SpringBoot权限认证-Sa-Token的使用与详解

本文详细介绍了Sa-Token在Java项目中的使用方法,包括Sa-Token的基本概念、与其他权限框架的比较、基本语法和高级用法,并通过实例讲解了如何在项目中集成和使用Sa-Token。作为一款轻量级Java权限认证框架,Sa-Token在简化权限管理、提高开发效率方面发挥了重要作用。本文还将深入探讨Sa-Token的核心原理,通过内部代码展示其工作机制。最后,总结了Sa-Token的优缺点及其在实际开发中的应用场景,为开发者提供全面的指导。


一、Sa-Token介绍

1. Sa-Token简介

Sa-Token是一款轻量级Java权限认证框架,旨在解决Web系统中常见的登录认证、权限验证、Session会话、单点登录等问题。其核心目标是以最简洁的方式,实现强大的权限控制功能,帮助开发者快速完成权限系统的搭建。

Sa-Token具有如下优势:

优势描述
简单易用API设计简洁明了,易于集成和使用,上手快,学习成本低。
功能丰富支持多种权限控制需求,满足复杂业务场景。支持登录认证、权限验证、角色验证、Session会话、多账号体系等功能。
高性能轻量级设计,对系统性能影响小。
高度可扩展提供丰富的扩展接口,与Spring、Spring Boot等常用框架高度兼容,支持自定义持久化、注解方式验证、单点登录等高级特性。
社区活跃有良好的社区支持和文档资源。

2. Sa-Token原理解析

Sa-Token的核心原理是通过Token机制实现用户的身份认证和权限校验。

其主要工作流程如下:

登录认证:用户登录成功后,服务器生成一个全局唯一的Token,并将其返回给客户端。
Token存储:Token与用户身份信息的映射关系保存在服务器的会话中(如Redis、内存等)。
权限验证:客户端请求时携带Token,服务器根据Token获取用户信息,验证其权限是否满足要求。
会话管理:支持Session会话管理,可以获取和操作当前会话的属性。

流程图例如下:
在这里插入图片描述

3. Sa-Token与其他权限框架比较

Sa-Token与其他常见权限框架在学习成本、集成难度上有显著优势:

特性Sa-TokenShiroSpring Security
学习成本
功能丰富度
集成难度
性能表现
社区支持活跃一般活跃
扩展性

二、Sa-Token的基本语法

在实际项目中,Sa-Token通过简单的配置和API调用,即可实现完整的权限管理功能。以下将通过一个完整的Spring Boot示例,演示如何集成和使用Sa-Token。

1. 创建Spring Boot项目

首先,创建一个新的Spring Boot项目,可以使用IDEA的项目向导或Spring Initializr。

引入必要的依赖:

<dependencies><!-- Spring Boot Starter Web --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><!-- Sa-Token核心依赖 --><dependency><groupId>cn.dev33</groupId><artifactId>sa-token-spring-boot-starter</artifactId><version>1.34.0</version></dependency>
</dependencies>

2. 配置Sa-Token

application.yml

# Sa-Token配置,可根据需要进行调整
sa-token:# token有效期,单位秒,默认30天timeout: 2592000# 是否打开二级登录校验open-safe: false

3. 配置拦截器

创建配置类,添加Sa-Token的拦截器,以拦截请求并进行权限验证。

SaTokenConfigure.java

import cn.dev33.satoken.interceptor.SaAnnotationInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.*;@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 注册Sa-Token的注解拦截器,拦截所有路径registry.addInterceptor(new SaAnnotationInterceptor()).addPathPatterns("/**");}
}

4. 登录认证

创建登录接口,实现用户登录功能。

LoginController.java

import cn.dev33.satoken.stp.StpUtil;
import org.springframework.web.bind.annotation.*;@RestController
public class LoginController {@PostMapping("/login")public String login(@RequestParam String username, @RequestParam String password) {// 1. 校验用户名和密码(这里模拟一个简单的校验)if("admin".equals(username) && "123456".equals(password)) {// 2. 登录,保存用户ID为10001StpUtil.login(10001);return "登录成功,Token:" + StpUtil.getTokenValue();}return "用户名或密码错误";}
}

说明:

  • 调用StpUtil.login(10001)方法,实现登录操作,参数为用户的唯一标识ID。
  • 登录成功后,可以通过StpUtil.getTokenValue()获取当前会话的Token。

5. 权限验证

创建需要权限验证的接口,例如获取用户信息的接口。

UserController.java

import cn.dev33.satoken.annotation.SaCheckPermission;
import cn.dev33.satoken.stp.StpUtil;
import org.springframework.web.bind.annotation.*;@RestController
@RequestMapping("/user")
public class UserController {// 查询用户信息,需登录@GetMapping("/info")public String getUserInfo() {// 校验是否登录StpUtil.checkLogin();// 获取用户IDint userId = StpUtil.getLoginIdAsInt();return "当前用户信息,ID:" + userId;}// 修改用户信息,需有权限"user:update"@SaCheckPermission("user:update")@PostMapping("/update")public String updateUser() {return "用户信息更新成功";}
}

说明:

  • 使用StpUtil.checkLogin()方法手动校验登录状态。
  • 使用@SaCheckPermission("user:update")注解,声明该接口需要权限user:update

6. 角色验证

如果需要基于角色进行权限控制,可以使用@SaCheckRole注解。

import cn.dev33.satoken.annotation.SaCheckRole;
import org.springframework.web.bind.annotation.*;@RestController
@RequestMapping("/admin")
public class AdminController {// 仅管理员角色可访问@SaCheckRole("admin")@GetMapping("/dashboard")public String adminDashboard() {return "欢迎进入管理员控制台";}
}

7. 自定义权限验证逻辑

需要自定义获取用户权限和角色的逻辑,可以实现StpInterface接口。

StpInterfaceImpl.java

import cn.dev33.satoken.stp.StpInterface;
import org.springframework.stereotype.Component;import java.util.*;@Component
public class StpInterfaceImpl implements StpInterface {// 返回一个用户所拥有的权限码集合@Overridepublic List<String> getPermissionList(Object loginId, String loginKey) {// 模拟从数据库获取权限List<String> permissionList = new ArrayList<>();if("10001".equals(loginId.toString())) {permissionList.add("user:update");permissionList.add("user:delete");}return permissionList;}// 返回一个用户所拥有的角色标识集合 (权限与角色可分开校验)@Overridepublic List<String> getRoleList(Object loginId, String loginKey) {// 模拟从数据库获取角色List<String> roleList = new ArrayList<>();if("10001".equals(loginId.toString())) {roleList.add("admin");}return roleList;}
}

说明:

  • 实现getPermissionList方法,返回指定用户的权限列表。
  • 实现getRoleList方法,返回指定用户的角色列表。

8. 会话管理

Sa-Token提供了会话管理功能,可以在Session中存储和获取数据。

import cn.dev33.satoken.session.SaSession;
import cn.dev33.satoken.stp.StpUtil;public void sessionDemo() {// 获取当前会话的SessionSaSession session = StpUtil.getSession();// 存储数据session.set("name", "张三");session.set("email", "zhangsan@example.com");// 获取数据String name = session.getString("name");String email = session.getString("email");// 输出System.out.println("姓名:" + name);System.out.println("邮箱:" + email);
}

9. 踢人下线

可以通过用户ID强制用户下线。

// 将用户ID为10001的用户踢下线
StpUtil.logoutByLoginId(10001);// 检查用户是否已被踢下线
boolean isLogout = StpUtil.isLogin();
System.out.println("用户是否登录:" + isLogout);

10. 注销登录

用户主动注销登录,可以调用StpUtil.logout()方法。

// 注销登录
StpUtil.logout();// 检查登录状态
boolean isLogin = StpUtil.isLogin();
System.out.println("用户是否登录:" + isLogin);

三、Sa-Token的高级用法

1. 自定义持久化

Sa-Token默认使用内存来存储Token信息,在分布式环境中,可以使用Redis作为持久化介质。

引入Redis依赖:

<dependency><groupId>cn.dev33</groupId><artifactId>sa-token-dao-redis</artifactId><version>1.34.0</version>
</dependency>

配置Redis持久化:

import cn.dev33.satoken.dao.SaTokenDao;
import cn.dev33.satoken.dao.SaTokenDaoRedis;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;@Configuration
public class SaTokenDaoConfig {@Beanpublic SaTokenDao saTokenDao() {// 返回Redis实现return new SaTokenDaoRedis();}
}

配置Redis连接信息:

application.yml

# 配置Redis连接信息
spring:redis:host: localhostport: 6379password:

2. 单点登录(SSO)

Sa-Token提供了SSO模块,可以快速实现单点登录功能。

引入SSO依赖:

<dependency><groupId>cn.dev33</groupId><artifactId>sa-token-sso</artifactId><version>1.34.0</version>
</dependency>

配置SSO相关参数:

application.yml

# SSO单点登录配置
sa-token:sso:mode: clientserver-url: http://sso-server.comclient-url: http://client1.com

**实现SSO登录逻辑:**在客户端应用中,配置SSO的拦截器,自动处理单点登录。**SaTokenConfigure.java**```java
import cn.dev33.satoken.sso.SaSsoHandle;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.*;@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 注册SSO拦截器registry.addInterceptor(new SaSsoHandle()).addPathPatterns("/**");}
}

3. OAuth2.0支持

Sa-Token也支持OAuth2.0协议,可以实现与第三方平台的对接。

引入OAuth2.0依赖:

<dependency><groupId>cn.dev33</groupId><artifactId>sa-token-oauth2</artifactId><version>1.34.0</version>
</dependency>

配置OAuth2.0参数和实现授权流程(此处略,具体可参考官方文档)。

4. 多账号体系

如果系统中存在多种身份的用户,例如普通用户、管理员、商家等,可以使用多账号体系进行区分。

登录指定账号体系:

// 管理员登录,loginKey为"admin"
StpUtil.login(10001, "admin");

检查登录状态:

// 检查当前账号体系下是否登录
boolean isLogin = StpUtil.isLogin("admin");

权限验证:

// 在指定账号体系下进行权限验证
StpUtil.checkPermission("user:update", "admin");

四、Sa-Token使用总结

Sa-Token是一款轻量级的Java权限认证框架,因其简单易用和功能丰富而备受开发者青睐。它以简洁明了的API设计,使得集成和使用变得非常方便,开发者可以快速上手,降低了学习成本。Sa-Token支持多种权限控制需求,满足复杂业务场景,包括登录认证、权限验证、角色验证、Session会话、多账号体系等功能,全面覆盖了权限管理的各个方面。其轻量级的设计对系统性能影响小,适用于高并发的应用环境。此外,Sa-Token提供了丰富的扩展接口,与Spring、Spring Boot等常用框架高度兼容,支持自定义持久化、注解方式验证、单点登录等高级特性,方便开发者根据项目需求进行定制开发。活跃的社区支持和丰富的文档资源也使得开发者能够轻松获取帮助和指导。

由于这些优势,Sa-Token非常适合中小型项目的快速开发和微服务架构下的权限管理。当项目需要快速搭建权限系统时,选择Sa-Token是一个理想的方案。然而,在使用过程中需要注意Token的安全性,防止泄露带来风险;对于高并发场景,建议使用Redis等持久化介质来提高系统性能和扩展性;同时,关注Sa-Token的版本更新,及时获取新功能和安全补丁,以确保系统的安全性和稳定性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/424532.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

『功能项目』切换职业技能面板【49】

我们打开上一篇48切换职业面板的项目&#xff0c; 本章要做的事情是制作第二职业法师技能面板、第三职业面板并且完成切换 双击打开Canvas进入预制体空间 复制三个技能栏面板 重命名 设置第一技能栏 设置第二职业技能栏 设置第三职业技能栏 修改脚本&#xff1a;ChangeProfess…

FreeRTOS—任务通知

一&#xff0c;概念介绍 队列、信号量、事件组等IPC技术都需要创建一个中间对象进程之间通过这些中间对象进行通讯或同步。创建对象就需要分配内存&#xff0c;占用一定内存。 二&#xff0c;任务通知的特点&#xff1a; 一个任务或ISR向另外一个指定的任务发送通知&#xff0c…

PhpStudy下载安装使用学习

一、官网下载 官网地址&#xff1a;Windows版phpstudy下载 - 小皮面板(phpstudy)https://old.xp.cn/download.html 【首页】选择Windows版&#xff0c;进行下载 下载完成是一个压缩包的形式&#xff0c;解压得到一个.exe的执行文件&#xff0c;点击执行安装程序&#xff08;注…

Spring Boot环境下的学生读书笔记共享

第4章 系统设计 4.1系统结构设计 读书笔记共享平台的设计主要是为了满足用户的实际需求。 因此&#xff0c;它需要通过Internet实现&#xff0c;因此它必须具备硬件和软件基础。该平台最终可以通过科学技术和各种方式达到支持智能化的信息管理的目的。因此&#xff0c;它必须具…

数据结构——(java版)Map与Set

文章目录 二叉搜索树&#xff08;1&#xff09; 二叉搜索树的概念&#xff1a;&#xff08;2&#xff09;二叉搜索树的意义&#xff1a;&#xff08;3&#xff09;二叉搜索树的实现&#xff1a;实现的方法与属性实现二叉搜索树的查询&#xff1a;实现二叉搜索树的插入&#xff…

【Kubernetes笔记】为什么DNS解析会超时?

【Kubernetes笔记】为什么DNS解析会超时&#xff1f; 目录 1 问题背景2 产生后续的问题3 DNS 负缓存工作原理&#xff1a;4 如何解决和缓解 DNS 负缓存 4.1 减小负缓存 TTL4.2 重试机制4.3 减少 Pod 的频繁重启或调度4.4 使用 Headless Service4.5 手动刷新 DNS 缓存 5 总结 …

【Unity】 HTFramework框架(五十六)MarkdownText:支持运行时解析并显示Markdown文本

更新日期&#xff1a;2024年9月15日。 Github源码&#xff1a;[点我获取源码] Gitee源码&#xff1a;[点我获取源码] 索引 MarkdownText支持的Markdown语法标题强调文本表格嵌入图像超链接 使用MarkdownText设置项运行时属性解析使用ID模式嵌入图像 MarkdownText MarkdownText…

【Python机器学习】循环神经网络(RNN)——对RNN进行预测

目录 有状态性 双向RNN 编码向量 如果有一个经过训练的模型&#xff0c;接下来就可以对其进行预测&#xff1a; sample_1""" I hate that the dismal weather had me down for so long,when will it break! Ugh,when does happiness return? The sun is bl…

Neo4j图数据库

文章目录 一、Neo4J相关介绍1.为什么需要图数据库方案1&#xff1a;Google方案2&#xff1a;Facebook 2.特定和优势3.什么是Neo4j4.Neo4j数据模型图论基础属性图模型Neo4j的构建元素 5.软件安装 二、CQL语句1.CQL简介2.CREATE 命令3.MATCH 命令4.RETURN 子句5.MATCH和RETURN6.C…

Qt_显示类控件

目录 一、QLabel 1、QLabel属性介绍 2、textFormat文本格式 3、pixmap标签图片 3.1 resizeEvent 4、QFrame边框 5、alignment文本对齐 6、wordWrap自动换行 7、indent设置缩进 8、margin设置边距 9、buddy设置伙伴 二、QLCDNumber 1、QLCDNumber属性介绍 2、实…

SSM网上书店管理系统---附源码72542

目 录 摘要 1 绪论 1.1 研究背景及意义 1.2国内外研究现状 1.3系统开发的目标 1.4论文结构与章节安排 2 网上书店管理系统系统分析 2.1 可行性分析 2.1.1 技术可行性分析 2.1.2 经济可行性分析 2.1.3 操作可行性分析 2.2 系统功能分析 2.2.1 功能性分析 2.2.2 非…

【在Linux世界中追寻伟大的One Piece】网络命令|验证UDP

目录 1 -> Ping命令 2 -> Netstat命令 3 -> Pidof命令 4 -> 验证UDP-Windows作为client访问Linux 4.1 -> UDP client样例 1 -> Ping命令 Ping命令是一种网络诊断工具&#xff0c;它使用ICMP(Internet Control Message Protocol&#xff0c;互联网控制消…

音视频开发常见的开源项目汇总

FFmpeg 地址&#xff1a;https://ffmpeg.org/介绍&#xff1a;FFmpeg 是一个非常强大的开源多媒体框架&#xff0c;它可以用来处理视频和音频文件。它支持多种格式的转换、编码、解码、转码、流处理等。FFmpeg 包括了 libavformat、libavcodec、libavutil、libswscale、libpos…

数据结构基础讲解(八)——树和二叉树专项练习(上)

本文数据结构讲解参考书目&#xff1a; 通过网盘分享的文件&#xff1a;数据结构 C语言版.pdf 链接: https://pan.baidu.com/s/159y_QTbXqpMhNCNP_Fls9g?pwdze8e 提取码: ze8e 数据结构基础讲解&#xff08;七&#xff09;——数组和广义表专项练习-CSDN博客 个人主页&#x…

IDEA 常用配置和开发插件

件市场中搜索并安装“Git Integration”插件。 一、前言 在本篇文章中我会为大家总结一些我自己常用的配置和开发插件&#xff0c;此外也给大家提供一个建议&#xff0c;可以根据自己的项目需求和个人偏好选择适合的插件。另外&#xff0c;IDEA 也在不断更新&#xff0c;可能会…

C++进阶 二叉搜索树的讲解

二叉搜索树的概念 二叉搜索树又称为二叉排序树。 二叉搜索树的性质 若它的左子树不为空&#xff0c;则左子树上所有结点的值都小于等于根结点的值若它的右子树不为空&#xff0c;则右子树上所有结点的值都大于等于根结点的值它的左右子树也分别为二叉搜索树二叉搜索树中可以支持…

Geneformer AI 模型,有限数据也能解锁基因网络

目录 类似于 BERT 的单单元数据参考模型 NVIDIA Clara 工具组合用于药物研发 用于疾病建模的基础 AI 模型 Geneformer 是最近推出的 和功能强大的 AI 模型&#xff0c;可以通过从大量单细胞转录组数据中进行迁移学习来学习基因网络动力学和相互作用。借助此工具&#xff0c;…

尚品汇-订单拆单、支付宝关闭交易、关闭过期订单整合(五十)

目录&#xff1a; &#xff08;1&#xff09;拆单接口 &#xff08;2&#xff09;取消订单业务补充关闭支付记录 &#xff08;3&#xff09;支付宝关闭交易 &#xff08;4&#xff09;查询支付交易记录 &#xff08;5&#xff09;PaymentFeignClient 远程接口 &#xff08…

探索Python轻量级数据库:TinyDB的奇妙之旅

文章目录 探索Python轻量级数据库&#xff1a;TinyDB的奇妙之旅背景&#xff1a;为何选择TinyDB&#xff1f;什么是TinyDB&#xff1f;如何安装TinyDB&#xff1f;简单库函数使用方法场景应用常见Bug及解决方案总结 探索Python轻量级数据库&#xff1a;TinyDB的奇妙之旅 背景&…

Redis入门2

在java中操作Redis Redis的Java客户端 Redis 的 Java 客户端很多&#xff0c;常用的几种: Jedis Lettuce Spring Data Redis Spring Data Redis 是 Spring 的一部分&#xff0c;对 Redis 底层开发包进行了高度封装。 在 Spring 项目中&#xff0c;可以使用Spring Data R…