百度360必应搜狗淘宝本站头条
分布式事务框架grpc框架shiro框架java日志框架框架图
当前位置:网站首页 > 技术文章 > 正文

java权限控制框架sa-token使用心得

ccwgpt 2024-10-27 08:53 41 浏览 0 评论

之前自用的项目中使用的是springsecurity权限管理框架,没有使用自定义token,因此是默认的cookie方式,突然有一天浏览器在跨域的情况下不支持cookie了,虽然可以更改浏览器的安全设置来解决,但这种方法治标不治本,治本还是要使用自定义token方式。

satoken权限控制框架在github上有2.7K的star,算是一个比较不错的框架了,其使用比springsecurity要简单。

一、maven依赖

<!-- Sa-Token 权限认证, 在线文档:http://sa-token.dev33.cn/ -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.19.0</version>
</dependency>

二、配置文件

# token名称 (同时也是headers中的名称)
spring.sa-token.token-name: satoken
# token有效期,单位s 默认30天, -1代表永不过期,大概8个多小时必定过期
spring.sa-token.timeout: 30000
# token临时有效期 (指定时间内无操作就视为token过期) 单位: 秒
spring.sa-token.activity-timeout: -1
# 是否允许同一账号并发登录 (为true时允许一起登录, 为false时新登录挤掉旧登录)
spring.sa-token.allow-concurrent-login: true
# 在多人登录同一账号时,是否共用一个token (为true时所有登录共用一个token, 为false时每次登录新建一个token)
spring.sa-token.is-share: false
# token风格,默认为uuid
spring.sa-token.token-style: random-64
# 是否输出操作日志
spring.sa-token.is-log: false

三、自定义权限角色查询接口实现

@Component    // 保证此类被SpringBoot扫描,完成sa-token的自定义权限验证扩展
public class StpInterfaceImpl implements StpInterface {
    @Autowired
    private UserDao userDao;
    @Autowired
    private RoleMapper roleMapper;
    @Autowired
    private User_RoleMapper user_roleMapper;
    /**
     * 返回一个账号所拥有的权限码集合
     */
    @Override
    public List<String> getPermissionList(Object loginId, String loginKey) {
        // 查出当前用户的权限信息
        List<String> list = new ArrayList<String>();
        List<Permission> permissions = userDao.findPermissionByUserName(loginId.toString());
        permissions.forEach(l -> {
            list.add(l.getPermTag());
        });
        return list;
    }
    /**
     * 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
     */
    @Override
    public List<String> getRoleList(Object loginId, String loginKey) {
        // 查出当前用户的角色信息
        List<String> list = new ArrayList<String>();
        int id = userDao.selectOne(Wrappers.<User>lambdaQuery().eq(User::getUsername, loginId.toString())).getId();
        List<User_Role> user_roles = user_roleMapper.selectList(Wrappers.<User_Role>lambdaQuery().eq(User_Role::getUid, id));
        user_roles.forEach( l -> {
            int rid = l.getRid();
            Role role = roleMapper.selectOne(Wrappers.<Role>lambdaQuery().eq(Role::getId, rid));
            list.add(role.getRoleName());
        });
        return list;
    }
}

四、java配置文件

关键之处在于排除路径的认证。

由于我这个项目大部分是前后分离的,有一小部分是后端的模板html文件请求,因此主要在模板文件请求中如何去传递token。

@Configuration
public class MyConfig implements WebMvcConfigurer {
  @Override
   public void addInterceptors(InterceptorRegistry registry) {
       // 注册路由拦截器,自定义验证规则
       registry.addInterceptor(new SaRouteInterceptor((request, response, handler)->{
           if (!request.getMethod().equals(HttpMethod.OPTIONS.toString())) {
               SaRouterUtil.match("/**", () -> StpUtil.checkLogin());
               SaRouterUtil.match(Arrays.asList("/user/**","/role/**"),
                       Arrays.asList("/user/selectList", "/user/selectByUserNameAndPassword", "/user/updataPassword"),
                       () -> StpUtil.checkPermission("USERMANAGER"));
               SaRouterUtil.match("/tax/**",() -> StpUtil.checkPermission("TAXFILES"));
               SaRouterUtil.match("/customer/**",() -> StpUtil.checkPermission("COMPANYFILES"));
               SaRouterUtil.match("/product/**",() -> StpUtil.checkPermission("PRODUCTFILES"));
               SaRouterUtil.match("/designNotice/**",() -> StpUtil.checkPermission("NOTICEDESIGN"));
               SaRouterUtil.match("/price/**",() -> StpUtil.checkPermission("PRICEDESIGN"));
               SaRouterUtil.match(Arrays.asList("/contract/**","/picture/**"),() -> StpUtil.checkPermission("CONTRACTMANAGER"));
           }
       })).addPathPatterns("/**").excludePathPatterns("/login","/static/**","/showNotice",
               "/noticepicture/show","/noticepicture/down",
               "/images/**",
               "/price/download","/user/backup",
               "/picture/show","/picture/downjpg");
     //此上为排除的路径,需要自定义其验证,包括login请求
   }
}

五、后端模板文件的自定义token请求

模板文件的请求是通过url路径来请求的,且前后端分离情况下的token不能传递到模板文件的请求体headers中,因此我想了个办法,使用url传递token,然后在后端进行验证token的合法性。

  • 前端代码中js逻辑,添加一个satoken参数
showNotice (index, id) {
      window.open(global.BASE_URL + 'showNotice?id=' + id + '&satoken=' + this.$store.state.satoken)
    },
  • 后端代码
@ApiOperation(value="跳转设计制作通知单——return:showNotice.html")
 @RequestMapping("/showNotice")
    public String toshowNotice(int id,String satoken){
        Object loginId = StpUtil.getLoginIdByToken(satoken);
        if (loginId != null){
          //getLoginIdByToken方法,获取指定token对应的登录id,如果未登录,则返回 null 
            return "showNotice";
        } else {
          // token验证不通过跳转到403.html显示无权限页面
            return "403";
        }
    }

六、登录、登出请求

@PostMapping("/login")
@ResponseBody
public Result<User> doLogin(User user) {
        // 从数据库中查询数据进行比对
        String username = user.getUsername();
        String password = user.getPassword();
        Result<Boolean> result = userService.selectByUserNameAndPassword(username, password);
        if (result.getData()) {
            //当前用户登录
            StpUtil.setLoginId(username);
            Result<User> result1 = userService.selectByUserName(username);
            List<Permission> permission = userDao.findPermissionByUserName(username);
            User user1 = result1.getData();
            //设置权限
            user1.setAuthorities(permission);
            //设置token值
            user1.setSatoken(StpUtil.getTokenValue());
            result1.setData(user1);
            return result1;
        }else {
            return Result.failure(101,"登录失败");
        }
    }
@PostMapping("/logout")
@ResponseBody
public Result<String> logout() {
    StpUtil.logout();
   eturn Result.defaultSuccess("登出成功");
}

七、密码的加密处理

之前在sprintsecurity中使用的是BCrypt加密,去除依赖后需要修改,引入hutool依赖包。

//将明文密码进行加密
String  BCrypt.hashpw(password)
//将明文密码与加密后的密码进行比较
Boolean BCrypt.checkpw(password,hashpw)

八、前端中对于satoken的处理

在前端中使用的是vue+element+axios+vuex。

在登录的时候将satoken的值存储到vuex中,在登出或者响应token错误代码的时候清除vuex中的satoken值。

然后在axios请求的配置中加上headers。

axios.interceptors.response.use((response) => {
  if (response.data === null) {
    window.location = '/login'
  } else {
    return response
  }
}, function (error) {
  if (error.response.status === 302) {
    window.location = '/login'
  } else if (error.response.status === 500) {
    // 服务器返回500代码时未登录清除缓存并跳转至登录页面
    store.commit('del_token')
    window.location = '/login'
  } else {
    return Promise.reject(error)
  }
})
// 在每次请求中携带satoken的headers
axios.interceptors.request.use((config) => {
  let satoken = store.state.satoken
  if (satoken) {
    config.headers['satoken'] = satoken
  }
  return config
}, err => {
  return Promise.reject(err)
})

九、关于element的upload组件中如何携带token

需要一个computed属性

computed: {
    headers () {
      return {
        'satoken': this.$store.state.satoken // 直接从本地获取token就行
      }
    }
  },

在组件属性中增加一个 :headers="headers"

<el-upload
            class="upload-demo"
            ref="upload"
            :action="action()"
            accept=".jpg,.png"
            :before-upload="beforeAvatarUpload"
            :on-success="onSuccess"
            :on-preview="handlePreview"
            :before-remove="beforeRemove"
            :on-remove="handleRemove"
            :file-list="orderfileList"
            :multiple="false"
            :headers="headers"
            :auto-upload="true">
            <el-button slot="trigger" size="small" type="primary">选择</el-button>
            <span slot="tip" class="el-upload__tip">只能上传jpg/png文件,且不超过5MB</span>
</el-upload>

此处有一个重要问题,这个问题坑了我半天时间,使用token时不需要使用cookie了,因此之前使用springsecurity的时候使用的一个属性 :with-credentials = "true" 需要去掉,因为它还会检测cookie,导致上传验证不通过,此值默认为false,因此去掉即可。

相关推荐

RACI矩阵:项目管理中的角色与责任分配利器

作者:赵小燕RACI矩阵RACI矩阵是项目管理中的一种重要工具,旨在明确团队在各个任务中的角色和职责。通过将每个角色划分为负责人、最终责任人、咨询人和知情人四种类型,RACI矩阵确保每个人都清楚自己...

在弱矩阵组织中,如何做好项目管理工作?「慕哲制图」

慕哲出品必属精品系列在弱矩阵组织中,如何做好项目管理工作?【慕哲制图】-------------------------------慕哲制图系列0:一图掌握项目、项目集、项目组合、P2、商业分析和NP...

Scrum模式:每日站会(Daily Scrum)

定义每日站会(DailyScrum)是一个Scrum团队在进行Sprint期间的日常会议。这个会议的主要目的是为了应对Sprint计划中的不断变化,确保团队能够有效应对挑战并达成Sprint目标。为...

大家都在谈论的敏捷开发&amp;Scrum,到底是什么?

敏捷开发作为一种开发模式,近年来深受研发团队欢迎,与瀑布式开发相比,敏捷开发更轻量,灵活性更高,在当下多变环境下,越来越多团队选择敏捷开发。什么是敏捷?敏捷是一种在不确定和变化的环境中,通过创造和响应...

敏捷与Scrum是什么?(scrum敏捷开发是什么)

敏捷是一种思维模式和哲学,它描述了敏捷宣言中的一系列原则。另一方面,Scrum是一个框架,规定了实现这种思维方式的角色,事件,工件和规则/指南。换句话说,敏捷是思维方式,Scrum是规定实施敏捷哲学的...

敏捷项目管理与敏捷:Scrum流程图一览

敏捷开发中的Scrum流程通常可以用一个简单的流程图来表示,以便更清晰地展示Scrum框架的各个阶段和活动。以下是一个常见的Scrum流程图示例:这个流程图涵盖了Scrum框架的主要阶段和活动,其中包...

一张图掌握项目生命周期模型及Scrum框架

Mockito 的最佳实践(mock方法)

记得以前面试的时候,面试官问我,平常开发过程中自己会不会测试?我回答当然会呀,自己写的代码怎么不测呢。现在想想我好像误会他的意思了,他应该是想问我关于单元测试,集成测试以及背后相关的知识,然而当时说到...

EffectiveJava-5-枚举和注解(java枚举的作用与好处)

用enum代替int常量1.int枚举:引入枚举前,一般是声明一组具名的int常量,每个常量代表一个类型成员,这种方法叫做int枚举模式。int枚举模式是类型不安全的,例如下面两组常量:性别和动物种...

Maven 干货 全篇共:28232 字。预计阅读时间:110 分钟。建议收藏!

Maven简介Maven这个词可以翻译为“知识的积累”,也可以翻译为“专家”或“内行”。Maven是一个跨平台的项目管理工具。主要服务于基于Java平台的项目构建、依赖管理和项目信息管理。仔...

Java单元测试框架PowerMock学习(java单元测试是什么意思)

前言高德的技术大佬在谈论方法论时说到:“复杂的问题要简单化,简单的问题要深入化。”这句话让我感触颇深,这何尝不是一套编写代码的方法——把一个复杂逻辑拆分为许多简单逻辑,然后把每一个简单逻辑进行深入实现...

Spring框架基础知识-第六节内容(Spring高级话题)

Spring高级话题SpringAware基本概念Spring的依赖注入的最大亮点是你所有的Bean对Spring容器的存在是没有意识的。但是在实际的项目中,你的Bean必须要意识到Spring容器...

Java单元测试浅析(JUnit+Mockito)

作者:京东物流秦彪1.什么是单元测试(1)单元测试环节:测试过程按照阶段划分分为:单元测试、集成测试、系统测试、验收测试等。相关含义如下:1)单元测试:针对计算机程序模块进行输出正确性检验工作...

揭秘Java代码背后的质检双侠:JUnit与Mockito!

你有没有发现,现在我们用的手机App、逛的网站,甚至各种智能设备,功能越来越复杂,但用起来却越来越顺畅,很少遇到那种崩溃、卡顿的闹心事儿?这背后可不是程序员一拍脑袋写完代码就完事儿了!他们需要一套严谨...

单元测试框架哪家强?Junit来帮忙!

大家好,在前面的文章中,给大家介绍了以注解和XML的方式分别实现IOC和依赖注入。并且我们定义了一个测试类,通过测试类来获取到了容器中的Bean,具体的测试类定义如下:@Testpublicvoid...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表