SpringBoot集成Sa-Token权限认证的学习

一、前言

Sa-Token是一个轻量级Java权限认证框架，主要解决登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。它的API设计简单，易于上手，同时功能强大，能够满足多种复杂的权限认证需求。

二、基本使用

1.引入依赖

<dependency>
	<groupId>cn.dev33</groupId>
	<artifactId>sa-token-spring-boot-starter</artifactId>
	<version>1.37.0</version>
</dependency>

2.在application.properties进行配置

#sa-token配置
sa-token.token-name=test_satoken
sa-token.timeout=2592000
sa-token.active-timeout=-1
sa-token.is-concurrent=true
sa-token.is-share=false
sa-token.token-style=uuid
sa-token.is-log=false

3.创建测试控制层

package com.example.springbootdemo.controller;

import cn.dev33.satoken.stp.StpUtil;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/user")
public class UserController {

    @PostMapping("/login")
    public String login(String username, String password) {
        if ("admin".equals(username) && "123456".equals(password)) {
            StpUtil.login(1000);
            return "登录成功";
        }
        return "登录失败";
    }

    @GetMapping("/isLogin")
    public String isLogin() {
        return "当前会话是否登录:" + StpUtil.isLogin();
    }

    @GetMapping("/checkLogin")
    public String checkLogin() {
        StpUtil.checkLogin();
        return "当前会话已登录";
    }
}

使用Sa-Token进行登录认证非常简单，只需要调用StpUtil.login(id)方法即可。同时，可以使用StpUtil.isLogin()和StpUtil.checkLogin()方法来检查当前会话是否已经登录。

4.启动服务进行测试

测试是否登录成功的接口

三、权限认证

在实现权限认证之前，需要实现StpInterface接口，来编写自己的权限集合。例如：

package com.example.springbootdemo.service;

import cn.dev33.satoken.stp.StpInterface;
import cn.dev33.satoken.stp.StpUtil;
import org.springframework.stereotype.Component;

import java.util.ArrayList;
import java.util.List;

@Component
public class StpInterfaceImpl implements StpInterface {
    @Override
    public List<String> getPermissionList(Object o, String s) {
        return (List<String>) StpUtil.getSession().get("authList");
    }

    @Override
    public List<String> getRoleList(Object o, String s) {
        List<String> list = new ArrayList<>();
        list.add("user");
        return list;
    }
}

然后，可以使用StpUtil.hasPermission("permission")和StpUtil.checkPermission("permission")等方法来进行权限校验。

注解式鉴权

Sa-Token提供了注解式鉴权的方式，可以在Controller层进行注解鉴权：

package com.example.springbootdemo.controller;

import cn.dev33.satoken.annotation.SaCheckLogin;
import cn.dev33.satoken.annotation.SaCheckPermission;
import cn.dev33.satoken.annotation.SaCheckRole;
import cn.dev33.satoken.stp.StpUtil;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.ArrayList;
import java.util.List;

@RestController
@RequestMapping("/user")
public class UserController {

    @PostMapping("/login")
    public String login(String username, String password) {
        if ("admin".equals(username) && "123456".equals(password)) {
            StpUtil.login(1000);
            //加载权限
            List<String> authList = new ArrayList<>();
            authList.add("user.add");
            authList.add("user.update");
            authList.add("user.select");
            StpUtil.getSession().set("authList", authList);

            return "登录成功";
        }
        return "登录失败";
    }

    @GetMapping("/isLogin")
    public String isLogin() {
        return "当前会话是否登录:" + StpUtil.isLogin();
    }

    @GetMapping("/checkLogin")
    public String checkLogin() {
        StpUtil.checkLogin();
        return "当前会话已登录";
    }

    @SaCheckLogin
    @RequestMapping("/info")
    public String info() {
        return "查询用户信息";
    }

    @RequestMapping("/delete")
    public String delete() {
        StpUtil.checkPermission("user.delete");
        return "用户删除";
    }

    @RequestMapping("/add")
    public String add() {
        StpUtil.checkPermission("user.add");
        return "用户增加";
    }

}

异常处理

在全局异常处理中，可以捕获Sa-Token抛出的异常，进行统一处理：

package com.example.springbootdemo.exception;

import cn.dev33.satoken.exception.NotLoginException;
import cn.dev33.satoken.exception.NotPermissionException;
import cn.dev33.satoken.exception.NotRoleException;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.RestControllerAdvice;

@RestControllerAdvice
public class GlobalExceptionHandler {

    @ExceptionHandler(Exception.class)
    public String handleException(Exception e) {
        if (e instanceof NotLoginException) {
            return "账户未登录";
        } else if (e instanceof NotRoleException) {
            return "无此角色权限";
        } else if (e instanceof NotPermissionException) {
            return "无此权限";
        }
        return "未知错误";
    }
}

测试:

没有设置删除的权限提示无权限。

设置过用户添加的权限就正常显示

四、总结

Sa-Token作为一个轻量级的权限认证框架，其简单易用的API和强大的功能，使其成为Java项目中一个不错的选择。