公司建设网站公司,哈尔滨网站开发制作,珠海网站建设优化,中国建设工程网站投标文章目录1. Sa-Token 介绍2. 登录认证2.1 登录与注销2.2 会话查询2.3 Token 查询3. 权限认证3.1 获取当前账号权限码集合3.2 权限校验3.3 角色校验4. 前后台分离#xff08;无Cookie模式#xff09;5. Sa-Token 集成 Redis6. SpringBoot 集成 Sa-Token6.1 创建项目6.2 添加依…
文章目录1. Sa-Token 介绍2. 登录认证2.1 登录与注销2.2 会话查询2.3 Token 查询3. 权限认证3.1 获取当前账号权限码集合3.2 权限校验3.3 角色校验4. 前后台分离无Cookie模式5. Sa-Token 集成 Redis6. SpringBoot 集成 Sa-Token6.1 创建项目6.2 添加依赖6.3 设置配置文件6.4 创建启动类6.5 定义用户信息类6.6 自定义权限验证接口扩展6.7 创建测试Controller6.8 运行1. Sa-Token 介绍
Sa-Token 是一个轻量级 Java 权限认证框架主要解决登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。
功能结构图 2. 登录认证
对于一些登录之后才能访问的接口例如查询我的账号资料我们通常的做法是增加一层接口校验
如果校验通过则正常返回数据。如果校验未通过则抛出异常告知其需要先进行登录。
那么判断会话是否登录的依据是什么我们先来简单分析一下登录访问流程
用户提交 name password 参数调用登录接口。登录成功返回这个用户的 Token 会话凭证。用户后续的每次请求都携带上这个 Token。服务器根据 Token 判断此会话是否登录成功。
所谓登录认证指的就是服务器校验账号密码为用户颁发 Token 会话凭证的过程这个Token 也是我们后续判断会话是否登录的关键所在。 2.1 登录与注销
// 会话登录参数填写要登录的账号id建议的数据类型long | int | String 不可以传入复杂类型如User、Admin 等等
StpUtil.login(Object id); 只此一句代码便可以使会话登录成功实际上Sa-Token 在背后做了大量的工作包括但不限于
检查此账号是否之前已有登录为账号生成 Token 凭证与 Session 会话通知全局侦听器xx 账号登录成功将 Token 注入到请求上下文等等其它工作……
只需要记住关键一点Sa-Token 为这个账号创建了一个Token凭证且通过 Cookie 上下文返回给了前端。
此处仅仅做了会话登录但并没有主动向前端返回 Token 信息。严格来讲是需要的只不过 StpUtil.login(id) 方法利用了 Cookie 自动注入的特性省略了你手写返回 Token 的代码。
// 当前会话注销登录
StpUtil.logout();// 获取当前会话是否已经登录返回true已登录false未登录
StpUtil.isLogin();// 检验当前会话是否已经登录, 如果未登录则抛出异常NotLoginException
StpUtil.checkLogin();2.2 会话查询
// 获取当前会话账号id, 如果未登录则抛出异常NotLoginException
StpUtil.getLoginId();// 类似查询API还有
StpUtil.getLoginIdAsString(); // 获取当前会话账号id, 并转化为String类型
StpUtil.getLoginIdAsInt(); // 获取当前会话账号id, 并转化为int类型
StpUtil.getLoginIdAsLong(); // 获取当前会话账号id, 并转化为long类型// ---------- 指定未登录情形下返回的默认值 ----------// 获取当前会话账号id, 如果未登录则返回null
StpUtil.getLoginIdDefaultNull();// 获取当前会话账号id, 如果未登录则返回默认值 defaultValue可以为任意类型
StpUtil.getLoginId(T defaultValue);2.3 Token 查询
// 获取当前会话的token值
StpUtil.getTokenValue();// 获取当前StpLogic的token名称
StpUtil.getTokenName();// 获取指定token对应的账号id如果未登录则返回 null
StpUtil.getLoginIdByToken(String tokenValue);// 获取当前会话剩余有效期单位s返回-1代表永久有效
StpUtil.getTokenTimeout();// 获取当前会话的token信息参数
StpUtil.getTokenInfo();3. 权限认证
所谓权限认证核心逻辑就是判断一个账号是否拥有指定权限
有就让你通过。没有那么禁止访问
深入到底层数据中就是每个账号都会拥有一个权限码集合框架来校验这个集合中是否包含指定的权限码。
例如当前账号拥有权限码集合 [user-add, user-delete, user-get]这时候我来校验权限 user-update则其结果就是验证失败禁止访问。 3.1 获取当前账号权限码集合
因为每个项目的需求不同其权限设计也千变万化因此 [ 获取当前账号权限码集合 ] 这一操作不可能内置到框架中 所以 Sa-Token 将此操作以接口的方式暴露给你以方便你根据自己的业务逻辑进行重写。
你需要做的就是新建一个类实现 StpInterface接口例如以下代码
/*** 自定义权限验证接口扩展*/
Component // 保证此类被SpringBoot扫描完成Sa-Token的自定义权限验证扩展
public class StpInterfaceImpl implements StpInterface {/*** 返回一个账号所拥有的权限码集合 */Overridepublic ListString getPermissionList(Object loginId, String loginType) {// 本list仅做模拟实际项目中要根据具体业务逻辑来查询权限ListString list new ArrayListString(); list.add(101);list.add(user.add);list.add(user.update);list.add(user.get);// list.add(user.delete);list.add(art.*);return list;}/*** 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)*/Overridepublic ListString getRoleList(Object loginId, String loginType) {// 本list仅做模拟实际项目中要根据具体业务逻辑来查询角色ListString list new ArrayListString(); list.add(admin);list.add(super-admin);return list;}
}参数解释
loginId账号id即你在调用 StpUtil.login(id) 时写入的标识值。 loginType账号体系标识此处暂时忽略可以详细了解 [ 多账户认证 ]
3.2 权限校验
然后就可以用以下api来鉴权了
// 获取当前账号所拥有的权限集合
StpUtil.getPermissionList();// 判断当前账号是否含有指定权限, 返回 true 或 false
StpUtil.hasPermission(user.add); // 校验当前账号是否含有指定权限, 如果验证未通过则抛出异常: NotPermissionException
StpUtil.checkPermission(user.add); // 校验当前账号是否含有指定权限 [指定多个必须全部验证通过]
StpUtil.checkPermissionAnd(user.add, user.delete, user.get); // 校验当前账号是否含有指定权限 [指定多个只要其一验证通过即可]
StpUtil.checkPermissionOr(user.add, user.delete, user.get); 3.3 角色校验
在Sa-Token中角色和权限可以独立验证
// 获取当前账号所拥有的角色集合
StpUtil.getRoleList();// 判断当前账号是否拥有指定角色, 返回 true 或 false
StpUtil.hasRole(super-admin); // 校验当前账号是否含有指定角色标识, 如果验证未通过则抛出异常: NotRoleException
StpUtil.checkRole(super-admin); // 校验当前账号是否含有指定角色标识 [指定多个必须全部验证通过]
StpUtil.checkRoleAnd(super-admin, shop-admin); // 校验当前账号是否含有指定角色标识 [指定多个只要其一验证通过即可]
StpUtil.checkRoleOr(super-admin, shop-admin); 权限通配符
Sa-Token允许你根据通配符指定泛权限例如当一个账号拥有art.*的权限时art.add、art.delete、art.update都将匹配通过 上帝权限当一个账号拥有 * 权限时他可以验证通过任何权限码 角色认证同理 前端有了鉴权后端还需要鉴权吗
需要
前端的鉴权只是一个辅助功能对于专业人员这些限制都是可以轻松绕过的为保证服务器安全无论前端是否进行了权限校验后端接口都需要对会话请求再次进行权限校验
4. 前后台分离无Cookie模式
何为无 Cookie 模式? 无 Cookie 模式特指不支持 Cookie 功能的终端通俗来讲就是我们常说的 —— 前后台分离模式。
后端将 token 返回到前端
首先调用 StpUtil.login(id) 进行登录。 调用 StpUtil.getTokenInfo() 返回当前会话的 token 详细参数。
此方法返回一个对象其有两个关键属性tokenName和tokenValuetoken 的名称和 token 的值。将此对象传递到前台让前端人员将这两个值保存到本地。
前端将 token 提交到后端
无论是app还是小程序其传递方式都大同小异。那就是将 token 塞到请求header里 格式为{tokenName: tokenValue}。
只要按照如此方法将token值传递到后端Sa-Token 就能像传统PC端一样自动读取到 token 值进行鉴权。你可能会有疑问难道我每个ajax都要写这么一坨岂不是麻烦死了 你当然不能每个 ajax 都写这么一坨因为这种重复性代码都是要封装在一个函数里统一调用的。
5. Sa-Token 集成 Redis
Sa-Token 默认将数据保存在内存中此模式读写速度最快且避免了序列化与反序列化带来的性能消耗但是此模式也有一些缺点比如
重启后数据会丢失。无法在分布式环境中共享数据。
为此Sa-Token 提供了扩展接口你可以轻松将会话数据存储在 Redis、Memcached等专业的缓存中间件中 做到重启数据不丢失而且保证分布式环境下多节点的会话一致性。
以下是官方提供的 Redis 集成包
!-- Sa-Token 整合 Redis 使用 jackson 序列化方式 --
dependencygroupIdcn.dev33/groupIdartifactIdsa-token-dao-redis-jackson/artifactIdversion1.34.0/version
/dependency集成 Redis 请注意
无论使用哪种序列化方式你都必须为项目提供一个 Redis 实例化方案例如
!-- 提供Redis连接池 --
dependencygroupIdorg.apache.commons/groupIdartifactIdcommons-pool2/artifactId
/dependency配置Redis 连接信息
spring: # redis配置 redis:# Redis数据库索引默认为0database: 0# Redis服务器地址host: 127.0.0.1# Redis服务器连接端口port: 6379# Redis服务器连接密码默认为空# password: # 连接超时时间timeout: 10slettuce:pool:# 连接池最大连接数max-active: 200# 连接池最大阻塞等待时间使用负值表示没有限制max-wait: -1ms# 连接池中的最大空闲连接max-idle: 10# 连接池中的最小空闲连接min-idle: 0集成 Redis 后是我额外手动保存数据还是框架自动保存 框架自动保存。集成 Redis 只需要引入对应的 pom依赖 即可框架所有上层 API 保持不变。 集成包版本问题 Sa-Token-Redis 集成包的版本尽量与 Sa-Token-Starter 集成包的版本一致否则可能出现兼容性问题。
6. SpringBoot 集成 Sa-Token
以最新版本 1.34.0为例
6.1 创建项目
在 IDE 中新建一个 SpringBoot 项目例如sa-token-demo-springboot
6.2 添加依赖
在项目中添加依赖
dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-web/artifactId
/dependency
!-- Sa-Token 权限认证在线文档https://sa-token.cc --
dependencygroupIdcn.dev33/groupIdartifactIdsa-token-spring-boot-starter/artifactIdversion1.34.0/version
/dependency
!-- Sa-Token 整合 Redis 使用 jackson 序列化方式 --
dependencygroupIdcn.dev33/groupIdartifactIdsa-token-dao-redis-jackson/artifactIdversion1.34.0/version
/dependency
!-- 提供Redis连接池 --
dependencygroupIdorg.apache.commons/groupIdartifactIdcommons-pool2/artifactId
/dependency
dependencygroupIdorg.projectlombok/groupIdartifactIdlombok/artifactId
/dependency6.3 设置配置文件
server:# 端口port: 8081############## Sa-Token 配置 (文档: https://sa-token.cc) ##############
sa-token:# token名称 (同时也是cookie名称)token-name: satoken# token有效期单位s 默认30天, -1代表永不过期timeout: 2592000# token临时有效期 (指定时间内无操作就视为token过期) 单位: 秒activity-timeout: -1# 是否允许同一账号并发登录 (为true时允许一起登录, 为false时新登录挤掉旧登录)is-concurrent: true# 在多人登录同一账号时是否共用一个token (为true时所有登录共用一个token, 为false时每次登录新建一个token)is-share: true# token风格token-style: uuid# 是否输出操作日志is-log: falsespring:# redis配置redis:# Redis数据库索引默认为0database: 0# Redis服务器地址host: 127.0.0.1# Redis服务器连接端口port: 6379# Redis服务器连接密码默认为空password: abc123# 连接超时时间timeout: 10slettuce:pool:# 连接池最大连接数max-active: 200# 连接池最大阻塞等待时间使用负值表示没有限制max-wait: -1ms# 连接池中的最大空闲连接max-idle: 10# 连接池中的最小空闲连接min-idle: 06.4 创建启动类
SpringBootApplication
public class SaTokenDemoApplication {public static void main(String[] args) throws JsonProcessingException {SpringApplication.run(SaTokenDemoApplication.class, args);System.out.println(启动成功Sa-Token配置如下 SaManager.getConfig());}
}6.5 定义用户信息类
Data
Accessors(chain true)
AllArgsConstructor
public class UserInfo {private Long userId;private String name;private String email;
}6.6 自定义权限验证接口扩展
Component // 保证此类被SpringBoot扫描完成Sa-Token的自定义权限验证扩展
public class StpInterfaceImpl implements StpInterface {/*** 返回一个账号所拥有的权限码集合*/Overridepublic ListString getPermissionList(Object loginId, String loginType) {// 本list仅做模拟实际项目中要根据具体业务逻辑来查询权限
// ListString list new ArrayListString();
// list.add(user.add);
// list.add(user.get);// list.add(user.delete);
// list.add(art.*);//从redis中获取权限ListString authList (ListString) StpUtil.getSession().get(authList);return authList;}/*** 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)* param loginId 账号id即你在调用 StpUtil.login(id) 时写入的标识值* param loginType 账号体系标识* author: yh* date: 2023/2/12*/Overridepublic ListString getRoleList(Object loginId, String loginType) {// 本list仅做模拟实际项目中要根据具体业务逻辑来查询角色ListString list new ArrayListString();list.add(admin);list.add(super-admin);return list;}
}6.7 创建测试Controller
RestController
RequestMapping(/user)
public class UserController {/*** 测试登录浏览器访问 http://localhost:8081/user/doLogin?usernamezhangpassword123456*/RequestMapping(/doLogin)public SaResult doLogin(String username, String password) {// 此处仅作模拟示例真实项目需要从数据库中查询数据进行比对 if(zhang.equals(username) 123456.equals(password)) {// 第1步先登录上StpUtil.login(10001);}//第2步加载用户信息和权限信息StpUtil.getSession().set(loginInfo, new UserInfo(10001L, 张三, 123123163.com));//加载权限只给user.add的权限ListString authList new ArrayListString();authList.add(user.add);StpUtil.getSession().set(authList, authList);// 第3步获取 Token 相关参数SaTokenInfo tokenInfo StpUtil.getTokenInfo();// 第4步返回给前端return SaResult.data(tokenInfo);}/*** 查询登录状态*/RequestMapping(/isLogin)public String isLogin() {return 当前会话是否登录 StpUtil.isLogin();}/*** 获取用户信息*/RequestMapping(/getUserInfo)public UserInfo getUserInfo() {UserInfo loginInfo (UserInfo) StpUtil.getSession().get(loginInfo);return loginInfo;}/*** 测试方法校验权限*/GetMapping(value /add)public String add(){StpUtil.checkPermission(user.add);return ok;}GetMapping(value /update)public String update(){StpUtil.checkPermission(user.update);return ok;}
}6.8 运行
启动项目Copy Configuration再启动一个实例这时候我们就同时启动了两个实例 这样就可以测试出在集群部署情况下登录信息会不会有问题然后用接口测试工具依次访问上述测试接口
1、 登录
http://localhost:8081/user/doLogin?usernamezhangpassword123456 此时查看redis中数据可以看到登录信息和权限都保存在redis中了 2、 查询登录状态
http://localhost:8081/user/isLogin
注意header里没有cookie 把登录接口返回的tokenName和tokenValue加入到请求header中 只有请求携带对应的token登录状态才为true
3、 获取用户信息
这里调用端口为8082的实例 http://localhost:8082/user/getUserInfo 4、 调用添加用户接口
测试是否有添加接口权限登录的时候我们赋予了添加用户的权限
http://localhost:8082/user/add 5、 调用更新用接口
测试是否有更新用户接口权限登录的时候我们没有赋予更新用户的权限
http://localhost:8082/user/update 结果可以看到没有更新用户接口的权限。
我的博客即将同步至腾讯云开发者社区邀请大家一同入驻https://cloud.tencent.com/developer/support-plan?invite_coderrez71s8jyqy
