Sa-Token介绍与SpringBoot环境下使用
1.云服务器使用指南
2.Sa-Token介绍与SpringBoot环境下使用
3.Sa-Token组件介绍4.Sa-Token登录pre5.Sa-Token登录详解6.类支付宝积分系统设计方案(过期、兑奖)7.Sa-Token事件发布,观察者模式8.风控系统指标计算/特征提取分析与实现01,Redis、Zset、模版方法9.筛选树形菜单时关联其父节点和子节点10.风控系统之普通规则条件,使用LiteFlow实现11.风控系统/规则引擎,策略集/策略/规则组/规则是什么?都有哪些功能?12.身份证/手机号解析服务13.IP/GPS解析服务,ip2region,逆地理编码14.geoHelper15.风控系统之通用规则条件设计,算术单元/逻辑单元/函数式接口16.规则引擎LiteFlow发布v2.12.1版本,决策路由特性17.Elasticsearch集群运维,重平衡、分片、宕节点、扩容18.交易事件的生命周期,事前事中事后风控,结果通知/回调19.记一次IP数据处理过程,文本(CSV文件)处理,IP解析20.风控系统建设,指标策略规则流程设计,LiteFlow隐式子流程,构造EL和Chain21.LiteFlow条件组件的设计组件标签|组件参数,EL与或非表达式正反解析,元数据管理22.商业软件许可证介绍|简单原理探究23.风控系统之事件溯源,决策流程记录与版本控制24.风控系统之指标回溯,历史数据重跑25.Sa-Token的v1.39.0自定义鉴权注解怎么玩26.风控系统之规则重复触发27.基于LiteFlow的风控系统开源了!指标策略规则28.GeoHash处理经纬度,降维,空间填充曲线29.基于LiteFlow的风控系统指标版本控制30.MybatisPlus字段类型处理器TypeHandler31.规则引擎可以应用于哪些系统,用户画像、触达、风控、推荐、监控...32.LiteFlow上下文与组件设计,数据依赖梳理33.LiteFlow决策系统的策略模式,顺序、最坏、投票、权重34.Vben5登录过期无法再次登录问题,http状态码35.业务链指标,用户行为模式识别,埋点系统个人博客:无奈何杨(wnhyang)
个人语雀:wnhyang
共享语雀:在线知识共享
Github:wnhyang - Overview
官网:Sa-Token
一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!
介绍
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。
官方文档写的已经非常好了。引用官方文档开头的一段话:
本文档将会尽力讲解每个功能的设计原因、应用场景,用心阅读文档,你学习到的将不止是 Sa-Token 框架本身,更是绝大多数场景下权限设计的最佳实践。
确实,通过阅读官方文档有学到很多东西,收获更大的是结合我的使用体验,下载并阅读源码后有学到了一些东西想和大家分享!这篇文章只是开头。
使用
1、准备工作
环境:
Spring Boot2.7.3
Sa-Token1.37.0
2、配置文件
关于sa-token的配置文件如下
############## Sa-Token 配置 (文档: https://sa-token.cc) ##############
sa-token:
# token 名称(同时也是 cookie 名称)
token-name: Authorization
# token 有效期(单位:秒) 默认30天,-1 代表永久有效
timeout: 3600
# token 最低活跃频率(单位:秒),如果 token 超过此时间没有访问系统就会被冻结,默认-1 代表不限制,永不冻结
active-timeout: 1800
# 是否允许同一账号多地同时登录 (为 true 时允许一起登录, 为 false 时新登录挤掉旧登录)
is-concurrent: false
# 在多人登录同一账号时,是否共用一个 token (为 true 时所有登录共用一个 token, 为 false 时每次登录新建一个 token)
is-share: true
# 是否尝试从header里读取token
is-read-header: true
# 是否尝试从cookie里读取token
is-read-cookie: false
# token前缀
token-prefix: "Bearer"
# token 风格(默认可取值:uuid、simple-uuid、random-32、random-64、random-128、tik)
token-style: tik
# 是否输出操作日志
is-log: true
3、自定义权限认证
官方文档:因为每个项目的需求不同,其权限设计也千变万化,因此 [ 获取当前账号权限码集合 ] 这一操作不可能内置到框架中, 所以 Sa-Token 将此操作以接口的方式暴露给你,以方便你根据自己的业务逻辑进行重写。
所以根据自己的不同业务设计需要的权限认证方法就好。下面是我项目中的写法,仅供参考。
@Setter
public class StpInterfaceImpl implements StpInterface {
/**
* 登录服务
*/
private LoginService loginService;
/**
* 返回指定账号id所拥有的权限码集合
*
* @param loginId 账号id
* @param loginType 账号类型
* @return 该账号id具有的权限码集合
*/
@Override
public List<String> getPermissionList(Object loginId, String loginType) {
Login loginUser = loginService.getLoginUser();
UserTypeEnum userType = UserTypeEnum.valueOf(loginUser.getType());
if (userType == UserTypeEnum.PC) {
return new ArrayList<>(loginUser.getPermissions());
}
return new ArrayList<>();
}
/**
* 返回指定账号id所拥有的角色标识集合
*
* @param loginId 账号id
* @param loginType 账号类型
* @return 该账号id具有的角色标识集合
*/
@Override
public List<String> getRoleList(Object loginId, String loginType) {
Login loginUser = loginService.getLoginUser();
UserTypeEnum userType = UserTypeEnum.valueOf(loginUser.getType());
if (userType == UserTypeEnum.PC) {
return new ArrayList<>(loginUser.getRoleValues());
}
return new ArrayList<>();
}
}
接着注册StpInterfaceImpl
@Configuration
public class SaTokenConfiguration {
@Bean
public LoginService loginService() {
return new LoginServiceImpl();
}
@Bean
public StpInterface stpInterface(LoginService loginService) {
StpInterfaceImpl stpInterface = new StpInterfaceImpl();
stpInterface.setLoginService(loginService);
return stpInterface;
}
}
4、Controller
4.1、工具类鉴权
satoken提供了StpUtill鉴权工具类,其中包含非常多的静态方法可以使用,详情请参考:Sa-Token。
// 会话登录,参数填登录人的账号id
StpUtil.login(10001);
// 校验当前客户端是否已经登录,如果未登录则抛出 `NotLoginException` 异常
StpUtil.checkLogin();
// 将账号id为 10077 的会话踢下线
StpUtil.kickout(10077);
4.2、注解鉴权
尽管StpUtill鉴权工具类已经非常方便但还是有同学钟爱注解鉴权,satoken也是提供了这种方式的。
// 注解鉴权:只有具备 `user:add` 权限的会话才可以进入方法
@SaCheckPermission("user:add")
public String insert(SysUser user) {
// ...
return "用户增加";
}
注解鉴权默认是关闭的,要使用的话需要将satoken全局拦截器注入到项目中!
@Configuration
public class SecurityConfiguration implements WebMvcConfigurer {
/**
* 注册sa-token的拦截器
*/
@Override
public void addInterceptors(InterceptorRegistry registry) {
// 注册路由拦截器,自定义验证规则
registry.addInterceptor(new SaInterceptor()).addPathPatterns("/**");
}
}
如上就注册了satoken的全局拦截器,就可以愉快的使用注解权限了。官方文档:Sa-Token。
注意:这里配置的是“/**”,也就是全路径,所有后面要在不需要鉴权的接口上加上@SaIgnore用于忽略鉴权。
如下配置了/auth开头的接口不用鉴权
@RestController
@RequiredArgsConstructor
@Validated
@RequestMapping("/auth")
@SaIgnore
public class AuthController {
private final AuthService authService;
/**
* 登录
*
* @param reqVO 登录请求
* @return token
*/
@PostMapping("/login")
public CommonResult<LoginRespVO> login(@RequestBody @Valid LoginReqVO reqVO) {
return success(authService.login(reqVO));
}
...
}
如下是一个简单的需要鉴权的示例
@RestController
@RequestMapping("/system/role")
@RequiredArgsConstructor
public class RoleController {
private final RoleService roleService;
/**
* 创建角色
*
* @param reqVO 角色信息
* @return id
*/
@PostMapping("/create")
@SaCheckPermission("system:role:create")
public CommonResult<Long> createRole(@Valid @RequestBody RoleCreateReqVO reqVO) {
return success(roleService.createRole(reqVO));
}
/**
* 更新角色
*
* @param reqVO 角色信息
* @return 结果
*/
@PutMapping("/update")
@SaCheckPermission("system:role:update")
public CommonResult<Boolean> updateRole(@Valid @RequestBody RoleUpdateReqVO reqVO) {
roleService.updateRole(reqVO);
return success(true);
}
...
}
5、全局异常
通过定义全局异常拦截器可以返回前端统一的格式,以下仅供参考。
@Slf4j
@RestControllerAdvice
public class GlobalExceptionHandler {
/**
* 权限码异常
*/
@ExceptionHandler(NotPermissionException.class)
public CommonResult<Void> handleNotPermissionException(NotPermissionException e, HttpServletRequest request) {
String requestUri = request.getRequestURI();
log.error("请求地址'{}',权限码校验失败'{}'", requestUri, e.getMessage());
return CommonResult.error(FORBIDDEN);
}
/**
* 角色权限异常
*/
@ExceptionHandler(NotRoleException.class)
public CommonResult<Void> handleNotRoleException(NotRoleException e, HttpServletRequest request) {
String requestUri = request.getRequestURI();
log.error("请求地址'{}',角色权限校验失败'{}'", requestUri, e.getMessage());
return CommonResult.error(FORBIDDEN);
}
/**
* 认证失败
*/
@ExceptionHandler(NotLoginException.class)
public CommonResult<Void> handleNotLoginException(NotLoginException e, HttpServletRequest request) {
String requestUri = request.getRequestURI();
log.error("请求地址'{}',认证失败'{}',无法访问系统资源", requestUri, e.getMessage());
return CommonResult.error(UNAUTHORIZED);
}
/**
* 无效认证
*/
@ExceptionHandler(SameTokenInvalidException.class)
public CommonResult<Void> handleSameTokenInvalidException(SameTokenInvalidException e, HttpServletRequest request) {
String requestUri = request.getRequestURI();
log.error("请求地址'{}',内网认证失败'{}',无法访问系统资源", requestUri, e.getMessage());
return CommonResult.error(UNAUTHORIZED);
}
...
}
6、跨域(可选)
官网也有提供解决方法Sa-Token,我非常建议你看完这篇文章后再决定使用什么方式Sa-Token。
看个人选择吧,我这里使用的是satoken拦截器+普通corsFilter的方式。
@Configuration
public class OkayWebAutoConfiguration implements WebMvcConfigurer {
/**
* 跨域配置
*/
@Bean
public CorsFilter corsFilter()
{
CorsConfiguration config = new CorsConfiguration();
config.setAllowCredentials(true);
// 设置访问源地址
config.addAllowedOriginPattern("*");
// 设置访问源请求头
config.addAllowedHeader("*");
// 设置访问源请求方法
config.addAllowedMethod("*");
// 有效期 1800秒
config.setMaxAge(1800L);
// 添加映射路径,拦截一切请求
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", config);
// 返回新的CorsFilter
return new CorsFilter(source);
}
}
7、启动类
启动类确保以上需要的组件被扫描注册就好。
@SpringBootApplication
public class AdminApplication {
public static void main(String[] args) {
SpringApplication.run(AdminApplication.class, args);
}
}
8、启动测试
这里我使用了redis,可以先忽略。
因为我的前端是一整个项目,不好拆出来贴代码,所以直接展示登录结果了!
尝试登录
发起一个创建请求,因为前端项目已经配置了发请求的header,所以请求就会带上前面的token了。
然后satoken拦截器发挥作用进行鉴权,关于拦截器如何鉴权的,我之后还会再讲的。这次先到这吧。
个人博客:无奈何杨(wnhyang)
个人语雀:wnhyang
共享语雀:在线知识共享
Github:wnhyang - Overview
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· DeepSeek 开源周回顾「GitHub 热点速览」
· 记一次.NET内存居高不下排查解决与启示
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· .NET10 - 预览版1新功能体验(一)