SaToken学习笔记-04
SaToken学习笔记-04
如果有问题,请点击:传送门
角色认证
在sa-token中,角色和权限可以独立验证
// 当前账号是否含有指定角色标识, 返回true或false
StpUtil.hasRole("super-admin");
// 当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleException
StpUtil.checkRole("super-admin");
// 当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]
StpUtil.checkRoleAnd("super-admin", "shop-admin");
// 当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可]
StpUtil.checkRoleOr("super-admin", "shop-admin");
扩展:NotRoleException 对象可通过 getLoginKey() 方法获取具体是哪个 StpLogic 抛出的异常
源码解析
- StpUtil.hasRole()
实现了当前账号是否含有指定角色标识, 返回true或false
/**
* 当前账号是否含有指定角色标识, 返回true或false
* @param role 角色标识
* @return 是否含有指定角色标识
*/
public static boolean hasRole(String role) {
return stpLogic.hasRole(role);
}
调用了stpLogic.hasRole()方法并将role传入
/**
* 当前账号是否含有指定角色标识, 返回true或false
* @param role 角色标识
* @return 是否含有指定角色标识
*/
public boolean hasRole(String role) {
return hasRole(getLoginId(), role);
}
将role和获取的当前会话的loginId传入给hasRole方法
/**
* 指定账号id是否含有角色标识, 返回true或false
* @param loginId 账号id
* @param role 角色标识
* @return 是否含有指定角色标识
*/
public boolean hasRole(Object loginId, String role) {
List<String> roleList = SaManager.getStpInterface().getRoleList(loginId, loginKey);
return SaManager.getSaTokenAction().hasElement(roleList, role);
// return !(roleList == null || roleList.contains(role) == false);
}
此方法与学习笔记-03中的hasPermission方法类似,首先获取当前loginId所拥有的所有role的ArrayList,用roleList接收。再掉用SaTokenAction接口中的hasElement方法进行判断。SaTokenActionDefaultImpl实现了此接口并且重写了该方法。
/**
* 指定集合是否包含指定元素(模糊匹配)
*/
@Override
public boolean hasElement(List<String> list, String element) {
// 集合为空直接返回false
if(list == null || list.size() == 0) {
return false;
}
// 遍历匹配
for (String patt : list) {
if(SaFoxUtil.vagueMatch(patt, element)) {
return true;
}
}
// 走出for循环说明没有一个元素可以匹配成功
return false;
}
对每一个在roleList中的元素与role一一比对,如果相同就返回true,否则就返回false
- StpUtil.checkRole()
实现了当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleException
模拟使用场景:
// 当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleException
public boolean checkRole(String role){
boolean flag = false;
try {
StpUtil.checkRole(role);
flag=true;
}catch (NotRoleException e){
String key = e.getLoginKey();
System.out.println("key:"+key);
}
return flag;
}
对于该方法:
/**
* 当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleException
* @param role 角色标识
*/
public static void checkRole(String role) {
stpLogic.checkRole(role);
}
将role传入给stpLogic.checkRole方法
/**
* 当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleException
* @param role 角色标识
*/
public void checkRole(String role) {
if(hasRole(role) == false) {
throw new NotRoleException(role, this.loginKey);
}
}
调用了hasRole方法(在上面的解析中已经解析过)判断返回值是否为false,如果为false则表示不包含指定角色,就抛出NotRoleException异常
什么是NotRoleException异常?
/**
* 没有指定角色标识,抛出的异常
*
* @author kong
*
*/
public class NotRoleException
在这里调用其构造函数
public NotRoleException(String role, String loginKey) {
// 这里到底要不要拼接上loginKey呢?纠结
super("无此角色:" + role);
this.role = role;
this.loginKey = loginKey;
}
- StpUtil.checkRoleAnd()
实现了当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]
模拟使用场景
//当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]
public boolean checkRoleAnd(String... roles){
boolean flag = false;
try
{
StpUtil.checkRoleAnd(roles);
flag = true;
}catch (NotRoleException e)
{
String key = e.getLoginKey();
System.out.println("key=>"+key);
}
return flag;
}
对于该方法:
/**
* 当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]
* @param roleArray 角色标识数组
*/
public static void checkRoleAnd(String... roleArray){
stpLogic.checkRoleAnd(roleArray);
}
将角色码数组传入stpLogic.checkPermissionAnd()方法
/**
* 当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]
* @param roleArray 角色标识数组
*/
public void checkRoleAnd(String... roleArray){
Object loginId = getLoginId();
List<String> roleList = SaManager.getStpInterface().getRoleList(loginId, loginKey);
for (String role : roleArray) {
if(SaManager.getSaTokenAction().hasElement(roleList, role) == false) {
throw new NotRoleException(role, this.loginKey);
}
}
}
与 checkPermissionAnd()方法类似,首先获取当前对话的loginId并且获得当前对象的所有角色的ArrayList,然后通过循环遍历角色码数组中的所有元素并且调用hasElement方法与roleList中的所有元素一一对比,如果返回值为false就说明其中不包含该角色,就抛出NotRoleExcetipn异常终止。
- StpUtil.checkRoleOr()
实现了当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可]
模拟使用场景:
//当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可]
public boolean checkRoleOr(String... roles){
boolean flag = false;
try{
StpUtil.checkRoleOr(roles);
flag= true;
}catch (NotRoleException e )
{
String key = e.getLoginKey();
String role = e.getRole();
System.out.println("key=>"+key+" role=>"+role);
}
return true;
}
对于该方法:
/**
* 当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可]
* @param roleArray 角色标识数组
*/
public static void checkRoleOr(String... roleArray){
stpLogic.checkRoleOr(roleArray);
}
将角色表示数组传入给stpLogic.checkRoleOr()
/**
* 当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可]
* @param roleArray 角色标识数组
*/
public void checkRoleOr(String... roleArray){
Object loginId = getLoginId();
List<String> roleList = SaManager.getStpInterface().getRoleList(loginId, loginKey);
for (String role : roleArray) {
if(SaManager.getSaTokenAction().hasElement(roleList, role) == true) {
// 有的话提前退出
return;
}
}
if(roleArray.length > 0) {
throw new NotRoleException(roleArray[0], this.loginKey);
}
}
首先获取当前对话的loginId,然后用roleList接受带有所有角色元素的ArrayList,接着通过for对角色标识数组进行遍历,并且调用hasElement方法对遍历的每一个元素判断是否存在于roleList中,只要有一个能够匹配的上就立刻提前退出,否则就判断传入的角色标识数组长度是否大于0,如果大于0则抛出NotRoleException异常。
权限通配符
Sa-Token允许你根据通配符指定泛权限,例如当一个账号拥有user*的权限时,user-add、user-delete、user-update都将匹配通过
// 当拥有 user* 权限时
StpUtil.hasPermission("user-add"); // true
StpUtil.hasPermission("user-update"); // true
StpUtil.hasPermission("art-add"); // false
// 当拥有 *-delete 权限时
StpUtil.hasPermission("user-add"); // false
StpUtil.hasPermission("user-delete"); // true
StpUtil.hasPermission("art-delete"); // true
// 当拥有 *.js 权限时
StpUtil.hasPermission("index.js"); // true
StpUtil.hasPermission("index.css"); // false
StpUtil.hasPermission("index.html"); // false
上帝权限:当一个账号拥有 "*" 权限时,他可以验证通过任何权限码 (角色认证同理)
如何把权限精确搭到按钮级?
权限精确到按钮级的意思就是指:权限范围可以控制到页面上的每一个按钮是否显示
思路:如此精确的范围控制只依赖后端已经难以完成,此时需要前端进行一定的逻辑判断
在登录时,把当前账号拥有的所有权限码一次性返回给前端
前端将权限码集合保存在localStorage或其它全局状态管理对象中
在需要权限控制的按钮上,使用js进行逻辑判断,例如在vue框架中我们可以使用如下写法:
<button v-if="arr.indexOf('user:delete') > -1">删除按钮</button>
其中:arr是当前用户拥有的权限码数组,user:delete是显示按钮需要拥有的权限码,删除按钮是用户拥有权限码才可以看到的内容
注意:以上写法只为提供一个参考示例,不同框架有不同写法,开发者可根据项目技术栈灵活封装进行调用
前端有了鉴权后端还需要鉴权吗?
需要!前端的鉴权只是一个辅助功能,对于专业人员这些限制都是可以轻松绕过的,为保证服务器安全,无论前端是否进行了权限校验,后端接口都需要对会话请求再次进行权限校验!
End
SaToken学习笔记-04的更多相关文章
- 机器学习实战(Machine Learning in Action)学习笔记————04.朴素贝叶斯分类(bayes)
机器学习实战(Machine Learning in Action)学习笔记————04.朴素贝叶斯分类(bayes) 关键字:朴素贝叶斯.python.源码解析作者:米仓山下时间:2018-10-2 ...
- SaToken学习笔记-03
SaToken学习笔记-03 如果排版有问题,请点击:传送门 核心思想 所谓权限验证,验证的核心就是一个账号是否拥有一个权限码 有,就让你通过.没有?那么禁止访问! 再往底了说,就是每个账号都会拥有一 ...
- SaToken学习笔记-02
SaToken学习笔记-02 如果排版有问题,请点击:传送门 常用的登录有关的方法 - StpUtil.logout() 作用为:当前会话注销登录 调用此方法,其实做了哪些操作呢,我们来一起看一下源码 ...
- SaToken学习笔记-01
SaToken学习笔记-01 SaToken版本为1.18 如果有排版方面的错误,请查看:传送门 springboot集成 根据官网步骤maven导入依赖 <dependency> < ...
- Redis:学习笔记-04
Redis:学习笔记-04 该部分内容,参考了 bilibili 上讲解 Redis 中,观看数最多的课程 Redis最新超详细版教程通俗易懂,来自 UP主 遇见狂神说 10. Redis主从复制 1 ...
- xml基础学习笔记04
今天继续xml学习,主要是:SimpleXML快速解析文档.xml与数组相互转换 .博客中只是简单的做一个学习记录.积累.更加详细的使用方法,可以查看php手册 1.SimpleXML快速解析文档 前 ...
- OpenCV 学习笔记 04 深度估计与分割——GrabCut算法与分水岭算法
1 使用普通摄像头进行深度估计 1.1 深度估计原理 这里会用到几何学中的极几何(Epipolar Geometry),它属于立体视觉(stereo vision)几何学,立体视觉是计算机视觉的一个分 ...
- [Golang学习笔记] 04 程序实体1 变量声明
变量声明: Go语言的程序实体包含:变量.常量.函数.结构体和接口,是一门静态类型的编程语言. (在声明变量或常量的时候,需要指定类型,或者给予足够信息是的Go语言能够推导出类型) Go语言变量的类型 ...
- [原创]java WEB学习笔记04:Servlet 简介及第一个Servlet程序(配置注册servlet,生命周期)
本博客为原创:综合 尚硅谷(http://www.atguigu.com)的系统教程(深表感谢)和 网络上的现有资源(博客,文档,图书等),资源的出处我会标明 本博客的目的:①总结自己的学习过程,相当 ...
随机推荐
- layui动态创建Tab、Tab右键功能
1 <!DOCTYPE html> 2 <html> 3 <head> 4 <meta charset="utf-8"> 5 & ...
- 分布式唯一ID生成方案选型!详细解析雪花算法Snowflake
分布式唯一ID 使用RocketMQ时,需要使用到分布式唯一ID 消息可能会发生重复,所以要在消费端做幂等性,为了达到业务的幂等性,生产者必须要有一个唯一ID, 需要满足以下条件: 同一业务场景要全局 ...
- C++智能指针之shared_ptr与右值引用(详细)
1. 介绍 在 C++ 中没有垃圾回收机制,必须自己释放分配的内存,否则就会造成内存泄露.解决这个问题最有效的方法是使用智能指针(smart pointer).智能指针是存储指向动态分配(堆)对象指针 ...
- Docker:Linux离线安装docker-17.03.2-ce,配置开机自启
1. 准备docker离线包 docker官方离线包下载地址 下载需要安装的docker版本,我此次下载的是:docker-17.03.2-ce.tgz 2. 准备docker.service 系统配 ...
- SpringMVC(3)URL请求到Action的映射规则
在SpringMVC(2)经典的HelloWorld实现我们展示了一个简单的get请求,并返回了一个简单的helloworld页面.本篇我们来学习如何来配置一个action的url映射规则. 在Spr ...
- MySql数据库缓存
对MySql查询缓存及SQL Server过程缓存的理解及总结 一.MySql的Query Cache 1.Query Cache MySQL Query Cache是用来缓存我们所执行的SELE ...
- 两个有序数组合并为一个有序数组---python
def merge(a, b): """ 合并2个有序数组,默认a,b都是从小到大的有序数组 """ # 1.临时变量 i, j = 0, ...
- 长按短按控制LED灯-ESP32中断处理
#include <stdio.h> #include <string.h> #include <stdlib.h> #include "freertos ...
- sql通用行列转换
-- 行转列 select 姓名, SUM(case 课程 when '语文' then 分数 else 0 end) as 语文, SUM(case 课程 when '数学' then 分数 els ...
- python 最大公约数 最小公倍数
def gongyueshu(m,n): if m<n: m,n=n,m elif m==n: return m if m/n==int(m/n): return n else: for i i ...