springboot快速整合satoken进行按钮级别控制

最新推荐文章于 2024-08-08 09:53:20 发布
最新推荐文章于 2024-08-08 09:53:20 发布
阅读量2.1k 收藏 5
点赞数
文章标签: spring boot java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45502554/article/details/121333632
版权
本文档详细介绍了如何在微服务中集成Sa-Token权限认证库,包括添加依赖、配置信息、登录逻辑、全局过滤器设置、自定义权限验证接口扩展、权限控制注解的使用以及异常处理。通过Sa-Token实现用户权限管理和认证,确保系统安全。
摘要由CSDN通过智能技术生成

官方文档:http://sa-token.dev33.cn/
因为代码这一块上手就是在微服务里面整活,所以先拿出一个子服务来进行说明,上述的官方文档也比较齐全,最重要的是中文,不懂的话就看官方文档。

添加依赖

 <!-- Sa-Token 权限认证, 在线文档:http://sa-token.dev33.cn/ -->
        <dependency>
            <groupId>cn.dev33</groupId>
            <artifactId>sa-token-spring-boot-starter</artifactId>
            <version>1.28.0</version>
        </dependency>

因为是单独的说明,就不需要添加satoken-redis相关依赖

配置文件

# token名称 (同时也是cookie名称)
sa-token.token-name=satoken
# token有效期,单位s 默认30, -1代表永不过期
sa-token.timeout=2592000
# 是否输出操作日志
sa-token.is-log=true
# token临时有效期 (指定时间内无操作就视为token过期) 单位: 秒
sa-token.activity-timeout=-1
# token风格
sa-token.token-style=simple-uuid
# 是否允许同一账号并发登录 (true时允许一起登录,false时新登录挤掉旧登录)
sa-token.is-concurrent=false
spring.profiles.active=dev

代码修改
其实这个一个已经写好登陆的子项目,所以就暂时不需要重新编写登陆逻辑,只需要在登陆成功后添加以下两行代码,必须将tokenInfo返回给前端:

 StpUtil.login(user.getId());
 SaTokenInfo tokenInfo=StpUtil.getTokenInfo();

然后就是添加sa-token的全局过滤器:

/**
 * Sa-Token 权限认证 配置类
 */
@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {
    private final Logger log = LoggerFactory.getLogger(this.getClass());
    // 注册 Sa-Token 全局过滤器
    @Bean
    public SaServletFilter getSaServletFilter() {
        return new SaServletFilter()
                .addInclude("/**")
                .addExclude("/favicon.ico","/swagger-resources/**", "/webjars/**", "/v2/**", "/swagger-ui.html/**" ,"/doc.html/**","/error")
                .setAuth(obj -> {
                    // 校验 Id-Token 身份凭证     —— 以下两句代码可简化为:SaIdUtil.checkCurrentRequestToken();
                    String token = SaHolder.getRequest().getHeader(SaIdUtil.ID_TOKEN);
                    log.info("manage子服务当前的ID_TOKEN:{}",token);
                    SaIdUtil.checkToken(token);
                    //SaIdUtil.checkToken(StpUtil.getTokenValue());

                })
                .setError(e -> {
                    return SaResult.error("manage子服务当前的异常"+e.getMessage());
                })
                ;
    }
    // 注册Sa-Token的注解拦截器,打开注解式鉴权功能
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        log.info("sa-token拦截器");
        registry.addInterceptor(new SaAnnotationInterceptor()).addPathPatterns("/**")
                // 排除外部调用接口
                .excludePathPatterns("/**/outer/**")
                // 排除指定url 排除企业logo 获取的方法
                .excludePathPatterns("/**/login/**", "/**/logout/**", "/**/error/**",
                        "/**/register/**", "/**/verify/**", "/**/monitorLogin/**", "/**/enterprise/get", "/**/enterprise/getLogo","/**/getSAStoken/**")
                .excludePathPatterns("/doc.html")
                // 排除swagger相关
                .excludePathPatterns("/swagger-resources/**", "/webjars/**", "/v2/**", "/swagger-ui.html/**");;
    }
}

添加自定义权限验证接口扩展:
其实项目用的最多的还是按钮的权限,所以第二个方法写不写都无所谓。每次等了成功后,第一次查询会将信息存在sasession里面(redis),注销后就是重新设置

/**
 * 自定义权限验证接口扩展
 */
@Component // 保证此类被SpringBoot扫描,完成sa-token的自定义权限验证扩展
public class StpInterfaceImpl implements StpInterface {
    private final Logger log = LoggerFactory.getLogger(this.getClass());
    private final String KEY_PERMS = "key_perms";
    private final String KEY_ROLENAMES = "key_rolenames";
    @Autowired
    private SysRoleDao sysRoleDao;
    @Autowired
    private SysUrlDao sysUrlDao;

    /**
     * 返回一个账号所拥有的权限码集合
     */
    @Override
    public List<String> getPermissionList(Object loginId, String loginKey) {

        SaSession session = StpUtil.getSession();
        if (session.get(KEY_PERMS) != null) {
            List<String> perms = (List<String>) session.get(KEY_PERMS);
            log.info("session信息:{}", session.get(KEY_PERMS));
            return perms;
        }
        // 通过用户id来获取权限
        List<SysRole> roles = sysRoleDao.getRoleListByUser(loginId.toString());
        List<String> roleIds = roles.stream().map(SysRole::getId).collect(Collectors.toList());
        List<SysPermission> permissions = sysUrlDao.getUnionPermission(roleIds);
        List<String> perms = permissions.stream().map(SysPermission::getPerms).collect(Collectors.toList());
        session.set(KEY_PERMS, perms);
        return perms;
    }

    /**
     * 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
     */
    @Override
    public List<String> getRoleList(Object loginId, String loginKey) {
        SaSession session = StpUtil.getSession();
        if (session.get(KEY_ROLENAMES) != null) {
            List<String> roleNames = (List<String>) session.get(KEY_ROLENAMES);
            log.info("session信息:{}", session.get(KEY_ROLENAMES));
            return roleNames;
        }


        List<SysRole> roles = sysRoleDao.getRoleListByUser(loginId.toString());
        List<String> roleNames = roles.stream().map(SysRole::getRoleName).collect(Collectors.toList());
        session.set(KEY_ROLENAMES, roleNames);
        return roleNames;
    }

}

数据库方面,在你们的权限表只需要添加perms字段,将每一个的权限码写在里面
部分数据库截图
接下来就是在每一个控制层添加注解来进行权限控制:

    @SaCheckPermission(value={"sys:dept:add","sysadmin"},mode = SaMode.OR)//只要包含"sys:dept:add","sysadmin"的任何一个,就可以进行部门新增,此处用"sysadmin"的原因是,超级管理员只需要这一个权限就可以了,没有必要将所有的权限都写出来
    @PostMapping(value = "save")
    public Response save(Department department) {
        StpUtil.checkLogin();
        System.out.println("该用户已经成功登录");
        进行service代码操作
        return 。。。
    }

最后就是异常处理:

@RestControllerAdvice
public class ExternalException {
    /**
     * SpringBoot获取当前环境代码,Spring获取当前环境代码
     */
    @Value("${spring.profiles.active}")
    private String profiles;

    /**
     * 判断是否是Ajax请求
     *
     * @param request
     * @return
     */
    public boolean isAjax(HttpServletRequest request) {
        return (request.getHeader("X-Requested-With") != null
                && "XMLHttpRequest".equals(request.getHeader("X-Requested-With").toString()));
    }

    // 在当前类每个方法进入之前触发的操作
    @ModelAttribute
    public void get(HttpServletRequest request) throws IOException {

    }

    // 全局异常拦截(拦截项目中的所有异常)
    @ExceptionHandler
    public Response handlerException(Exception e, HttpServletRequest request, HttpServletResponse response)
            throws Exception {
        if ("dev".equals(profiles)) {
            // 打印堆栈,以供调试
            e.printStackTrace();
        }
        // 不同异常返回不同状态码
        Response aj = null;
//       if (e instanceof NotLoginException) { // 如果是未登录异常
//           NotLoginException ee = (NotLoginException) e;
//            aj = Response.error(ee.getMessage());
//            if (ee.getLoginType().equals("member") && !isAjax(request)) {
//                response.sendRedirect("/member/login");
//            } else if (!isAjax(request)) {
//                response.sendRedirect("/system/adminlogin");
//            } else {
//               aj = Response.error("请登录");
//            }
//        } else if (e instanceof NotRoleException) { // 如果是角色异常
//            NotRoleException ee = (NotRoleException) e;
//            aj = Response.error("无此角色:" + ee.getRole());
//        } else

        if(e instanceof NotLoginException){
            NotLoginException notLoginException= (NotLoginException) e;
            aj= Response.error("认证异常:"+notLoginException.getMessage());
        } else if (e instanceof NotPermissionException) { // 如果是权限异常
            NotPermissionException notPermissionException = (NotPermissionException) e;
            aj = Response.error("无此权限:" + notPermissionException.getCode()+",请联系管理员");
        } else { // 普通异常, 输出:5000 + 异常信息
            aj = Response.error(e.getMessage());
        }
        // 返回给前端
        return aj;
    }
}

其他的就暂时没有了

日行一善,写一算法
关注
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
念兮为美
08-30 3931
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-TokenSpring WebFlux集成Sa-Token这两个常用的开发框架。......
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
SpringBoot(51) 整合Sa-Token实现权限认证
08-17
SpringBoot(51) 整合Sa-Token实现权限认证
Spring Boot 整合 SA-Token 使用详解
hong161688的博客
08-07 1284
SA-Token是一个基于TokenJava权限认证框架,主要解决:登录认证、权限认证、Session会话、踢出登录、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。SA-Token以“简单、易用、安全”为设计目标,致力于打造一个轻量级的权限认证框架。SA-Token允许你通过实现接口来自定义Token的生成、解析和验证逻辑。这对于有特殊Token格式或加密需求的应用非常有用。@Component// 实现自定义的Token处理逻辑// 在配置类中指定自定义的Token处理器。
springboot整合Sa-Token
m0_63837020的博客
07-31 3451
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。Sa-Token 旨在以简单、优雅的方式完成系统的权限认证部分
springboot整合Sa-Token实现登录认证和权限校验(万字长文)
2301_78646673的博客
02-03 6244
我本来是想写一篇介绍spring boot项目中整合Sa-Token来实现最常用的登录校验和权限认证的,但是写着写着就变成官网的复制机了。我在本篇文章中大量复制了官网上的内容,原本只是想复制一些官方介绍就行了。但是这也从侧面说明了Sa-Token官网制作的确实是比较好的,基本上不需要额外的学习,只要你有做过登录和权限方面的项目经验,再看一遍官网的介绍就能直接上手了。我之前写过一个B2C模式的购物商台,分为用户端和管理端。管理端的登录和权限校验是用spring security写的。
Spring Boot整合SA-Token的使用详解
最新发布
hai40587的博客
08-08 1459
SA-Token是一个轻量级的Java权限认证框架,由国人开发,主要解决登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权等一系列权限相关问题。SA-Token以简单、优雅的方式完成系统的权限认证部分,让开发者能够专注于业务逻辑的开发,而无需过多关注权限控制的实现细节。通过整合SA-TokenSpring Boot项目中,你可以轻松实现登录认证、权限认证、会话管理等一系列权限控制功能。SA-Token以其简单、优雅的设计理念和丰富的功能,为开发者提供了极大的便利。
SpringBoot】44、SpringBoot整合JWT实现Token验证(整合篇)
热门推荐
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行
SpringBoot】45、SpringBoot整合JWT实现Token验证(注解篇)
Asurplus
02-28 21万+
前言 上篇文章,我们已经在 SpringBoot整合了 JWT 并实现了 Token 验证,那我们在实际应用中就会发现,如果每个 视图层(controller)都手动验证 token,代码就会显得特别臃肿,本篇文章主要为了解决该问题。 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot整合JWT实现Token验证 自定义注解 1、创建自定义注解 package com.asurplus.common.annotation; import
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用
05-22
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用 前端使用html jquery ajax异步请求 后端springboot框架,Sa-Token框架。 jdk使用1.8 mysql 8.0
SpringBoot】27、SpringBoot整合Ehcache实现热点数据缓存
Asurplus
07-24 21万+
EhCache 是一个纯 Java 的进程内缓存框架,具有快速、精干等特点,是 Hibernate 中默认的CacheProvider。用惯了 Redis,很多人可能已经忘记了还有 EhCache 这么一个缓存框架 一、简介 EhCache 是一个纯 Java 的进程内缓存框架,具有快速、精干等特点,是 Hibernate 中默认CacheProvider。Ehcache 是一种广泛使用的开源 Java 分布式缓存。主要面向通用缓存,Java EE 和轻量级容器。它具有内存和磁盘存储,缓存加载器,缓存扩展,
Spring Boot 集成并开发 Sa-token
吴名氏的博客
06-05 10万+
Spring Boot 集成并开发 Sa-token
springboot集成sa-token
2201_76059856的博客
05-16 290
2.配置application.yml文件3.创建测试controller。
springboot整合sa-token
拒绝熬夜啊的博客
04-19 4154
springboot整合sa-token
Spring Boot 整合 SA-Token 的使用详解
jun778895的博客
08-07 1324
SA-Token是一个轻量级的Java权限认证框架,由国人开发,主要解决登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权等一系列权限相关问题。轻量级:SA-Token不依赖任何第三方框架,只依赖JDK原生API,易于学习和使用。零配置:SA-Token提供了丰富的内置功能,用户可以通过简单的配置即可使用,无需编写大量的代码。注解式鉴权:SA-Token提供了丰富的注解,如等,可以很方便地在Controller层进行权限控制。丰富的会话管理。
SpingBoot整合Sa-Token框架(1)
白白白鲤鱼的博客
09-06 517
SpingBoot整合Sa-Token框架(1)
Spring Boot 系列教程(第一百篇):SpringBoot整合sa-token权限框架
Thinkingcao的专栏
09-10 6125
sa-token是一个JavaWeb权限认证框架,强大、简单、好用。
springboot+sa-token+vue-admin 动态菜单的实现
qq_44843371的博客
03-01 2786
使用springboot+sa-token+vue实现动态菜单与路由
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值