SpringBoot 项目使用 Sa-Token 完成登录认证

最新推荐文章于 2024-09-29 10:21:01 发布
最新推荐文章于 2024-09-29 10:21:01 发布
阅读量1.3k 收藏 6
点赞数
文章标签: spring boot java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BASK2312/article/details/129873357
版权

一、设计思路

对于一些登录之后才能访问的接口(例如:查询我的账号资料),我们通常的做法是增加一层接口校验:

  • 如果校验通过,则:正常返回数据。
  • 如果校验未通过,则:抛出异常,告知其需要先进行登录。

那么,判断会话是否登录的依据是什么?我们先来简单分析一下登录访问流程:

  1. 用户提交 name + password 参数,调用登录接口。
  2. 登录成功,返回这个用户的 Token 会话凭证。
  3. 用户后续的每次请求,都携带上这个 Token。
  4. 服务器根据 Token 判断此会话是否登录成功。

所谓登录认证,指的就是服务器校验账号密码,为用户颁发 Token 会话凭证的过程,这个 Token 也是我们后续判断会话是否登录的关键所在。

动态图演示:

接下来,我们将介绍在 SpringBoot 中如何使用 Sa-Token 完成登录认证操作。

Sa-Token 是一个 java 权限认证框架,主要解决登录认证、权限认证、单点登录、OAuth2、微服务网关鉴权 等一系列权限相关问题。 Gitee 开源地址:gitee.com/dromara/sa-…

首先在项目中引入 Sa-Token 依赖:

<!-- Sa-Token 权限认证 -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.34.0</version>
</dependency>
复制代码

注:如果你使用的是 SpringBoot 3.x,只需要将 sa-token-spring-boot-starter 修改为 sa-token-spring-boot3-starter 即可。

二、登录与注销

根据以上思路,我们需要一个会话登录的函数:

// 会话登录:参数填写要登录的账号id,建议的数据类型:long | int | String, 不可以传入复杂类型,如:User、Admin 等等
StpUtil.login(Object id);	 
复制代码

只此一句代码,便可以使会话登录成功,实际上,Sa-Token 在背后做了大量的工作,包括但不限于:

  1. 检查此账号是否之前已有登录
  2. 为账号生成 Token 凭证与 Session 会话
  3. 通知全局侦听器,xx 账号登录成功
  4. 将 Token 注入到请求上下文
  5. 等等其它工作……

你暂时不需要完整的了解整个登录过程,你只需要记住关键一点:Sa-Token 为这个账号创建了一个Token凭证,且通过 Cookie 上下文返回给了前端

所以一般情况下,我们的登录接口代码,会大致类似如下:

// 会话登录接口 
@RequestMapping("doLogin")
public SaResult doLogin(String name, String pwd) {
	// 第一步:比对前端提交的账号名称、密码
	if("zhang".equals(name) && "123456".equals(pwd)) {
		// 第二步:根据账号id,进行登录 
		StpUtil.login(10001);
		return SaResult.ok("登录成功");
	}
	return SaResult.error("登录失败");
}
复制代码

如果你对以上代码阅读没有压力,你可能会注意到略显奇怪的一点:此处仅仅做了会话登录,但并没有主动向前端返回 Token 信息。 是因为不需要吗?严格来讲是需要的,只不过 StpUtil.login(id) 方法利用了 Cookie 自动注入的特性,省略了你手写返回 Token 的代码。

如果你对 Cookie 功能还不太了解,也不用担心,我们会在之后的 [ 前后端分离 ] 章节中详细的阐述 Cookie 功能,现在你只需要了解最基本的两点:

  • Cookie 可以从后端控制往浏览器中写入 Token 值。
  • Cookie 会在前端每次发起请求时自动提交 Token 值。

因此,在 Cookie 功能的加持下,我们可以仅靠 StpUtil.login(id) 一句代码就完成登录认证。

除了登录方法,我们还需要:

// 当前会话注销登录
StpUtil.logout();

// 获取当前会话是否已经登录,返回true=已登录,false=未登录
StpUtil.isLogin();

// 检验当前会话是否已经登录, 如果未登录,则抛出异常:`NotLoginException`
StpUtil.checkLogin();
复制代码

异常 NotLoginException 代表当前会话暂未登录,可能的原因有很多: 前端没有提交 Token、前端提交的 Token 是无效的、前端提交的 Token 已经过期 …… 等等。

Sa-Token 未登录场景值参照表:

场景值对应常量含义说明
-1NotLoginException.NOT_TOKEN未能从请求中读取到 Token
-2NotLoginException.INVALID_TOKEN已读取到 Token,但是 Token无效
-3NotLoginException.TOKEN_TIMEOUT已读取到 Token,但是 Token已经过期
-4NotLoginException.BE_REPLACED已读取到 Token,但是 Token 已被顶下线
-5NotLoginException.KICK_OUT已读取到 Token,但是 Token 已被踢下线

那么,如何获取场景值呢?废话少说直接上代码:

// 全局异常拦截(拦截项目中的NotLoginException异常)
@ExceptionHandler(NotLoginException.class)
public SaResult handlerNotLoginException(NotLoginException nle)
		throws Exception {

	// 打印堆栈,以供调试
	nle.printStackTrace(); 
	
	// 判断场景值,定制化异常信息 
	String message = "";
	if(nle.getType().equals(NotLoginException.NOT_TOKEN)) {
		message = "未提供token";
	}
	else if(nle.getType().equals(NotLoginException.INVALID_TOKEN)) {
		message = "token无效";
	}
	else if(nle.getType().equals(NotLoginException.TOKEN_TIMEOUT)) {
		message = "token已过期";
	}
	else if(nle.getType().equals(NotLoginException.BE_REPLACED)) {
		message = "token已被顶下线";
	}
	else if(nle.getType().equals(NotLoginException.KICK_OUT)) {
		message = "token已被踢下线";
	}
	else {
		message = "当前会话未登录";
	}
	
	// 返回给前端
	return SaResult.error(message);
}
复制代码


注意:以上代码并非处理逻辑的最佳方式,只为以最简单的代码演示出场景值的获取与应用,大家可以根据自己的项目需求来定制化处理

三、会话查询

// 获取当前会话账号id, 如果未登录,则抛出异常:`NotLoginException`
StpUtil.getLoginId();

// 类似查询API还有:
StpUtil.getLoginIdAsString();    // 获取当前会话账号id, 并转化为`String`类型
StpUtil.getLoginIdAsInt();       // 获取当前会话账号id, 并转化为`int`类型
StpUtil.getLoginIdAsLong();      // 获取当前会话账号id, 并转化为`long`类型

// ---------- 指定未登录情形下返回的默认值 ----------

// 获取当前会话账号id, 如果未登录,则返回null 
StpUtil.getLoginIdDefaultNull();

// 获取当前会话账号id, 如果未登录,则返回默认值 (`defaultValue`可以为任意类型)
StpUtil.getLoginId(T defaultValue);
复制代码

四、Token 查询

// 获取当前会话的token值
StpUtil.getTokenValue();

// 获取当前`StpLogic`的token名称
StpUtil.getTokenName();

// 获取指定token对应的账号id,如果未登录,则返回 null
StpUtil.getLoginIdByToken(String tokenValue);

// 获取当前会话剩余有效期(单位:s,返回-1代表永久有效)
StpUtil.getTokenTimeout();

// 获取当前会话的token信息参数
StpUtil.getTokenInfo();
复制代码

TokenInfo 是 Token 信息 Model,用来描述一个 Token 的常用参数:

{
	"tokenName": "satoken",           // token名称
	"tokenValue": "e67b99f1-3d7a-4a8d-bb2f-e888a0805633",      // token值
	"isLogin": true,                  // 此token是否已经登录
	"loginId": "10001",               // 此token对应的LoginId,未登录时为null
	"loginType": "login",              // 账号类型标识
	"tokenTimeout": 2591977,          // token剩余有效期 (单位: 秒)
	"sessionTimeout": 2591977,        // User-Session剩余有效时间 (单位: 秒)
	"tokenSessionTimeout": -2,        // Token-Session剩余有效时间 (单位: 秒) (-2表示系统中不存在这个缓存)
	"tokenActivityTimeout": -1,       // token剩余无操作有效时间 (单位: 秒)
	"loginDevice": "default-device"   // 登录设备类型 
}
复制代码

五、来个小测试,加深一下理解

新建 LoginAuthController,复制以下代码

package com.pj.cases.use;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import cn.dev33.satoken.stp.SaTokenInfo;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;

/**
 * Sa-Token 登录认证示例 
 * 
 * @author kong
 * @since 2022-10-13
 */
@RestController
@RequestMapping("/acc/")
public class LoginAuthController {

	// 会话登录接口  ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
	@RequestMapping("doLogin")
	public SaResult doLogin(String name, String pwd) {
		
		// 第一步:比对前端提交的 账号名称 & 密码 是否正确,比对成功后开始登录 
		// 		此处仅作模拟示例,真实项目需要从数据库中查询数据进行比对 
		if("zhang".equals(name) && "123456".equals(pwd)) {
			
			// 第二步:根据账号id,进行登录 
			// 		此处填入的参数应该保持用户表唯一,比如用户id,不可以直接填入整个 User 对象 
			StpUtil.login(10001);
			
			// SaResult 是 Sa-Token 中对返回结果的简单封装,下面的示例将不再赘述 
			return SaResult.ok("登录成功");
		}
		
		return SaResult.error("登录失败");
	}

	// 查询当前登录状态  ---- http://localhost:8081/acc/isLogin
	@RequestMapping("isLogin")
	public SaResult isLogin() {
		// StpUtil.isLogin() 查询当前客户端是否登录,返回 true 或 false 
		boolean isLogin = StpUtil.isLogin();
		return SaResult.ok("当前客户端是否登录:" + isLogin);
	}

	// 校验当前登录状态  ---- http://localhost:8081/acc/checkLogin
	@RequestMapping("checkLogin")
	public SaResult checkLogin() {
		// 检验当前会话是否已经登录, 如果未登录,则抛出异常:`NotLoginException`
		StpUtil.checkLogin();

		// 抛出异常后,代码将走入全局异常处理(GlobalException.java),如果没有抛出异常,则代表通过了登录校验,返回下面信息 
		return SaResult.ok("校验登录成功,这行字符串是只有登录后才会返回的信息");
	}

	// 获取当前登录的账号是谁  ---- http://localhost:8081/acc/getLoginId
	@RequestMapping("getLoginId")
	public SaResult getLoginId() {
		// 需要注意的是,StpUtil.getLoginId() 自带登录校验效果
		// 也就是说如果在未登录的情况下调用这句代码,框架就会抛出 `NotLoginException` 异常,效果和 StpUtil.checkLogin() 是一样的 
		Object userId = StpUtil.getLoginId();
		System.out.println("当前登录的账号id是:" + userId);
		
		// 如果不希望 StpUtil.getLoginId() 触发登录校验效果,可以填入一个默认值
		// 如果会话未登录,则返回这个默认值,如果会话已登录,将正常返回登录的账号id 
		Object userId2 = StpUtil.getLoginId(0);
		System.out.println("当前登录的账号id是:" + userId2);
		
		// 或者使其在未登录的时候返回 null 
		Object userId3 = StpUtil.getLoginIdDefaultNull();
		System.out.println("当前登录的账号id是:" + userId3);
		
		// 类型转换:
		// StpUtil.getLoginId() 返回的是 Object 类型,你可以使用以下方法指定其返回的类型 
		int userId4 = StpUtil.getLoginIdAsInt();  // 将返回值转换为 int 类型 
		long userId5 = StpUtil.getLoginIdAsLong();  // 将返回值转换为 long 类型 
		String userId6 = StpUtil.getLoginIdAsString();  // 将返回值转换为 String 类型 
		
		// 疑问:数据基本类型不是有八个吗,为什么只封装以上三种类型的转换?
		// 因为大多数项目都是拿 int、long 或 String 声明 UserId 的类型的,实在没见过哪个项目用 double、float、boolean 之类来声明 UserId 
		System.out.println("当前登录的账号id是:" + userId4 + " --- " + userId5 + " --- " + userId6);
		
		// 返回给前端 
		return SaResult.ok("当前客户端登录的账号id是:" + userId);
	}

	// 查询 Token 信息  ---- http://localhost:8081/acc/tokenInfo
	@RequestMapping("tokenInfo")
	public SaResult tokenInfo() {
		// TokenName 是 Token 名称的意思,此值也决定了前端提交 Token 时应该使用的参数名称 
		String tokenName = StpUtil.getTokenName();
		System.out.println("前端提交 Token 时应该使用的参数名称:" + tokenName);
		
		// 使用 StpUtil.getTokenValue() 获取前端提交的 Token 值 
		// 框架默认前端可以从以下三个途径中提交 Token:
		// 		Cookie 		(浏览器自动提交)
		// 		Header头	(代码手动提交)
		// 		Query 参数	(代码手动提交) 例如: /user/getInfo?satoken=xxxx-xxxx-xxxx-xxxx 
		// 读取顺序为: Query 参数 --> Header头 -- > Cookie 
		// 以上三个地方都读取不到 Token 信息的话,则视为前端没有提交 Token 
		String tokenValue = StpUtil.getTokenValue();
		System.out.println("前端提交的Token值为:" + tokenValue);
		
		// TokenInfo 包含了此 Token 的大多数信息 
		SaTokenInfo info = StpUtil.getTokenInfo();
		System.out.println("Token 名称:" + info.getTokenName());
		System.out.println("Token 值:" + info.getTokenValue());
		System.out.println("当前是否登录:" + info.getIsLogin());
		System.out.println("当前登录的账号id:" + info.getLoginId());
		System.out.println("当前登录账号的类型:" + info.getLoginType());
		System.out.println("当前登录客户端的设备类型:" + info.getLoginDevice());
		System.out.println("当前 Token 的剩余有效期:" + info.getTokenTimeout()); // 单位:秒,-1代表永久有效,-2代表值不存在
		System.out.println("当前 Token 的剩余临时有效期:" + info.getTokenActivityTimeout()); // 单位:秒,-1代表永久有效,-2代表值不存在
		System.out.println("当前 User-Session 的剩余有效期" + info.getSessionTimeout()); // 单位:秒,-1代表永久有效,-2代表值不存在
		System.out.println("当前 Token-Session 的剩余有效期" + info.getTokenSessionTimeout()); // 单位:秒,-1代表永久有效,-2代表值不存在
		
		// 返回给前端 
		return SaResult.data(StpUtil.getTokenInfo());
	}
	
	// 会话注销  ---- http://localhost:8081/acc/logout
	@RequestMapping("logout")
	public SaResult logout() {
		// 退出登录会清除三个地方的数据:
		// 		1、Redis中保存的 Token 信息
		// 		2、当前请求上下文中保存的 Token 信息 
		// 		3、Cookie 中保存的 Token 信息(如果未使用Cookie模式则不会清除)
		StpUtil.logout();
		
		// StpUtil.logout() 在未登录时也是可以调用成功的,
		// 也就是说,无论客户端有没有登录,执行完 StpUtil.logout() 后,都会处于未登录状态 
		System.out.println("当前是否处于登录状态:" + StpUtil.isLogin());
		
		// 返回给前端 
		return SaResult.ok("退出登录成功");
	}
	
}
复制代码

代码注释已针对每一步操作做出详细解释,大家可根据可参照注释中的访问链接进行逐步测试。

本示例代码已上传至 Gitee,可参考: Sa-Token 登录认证示例

参考资料

 

「已注销」
关注
SpringBoot(51) 整合Sa-Token实现权限认证
08-17
SpringBoot(51) 整合Sa-Token实现权限认证
springboot整合Sa-Token
m0_63837020的博客
07-31 3549
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。Sa-Token 旨在以简单、优雅的方式完成系统的权限认证部分
SpringBoot 权限认证——Sa-Token使用与详解
最新发布
小蜗牛的珍贵百宝箱
09-29 947
Sa-Token登录认证:用户登录状态的维护权限校验:检查用户是否有操作权限Session 会话:支持分布式 Session 共享单点登录(SSO):支持单点登录踢人下线:强制用户下线多账号体系:支持不同身份登录体系临时身份切换:在不退出登录的情况下,切换身份相比于 Shiro、Spring Security 等框架,Sa-Token 更加轻量易用,且具有非常高的扩展性。Sa-Token 支持基于角色和权限的访问控制。在实际项目中,我们可以将角色和权限与数据库结合,通过和方法来实现权限认证
一个轻量的登录鉴权工具Sa-Token 集成SpringBoot简要步骤
qq_37529302的博客
05-30 1761
Sa-Token是一个轻量级Java权限认证框架。主要解决的问题如下:登录认证权限认证单点登录OAuth2.0分布式Session会话微服务网关鉴权等一系列权限相关问题。
Sa-TokenSpring Boot项目使用Sa-Token框架
apple_51673523的博客
03-02 2046
本篇介绍的是Sa-Token使用
sa-token 鉴权框架(springboot集成)
qq_34751170的博客
03-07 2621
一个轻量级java权限认证框架,让鉴权变得简单、优雅(官方文档描述 哈哈) 一、pom依赖 <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.27.0</version> </dependency> 二、yml文件配置
Java开发案例-springboot-整合Sa-Token-Quick-Login插件实现快速登录认证-源代码+文档.rar
05-31
Java开发案例-springboot-整合Sa-Token-Quick-Login插件实现快速登录认证-源代码+文档.rar Java开发案例-springboot-整合Sa-Token-Quick-Login插件实现快速登录认证-源代码+文档.rar Java开发案例-springboot-整合Sa...
基于SpringBoot+Vue+sa-token后端分离的科研项目管理平台源代码
06-16
基于SpringBoot+Vue+sa-token后端分离的科研项目管理平台 前端采用Vue、Element UI 后端采用Spring Boot、Redis & Jwt。 Sa-Token:一个轻量级 java 权限认证框架,让鉴权变得简单、优雅! 权限认证使用Jwt,支持...
Sa-Token权限认证框架 v1.37.0.zip
03-27
Sa-Token权限认证框架 v1.37.0】是一个专为Java开发人员设计的轻量级权限认证框架,旨在简化应用中的权限控制问题。它提供了丰富的API接口和灵活的扩展机制,使得开发者能够快速地在项目中实现用户权限的管理。 ...
Java开发案例-springboot-34-整合Sa-Token实现权限认证-源代码+文档.rar
05-31
Java开发案例-springboot-34-整合Sa-Token实现权限认证-源代码+文档.rar Java开发案例-springboot-34-整合Sa-Token实现权限认证-源代码+文档.rar Java开发案例-springboot-34-整合Sa-Token实现权限认证-源代码+文档....
Sa-Token权限认证框架.rar
07-08
本文将重点介绍在SpringBoot框架中如何使用Sa-Token进行身份验证和角色权限验证。 在Sa-Token中,可以使用 LoginUtil 来进行登录操作。该工具类提供了多种登录方式,包括账号密码登录、二维码登录、微信登录等。 ...
Sa-Token框架演示代码
08-16
1. 数据库密码自行填写。 maven加载依赖后直接启动项目即可~
秋名山租车系统,采用SpringBoot+MyBatisPlus+Sa-token+Vue的基本技术栈.zip
05-30
Sa-token是一个轻量级的Java权限认证框架,适用于SSM、SpringBoot等环境。在"秋名山租车系统"中,Sa-token主要负责用户的登录验证、权限控制和会话管理。它提供了一种简单易用的方式来实现权限校验,避免了传统...
springboot整合jwt整合knife4j.zip
01-22
在本文中,我们将深入探讨如何将JWT(JSON Web Token)与Spring Boot以及Knife4j进行整合,以便在后端服务中实现安全、高效的API管理。JWT是一种轻量级的身份验证机制,而Knife4j则是一个优秀的Swagger UI增强工具,...
springboot +安全+ jwt +复述,实现微信小程序登录及令牌权限鉴定
01-27
springboot+security+jwt+redis 实现微信小程序登录token权限鉴定 tips:这是实战篇,默认各位看官具备相应的基础(文中使用了Lombok插件,如果使用源码请先安装插件) @[TOC] 项目配置 依赖 <groupId>org.spring...
Sa-Token v1.19.0 使用
weixin_44022886的博客
06-16 625
1、创建项目 在IDE中新建一个SpringBoot项目 2、设置依赖 在pom.xml中添加依赖: <!-- Sa-Token 权限认证, 在线文档:http://sa-token.dev33.cn/ --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> ..
Java认证鉴权框架:Sa-Token
love_eat_peach的博客
06-06 2726
(调用角色校验和权限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的权限码集合后,再将权限码和待校验的字符串进行判断是否有权限)(调用角色校验和权限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的权限码集合后,再将权限码和待校验的字符串进行判断是否有权限)?SaRouter.match("/**").check(r -> System.out.println("----啦啦啦----"))
springboot集成sa-token来实现登录鉴权(一)
书生灬今天不吃饭的博客
03-15 3241
sa-token是一个轻量级的登录鉴权框架,比之前的shiro和springsecurity都要轻量,一行代码就可以实现登录功能。sa-token官网。这里我们不再赘述。直接来看具体实现代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值