Sa-Token是一个轻量级Java权限认证框架，主要解决：登录认证、权限认证、Session会话、单点登录、OAuth2.0 等一系列权限相关问题

框架针对踢人下线、自动续签、前后台分离、分布式会话……等常见业务进行N多适配，通过Sa-Token，你可以以一种极简的方式实现系统的权限认证部分。

以往大家会选择使用shiro或spring security都需要繁琐的配置定义拦截，前后端分离时还要搭配shiro，OAuth2.0 跨域等等问题。

sa-token在于方便、简单、拆箱即用，少量配置实现登录、权限拦截。

下面演示在springboot中使用sa-token：

1. 首先需要引入jar：maven项目在pom当中写入即可，此外关于权限系统都需要5张表：

 user表、role表、permission表 userRole表，rolePermission表(不在赘述)

<!-- Sa-Token 权限认证, 在线文档：http://sa-token.dev33.cn/ -->

<dependency> <groupId>cn.dev33</groupId> 

 <artifactId>sa-token-spring-boot-starter</artifactId> 

 <version>1.20.0</version></dependency>

2. 配置拦截器 （主要用于拦截未登录用户，排除login、index等接口）

@Configuration

public class SaTokenConfigureimplements WebMvcConfigurer {

//多个排除拦截都可以写在此处，排除拦截的list；

private final static Listpatterns=Arrays.asList("/","/index","login");

// 注册sa-token的登录拦截器

@Override

public void addInterceptors(InterceptorRegistry registry) {

// 注册登录拦截器，并排除登录接口地址

    registry.addInterceptor(new SaRouteInterceptor()).addPathPatterns("/**").

excludePathPatterns(patterns);

}

// 获取配置Bean (以代码的方式配置sa-token, 此配置会覆盖yml中的配置)

@Primary

@Bean(name="SaTokenConfigure")

public SaTokenConfig getSaTokenConfig() {

SaTokenConfig config =new SaTokenConfig();

config.setTokenPrefix("Bearer");//请求头如有,去除Bearer*/

    config.setTokenName("token");// token名称 (同时也是cookie名称)

    config.setTimeout(24 *60 *60);// token有效期，单位s 默认30天

    config.setActivityTimeout(-1);// token临时有效期 (指定时间内无操作就视为token过期) 单位: 秒

    config.setIsConcurrent(true);// 是否允许同一账号并发登录 (为true时允许一起登录, 为false时新登录挤掉旧登录)

    config.setIsShare(true);// 在多人登录同一账号时，是否共用一个token (为true时所有登录共用一个token, 为false时每次登录新建一个token)

    config.setTokenStyle("uuid");// token风格

    config.setIsPrint(false);

return config;

}

/**

* 注册 [sa-token全局过滤器]

*/

@Bean

public SaServletFilter getSaServletFilter() {

return new SaServletFilter()

// 指定 拦截路由 与 放行路由

    .addInclude("/**").addExclude("/favicon.ico","/")

// 认证函数: 每次请求执行

    .setAuth(r -> {

logger.info("---------- 进入sa-token全局认证 -----------");

})

// 异常处理函数：每次认证函数发生异常时执行此函数

    .setError(e -> {

logger.info("---------- 进入sa-token异常处理 -----------异常信息💔💔💔💔{}",e.getMessage());

//当前不会返回全局异常，需要自行定义返回结果，不然将会在浏览器输出文字

return JSONUtil.parseObj(Result.error(e.getMessage()));

})

// 前置函数：在每次认证函数之前执行

    .setBeforeAuth(r -> {

// ---------- 设置一些安全响应头----------

        SaHolder.getResponse()

// 服务器名称

                .setServer("supervise-server")

// 是否可以在iframe显示视图： DENY=不可以 | SAMEORIGIN=同域下可以 | ALLOW-FROM uri=指定域名下可以

                .setHeader("X-Frame-Options","SAMEORIGIN")

// 是否启用浏览器默认XSS防护： 0=禁用 | 1=启用 | 1; mode=block 启用, 并在检查到XSS攻击时，停止渲染页面

                .setHeader("X-Frame-Options","1; mode=block")

// 禁用浏览器内容嗅探

                .setHeader("X-Content-Type-Options","nosniff");

});

}

}

3.对于前端的跨域解决，因为复杂post请求会有预请求，所以作如下配置:

@Component

public class CorsFilterimplements Filter {

static final StringOPTIONS ="OPTIONS";

@Override

  public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest request = (HttpServletRequest) req;

HttpServletResponse response = (HttpServletResponse) res;

// 获得客户端domain

      String origin = request.getHeader("Origin");

if (origin ==null) {

origin = request.getHeader("Referer");

}

// 允许指定域访问跨域资源

      response.setHeader("Access-Control-Allow-Origin", origin);

// 允许客户端携带跨域cookie，此时origin值不能为“*”，只能为指定单一域名

      response.setHeader("Access-Control-Allow-Credentials","true");

// 允许所有请求方式

      response.setHeader("Access-Control-Allow-Methods","POST, GET, OPTIONS, DELETE");

// 有效时间

      response.setHeader("Access-Control-Max-Age","3600");

// 允许的header参数

      response.setHeader("Access-Control-Allow-Headers","x-requested-with,token");

// 允许的header参数

        response.setHeader("Access-Control-Allow-Headers","*");

// 如果是预检请求，直接返回

      if (OPTIONS.equals(request.getMethod())) {

StaticLog.info("=======================浏览器发来了OPTIONS预检请求==========");

response.getWriter().print("");

return;

}

chain.doFilter(req, res);

}

@Override

  public void init(FilterConfig filterConfig) {

}

@Override

  public void destroy() {

}

}

5.众所周知，权限拦截是根据角色code或权限code进行拦截，sa-token将此接口暴漏，在此处存储List<String>,当拦截时可根据code是否拥有校验即可，所以此处查询code码存储到集合。

@Component

public class StpInterfaceImplimplements StpInterface {

@Resource

    private  AdminUserServiceadminUserService;

/**

    * 返回一个账号所拥有的权限码集合

    * @return

    */

    @Override

    public List getPermissionList(Object o, String s) {

return adminUserService.getPermissionList(o,s);

}

/**

    * 返回一个账号所拥有的角色标识集合

    * @return

    */

    @Override

    public List getRoleList(Object o, String s) {

Integer userId= Convert.toInt(o);

return adminUserService.getRoleCodeByUId(userId);

}

}

6.至此，权限配置基本完结，另外sa-token提供了两种方式拦截，一种是路由拦截，一种是接口注解拦截，

路由拦截:

此处方法可以写到拦截器配置 2 的SaServletFilter 里，例如：

// 指定 拦截路由 与 放行路由

.addInclude("/**").addExclude("/favicon.ico","/")

// 认证函数: 每次请求执行

.setAuth(r -> {

logger.info("---------- 进入sa-token全局认证 -----------");

SaRouter.match("/admin/**", () -> StpUtil.checkRoleOr("admin","super-admin"));// 当前角色为admin或super-admin可访问"/admin"下的url接口

    SaRouter.match("/user/**", () -> StpUtil.checkPermission("user"));//当前用户拥有user权限可访问/user下的url接口

})

注解拦截：

@SaCheckLogin: 登录认证 —— 只有登录之后才能进入该方法

@SaCheckRole("admin"): 角色认证 —— 必须具有指定角色标识才能进入该方法

@SaCheckPermission("user:add"): 权限认证 —— 必须具有指定权限才能进入该方法

加在controller的接口注解上即可。