SaToken学习笔记-04

如果有问题,请点击:传送门

角色认证

在sa-token中,角色和权限可以独立验证

// 当前账号是否含有指定角色标识, 返回true或false

StpUtil.hasRole("super-admin");        

// 当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleException

StpUtil.checkRole("super-admin");        

// 当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]

StpUtil.checkRoleAnd("super-admin", "shop-admin");        

// 当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可]

StpUtil.checkRoleOr("super-admin", "shop-admin");

扩展:NotRoleException 对象可通过 getLoginKey() 方法获取具体是哪个 StpLogic 抛出的异常

源码解析

- StpUtil.hasRole()

实现了当前账号是否含有指定角色标识, 返回true或false

/**

 	 * 当前账号是否含有指定角色标识, 返回true或false

 	 * @param role 角色标识

 	 * @return 是否含有指定角色标识

 	 */

 	public static boolean hasRole(String role) {

 		return stpLogic.hasRole(role);

 	}

调用了stpLogic.hasRole()方法并将role传入

/**

 	 * 当前账号是否含有指定角色标识, 返回true或false

 	 * @param role 角色标识

 	 * @return 是否含有指定角色标识

 	 */

 	public boolean hasRole(String role) {

 		return hasRole(getLoginId(), role);

 	}

将role和获取的当前会话的loginId传入给hasRole方法

/**

 	 * 指定账号id是否含有角色标识, 返回true或false

 	 * @param loginId 账号id

 	 * @param role 角色标识

 	 * @return 是否含有指定角色标识

 	 */

 	public boolean hasRole(Object loginId, String role) {

 		List<String> roleList = SaManager.getStpInterface().getRoleList(loginId, loginKey);

 		return SaManager.getSaTokenAction().hasElement(roleList, role);

//		return !(roleList == null || roleList.contains(role) == false);

 	}

此方法与学习笔记-03中的hasPermission方法类似,首先获取当前loginId所拥有的所有role的ArrayList,用roleList接收。再掉用SaTokenAction接口中的hasElement方法进行判断。SaTokenActionDefaultImpl实现了此接口并且重写了该方法。

/**

	 * 指定集合是否包含指定元素(模糊匹配)

	 */

	@Override

	public boolean hasElement(List<String> list, String element) {

		// 集合为空直接返回false

		if(list == null || list.size() == 0) {

			return false;

		}

		// 遍历匹配

		for (String patt : list) {

			if(SaFoxUtil.vagueMatch(patt, element)) {

				return true;

			}

		}

		// 走出for循环说明没有一个元素可以匹配成功

		return false;

	}

对每一个在roleList中的元素与role一一比对,如果相同就返回true,否则就返回false

- StpUtil.checkRole()

实现了当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleException

模拟使用场景:

// 当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleException

    public boolean checkRole(String role){

        boolean flag = false;

        try {

            StpUtil.checkRole(role);

            flag=true;

        }catch (NotRoleException e){

            String key = e.getLoginKey();

            System.out.println("key:"+key);

        }

        return flag;

    }

对于该方法:

/**

 	 * 当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleException

 	 * @param role 角色标识

 	 */

 	public static void checkRole(String role) {

 		stpLogic.checkRole(role);

 	}

将role传入给stpLogic.checkRole方法

/**

 	 * 当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleException

 	 * @param role 角色标识

 	 */

 	public void checkRole(String role) {

 		if(hasRole(role) == false) {

			throw new NotRoleException(role, this.loginKey);

		}

 	}

调用了hasRole方法(在上面的解析中已经解析过)判断返回值是否为false,如果为false则表示不包含指定角色,就抛出NotRoleException异常

什么是NotRoleException异常?
/**

 * 没有指定角色标识,抛出的异常

 *

 * @author kong

 *

 */

public class NotRoleException

在这里调用其构造函数

public NotRoleException(String role, String loginKey) {

		// 这里到底要不要拼接上loginKey呢?纠结

		super("无此角色:" + role);

		this.role = role;

		this.loginKey = loginKey;

	}

- StpUtil.checkRoleAnd()

实现了当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]

模拟使用场景

//当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]

    public boolean checkRoleAnd(String... roles){

        boolean flag = false;

        try

        {

            StpUtil.checkRoleAnd(roles);

            flag = true;

        }catch (NotRoleException e)

        {

            String key = e.getLoginKey();

            System.out.println("key=>"+key);

        }

        return flag;

    }

对于该方法:

/**

 	 * 当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]

 	 * @param roleArray 角色标识数组

 	 */

 	public static void checkRoleAnd(String... roleArray){

 		stpLogic.checkRoleAnd(roleArray);

 	}

将角色码数组传入stpLogic.checkPermissionAnd()方法

/**

 	 * 当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]

 	 * @param roleArray 角色标识数组

 	 */

 	public void checkRoleAnd(String... roleArray){

 		Object loginId = getLoginId();

 		List<String> roleList = SaManager.getStpInterface().getRoleList(loginId, loginKey);

 		for (String role : roleArray) {

 			if(SaManager.getSaTokenAction().hasElement(roleList, role) == false) {

 				throw new NotRoleException(role, this.loginKey);

 			}

 		}

 	}

与 checkPermissionAnd()方法类似,首先获取当前对话的loginId并且获得当前对象的所有角色的ArrayList,然后通过循环遍历角色码数组中的所有元素并且调用hasElement方法与roleList中的所有元素一一对比,如果返回值为false就说明其中不包含该角色,就抛出NotRoleExcetipn异常终止。

- StpUtil.checkRoleOr()

实现了当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可]

模拟使用场景:

//当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可]

    public boolean checkRoleOr(String... roles){

        boolean flag = false;

        try{

            StpUtil.checkRoleOr(roles);

            flag= true;

        }catch (NotRoleException e )

        {

            String key = e.getLoginKey();

            String role = e.getRole();

            System.out.println("key=>"+key+" role=>"+role);

        }

        return true;

    }

对于该方法:

/**

 	 * 当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可]

 	 * @param roleArray 角色标识数组

 	 */

 	public static void checkRoleOr(String... roleArray){

 		stpLogic.checkRoleOr(roleArray);

 	}

将角色表示数组传入给stpLogic.checkRoleOr()

/**

 	 * 当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可]

 	 * @param roleArray 角色标识数组

 	 */

 	public void checkRoleOr(String... roleArray){

 		Object loginId = getLoginId();

 		List<String> roleList = SaManager.getStpInterface().getRoleList(loginId, loginKey);

 		for (String role : roleArray) {

 			if(SaManager.getSaTokenAction().hasElement(roleList, role) == true) {

 				// 有的话提前退出

 				return;

 			}

 		}

		if(roleArray.length > 0) {

	 		throw new NotRoleException(roleArray[0], this.loginKey);

		}

 	}

首先获取当前对话的loginId,然后用roleList接受带有所有角色元素的ArrayList,接着通过for对角色标识数组进行遍历,并且调用hasElement方法对遍历的每一个元素判断是否存在于roleList中,只要有一个能够匹配的上就立刻提前退出,否则就判断传入的角色标识数组长度是否大于0,如果大于0则抛出NotRoleException异常。

权限通配符

Sa-Token允许你根据通配符指定泛权限,例如当一个账号拥有user*的权限时,user-add、user-delete、user-update都将匹配通过

// 当拥有 user* 权限时

StpUtil.hasPermission("user-add");        // true

StpUtil.hasPermission("user-update");     // true

StpUtil.hasPermission("art-add");         // false

// 当拥有 *-delete 权限时

StpUtil.hasPermission("user-add");        // false

StpUtil.hasPermission("user-delete");     // true

StpUtil.hasPermission("art-delete");      // true

// 当拥有 *.js 权限时

StpUtil.hasPermission("index.js");        // true

StpUtil.hasPermission("index.css");       // false

StpUtil.hasPermission("index.html");      // false

上帝权限:当一个账号拥有 "*" 权限时,他可以验证通过任何权限码 (角色认证同理)

如何把权限精确搭到按钮级?

权限精确到按钮级的意思就是指:权限范围可以控制到页面上的每一个按钮是否显示

思路:如此精确的范围控制只依赖后端已经难以完成,此时需要前端进行一定的逻辑判断

在登录时,把当前账号拥有的所有权限码一次性返回给前端

前端将权限码集合保存在localStorage或其它全局状态管理对象中

在需要权限控制的按钮上,使用js进行逻辑判断,例如在vue框架中我们可以使用如下写法:

<button v-if="arr.indexOf('user:delete') > -1">删除按钮</button>

其中:arr是当前用户拥有的权限码数组,user:delete是显示按钮需要拥有的权限码,删除按钮是用户拥有权限码才可以看到的内容

注意:以上写法只为提供一个参考示例,不同框架有不同写法,开发者可根据项目技术栈灵活封装进行调用

前端有了鉴权后端还需要鉴权吗?

需要!前端的鉴权只是一个辅助功能,对于专业人员这些限制都是可以轻松绕过的,为保证服务器安全,无论前端是否进行了权限校验,后端接口都需要对会话请求再次进行权限校验!

End

SaToken学习笔记-04的更多相关文章

  1. 机器学习实战(Machine Learning in Action)学习笔记————04.朴素贝叶斯分类(bayes)

    机器学习实战(Machine Learning in Action)学习笔记————04.朴素贝叶斯分类(bayes) 关键字:朴素贝叶斯.python.源码解析作者:米仓山下时间:2018-10-2 ...

  2. SaToken学习笔记-03

    SaToken学习笔记-03 如果排版有问题,请点击:传送门 核心思想 所谓权限验证,验证的核心就是一个账号是否拥有一个权限码 有,就让你通过.没有?那么禁止访问! 再往底了说,就是每个账号都会拥有一 ...

  3. SaToken学习笔记-02

    SaToken学习笔记-02 如果排版有问题,请点击:传送门 常用的登录有关的方法 - StpUtil.logout() 作用为:当前会话注销登录 调用此方法,其实做了哪些操作呢,我们来一起看一下源码 ...

  4. SaToken学习笔记-01

    SaToken学习笔记-01 SaToken版本为1.18 如果有排版方面的错误,请查看:传送门 springboot集成 根据官网步骤maven导入依赖 <dependency> < ...

  5. Redis:学习笔记-04

    Redis:学习笔记-04 该部分内容,参考了 bilibili 上讲解 Redis 中,观看数最多的课程 Redis最新超详细版教程通俗易懂,来自 UP主 遇见狂神说 10. Redis主从复制 1 ...

  6. xml基础学习笔记04

    今天继续xml学习,主要是:SimpleXML快速解析文档.xml与数组相互转换 .博客中只是简单的做一个学习记录.积累.更加详细的使用方法,可以查看php手册 1.SimpleXML快速解析文档 前 ...

  7. OpenCV 学习笔记 04 深度估计与分割——GrabCut算法与分水岭算法

    1 使用普通摄像头进行深度估计 1.1 深度估计原理 这里会用到几何学中的极几何(Epipolar Geometry),它属于立体视觉(stereo vision)几何学,立体视觉是计算机视觉的一个分 ...

  8. [Golang学习笔记] 04 程序实体1 变量声明

    变量声明: Go语言的程序实体包含:变量.常量.函数.结构体和接口,是一门静态类型的编程语言. (在声明变量或常量的时候,需要指定类型,或者给予足够信息是的Go语言能够推导出类型) Go语言变量的类型 ...

  9. [原创]java WEB学习笔记04:Servlet 简介及第一个Servlet程序(配置注册servlet,生命周期)

    本博客为原创:综合 尚硅谷(http://www.atguigu.com)的系统教程(深表感谢)和 网络上的现有资源(博客,文档,图书等),资源的出处我会标明 本博客的目的:①总结自己的学习过程,相当 ...

随机推荐

  1. 12、Linux磁盘设备基础知识(2)

    12.4.计算磁盘容量: 磁盘的大小=盘面大小*磁头数 盘面的大小=磁道大小*磁道数 磁道大小=512字节*扇区数 磁盘的大小=512字节*扇区数*磁道数*磁头数 磁盘的大小=柱面大小*柱面数 柱面大 ...

  2. 13.3示例:抽象的Number类

    要点提示:Number类是数值包装类.BigInteger以及BigDecimal的抽象父类.

  3. Java Lambda 表达式你会用吗?

    先看再点赞,给自己一点思考的时间,如果对自己有帮助,微信搜索[程序职场]关注这个执着的职场程序员.我有什么:Java技能,面试经验指导,简历优化,职场规划指导,技能提升方法,讲不完的职场故事,个人成长 ...

  4. WPF教程六:理解WPF中的隧道路由和冒泡路由事件

    WPF中使用路由事件升级了传统应用开发中的事件,在WPF中使用路由事件能更好的处理事件相关的逻辑,我们从这篇开始整理事件的用法和什么是直接路由,什么是冒泡路由,以及什么是隧道路由. 事件最基本的用法 ...

  5. Spring Boot(一):如何使用Spring Boot搭建一个Web应用

    Spring Boot Spring Boot 是Spring团队旗下的一款Web 应用框架 其优势可以更快速的搭建一个Web应用 从根本上上来讲 Spring Boot并不是什么新的框架技术 而是在 ...

  6. HDFS学习总结之架构

    一.hdfs介绍 官网说明 Hadoop Distributed File System (HDFS): A distributed file system that provides high-th ...

  7. 小猿圈-IT自学人的小圈子 【强力推荐学习】

    笔记链接 https://book.apeland.cn/details/322/ 学习视频 https://www.apeland.cn/python

  8. Echarts快速入门---------v客学院技术分享

    ECharts,一个使用 JavaScript 实现的开源可视化库,可以流畅的运行在 PC 和移动设备上,兼容当前绝大部分浏览器(IE8/9/10/11,Chrome,Firefox,Safari等) ...

  9. Leetcode1.两数之和——简洁易懂

    > 简洁易懂讲清原理,讲不清你来打我~ 输入一个数组和一个整数,从数组中找到两个元素和为这个整数,输出下标![在这里插入图片描述](https://img-blog.csdnimg.cn/img ...

  10. 10、Java——内部类

    ​  1.类中定义类 (1)当一类中的成员,作为另外一种事物的时候,这个成员就可以定义为内部类. (2)分类:①成员内部类 ②静态内部类 ③私有内部类 ④局部内部类 ⑤匿名内部类 ⑥Lambda表达式 ...