lsm/sa-token
1
0
Fork 0
mirror of https://gitee.com/dromara/sa-token.git synced 2025-04-05 17:37:53 +08:00
Code Issues Actions Packages Projects Releases Wiki Activity
47e879ad5e
sa-token/sa-token-doc/doc/use/jur-auth.md
shengzhang 47e879ad5e 完善文档
2021-01-31 23:28:42 +08:00

4.2 KiB
Raw Blame History

权限验证

核心思想

所谓权限验证,验证的核心就是一个账号是否拥有一个权限码
有,就让你通过。没有?那么禁止访问!

再往底了说,就是每个账号都会拥有一个权限码集合,我来验证这个集合中是否包含指定的权限码
例如:当前账号拥有权限码集合:["user:add", "user:delete", "user:get"],这时候我来验证权 "user:update",则结果就是:验证失败,禁止访问

所以现在问题的核心就是:

  1. 如何获取一个账号所拥有的的权限码集合
  2. 本次操作需要验证的权限码是哪个

获取当前账号权限码集合

因为每个项目的需求不同,其权限设计也千变万化,【获取当前账号权限码集合】这一操作不可能内置到框架中, 所以sa-token将此操作以接口的方式暴露给你,以方便的你根据自己的业务逻辑进行重写

你需要做的就是新建一个类,实现StpInterface接口,例如以下代码:

package com.pj.satoken;

import java.util.ArrayList;
import java.util.List;
import org.springframework.stereotype.Component;
import cn.dev33.satoken.stp.StpInterface;

/**
 * 自定义权限验证接口扩展 
 */
@Component	// 保证此类被SpringBoot扫描完成sa-token的自定义权限验证扩展 
public class StpInterfaceImpl implements StpInterface {

	/**
	 * 返回一个账号所拥有的权限码集合 
	 */
	@Override
	public List<String> getPermissionList(Object loginId, String loginKey) {
		// 本list仅做模拟实际项目中要根据具体业务逻辑来查询权限
		List<String> list = new ArrayList<String>();	
		list.add("101");
		list.add("user-add");
		list.add("user-delete");
		list.add("user-update");
		list.add("user-get");
		list.add("article-get");
		return list;
	}

	/**
	 * 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
	 */
	@Override
	public List<String> getRoleList(Object loginId, String loginKey) {
		// 本list仅做模拟实际项目中要根据具体业务逻辑来查询角色
		List<String> list = new ArrayList<String>();	
		list.add("admin");
		list.add("super-admin");
		return list;
	}

}

可参考代码:码云StpInterfaceImpl.java

权限验证

然后就可以用以下api来鉴权了

// 当前账号是否含有指定权限, 返回true或false 
StpUtil.hasPermission("user:update");		

// 当前账号是否含有指定权限, 如果验证未通过,则抛出异常: NotPermissionException 
StpUtil.checkPermission("user:update");		

// 当前账号是否含有指定权限 [指定多个,必须全部验证通过] 
StpUtil.checkPermissionAnd("user:update", "user:delete");		

// 当前账号是否含有指定权限 [指定多个,只要其一验证通过即可] 
StpUtil.checkPermissionOr("user:update", "user:delete");

扩展:NotPermissionException 对象可通过 getLoginKey() 方法获取具体是哪个 StpLogic 抛出的异常

角色验证

在sa-token中角色和权限可以独立验证

// 当前账号是否含有指定角色标识, 返回true或false 
StpUtil.hasRole("user:update");		

// 当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleException 
StpUtil.checkRole("user:update");		

// 当前账号是否含有指定角色标识 [指定多个,必须全部验证通过] 
StpUtil.checkRoleAnd("user:update", "user:delete");		

// 当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可] 
StpUtil.checkRoleOr("user:update", "user:delete");

扩展:NotRoleException 对象可通过 getLoginKey() 方法获取具体是哪个 StpLogic 抛出的异常

拦截全局异常

有同学要问,鉴权失败,抛出异常,然后呢?要把异常显示给用户看吗?当然不可以!
你可以创建一个全局异常拦截器,统一返回给前端的格式,参考:码云GlobalException.java