权限验证
核心思想
所谓权限验证,验证的核心就是当前账号是否拥有一个权限码有:就让你通过、没有:那么禁止访问再往底了说,就是每个账号都会拥有一个权限码集合,我来验证这个集合中是否包括我需要检测的那个权限码例如:当前账号拥有权限码集合:["user:add", "user:delete", "user:get"],这时候我去验证权限码:"user:update",则结果就是验证失败,禁止访问所以现在问题的核心就是:
如何获取一个账号所拥有的的权限码集合
本次操作要验证的权限码是哪个
获取当前账号权限码集合
因为每个项目的需求不同,其权限设计也千变万化,【获取当前账号权限码集合】这一操作不可能内置到框架中, 所以sa-token将此操作以接口的方式暴露给你,以方便的你根据自己的业务逻辑进行重写
你需要做的就是新建一个类,重写StpInterface接口,例如以下代码:
可参考代码:码云:StpInterfaceImpl.java
验证是否包含指定权限码
然后就可以用以下api来鉴权了
拦截全局异常
有同学要问,鉴权失败,抛出异常,然后呢?要把异常显示给用户看吗?当然不能把异常抛给用户看,你可以创建一个全局异常拦截器,统一返回给前端的格式,例如以下示例:
可参考:码云:GlobalException.java
写在最后
源码开源,作者不易,如果你喜欢这个框架麻烦你随手点一颗小星星哦!
官网文档:http://sa-token.dev33.cn/
Gitee开源地址: https://gitee.com/sz6/sa-token
GitHub开源地址: https://github.com/click33/sa-token
