剖析 Sa-Token (三) 权限认证的注解驱动与拦截器协同

1. 注解驱动的权限认证设计原理第一次看到SaCheckPermission注解时我盯着那个小小的符号发了半天呆——就这么个简单的标记居然能自动完成权限校验这背后到底藏着什么魔法后来在项目里踩过几次坑才明白注解本质上就是个标记牌真正干活的其实是藏在幕后的拦截器。Sa-Token的权限注解支持四种关键参数配置value权限码数组支持多个权限同时校验mode验证模式AND表示需同时具备所有权限OR表示具备任一即可type多账号体系标识适合复杂权限系统orRole权限不满足时的备选角色方案举个例子下面这个配置就很有意思SaCheckPermission( value user:delete, mode SaMode.OR, orRole {admin, super-admin} ) public void deleteUser() { // 删除用户操作 }这表示调用该方法需要满足要么有user:delete权限要么具备admin或super-admin角色。我在电商项目里就用这种组合方案既保证了权限粒度又避免了给高管分配过多具体权限。2. 拦截器如何捕获注解信息记得第一次调试SaAnnotationInterceptor时我在preHandle方法里打了断点。当请求进来时看到handler对象居然能转换成HandlerMethod当时就觉得Spring的设计真巧妙。这个拦截器的工作流程其实很清晰将handler强制转换为HandlerMethod获取方法对象把方法对象丢给SaStrategy做注解检查通过验证就放行不通过就抛出异常关键代码其实就三行if (handler instanceof HandlerMethod false) return true; Method method ((HandlerMethod) handler).getMethod(); SaStrategy.me.checkMethodAnnotation.accept(method);但这里有个坑我踩过——如果Controller里混用了普通请求和WebSocket等特殊请求记得要做类型判断。有次线上事故就是因为没判断handler类型导致WebSocket连接被错误拦截。3. 策略模式在权限校验中的应用SaStrategy这个类名起得特别到位它确实把校验策略玩出了花。看它的checkByAnnotation方法会根据注解配置选择不同验证策略if(at.mode() SaMode.AND) { this.checkPermissionAnd(permissionArray); } else { this.checkPermissionOr(permissionArray); }最精妙的是它对异常的处理——当权限校验失败时还会尝试检查orRole配置的角色catch (NotPermissionException e) { if(at.orRole().length 0) { // 尝试角色校验 } throw e; }这种设计让权限系统既严格又灵活。我在金融项目里就用这个特性实现了权限不够角色补的机制风控部门的同事再也不用频繁申请临时权限了。4. 权限数据的获取链路解析追查getPermissionList方法时我发现了个有趣的设计。SaManager并没有直接持有权限数据而是通过StpInterface接口获取public ListString getPermissionList(Object loginId) { return SaManager.getStpInterface().getPermissionList(loginId, loginType); }这种解耦设计让数据源可以灵活替换。有次需要从Redis获取权限我只花了半小时就实现了自定义的StpInterfacepublic class RedisStpInterface implements StpInterface { Override public ListString getPermissionList(Object loginId, String loginType) { // 从Redis获取权限列表 } }更妙的是SaManager的自动装配机制。通过Autowired自动注入实现类连配置文件都不用改Autowired(required false) public void setStpInterface(StpInterface stpInterface) { SaManager.setStpInterface(stpInterface); }5. 实战中的典型问题排查在微服务环境下我遇到过注解不生效的情况。后来发现是拦截器顺序问题Spring的拦截器链是有执行顺序的。解决方法是在配置类里加上Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new SaAnnotationInterceptor()) .addPathPatterns(/**) .order(Ordered.HIGHEST_PRECEDENCE); }另一个常见问题是权限缓存更新。当用户权限变更时记得调用StpUtil.getPermissionList()的重载方法强制刷新// 强制从数据源重新加载 ListString permissions StpUtil.getPermissionList(userId, true);有次线上权限失效就是因为忘了这个参数导致用户权限变更后依然读取旧缓存。现在我的团队都养成了习惯——所有权限修改操作后必须主动清除缓存。