SpringBoot权限认证-Sa-Token的使用与详解

本文详细介绍了Sa-Token在Java项目中的使用方法,包括Sa-Token的基本概念、与其他权限框架的比较、基本语法和高级用法,并通过实例讲解了如何在项目中集成和使用Sa-Token。作为一款轻量级Java权限认证框架,Sa-Token在简化权限管理、提高开发效率方面发挥了重要作用。本文还将深入探讨Sa-Token的核心原理,通过内部代码展示其工作机制。最后,总结了Sa-Token的优缺点及其在实际开发中的应用场景,为开发者提供全面的指导。


一、Sa-Token介绍

1. Sa-Token简介

Sa-Token是一款轻量级Java权限认证框架,旨在解决Web系统中常见的登录认证、权限验证、Session会话、单点登录等问题。其核心目标是以最简洁的方式,实现强大的权限控制功能,帮助开发者快速完成权限系统的搭建。

Sa-Token具有如下优势:

优势描述
简单易用API设计简洁明了,易于集成和使用,上手快,学习成本低。
功能丰富支持多种权限控制需求,满足复杂业务场景。支持登录认证、权限验证、角色验证、Session会话、多账号体系等功能。
高性能轻量级设计,对系统性能影响小。
高度可扩展提供丰富的扩展接口,与Spring、Spring Boot等常用框架高度兼容,支持自定义持久化、注解方式验证、单点登录等高级特性。
社区活跃有良好的社区支持和文档资源。

2. Sa-Token原理解析

Sa-Token的核心原理是通过Token机制实现用户的身份认证和权限校验。

其主要工作流程如下:

登录认证:用户登录成功后,服务器生成一个全局唯一的Token,并将其返回给客户端。
Token存储:Token与用户身份信息的映射关系保存在服务器的会话中(如Redis、内存等)。
权限验证:客户端请求时携带Token,服务器根据Token获取用户信息,验证其权限是否满足要求。
会话管理:支持Session会话管理,可以获取和操作当前会话的属性。

流程图例如下:
在这里插入图片描述

3. Sa-Token与其他权限框架比较

Sa-Token与其他常见权限框架在学习成本、集成难度上有显著优势:

特性Sa-TokenShiroSpring Security
学习成本
功能丰富度
集成难度
性能表现
社区支持活跃一般活跃
扩展性

二、Sa-Token的基本语法

在实际项目中,Sa-Token通过简单的配置和API调用,即可实现完整的权限管理功能。以下将通过一个完整的Spring Boot示例,演示如何集成和使用Sa-Token。

1. 创建Spring Boot项目

首先,创建一个新的Spring Boot项目,可以使用IDEA的项目向导或Spring Initializr。

引入必要的依赖:

<dependencies><!-- Spring Boot Starter Web --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><!-- Sa-Token核心依赖 --><dependency><groupId>cn.dev33</groupId><artifactId>sa-token-spring-boot-starter</artifactId><version>1.34.0</version></dependency>
</dependencies>

2. 配置Sa-Token

application.yml

# Sa-Token配置,可根据需要进行调整
sa-token:# token有效期,单位秒,默认30天timeout: 2592000# 是否打开二级登录校验open-safe: false

3. 配置拦截器

创建配置类,添加Sa-Token的拦截器,以拦截请求并进行权限验证。

SaTokenConfigure.java

import cn.dev33.satoken.interceptor.SaAnnotationInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.*;@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 注册Sa-Token的注解拦截器,拦截所有路径registry.addInterceptor(new SaAnnotationInterceptor()).addPathPatterns("/**");}
}

4. 登录认证

创建登录接口,实现用户登录功能。

LoginController.java

import cn.dev33.satoken.stp.StpUtil;
import org.springframework.web.bind.annotation.*;@RestController
public class LoginController {@PostMapping("/login")public String login(@RequestParam String username, @RequestParam String password) {// 1. 校验用户名和密码(这里模拟一个简单的校验)if("admin".equals(username) && "123456".equals(password)) {// 2. 登录,保存用户ID为10001StpUtil.login(10001);return "登录成功,Token:" + StpUtil.getTokenValue();}return "用户名或密码错误";}
}

说明:

  • 调用StpUtil.login(10001)方法,实现登录操作,参数为用户的唯一标识ID。
  • 登录成功后,可以通过StpUtil.getTokenValue()获取当前会话的Token。

5. 权限验证

创建需要权限验证的接口,例如获取用户信息的接口。

UserController.java

import cn.dev33.satoken.annotation.SaCheckPermission;
import cn.dev33.satoken.stp.StpUtil;
import org.springframework.web.bind.annotation.*;@RestController
@RequestMapping("/user")
public class UserController {// 查询用户信息,需登录@GetMapping("/info")public String getUserInfo() {// 校验是否登录StpUtil.checkLogin();// 获取用户IDint userId = StpUtil.getLoginIdAsInt();return "当前用户信息,ID:" + userId;}// 修改用户信息,需有权限"user:update"@SaCheckPermission("user:update")@PostMapping("/update")public String updateUser() {return "用户信息更新成功";}
}

说明:

  • 使用StpUtil.checkLogin()方法手动校验登录状态。
  • 使用@SaCheckPermission("user:update")注解,声明该接口需要权限user:update

6. 角色验证

如果需要基于角色进行权限控制,可以使用@SaCheckRole注解。

import cn.dev33.satoken.annotation.SaCheckRole;
import org.springframework.web.bind.annotation.*;@RestController
@RequestMapping("/admin")
public class AdminController {// 仅管理员角色可访问@SaCheckRole("admin")@GetMapping("/dashboard")public String adminDashboard() {return "欢迎进入管理员控制台";}
}

7. 自定义权限验证逻辑

需要自定义获取用户权限和角色的逻辑,可以实现StpInterface接口。

StpInterfaceImpl.java

import cn.dev33.satoken.stp.StpInterface;
import org.springframework.stereotype.Component;import java.util.*;@Component
public class StpInterfaceImpl implements StpInterface {// 返回一个用户所拥有的权限码集合@Overridepublic List<String> getPermissionList(Object loginId, String loginKey) {// 模拟从数据库获取权限List<String> permissionList = new ArrayList<>();if("10001".equals(loginId.toString())) {permissionList.add("user:update");permissionList.add("user:delete");}return permissionList;}// 返回一个用户所拥有的角色标识集合 (权限与角色可分开校验)@Overridepublic List<String> getRoleList(Object loginId, String loginKey) {// 模拟从数据库获取角色List<String> roleList = new ArrayList<>();if("10001".equals(loginId.toString())) {roleList.add("admin");}return roleList;}
}

说明:

  • 实现getPermissionList方法,返回指定用户的权限列表。
  • 实现getRoleList方法,返回指定用户的角色列表。

8. 会话管理

Sa-Token提供了会话管理功能,可以在Session中存储和获取数据。

import cn.dev33.satoken.session.SaSession;
import cn.dev33.satoken.stp.StpUtil;public void sessionDemo() {// 获取当前会话的SessionSaSession session = StpUtil.getSession();// 存储数据session.set("name", "张三");session.set("email", "zhangsan@example.com");// 获取数据String name = session.getString("name");String email = session.getString("email");// 输出System.out.println("姓名:" + name);System.out.println("邮箱:" + email);
}

9. 踢人下线

可以通过用户ID强制用户下线。

// 将用户ID为10001的用户踢下线
StpUtil.logoutByLoginId(10001);// 检查用户是否已被踢下线
boolean isLogout = StpUtil.isLogin();
System.out.println("用户是否登录:" + isLogout);

10. 注销登录

用户主动注销登录,可以调用StpUtil.logout()方法。

// 注销登录
StpUtil.logout();// 检查登录状态
boolean isLogin = StpUtil.isLogin();
System.out.println("用户是否登录:" + isLogin);

三、Sa-Token的高级用法

1. 自定义持久化

Sa-Token默认使用内存来存储Token信息,在分布式环境中,可以使用Redis作为持久化介质。

引入Redis依赖:

<dependency><groupId>cn.dev33</groupId><artifactId>sa-token-dao-redis</artifactId><version>1.34.0</version>
</dependency>

配置Redis持久化:

import cn.dev33.satoken.dao.SaTokenDao;
import cn.dev33.satoken.dao.SaTokenDaoRedis;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;@Configuration
public class SaTokenDaoConfig {@Beanpublic SaTokenDao saTokenDao() {// 返回Redis实现return new SaTokenDaoRedis();}
}

配置Redis连接信息:

application.yml

# 配置Redis连接信息
spring:redis:host: localhostport: 6379password:

2. 单点登录(SSO)

Sa-Token提供了SSO模块,可以快速实现单点登录功能。

引入SSO依赖:

<dependency><groupId>cn.dev33</groupId><artifactId>sa-token-sso</artifactId><version>1.34.0</version>
</dependency>

配置SSO相关参数:

application.yml

# SSO单点登录配置
sa-token:sso:mode: clientserver-url: http://sso-server.comclient-url: http://client1.com

**实现SSO登录逻辑:**在客户端应用中,配置SSO的拦截器,自动处理单点登录。**SaTokenConfigure.java**```java
import cn.dev33.satoken.sso.SaSsoHandle;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.*;@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 注册SSO拦截器registry.addInterceptor(new SaSsoHandle()).addPathPatterns("/**");}
}

3. OAuth2.0支持

Sa-Token也支持OAuth2.0协议,可以实现与第三方平台的对接。

引入OAuth2.0依赖:

<dependency><groupId>cn.dev33</groupId><artifactId>sa-token-oauth2</artifactId><version>1.34.0</version>
</dependency>

配置OAuth2.0参数和实现授权流程(此处略,具体可参考官方文档)。

4. 多账号体系

如果系统中存在多种身份的用户,例如普通用户、管理员、商家等,可以使用多账号体系进行区分。

登录指定账号体系:

// 管理员登录,loginKey为"admin"
StpUtil.login(10001, "admin");

检查登录状态:

// 检查当前账号体系下是否登录
boolean isLogin = StpUtil.isLogin("admin");

权限验证:

// 在指定账号体系下进行权限验证
StpUtil.checkPermission("user:update", "admin");

四、Sa-Token使用总结

Sa-Token是一款轻量级的Java权限认证框架,因其简单易用和功能丰富而备受开发者青睐。它以简洁明了的API设计,使得集成和使用变得非常方便,开发者可以快速上手,降低了学习成本。Sa-Token支持多种权限控制需求,满足复杂业务场景,包括登录认证、权限验证、角色验证、Session会话、多账号体系等功能,全面覆盖了权限管理的各个方面。其轻量级的设计对系统性能影响小,适用于高并发的应用环境。此外,Sa-Token提供了丰富的扩展接口,与Spring、Spring Boot等常用框架高度兼容,支持自定义持久化、注解方式验证、单点登录等高级特性,方便开发者根据项目需求进行定制开发。活跃的社区支持和丰富的文档资源也使得开发者能够轻松获取帮助和指导。

由于这些优势,Sa-Token非常适合中小型项目的快速开发和微服务架构下的权限管理。当项目需要快速搭建权限系统时,选择Sa-Token是一个理想的方案。然而,在使用过程中需要注意Token的安全性,防止泄露带来风险;对于高并发场景,建议使用Redis等持久化介质来提高系统性能和扩展性;同时,关注Sa-Token的版本更新,及时获取新功能和安全补丁,以确保系统的安全性和稳定性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/54645.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

JS中的for...in和for...of有什么区别?

你好&#xff0c;我是沐爸&#xff0c;欢迎点赞、收藏、评论和关注。 在 JavaScript 中&#xff0c;for...in 和 for...of 是两种用于遍历数组&#xff08;或其他可迭代对象&#xff09;的循环语句&#xff0c;但它们之间存在显著的差异。 一、遍历数组 for…in const arr …

[性能]高速收发的TCP/MQTT通信

Nagle算法‌是一种TCP/IP协议中的优化算法&#xff0c;旨在减少小数据包的数量&#xff0c;从而减少网络拥塞的可能性。该算法规定&#xff0c;在一个TCP连接上最多只能有一个未被确认的小分组。当数据被发送后&#xff0c;如果收到确认&#xff08;ACK&#xff09;之前&#x…

10 while和unitl循环结构语句

while和unitl循环结构语句 一、循环结构语句 ​ Shell编程中循环命令用于特定条件下决定某些语句重复执行的控制方式&#xff0c;有三种常用的循环语句&#xff1a;for、while和until。while循环和for循环属于“当型循环”&#xff0c;而until属于“直到型循环”。 二、详解…

永磁电机和普通电机优缺点

永磁电机和普通电机&#xff08;如异步电机或同步电机&#xff09;各有优缺点&#xff0c;具体如下&#xff1a; 永磁电机 优点&#xff1a; 高效率&#xff1a;由于永磁体提供持续的磁场&#xff0c;永磁电机通常具有更高的效率。 体积小、重量轻&#xff1a;相对于功率&a…

JS实现数组去重常见方法

写在前面 今天在实现数组去重时&#xff0c;使用了多种方法实现。在此总结一下数组去重常见方法。 01_多重for循环去重 let arr [1, 2, 2, 3, 3, 1, 2] // 多层for循环去重 for (let i 0;i < arr.length;i) {for (let j i 1;j < arr.length;j) {if (arr[i] …

OpenCV绘制ROI区域(五)

鼠标绘制矩形 using OpenCvSharp; using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks;namespace _01_绘制矩形 {internal class Program{//宏 常量public static string WINDOW_NAME "程序窗口&qu…

战神5/战神:诸神黄昏/God of War Ragnarok(容量175GB)百度网盘下载

版本介绍 v1.0.612.4312|容量175GB|官方简体中文|支持键盘.鼠标.手柄|赠单板学习补丁 配置要求 战神5/战神&#xff1a;诸神黄昏/God of War Ragnarok 游戏介绍 不灭的北欧传奇 由Santa Monica Studio出品、Jetpack Interactive负责PC移植的佳作《God of War Ragnark》将带您…

【原创】java+swing+mysql仓库管理系统设计与实现

个人主页&#xff1a;程序员杨工 个人简介&#xff1a;从事软件开发多年&#xff0c;前后端均有涉猎&#xff0c;具有丰富的开发经验 博客内容&#xff1a;全栈开发&#xff0c;分享Java、Python、Php、小程序、前后端、数据库经验和实战 文末有本人名片&#xff0c;希望和大家…

SpringBootWeb响应

2. 响应 前面我们学习过HTTL协议的交互方式&#xff1a;请求响应模式&#xff08;有请求就有响应&#xff09; 那么Controller程序呢&#xff0c;除了接收请求外&#xff0c;还可以进行响应。 2.1 ResponseBody 在我们前面所编写的controller方法中&#xff0c;都已经设置了…

目标检测-数据集

目标检测数据集是用于训练、验证和测试目标检测模型的图像和标注数据的集合。这些数据集通常包含多种类别的物体&#xff0c;并提供了每个物体的位置信息&#xff08;即边界框&#xff09;。下面是一些广泛使用的目标检测数据集&#xff0c;以及它们的特点&#xff1a; 1. COC…

【MYSQL】聚合查询、分组查询、联合查询

目录 聚合查询聚合函数count()sum()avg()max()和min()总结 分组查询group by 子句having 子句 联合查询笛卡尔积内连接外连接自连接子查询单行子查询多行子查询from子句使用子查询 合并查询 聚合查询 聚合查询就是针对表中行与行之间的查询。 聚合函数 count() count(列名)&a…

对接阿里asr和Azure asr

1&#xff1a;对接阿里asr 1.1&#xff1a;pom <dependency><groupId>com.alibaba.nls</groupId><artifactId>nls-sdk-recognizer</artifactId><version>2.2.1</version> </dependency>1.2&#xff1a;生成token package c…

【动态规划】两个数组的 dp 问题二

两个数组的 dp 问题 1.正则表达式匹配2.交错字符串3.两个字符串的最小ASCII删除和4.最长重复子数组 点赞&#x1f44d;&#x1f44d;收藏&#x1f31f;&#x1f31f;关注&#x1f496;&#x1f496; 你的支持是对我最大的鼓励&#xff0c;我们一起努力吧!&#x1f603;&#x1…

创客匠人对话:创始人IP如何进阶?掌握这三点实现高质量多次转化

我们邀请到老蒋创客圈第67期对话标杆直播连麦&#xff0c;我们邀请到【君儒文化】平台创始人彭君如老师。从去年12月份参加创客匠人的线下大课后&#xff0c;就果断加入陪跑&#xff0c;到今年7月份顺利拿到68w的发售大结果。 前面我们介绍了彭老师的传承、发心愿景&#xff0…

小程序体验版无法正常请求接口,开启 调试可以正常请求

在本地开发工具可以正常访问小程序&#xff0c;上传代码后打开体验版&#xff0c;界面无法请求接口&#xff0c;手机小程序打开调试模式可以正常访问。这可以查看下小程序后台是否设置了服务器域名以及业务域名 然后查看小程序开发工具 - 详情 - 项目配置 重新上传代码&#xf…

vue无感刷新Token并重新请求

vue 拦截器拦截401重新请求Token 无感刷新Token 之后重新请求报401的接口 instance.interceptors.response.use(async (response) > {let { data } response;if (data.code 401 || data.code 403) {return await handleExpiredToken(response.config);}if (data.code ! …

二叉树的层序遍历(含八道leetcode相关题目)

文章目录 二叉树层序遍历模板102. 二叉树的层序遍历107. 二叉树的层序遍历 II199. 二叉树的右视图637. 二叉树的层平均值515. 在每个树行中找最大值429. N 叉树的层序遍历116. 填充每个节点的下一个右侧节点指针117. 填充每个节点的下一个右侧节点指针 II 二叉树层序遍历模板 …

240922-局域网内通过SSH与SFTP访问RHEL服务器

要通过SFTP&#xff08;安全文件传输协议&#xff09;在局域网内访问一台RHEL服务器&#xff0c;您需要确保以下步骤都已经正确完成&#xff1a; A. 在RHEL服务器上配置SFTP服务 RHEL默认通过sshd服务提供SFTP功能&#xff0c;SFTP使用SSH协议进行文件传输&#xff0c;因此需要…

【二等奖论文】2024年华为杯研赛D题成品论文(后续会更新)

您的点赞收藏是我继续更新的最大动力&#xff01; 一定要点击如下的卡片&#xff0c;那是获取资料的入口&#xff01; 点击链接获取【2024华为杯研赛资料汇总】&#xff1a; https://qm.qq.com/q/jTIeGzwkSchttps://qm.qq.com/q/jTIeGzwkSc 题 目&#xff1a; 大数据驱动的…

如何理解数据资产?

1.数据分类 对于企业来说&#xff0c;数据的产出创建、应用和管理无处不在。而在使用数据的前提下是必须了解数据&#xff0c;常见的企业数据分为三大类&#xff1a;主数据、业务数据及分析数据。 主数据&#xff1a;企业中的“黄金数据”&#xff0c;它用来承载业务数据和分析…