之前自用的项目中使用的是 springsecurity 权限管理框架，没有使用自定义token，因此是默认的 cookie 方式，突然有一天浏览器在跨域的情况下不支持cookie了，虽然可以更改浏览器的安全设置来解决，但这种方法治标不治本，治本还是要使用自定义token方式。

satoken权限控制框架在github上有2.7K的star，算是一个比较不错的框架了，其使用比springsecurity要简单。

一、 maven 依赖

 
 <!-- Sa-Token 权限认证, 在线文档： -->
<dependency>
    <groupId>cn.dev</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>.19.0</version>
</dependency>

二、配置文件

 
 # token名称 (同时也是headers中的名称)
spring.sa-token.token-name: satoken
# token有效期，单位s 默认天, -1代表永不过期，大概8个多小时必定过期
spring.sa-token.timeout:
# token临时有效期 (指定时间内无操作就视为token过期) 单位: 秒
spring.sa-token.activity-timeout: -
# 是否允许同一账号并发登录 (为true时允许一起登录, 为false时新登录挤掉旧登录)
spring.sa-token.allow-concurrent-login: true
# 在多人登录同一账号时，是否共用一个token (为true时所有登录共用一个token, 为false时每次登录新建一个token)
spring.sa-token.is-share: false
# token风格，默认为uuid
spring.sa-token.token-style: random-
# 是否输出操作日志
spring.sa-token.is-log: false

三、自定义权限角色查询接口实现

 
 @Component    // 保证此类被SpringBoot扫描，完成sa-token的自定义权限验证扩展
public class StpInterfaceImpl implements StpInterface {
    @Autowired
    private UserDao userDao;
    @Autowired
    private RoleMapper roleMapper;
    @Autowired
    private User_RoleMapper user_roleMapper;
    /**
     * 返回一个账号所拥有的权限码集合
     */
    @Override
    public List<String> getPermissionList(Object loginId, String loginKey) {
        // 查出当前用户的权限信息
        List<String> list = new ArrayList<String>();
        List<Permission> permissions = userDao.findPermissionByUserName(loginId.toString());
        permissions. forEach (l -> {
            list.add(l.getPermTag());
        });
        return list;
    }
    /**
     * 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
     */
    @Override
    public List<String> getRoleList(Object loginId, String loginKey) {
        // 查出当前用户的角色信息
        List<String> list = new ArrayList<String>();
        int id = userDao.selectOne(Wrappers.<User>lambdaQuery().eq(User::getUsername, loginId.toString())).getId();
        List<User_Role> user_roles = user_roleMapper.selectList(Wrappers.<User_Role>lambdaQuery().eq(User_Role::getUid, id));
        user_roles.forEach( l -> {
            int rid = l.getRid();
            Role role = roleMapper.selectOne(Wrappers.<Role>lambdaQuery().eq(Role::getId, rid));
            list.add(role.getRoleName());
        });
        return list;
    }
}

四、java配置文件

关键之处在于排除路径的认证。

由于我这个项目大部分是前后分离的，有一小部分是后端的模板 html 文件请求，因此主要在模板文件请求中如何去传递token。

 
 @Configuration
public class MyConfig implements WebMvcConfigurer {
  @Override
   public void addInterceptors(InterceptorRegistry registry) {
       // 注册路由拦截器，自定义验证规则
       registry.addInterceptor(new SaRouteInterceptor((request, response,  handler )->{
           if (!request.getMethod().equals(HttpMethod.OPTIONS.toString())) {
               SaRouterUtil.match("/**", () -> StpUtil.checkLogin());
               SaRouterUtil.match(Arrays.asList("/user/**","/role/**"),
                       Arrays.asList("/user/selectList", "/user/selectByUserNameAndPassword", "/user/updataPassword"),
                       () -> StpUtil.checkPermission("USERMANAGER"));
               SaRouterUtil.match("/tax/**",() -> StpUtil.checkPermission("TAXFILES"));
               SaRouterUtil.match("/customer/**",() -> StpUtil.checkPermission("COMPANYFILES"));
               SaRouterUtil.match("/product/**",() -> StpUtil.checkPermission("PRODUCTFILES"));
               SaRouterUtil.match("/designNotice/**",() -> StpUtil.checkPermission("NOTICEDESIGN"));
               SaRouterUtil.match("/price/**",() -> StpUtil.checkPermission("PRICEDESIGN"));
               SaRouterUtil.match(Arrays.asList("/contract/**","/picture/**"),() -> StpUtil.checkPermission("CONTRACTMANAGER"));
           }
       })).addPathPatterns("/**").excludePathPatterns("/login","/static/**","/showNotice",
               "/noticepicture/show","/noticepicture/down",
               "/images/**",
               "/price/download","/user/backup",
               "/picture/show","/picture/downjpg");
     //此上为排除的路径，需要自定义其验证，包括login请求
   }
}

五、后端模板文件的自定义token请求

模板文件的请求是通过url路径来请求的，且前后端分离情况下的token不能传递到模板文件的请求体headers中，因此我想了个办法，使用url传递token，然后在后端进行验证token的合法性。

前端代码中js逻辑，添加一个satoken参数

 
 showNotice (index, id) {
      window.open(global.BASE_URL + 'showNotice?id=' + id + '&satoken=' + this.$store.state.satoken)
    },

后端代码

 
 @ApiOperation(value="跳转设计制作通知单——return:showNotice.html")
 @RequestMapping("/showNotice")
    public String toshowNotice(int id,String satoken){
        Object loginId = StpUtil.getLoginIdByToken(satoken);
        if (loginId != null){
          //getLoginIdByToken方法，获取指定token对应的登录id，如果未登录，则返回 null 
            return "showNotice";
        } else {
          // token验证不通过跳转到.html显示无权限页面
            return "";
        }
    }

六、登录、登出请求

 
 @PostMapping("/login")
@ResponseBody
public Result<User> doLogin(User user) {
        // 从数据库中查询数据进行比对
        String username = user.getUsername();
        String password = user.getPassword();
        Result<Boolean> result = userService.selectByUserNameAndPassword(username, password);
        if (result.getData()) {
            //当前用户登录
            StpUtil.setLoginId(username);
            Result<User> result = userService.selectByUserName(username);
            List<Permission> permission = userDao.findPermissionByUserName(username);
            User user = result1.getData();
            //设置权限
            user.setAuthorities(permission);
            //设置token值
            user.setSatoken(StpUtil.getTokenValue());
            result.setData(user1);
            return result;
        }else {
            return Result.failure(,"登录失败");
        }
    } 
 @PostMapping("/logout")
@ResponseBody
public Result<String> logout() {
    StpUtil.logout();
   eturn Result.defaultSuccess("登出成功");
}

七、密码的加密处理

之前在sprintsecurity中使用的是BCrypt加密，去除依赖后需要修改，引入hutool依赖包。

 
 //将明文密码进行加密
String  BCrypt.hashpw(password)
//将明文密码与加密后的密码进行比较
 Boolean  BCrypt.checkpw(password,hashpw)

八、前端中对于satoken的处理

在前端中使用的是vue+element+axios+vuex。

在登录的时候将satoken的值存储到vuex中，在登出或者响应token错误代码的时候清除vuex中的satoken值。

然后在axios请求的配置中加上headers。

 
 axios.interceptors.response.use((response) => {
  if (response.data === null) {
     window .location = '/login'
  } else {
    return response
  }
}, function (error) {
  if (error.response.status ===) {
    window.location = '/login'
  } else if (error.response.status ===) {
    // 服务器返回代码时未登录清除缓存并跳转至登录页面
    store.commit('del_token')
    window.location = '/login'
  } else {
    return Promise.reject(error)
  }
}) 
 // 在每次请求中携带satoken的headers
axios.interceptors.request.use((config) => {
  let satoken = store.state.satoken
  if (satoken) {
    config.headers['satoken'] = satoken
  }
  return config
}, err => {
  return Promise.reject(err)
})

九、关于element的upload组件中如何携带token

需要一个computed属性

 
 computed: {
    headers () {
      return {
        'satoken': this.$store.state.satoken // 直接从本地获取token就行
      }
    }
  },

在组件属性中增加一个 :headers=”headers”

 
 <el-upload
            class="upload-demo"
            ref="upload"
            :action="action()"
            accept=".jpg,.png"
            :before-upload="beforeAvatarUpload"
            :on-success="onSuccess"
            :on-preview="handlePreview"
            :before-remove="beforeRemove"
            :on-remove="handleRemove"
            :file-list="orderfileList"
            :multiple="false"
            :headers="headers"
            :auto-upload="true">
            <el-button slot="trigger" size="small" type="primary">选择</el-button>
            <span slot="tip" class="el-upload__tip">只能上传jpg/png文件，且不超过MB</span>
</el-upload>

此处有一个重要问题，这个问题坑了我半天时间，使用token时不需要使用cookie了，因此之前使用springsecurity的时候使用的一个属性 :with-credentials = “true” 需要去掉，因为它还会检测cookie，导致上传验证不通过，此值默认为false，因此去掉即可。

	<!-- Sa-Token 权限认证, 在线文档： -->
	<dependency>
	<groupId>cn.dev</groupId>
	<artifactId>sa-token-spring-boot-starter</artifactId>
	<version>.19.0</version>
	</dependency>

	# token名称 (同时也是headers中的名称)
	spring.sa-token.token-name: satoken
	# token有效期，单位s 默认天, -1代表永不过期，大概8个多小时必定过期
	spring.sa-token.timeout:
	# token临时有效期 (指定时间内无操作就视为token过期) 单位: 秒
	spring.sa-token.activity-timeout: -
	# 是否允许同一账号并发登录 (为true时允许一起登录, 为false时新登录挤掉旧登录)
	spring.sa-token.allow-concurrent-login: true
	# 在多人登录同一账号时，是否共用一个token (为true时所有登录共用一个token, 为false时每次登录新建一个token)
	spring.sa-token.is-share: false
	# token风格，默认为uuid
	spring.sa-token.token-style: random-
	# 是否输出操作日志
	spring.sa-token.is-log: false

	@Component // 保证此类被SpringBoot扫描，完成sa-token的自定义权限验证扩展
	public class StpInterfaceImpl implements StpInterface {
	@Autowired
	private UserDao userDao;
	@Autowired
	private RoleMapper roleMapper;
	@Autowired
	private User_RoleMapper user_roleMapper;
	/**
	* 返回一个账号所拥有的权限码集合
	*/
	@Override
	public List<String> getPermissionList(Object loginId, String loginKey) {
	// 查出当前用户的权限信息
	List<String> list = new ArrayList<String>();
	List<Permission> permissions = userDao.findPermissionByUserName(loginId.toString());
	permissions. forEach (l -> {
	list.add(l.getPermTag());
	});
	return list;
	}
	/**
	* 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
	*/
	@Override
	public List<String> getRoleList(Object loginId, String loginKey) {
	// 查出当前用户的角色信息
	List<String> list = new ArrayList<String>();
	int id = userDao.selectOne(Wrappers.<User>lambdaQuery().eq(User::getUsername, loginId.toString())).getId();
	List<User_Role> user_roles = user_roleMapper.selectList(Wrappers.<User_Role>lambdaQuery().eq(User_Role::getUid, id));
	user_roles.forEach( l -> {
	int rid = l.getRid();
	Role role = roleMapper.selectOne(Wrappers.<Role>lambdaQuery().eq(Role::getId, rid));
	list.add(role.getRoleName());
	});
	return list;
	}
	}

	@Configuration
	public class MyConfig implements WebMvcConfigurer {
	@Override
	public void addInterceptors(InterceptorRegistry registry) {
	// 注册路由拦截器，自定义验证规则
	registry.addInterceptor(new SaRouteInterceptor((request, response, handler )->{
	if (!request.getMethod().equals(HttpMethod.OPTIONS.toString())) {
	SaRouterUtil.match("/**", () -> StpUtil.checkLogin());
	SaRouterUtil.match(Arrays.asList("/user/","/role/"),
	Arrays.asList("/user/selectList", "/user/selectByUserNameAndPassword", "/user/updataPassword"),
	() -> StpUtil.checkPermission("USERMANAGER"));
	SaRouterUtil.match("/tax/**",() -> StpUtil.checkPermission("TAXFILES"));
	SaRouterUtil.match("/customer/**",() -> StpUtil.checkPermission("COMPANYFILES"));
	SaRouterUtil.match("/product/**",() -> StpUtil.checkPermission("PRODUCTFILES"));
	SaRouterUtil.match("/designNotice/**",() -> StpUtil.checkPermission("NOTICEDESIGN"));
	SaRouterUtil.match("/price/**",() -> StpUtil.checkPermission("PRICEDESIGN"));
	SaRouterUtil.match(Arrays.asList("/contract/","/picture/"),() -> StpUtil.checkPermission("CONTRACTMANAGER"));
	}
	})).addPathPatterns("/").excludePathPatterns("/login","/static/","/showNotice",
	"/noticepicture/show","/noticepicture/down",
	"/images/**",
	"/price/download","/user/backup",
	"/picture/show","/picture/downjpg");
	//此上为排除的路径，需要自定义其验证，包括login请求
	}
	}

	showNotice (index, id) {
	window.open(global.BASE_URL + 'showNotice?id=' + id + '&satoken=' + this.$store.state.satoken)
	},

	@ApiOperation(value="跳转设计制作通知单——return:showNotice.html")
	@RequestMapping("/showNotice")
	public String toshowNotice(int id,String satoken){
	Object loginId = StpUtil.getLoginIdByToken(satoken);
	if (loginId != null){
	//getLoginIdByToken方法，获取指定token对应的登录id，如果未登录，则返回 null
	return "showNotice";
	} else {
	// token验证不通过跳转到.html显示无权限页面
	return "";
	}
	}

	@PostMapping("/login")
	@ResponseBody
	public Result<User> doLogin(User user) {
	// 从数据库中查询数据进行比对
	String username = user.getUsername();
	String password = user.getPassword();
	Result<Boolean> result = userService.selectByUserNameAndPassword(username, password);
	if (result.getData()) {
	//当前用户登录
	StpUtil.setLoginId(username);
	Result<User> result = userService.selectByUserName(username);
	List<Permission> permission = userDao.findPermissionByUserName(username);
	User user = result1.getData();
	//设置权限
	user.setAuthorities(permission);
	//设置token值
	user.setSatoken(StpUtil.getTokenValue());
	result.setData(user1);
	return result;
	}else {
	return Result.failure(,"登录失败");
	}
	}
	@PostMapping("/logout")
	@ResponseBody
	public Result<String> logout() {
	StpUtil.logout();
	eturn Result.defaultSuccess("登出成功");
	}

	//将明文密码进行加密
	String BCrypt.hashpw(password)
	//将明文密码与加密后的密码进行比较
	Boolean BCrypt.checkpw(password,hashpw)

	axios.interceptors.response.use((response) => {
	if (response.data === null) {
	window .location = '/login'
	} else {
	return response
	}
	}, function (error) {
	if (error.response.status ===) {
	window.location = '/login'
	} else if (error.response.status ===) {
	// 服务器返回代码时未登录清除缓存并跳转至登录页面
	store.commit('del_token')
	window.location = '/login'
	} else {
	return Promise.reject(error)
	}
	})
	// 在每次请求中携带satoken的headers
	axios.interceptors.request.use((config) => {
	let satoken = store.state.satoken
	if (satoken) {
	config.headers['satoken'] = satoken
	}
	return config
	}, err => {
	return Promise.reject(err)
	})

	computed: {
	headers () {
	return {
	'satoken': this.$store.state.satoken // 直接从本地获取token就行
	}
	}
	},

	<el-upload
	class="upload-demo"
	ref="upload"
	:action="action()"
	accept=".jpg,.png"
	:before-upload="beforeAvatarUpload"
	:on-success="onSuccess"
	:on-preview="handlePreview"
	:before-remove="beforeRemove"
	:on-remove="handleRemove"
	:file-list="orderfileList"
	:multiple="false"
	:headers="headers"
	:auto-upload="true">
	<el-button slot="trigger" size="small" type="primary">选择</el-button>
	<span slot="tip" class="el-upload__tip">只能上传jpg/png文件，且不超过MB</span>
	</el-upload>

java权限控制框架sa-token使用心得