可能是史上功能最全的Java权限认证框架!在线资料Sa-Token是什么? sa-token是一个轻量级Java权限认证框架,主要解决:登录认证,权限认证,会话会话,单点登录,OAuth2.0等长度权限相关问题框架...
Sa-Token权限认证框架.rar
07-08
Sa-Token是一个轻量级Java权限验证框架。它不仅支持SpringBoot等主流框架,也可以适配Servlet、JFinal等非主流框架。Sa-Token可以用于身份验证、角色权限验证、API接口鉴权等场景。本文将重点介绍在SpringBoot框架中...
@DateTimeFormat与@JsonFormat详解
imVainiycos的博客
10-23 4万+
前后端进行时间类型的传值经常会遇到各种问题,并且对于java中的Date类也有util包与sql包的区别,在本文中我将会围绕实际业务进行展开解释。 一、时间传值 前端时间控件,一般情况下直接会传一个yyyy-MM-dd的日期字符串到后台。这个时候如果我们直接用java.util.Date类型就无法正确接收到。或者我们从数据库里查到DateTime类型并且用java的Date类型接收并返回给前台...
排查生产环境:MySQLTransactionRollbackException数据库死锁
imVainiycos的博客
08-02 8104
至此,本次MySQL线上死锁问题就已结束排查。由于线上问题一般都比较复杂或者比较难复现,所以排查线上问题首先需要分析日志,这个时候就要求我们程序的日志要尽可能做到完善。然后就是大胆猜测,小心验证,其中不免会经历多次推到重来的历程。此后该问题再次出现就不会再成为你的问题。记一次生产环境Java服务synchronized死锁的处理过程注意Synchronized与@Transactional不能在同一方法上使用的bug@transactional和synchronized同时使用不能同步的问题。......
IDEA中对于JSON字符串的处理(使用内置支持+插件提高效率)
imVainiycos的博客
08-21 7580
Java语言中,字符串由双引号里的内容组成,例如String name = “Vainycos”。而JSON字符串则是一种最常见的数据格式串,通常格式模板为:[{“name”:“Vainycos”}]。如果我们想要在Java中使用JSON字符串,则需要在字符串的双引号中间加许多转义符来达到效果,即最终结果应该是String jsonName = “[{/“name/”:/“Vainycos/”...
Java实现DFA算法敏感词过滤
imVainiycos的博客
03-02 5335
Java实现DFA算法敏感词过滤。 文章目录一. 应用场景二. 实现思路三. 源码实现 一. 应用场景 模拟非法词汇自动替换成*字符,且敏感词汇支持动态调整。 效果如下,若配置了敏感词:今天,则当用户在输入:今天,天气真不错。实际应该输出:** **,天气真不错 ** 二. 实现思路 使用MySQL作为敏感词库 使用DFA算法实现文字过滤 Q:什么是DFA? DFA全称为:Deterministic Finite Automaton,即确定有穷自动机。其特征为:有一个有限状态集合和一些从一个状态通向.
Sa-Token浅谈
imVainiycos的博客
12-14 4867
官网介绍的非常详细,主要突出这是一个轻量级鉴权框架的特点,详情可自行访问:https://sa-token.dev33.cn/doc.html#/
sa-token如何校验token
07-28
sa-token可以通过以下配置来校验token: 1. 配置token名称:在yml配置文件中,可以通过设置`sa-token.token-name`来指定token的名称,例如`sa-token.token-name: X-Token`\[1\]。 2. 配置token有效期:可以通过设置`sa-token.timeout`来指定token的有效期,单位为秒,默认为30天,可以设置为-1代表永不过期,例如`sa-token.timeout: 2592000`\[1\]。 3. 配置token临时有效期:可以通过设置`sa-token.activity-timeout`来指定token的临时有效期,即在指定时间内无操作就视为token过期,单位为秒,默认为-1,表示不设置临时有效期,例如`sa-token.activity-timeout: -1`\[1\]。 4. 配置是否允许同一账号并发登录:可以通过设置`sa-token.is-concurrent`来指定是否允许同一账号并发登录,为true时允许一起登录,为false时新登录会挤掉旧登录,例如`sa-token.is-concurrent: true`\[1\]。 5. 配置是否共用一个token:可以通过设置`sa-token.is-share`来指定在多人登录同一账号时,是否共用一个token,为true时所有登录共用一个token,为false时每次登录会新建一个token,例如`sa-token.is-share: true`\[1\]。 6. 配置是否输出操作日志:可以通过设置`sa-token.is-log`来指定是否输出操作日志,为true时输出操作日志,为false时不输出操作日志,例如`sa-token.is-log: false`\[1\]。 7. 配置是否使用cookie保存token:可以通过设置`sa-token.is-read-cookie`来指定是否使用cookie保存token,为true时使用cookie保存token,为false时不使用cookie保存token,例如`sa-token.is-read-cookie: false`\[1\]。 8. 配置是否使用head保存token:可以通过设置`sa-token.is-read-head`来指定是否使用head保存token,为true时使用head保存token,为false时不使用head保存token,例如`sa-token.is-read-head: true`\[1\]。 通过以上配置,sa-token可以根据配置的规则来校验token的有效性。 #### 引用[.reference_title] - *1* [最简单的权限验证实现——使用Sa-Token进行权限验证](https://blog.csdn.net/lp840312696/article/details/127072424)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [探索 Sa-Token (一) SpringBoot 集成 Sa-Token](https://blog.csdn.net/weixin_38982591/article/details/126764928)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值