【Sa-Token】Spring Boot项目中使用Sa-Token框架

已于 2024-03-18 22:51:34 修改
阅读量1.4k 收藏 3
点赞数 2
分类专栏: 项目实战案例 文章标签: Sa-Token 项目实战 Spring Boot项目 权限认证 会话管理
于 2023-03-02 14:58:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/apple_51673523/article/details/129295997
版权

文章目录

一、初识Sa-Token框架

Sa-Token是一个功能强大且易于使用的由Java编写的国产权限认证和会话管理框架。它提供了一套简单而灵活的API,可以帮助开发人员轻松地实现身份验证、权限控制和会话管理的功能。

以下是Sa-Token框架的主要特点和功能:

  1. 简单易用:Sa-Token提供了简洁而直观的API,使得权限认证和会话管理变得简单易懂。开发人员可以快速集成和使用该框架,无需花费太多时间和精力。

  2. 多种登录验证方式:Sa-Token支持多种登录验证方式,包括基于Session的Cookie验证、基于Token的无状态验证、基于URL参数的验证等。这样,开发人员可以根据项目需求选择适合的验证方式。

  3. 细粒度的权限控制:Sa-Token提供了细粒度的权限控制机制,可以通过注解或编程方式进行配置。您可以轻松定义角色、权限和资源,并在代码中进行权限检查,确保只有具备相应权限的用户可以访问受保护的资源。

  4. 会话管理和单点登录:Sa-Token支持会话管理和单点登录功能,可以轻松处理用户的登录状态和会话信息。开发人员可以管理会话的生命周期、设置会话属性、注销会话等操作,并确保用户在多个系统之间实现无缝的单点登录。

  5. 集成简便:Sa-Token可以与各种常见的Java框架无缝集成,包括Spring Boot、Spring MVC、Spring Security等。无论您使用哪个框架,都可以轻松地将Sa-Token集成到您的项目中,并与其他框架或库进行配合使用。

  6. 丰富的扩展功能:Sa-Token提供了丰富的扩展功能,例如IP黑白名单、自定义过滤器、自定义注解等。这些扩展功能可以帮助开发人员满足更多特定需求,并提供更加灵活和定制化的权限认证和会话管理解决方案。

总而言之,Sa-Token是一个功能强大、易于使用且灵活的Java权限认证和会话管理框架。它可以帮助开发人员快速实现身份验证、权限控制和会话管理的功能,并提供了丰富的扩展功能以满足各种需求。

二、Spring Boot集成Sa-Token框架

在pom.xml文件中,引入相关的依赖库,作用各不相同。

<!--核心库-->
<dependency>
	<groupId>cn.dev33</groupId>
	<artifactId>sa-token-spring-boot-starter</artifactId>
	<version>1.20.0</version>
</dependency>
<!--用Redis缓存授权信息-->
<dependency>
	<groupId>cn.dev33</groupId>
	<artifactId>sa-token-dao-redis</artifactId>
	<version>1.20.0</version>
</dependency>
<!--注解式权限验证-->
<dependency>
	<groupId>cn.dev33</groupId>
	<artifactId>sa-token-spring-aop</artifactId>
	<version>1.20.0</version>
</dependency>

修改配置文件,在application.yml文件中,定义Sa-Token的配置信息。

sa-token:
  #token名称 (同时也是cookie名称)
  token-name: token
  # token有效期,单位s 默认30天, -1代表永不过期
  timeout: 2592000
  # token临时有效期 (指定时间内无操作就视为token过期) 单位: 秒
  activity-timeout: -1
  # 是否允许同一账号并发登录 (为true时允许一起登录, 为false时新登录挤掉旧登录)
  allow-concurrent-login: true
  # 在多人登录同一账号时,是否共用一个token (为true时所有登录共用一个token, 为false时每次登录新建一个token)
  is-share: false
  # token风格
  token-style: uuid

三、使用Sa-Token进行用户的角色和权限认证

在项目中使用了 Sa-Token 框架的注解来判断用户的角色和权限,首先需要编写一个类来获取用户的权限和角色信息。

在包中创建 StpInterfaceImpl 类,该类将实现 Sa-Token 框架的 StpInterface 接口。在该类中,我们需要声明两个方法,分别用于查询用户的实际权限和角色。

import cn.dev33.satoken.stp.StpInterface;
import org.springframework.stereotype.Component;

@Component
public class StpInterfaceImpl implements StpInterface {

    // 查询用户权限
    @Override
    public List<String> getPermissionList(Object loginId, String loginType) {
        // 根据 loginId 查询用户的权限信息,并返回权限列表
        List<String> permissionList = new ArrayList<>();
        // 查询用户权限的代码逻辑
        return permissionList;
    }

    // 查询用户角色
    @Override
    public List<String> getRoleList(Object loginId, String loginType) {
        // 根据 loginId 查询用户的角色信息,并返回角色列表
        List<String> roleList = new ArrayList<>();
        // 查询用户角色的代码逻辑
        return roleList;
    }
}

在上述代码中,您需要根据具体的业务逻辑实现 getPermissionListgetRoleList 方法,查询用户的权限和角色信息,并将其返回为列表形式。一般是向Dao层发送请求,然后Dao层从数据库中获取。

要让 Sa-Token 框架来判断用户的角色和权限,我们可以使用 Sa-Token 提供的注解来实现。

首先,我们需要在我们的 Web 方法上使用 @SaCheckPermission 注解来判断用户是否具备某个权限。该注解用于拦截 HTTP 请求,并检查用户的权限是否匹配。示例如下:

@SaCheckPermission("ROOT, AMECT:INSERT")
@GetMapping("/example")
public String exampleMethod() {
    // 处理业务逻辑
    return "example";
}

在上述示例中,@SaCheckPermission 注解中的参数是一个权限字符串,表示用户需要具备的权限。在这个例子中,用户需要具备 “ROOT” 或 “AMECT:INSERT” 权限才能访问 exampleMethod 方法。

类似地,我们可以使用 @SaCheckRole 注解来判断用户是否具备某个角色。示例如下:

@SaCheckRole("ADMIN")
@GetMapping("/admin")
public String adminMethod() {
    // 处理业务逻辑
    return "admin";
}

在上述示例中,@SaCheckRole 注解中的参数是一个角色字符串,表示用户需要具备的角色。在这个例子中,用户需要具备 “ADMIN” 角色才能访问 adminMethod 方法。

当 Sa-Token 框架拦截到 HTTP 请求时,它会调用我们之前实现的 StpInterfaceImpl 类中的方法来获取用户的真实角色和权限信息,然后与注解中定义的角色和权限进行匹配。

通过使用 @SaCheckPermission@SaCheckRole 注解,我们能够简化权限和角色的判断逻辑,并确保只有具备特定权限和角色的用户可以访问受限资源。

四、Sa-Token进行会话管理

使用Sa-Token进行会话管理非常简单。Sa-Token提供了一套易于使用的API,使我们可以轻松地管理用户的会话信息。

首先,要创建或更新会话,您可以使用以下代码:

import cn.dev33.satoken.stp.StpUtil;

// 创建会话
StpUtil.login(userId);

// 更新会话
StpUtil.login(userId, tokenTimeout);

上述代码中,userId是用户的唯一标识符,可以是用户的ID、用户名或任何其他对用户进行唯一标识的值。tokenTimeout是可选参数,用于设置会话的过期时间(以秒为单位)。如果不指定tokenTimeout,则会话将使用默认的过期时间。

在会话创建或更新后,可以通过以下方式获取当前登录用户的会话信息:

import cn.dev33.satoken.stp.StpUtil;

// 获取当前登录用户ID
String userId = StpUtil.getLoginId();

// 检查当前用户是否已登录
boolean isLogin = StpUtil.isLogin();

要注销会话,您可以使用以下代码:

import cn.dev33.satoken.stp.StpUtil;

// 注销当前登录用户
StpUtil.logout();

通过上述代码,我们可以使用Sa-Token轻松地创建、更新、获取和注销用户的会话信息。此外,Sa-Token还提供了许多其他有用的API,如设置会话属性、获取会话的过期时间、获取会话剩余有效时间等。

我们在导入依赖的时候导入了Redis的依赖,sa-token-dao-redis是Sa-Token框架中与Redis集成的模块,它提供了一些实现类和方法,用于将Sa-Token的会话数据存储到Redis中。通过集成Redis,可以实现分布式环境下的会话管理和共享。

在项目中添加了cn.dev33.satoken-dao-redis的依赖后,就可以使用Sa-Token框架提供的Redis相关的功能,例如使用Redis存储会话数据、设置会话过期时间等。

<!--用Redis缓存授权信息-->
<dependency>
	<groupId>cn.dev33</groupId>
	<artifactId>sa-token-dao-redis</artifactId>
	<version>1.20.0</version>
</dependency>

Sa-Token 框架要求用户在登录成功后,在 Web 方法中执行 StpUtil.setLoginId(userId) 来设置登录用户的标识。然后,Sa-Token 框架会根据该用户标识自动生成一个 Token 令牌,并将其缓存到 Redis 中。接下来,将该 Token 以 Cookie 的形式存储到用户的浏览器中。

当用户在浏览器上提交请求时,请求会携带包含 Token 的 Cookie。此时,Sa-Token 框架会拦截请求,并检查 Cookie 中是否包含合法的 Token。它会将用户的 Token 与 Redis 中缓存的 Token 进行比对,以判断用户是否已经登录系统。

如果用户未登录系统(即 Token 无效或已过期),Sa-Token 框架会将请求重定向到登录页面,以保护系统的安全性。只有在登录成功并设置了有效的 Token 后,用户才能继续访问受保护的资源。

总的来说,Sa-Token 框架通过将 Token 缓存在 Redis 中,并使用 Cookie 在浏览器上存储 Token,实现了简单而安全的用户身份验证和会话管理。

abcccccccccccccccode
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Sa-token深入
cxl0209的博客
03-13 1200
1.Sa-Token-SSO 单点登录模块 什么是单点登录?解决什么问题? 举个场景,假设我们的系统被切割为N个部分:商城、论坛、直播、社交…… 如果用户每访问一个模块都要登录一次,那么用户将会疯掉, 为了优化用户体验,我们急需一套机制将这N个系统的认证授权互通共享,让用户在一个系统登录之后,便可以畅通无阻的访问其它所有系统。 单点登录——就是为了解决这个问题而生! 简而言之,单点登录可以做到: 在多个互相信任的系统,用户只需登录一次,就可以访问所有系统。 架构选型 Sa-Token-SSO 由简入难划分
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台源代码
06-16
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台 前端采用Vue、Element UI 后端采用Spring Boot、Redis & Jwt。 Sa-Token:一个轻量级 java 权限认证框架,让鉴权变得简单、优雅! 权限认证使用Jwt,支持多终端认证系统。 支持加载动态权限菜单,多方式轻松权限控制
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用
05-22
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用 前端使用html jquery ajax异步请求 后端springboot框架Sa-Token框架。 jdk使用1.8 mysql 8.0
springCloud整合gateway、satoken认证鉴权(包括问题解释)
最新发布
qq_74184002的博客
05-08 2099
关于springcloud的gateway介绍我就不赘述了,网上的相关文章很多。Gateway网关简介及使用-CSDN博客Sa-Token是一款轻量级的Java权限认证框架,可以用来解决登录认证权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。框架集成简单、最简单的可以使用一个依赖即可完成,API设计优雅,通过Sa-Token,你将以一种极其简单的方式实现系统的权限认证部分。相信看到这里的同学已经对他有了初步的了解,下面我们直接开始进行整合。
sa-token快速上手
虎年限定七月月的博客
10-18 773
轻量级认证鉴权框架 sa-token快速入门,spring boot集成sa-token
SaToken使用SpringBoot整合SaToken(一)token自动续期+token定期刷新+注解鉴权
热门推荐
weixin_43165220的博客
09-28 1万+
SpringBoot整合SaTokentoken自动续期+token定期刷新+注解鉴权
SpringBoot集成权限认证框架(Sa-Token)
孙霸天的专栏
03-28 6075
SpringBoot集成权限认证框架(Sa-Token) 介绍 身份验证又称“验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。 身份验证的目的是确认当前所声称为某种身份的用户,确实是所声称的用户。在日常生活,身份验证并不罕见;比如,通过检查对方的证件,我们一般可以确信对方的身份。 在互联网身份验证极为重要,不论是web端还是移动端、小程序等,在与后台交互的过程都是需要携带身份信息的,只有通过身份认证后,后台才会执行相关请求。 常见的认证模式 Cookie模式 所谓 Cookie ,本质上是
Sa-Token 实现分布式登录鉴权(轻量级,超简单)
z_ssyy的博客
08-27 1192
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。功能结构图@Data@Component // 保证此类被SpringBoot扫描,完成Sa-Token的自定义权限验证扩展/*** 返回一个账号所拥有的权限码集合*/@Override// 本list仅做模拟,实际项目要根据具体业务逻辑来查询权限//从redis获取权限/**
SpringBoot 项目使用 Sa-Token 完成登录认证
BASK2312的博客
03-31 1313
严格来讲是需要的,只不过。代表当前会话暂未登录,可能的原因有很多: 前端没有提交 Token、前端提交的 Token 是无效的、前端提交的 Token 已经过期 ……所谓登录认证,指的就是服务器校验账号密码,为用户颁发 Token 会话凭证的过程,这个 Token 也是我们后续判断会话是否登录的关键所在。注意:以上代码并非处理逻辑的最佳方式,只为以最简单的代码演示出场景值的获取与应用,大家可以根据自己的项目需求来定制化处理。方法利用了 Cookie 自动注入的特性,省略了你手写返回 Token 的代码。
springboot集成sa-token来实现登录鉴权(一)
书生灬今天不吃饭的博客
03-15 2592
sa-token是一个轻量级的登录鉴权框架,比之前的shiro和springsecurity都要轻量,一行代码就可以实现登录功能。sa-token官网。这里我们不再赘述。直接来看具体实现代码。
Sa-Token简单登录认证
沧海一粟
10-14 5128
sa token是一个全新的权限框架,相比spring security和apache shiro来说,使用起来更加便捷,配置更少,侵入性更小。 下面是一个简单的登录认证示例,以一个spring boot+thymeleaf来实现具体逻辑 首先导入sa token的Maven依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boo
Sa-Token权限认证框架.rar
07-08
本文将重点介绍在SpringBoot框架如何使用Sa-Token进行身份验证和角色权限验证。 在Sa-Token,可以使用 LoginUtil 来进行登录操作。该工具类提供了多种登录方式,包括账号密码登录、二维码登录、微信登录等。 ...
zeta-kotlin-layui是使用kotlin语言基于spring bootsa-token、layui等框架.zip
02-15
项目资源】: 包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。 包括STM32、ESP8266、PHP、QT、Linux、iOS、C++...
使用kotlin语言基于spring boot、mybatis-plus、sa-token框架开发的项目脚手架
06-16
zeta-kotlin是使用kotlin语言基于spring boot、mybatis-plus、sa-token框架开发的项目脚手架。zeta-kotlin目前只提供了一个最基础的RBAC用户角色权限功能。不像其它开源项目那样大而全,zeta-kotlin项目相当精简
【RuoYi-Vue-Plus】学习笔记 31 - Sa-Token(五)登录验证拦截器之 Token 有效期及其续签(Sa-Token 源码)
MichelleChung的星球
07-30 9560
分析Sa-Token登录验证拦截器,Token有效期及其续签。
SaToken学习笔记-01
qq_47815451的博客
08-13 2644
#SaToken学习笔记-01 #####SaToken版本为1.18 如果有排版方面的错误,请查看:传送门 ##springboot集成 根据官网步骤maven导入依赖 <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.18.0</version> <
Sa-Token
m0_60386582的博客
04-12 4043
Sa-Token 是一个轻量级Java权限认证框架,主要解决了:登录认证权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关的问题。 Sa-Token的API设计非常简单: // 在登录时写入当前会话的账号id StpUtil.login(100203); // 然后在需要校验登录处调用以下方法: // 如果当前会话未登录,这句代码会抛出 `NotLoginException` 异常 StpUtil.checkLogin(); 权限认证:(只有具备 "use
Springboot3+Sa-token+Myabtis实现简单的前后端分离登录和鉴权
Huonzy的博客
08-19 550
记得导入Lombok依赖。我这里是直接在创建项目的时候勾选了lombok。@Data顺便记得在数据库里面创建相应的表,我在这里起名为user_table。我在这个表里只有一条数据。@Data// 1为管理员 0为普通用户在启动类的同级处创建一个包Mapper,然后再创建这个接口。@Mapper。
sa-token-spring-boot-starter
09-13
C知道:“sa-token-spring-boot-starter”是一个基于Spring BootSA-Token的快速集成启动器。SA-Token是一个轻量级的Java权限认证框架,用于在Java Web应用程序实现身份验证和授权功能。通过使用这个启动器,你可以很方便地将SA-Token集成到你的Spring Boot项目,简化了配置和集成的过程。你可以在CSDN等开发社区找到更多关于它的详细文档和使用示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

abcccccccccccccccode

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值