判断一个账号是否拥有指定权限

最新推荐文章于 2025-07-01 18:39:38 发布
最新推荐文章于 2025-07-01 18:39:38 发布
阅读量544 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: java spring boot 开发语言
注意:本文发表距今已超过,某些数据、描述可能已经过时。出处http://blog.zollty.com,转载请注明。
本文链接:https://blog.csdn.net/zollty/article/details/128509731
本文详细介绍了Sa-Token权限认证的原理和实现方式,包括如何自定义权限接口以获取账号权限码集合,并提供了鉴权API的使用示例。通过实现StpInterface接口,可以根据业务逻辑获取当前账号的权限和角色,进而进行权限和角色的校验,确保系统安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

权限认证

设计思路

所谓权限认证,核心逻辑就是判断一个账号是否拥有指定权限:

  • 有,就让你通过。
  • 没有?那么禁止访问!

深入到底层数据中,就是每个账号都会拥有一个权限码集合,框架来校验这个集合中是否包含指定的权限码。

例如:当前账号拥有权限码集合 ["user-add", "user-delete", "user-get"],这时候我来校验权限 "user-update",则其结果就是:验证失败,禁止访问

加载动态演示图

所以现在问题的核心就是:

  1. 如何获取一个账号所拥有的的权限码集合?
  2. 本次操作需要验证的权限码是哪个?

获取当前账号权限码集合

因为每个项目的需求不同,其权限设计也千变万化,因此 [ 获取当前账号权限码集合 ] 这一操作不可能内置到框架中, 所以 Sa-Token 将此操作以接口的方式暴露给你,以方便你根据自己的业务逻辑进行重写。

你需要做的就是新建一个类,实现 StpInterface接口,例如以下代码:

/**
 * 自定义权限验证接口扩展
 */
@Component    // 保证此类被SpringBoot扫描,完成Sa-Token的自定义权限验证扩展 
public class StpInterfaceImpl implements StpInterface {

    /**
     * 返回一个账号所拥有的权限码集合 
     */
    @Override
    public List<String> getPermissionList(Object loginId, String loginType) {
        // 本list仅做模拟,实际项目中要根据具体业务逻辑来查询权限
        List<String> list = new ArrayList<String>();    
        list.add("101");
        list.add("user.add");
        list.add("user.update");
        list.add("user.get");
        // list.add("user.delete");
        list.add("art.*");
        return list;
    }

    /**
     * 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
     */
    @Override
    public List<String> getRoleList(Object loginId, String loginType) {
        // 本list仅做模拟,实际项目中要根据具体业务逻辑来查询角色
        List<String> list = new ArrayList<String>();    
        list.add("admin");
        list.add("super-admin");
        return list;
    }

}复制到剪贴板错误复制成功
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35

参数解释:

  • loginId:账号id,即你在调用 StpUtil.login(id) 时写入的标识值。
  • loginType:账号体系标识,此处可以暂时忽略,在 [ 多账户认证 ] 章节下会对这个概念做详细的解释。

可参考代码:码云:StpInterfaceImpl.java

注意: StpInterface 接口在需要鉴权时由框架自动调用,开发者只需要配置好就可以使用下面的鉴权方法或后面的注解鉴权

权限校验

然后就可以用以下api来鉴权了

// 获取:当前账号所拥有的权限集合
StpUtil.getPermissionList();

// 判断:当前账号是否含有指定权限, 返回 true 或 false
StpUtil.hasPermission("user.add");        

// 校验:当前账号是否含有指定权限, 如果验证未通过,则抛出异常: NotPermissionException 
StpUtil.checkPermission("user.add");        

// 校验:当前账号是否含有指定权限 [指定多个,必须全部验证通过]
StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");        

// 校验:当前账号是否含有指定权限 [指定多个,只要其一验证通过即可]
StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");    复制到剪贴板错误复制成功
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14

扩展:NotPermissionException 对象可通过 getLoginType() 方法获取具体是哪个 StpLogic 抛出的异常

角色校验

在Sa-Token中,角色和权限可以独立验证

// 获取:当前账号所拥有的角色集合
StpUtil.getRoleList();

// 判断:当前账号是否拥有指定角色, 返回 true 或 false
StpUtil.hasRole("super-admin");        

// 校验:当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleException
StpUtil.checkRole("super-admin");        

// 校验:当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]
StpUtil.checkRoleAnd("super-admin", "shop-admin");        

// 校验:当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可] 
StpUtil.checkRoleOr("super-admin", "shop-admin");        复制到剪贴板错误复制成功
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14

扩展:NotRoleException 对象可通过 getLoginType() 方法获取具体是哪个 StpLogic 抛出的异常

拦截全局异常

有同学要问,鉴权失败,抛出异常,然后呢?要把异常显示给用户看吗?当然不可以!

你可以创建一个全局异常拦截器,统一返回给前端的格式,参考:

zollty
关注
C++如何创建低权限的标准用户权限进程(附完整源码)
dvlinker的技术专栏
04-17 2717
如何创建低权限的标准用户权限进程
CentOS7 运维 - 账号权限
serendipity_cat的博客
01-26 3808
Cents7运维Linux账号权限用户账户组账户UID和GID添加用户账号设置用户密码修改用户账号的属性删除用户添加组账户查询组账户将用户加入指定组中查询账户信息将多个用户加入新组 Linux账号权限 用户账户 分为 超级用户、普通用户、程序用户 超级用户:root 用户是 Linux 操作系统中默认的超级用户账号,对本主机拥有最高的权限。系统中超级用户是唯一的 普通用户:由root用户或管理员用户创建,拥有权限会收到限制,一般只在用户自己的宿主目录中拥有完整u秦安县 程序用户:在安装Linux操
判断权限
qq_40983361的博客
05-27 733
//判断权限 private void getPermission() { // 申请一个(或多个)权限,并提供用于回调返回的获取码(用户定义) if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.M) { int permission1 = Activi...
通过Java实现一种常用的权限控制算法
zh029t的专栏
10-24 1279
这里笔者介绍一种很常用,也比较专业的权限控制思路。这里用java语言描述,其实都差不多的。要换成其他的语言主,自己转一下就可以了。为了方便起见,我们这里定义a^b为:a的b次方。这里,我们为每一个操作设定一个唯一的整数值,比如:删除A---0修改A---1添加A---2  
轻量权限认证:jwt、shiro与sa-token对比与选型
最新发布
weixin_58665941的博客
07-01 1013
本文介绍了JWT(JSON Web Token)的基本概念及其与Shiro框架的结合应用。JWT是一种无状态的令牌协议,包含Header、Payload和Signature三部分,用于安全认证但缺乏授权功能。Shiro则是一个全面的安全框架,提供认证、授权、会话管理等高级功能,但存在分布式场景下的状态管理问题。通过整合JWT的无状态特性和Shiro的安全功能,实现了高效认证。具体实现包括JwtToken类、JwtRealm验证配置、JwtFilter过滤器、ShiroConfig启动配置和AccessCon
权限判断
wuyoulv的博客
07-18 480
从session中获取值
前端权限判断
liusixsixsix的博客
01-05 1970
前言 在一些项目中,涉及到对权限判断,包括登录权限、页面权限、数据权限、按钮权限。 登录权限 分为游客访问和登录后访问 页面权限 给用户赋予一些角色后,用户可访问有权限的路由。 数据权限 一般由后端判断某些数据的展示与否 按钮权限 前端控制按钮的展示与否 登录权限 登录权限控制要做的事情,是实现哪些页面能被游客访问,哪些页面只有登录后才能被访问.在一些没有引入角色的软件系统中,通过是否登录来评定页面能否被访问在实际工作中非常常见. 解决方案: 在路由守卫里,通过路由里的meta信息来判断此路由是否
检查用户是否权限
weixin_30617695的博客
09-27 419
检查用户是否权限 /// <summary> /// 判断当前用户是否具有指定权限 (如果有为 1) /// </summary> /// <param name="id">当前用户ID</param> /// &...
filter过滤器实现权限访问控制以及同一账号只能登录一台设备
01-18
2. **Filter实现**:创建一个自定义的`Filter`类,检查每个请求的`Session`中是否存在登录信息。如果不存在或者登录信息过期,则重定向到登录页面。 3. **权限判断**:在`Filter`中,可以进一步检查请求的资源是否...
百度ToB垂类账号权限平台的设计与实践
weixin_41888295的博客
04-28 944
一、前言 百度 ToB 垂类账号权限平台( 以下简称平台 ),是专注于为百度 ToB 垂类各产品线提供通用账号权限服务的基础平台,所提供的服务涵盖了租户管理、账号管理、单点登录、权限管控、账号安全、企业资质。业务方将账号权限相关服务托管给平台后可以专注于自身的业务研发。目前已经接入了爱番番、爱采购、寻客宝、出海易一期产品线总计超过 1000万的企业账号,为各 ToB 垂类业务提供一站式账号权限解决方案,以下是简化版的业务架构图: △平台业务架构 以下列出了必要的名词解释,便于更好地理解本文内容
如何给oss设置子账号控制指定的oss资源文件
Amazing__M的博客
09-29 3171
OSS默认的AccessKey是您访问阿里云API的密钥,具有该账户完全的权限。如果通过其他方式(eg, Github)将AccessKey公开到外部渠道,那么将会对OSS上的资源文件产生威胁。可能会造成无法估计的损失。今天为大家带来如何给OSS分配一个子accesskey(以下简称AK)来控制指定的文件资源。不多逼逼,先看其中的一种错误的授权方式: 以下的这种授权方式应该是让授权的AK使用OSS...
11.16 如何验证当前用户是否具有指定的功能权限
weixin_30518397的博客
10-13 620
权限验证包含认证与授权两部分,用户登录属于认证的问题,验证当前用户是否具有指定功能的权限属于授权的问题,IBeamMDAA已集成了这两部分的功能,我们只需在适当的时候使用即可。 权限验证与业务对象紧密联系,不能单独谈论,比如:产品信息的管理可能有:查询、增加、编辑、删除等功能,应对当前用户是否权限操作产品实例作出决断,代码如下: btnAdd.Enabled = _Produc...
Android判断某个权限是否开启的方法
大模型学习路线
05-10 1058
以上这篇Android判断某个权限是否开启的方法就是小编分享给大家的全部内容了,希望能给大家一个参考。5.Android Jetpack从入门到精通,构建高质量UI界面。4.企业级Android音视频开发学习路线+项目实战(附源码)1.Android车载应用开发系统学习指南(附项目实战)8.高级Android插件化与组件化(含实战教程和源码)10.Android零基础入门到精通,高手进阶之路。代码语言javascript。代码语言javascript。代码语言javascript。
shiro在java代码里判断此用户是否有此权限
m0_55070913的博客
04-07 312
boolean searchAllFlag = true; Subject subject = SecurityUtils.getSubject(); try { // search是你需要判断权限名称,如果没此权限,会抛出异常 subject.checkPermission("search"); } catch (Exception e) { searchAllFlag = false; } // 或者 if (subject.isPermitted("search")) { //
Android 中检查是否被授予相应的权限
Water_Marking的博客
10-16 464
1.声明所需要的权限: private final static int PERMISSIONS_OK = 10001; private static String[] PERMISSIONS_STORAGE = { "android.permission.READ_EXTERNAL_STORAGE", "android.permissi...
java检查用户是否有hdfs读写权限
letterss的博客
06-28 310
【代码】java检查用户是否有hdfs读写权限
系统之登陆判断权限
weixin_39418164的博客
09-18 981
1.配置拦截器 &lt;mvc:interceptors&gt; &lt;bean class="com.dy.admin.interceptor.AdminLoginHandlerInterceptor"/&gt; &lt;/mvc:interceptors&gt; 2.创建登陆判断拦截器的实现类 public class LoginHandlerInterceptor extend...
java服务-springboot拦截器实现用户登录Token及权限校验
码者人生的技术博客
05-30 4720
springboot拦截器主要目标: 拦截请求,验证请求的用户对访问的资源是否有访问权限; 需要排除一些不在权限控制范围内的url,如swagger的接口文档列表; 需要排除的url,在配置文件中进行配置; 双拦截器
关于权限的测试方法整理
rital的专栏
02-28 9497
关于权限的测试方法整理
satoken如何让一个接口在任意一个账号类型登录时访问
12-28
// 检查当前会话是否拥有至少一个指定角色 ("admin", "editor") if (!StpUtil.hasAnyRole("admin", "editor")) { throw new NotPermissionException(); } ``` 此外,如果希望更细粒度地控制哪些具体的动作是可以被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值