Sa-Token中如何选择性绕过权限注解的实践方案

在实际开发中，我们经常会遇到需要部分接口绕过权限检查的需求。以Sa-Token权限框架为例，系统可能存在一些公共数据接口（如国家列表、城市列表等），这些接口虽然标注了@SaCheckPermission权限注解，但业务上要求登录用户无需特定权限即可访问。

问题背景

在标准的Sa-Token权限控制流程中，所有标注了@SaCheckPermission的接口都会进行严格的权限校验。但某些公共数据接口需要实现以下特殊逻辑：

1. 登录用户可直接访问，无需特定权限
2. 接口地址可动态配置（如通过Nacos）
3. 配置移除后恢复标准权限校验

常规解决方案的局限性

开发者最初尝试通过自定义拦截器实现，但遇到了两难选择：

• 不添加isAnnotation(false)：无法绕过权限注解
• 添加isAnnotation(false)：导致所有注解失效

核心解决方案

Sa-Token提供了灵活的注解处理机制，我们可以通过重写SaStrategy的注解获取逻辑来实现选择性绕过：

SaStrategy.instance.getAnnotation = (element, annotationClass) -> {
    if (Objects.equals(annotationClass, SaCheckPermission.class)) {
        // 对于权限注解，返回null表示不处理
        return null;
    }
    // 其他注解保持默认处理
    return element.getAnnotation(annotationClass);
};

实现原理

这种方案的精妙之处在于：

1. 精准拦截：只针对SaCheckPermission注解做特殊处理
2. 非侵入性：不影响其他注解的正常工作
3. 动态性：可以与配置中心结合实现动态开关

完整实现建议

结合Nacos配置中心的完整实现可参考以下伪代码：

@Configuration
public class SaTokenConfig {

    @Value("${public.apis}")
    private List<String> publicApis;

    @PostConstruct
    public void customizeSaStrategy() {
        SaStrategy.instance.getAnnotation = (element, annotationClass) -> {
            if (Objects.equals(annotationClass, SaCheckPermission.class)) {
                // 获取当前请求路径
                String path = getCurrentRequestPath();
                if (publicApis.contains(path)) {
                    return null; // 公共接口绕过权限检查
                }
            }
            return element.getAnnotation(annotationClass);
        };
    }
}

注意事项

1. 确保只在需要绕过的接口上使用此方案
2. 考虑将公共接口统一前缀，便于管理
3. 注意线程安全问题，配置变更时需要同步更新
4. 生产环境建议添加日志记录绕过情况

这种方案既保持了Sa-Token原有的权限体系完整性，又提供了必要的灵活性，是处理混合权限场景的优雅解决方案。