Sa-Token使用介绍

最新推荐文章于 2024-08-07 11:43:31 发布
最新推荐文章于 2024-08-07 11:43:31 发布
阅读量919 收藏 10
点赞数 27
分类专栏: Sa-Token使用介绍及分析 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daniuniuniu/article/details/140274629
版权

springboot集成Sa-Token

版本

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
        <version>2.3.12.RELEASE</version>
    </dependency>
    <dependency>
        <groupId>cn.dev33</groupId>
        <artifactId>sa-token-spring-boot-starter</artifactId>
        <version>1.28.0</version>
    </dependency>
</dependencies>

登录/登出

  1. StpUtil.login方法会创建一个token,并将token放到cookie中,保存到前端,前端再次访问时会携带此token。StpUtil.isLogin()会根据cookie中的token信息判断用户是否登录。
  2. 通过cookie实现的,不同浏览器,不同终端不能共享登录的token,需要重新登录。
@RestController
@RequestMapping("/user")
public class UserController {


    @RequestMapping("/login")
    public SaResult login(@RequestParam String mobile, @RequestParam String password){
        StpUtil.login(10000);
        return SaResult.ok(StpUtil.getTokenValue());
    }

    @RequestMapping("isLogin")
    public String isLogin() {
        return "当前会话是否登录:" + StpUtil.isLogin();
    }

    @RequestMapping("logout")
    public String logout() {
        StpUtil.logout(10000);
        return "当前会话是否登录:" + StpUtil.isLogin();
    }
    
    @RequestMapping("getPermissionList")
    public SaResult getPermissionList() {
        List<String> permissionList = StpUtil.getPermissionList();
        List<String> roleList = StpUtil.getRoleList();
        permissionList.addAll(roleList);
        return SaResult.data(permissionList);
    }

}

权限验证

  1. 实现StpInterface接口,重写getPermissionList和getRoleList方法,实际业务中可以将用户的权限和角色维护到数据库中。
  2. 程序启动时并不会调用此类的方法,在调用StpUtil.getPermissionList();或者StpUtil.getRoleList();会调用。
@Component    // 保证此类被 SpringBoot 扫描,完成 Sa-Token 的自定义权限验证扩展
public class StpInterfaceImpl implements StpInterface {

    /**
     * 返回一个账号所拥有的权限码集合
     */
    @Override
    public List<String> getPermissionList(Object loginId, String loginType) {
        // 本 list 仅做模拟,实际项目中要根据具体业务逻辑来查询权限
        //根据传入的loginId从数据库(或缓存)中查询具体的权限
        List<String> list = new ArrayList<String>();
        list.add("101");
        list.add("user.add");
        list.add("user.update");
        list.add("user.get");
        // list.add("user.delete");
        list.add("art.*");
        return list;
    }

    /**
     * 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
     */
    @Override
    public List<String> getRoleList(Object loginId, String loginType) {
        // 本 list 仅做模拟,实际项目中要根据具体业务逻辑来查询角色
        //根据传入的loginId从数据库(或缓存)中查询具体的权限
        List<String> list = new ArrayList<String>();
        list.add("admin");
        list.add("super-admin");
        return list;
    }

}

获取权限源码分析

#获取用户所有的菜单按钮权限
StpUtil.getPermissionList();

#那么是如何调用我们自定义的StpInterfaceImpl类获取权限的呢?


#StpUtil.getPermissionList()最终调用此方法获取权限
public List<String> getPermissionList(Object loginId) {
   return SaManager.getStpInterface().getPermissionList(loginId, loginType);
}
#SaManager.getStpInterface() 如果stpInterface为空则返回默认的StpInterfaceDefaultImpl对象
#如果不为空则返回stpInterface
public static StpInterface getStpInterface() {
            if (stpInterface == null) {
                    synchronized (SaManager.class) {
                            if (stpInterface == null) {
                                    SaManager.stpInterface = new StpInterfaceDefaultImpl();
                            }
                    }
            }
            return stpInterface;
    }

#那么stpInterface是如何初始化为我们自定义的StpInterfaceImpl的呢?
#项目启动时sa-token-spring-boot-autoconfigure包下cn.dev33.satoken.spring.SaBeanInject会注入我们自定义的类
#@Component  
#public class StpInterfaceImpl implements StpInterface 
/**
 * 注入权限认证Bean
 * 
 * @param stpInterface StpInterface对象 
 */
@Autowired(required = false)
public void setStpInterface(StpInterface stpInterface) {
        SaManager.setStpInterface(stpInterface);
}

#项目启动后SaManager的属性stpInterface已经被初始化为我们的StpInterfaceImpl实例,项目中调用后StpUtil.getPermissionList();后则会调用我们重新的getPermissionList()方法。

下线

强制注销等价于对方主动调用了注销方法,再次访问会提示:Token无效。
踢人下线不会清除Token信息,而是将其打上特定标记,再次访问会提示:Token已被踢下线。

StpUtil.logout(10001);                    // 强制指定账号注销下线 
StpUtil.logout(10001, "PC");              // 强制指定账号指定端注销下线 
StpUtil.logoutByTokenValue("token");      // 强制指定 Token 注销下线 

StpUtil.kickout(10001);                    // 将指定账号踢下线 
StpUtil.kickout(10001, "PC");              // 将指定账号指定端踢下线
StpUtil.kickoutByTokenValue("token");      // 将指定 Token 踢下线

SSO单点登录

前端同域,后端同redis

  1. 客户端前端同域,则cookie可以存在相同的域名或顶级域名下,一个客户端登录成功后,将token信息保存到域名下的cookie中
  2. 其他不同客户端访问时,因为域名或者顶级域名相同,也能取到域名下的cookie中的token信息并传到后端

前端不同域,后端同redis

在这里插入图片描述

  1. 由于前端客户端不同域,那么不同客户端登录后,保存cookie中的token信息其他客户端并不能取到。因此需要一个能够传递token媒介。

  2. 认证信息的service端只有一个域名,因此把认证信息的service端域名下的cookie作为传输的媒介。

  3. 当客户端1登录时,客户端1未登录,则重定向到service端进行登录(携带着客户端自己的地址,等认证通过后跳转回来),sevice端弹出登录界面,输入账号、密码登录完成后,将token信息保存到service域名的cookie下。

  4. service已登录,创建ticket(创建一个key与账号的缓存)信息并携带ticket信息重定向到到客户端1,客户端1根据ticket中的账号信息进行登录,并重定像到最初的地址(保存token信息到客户端1域名下的cookie)。

  5. 客户端2进行登录,客户端2未登录,则重定向到service端进行登录,此时重定像到service端的时候,能够携带sevice端域名下的cookie中的token信息进行验证,验证已登录,则创建ticket(信息并携带ticket信息重定向到到客户端2。

     ***可能大家会想,用户A认证通过SSO后,通过回调地址将Token返回给原业务系统,原业务系统直接设置登
 录状态,这样流程简单,也完成了登录,那为什么还要还要拿Token再次访问SSO进行验证呢?其实这样问题
 时很严重的,如果用户在SSO没有登录,而是直接在浏览器中敲入回调的地址,并带上伪造的用户信息,是不
 是业务系统也认为登录了呢?这是很可怕的。***
daniuniuniu
关注
  • 27
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用
05-22
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用 前端使用html jquery ajax异步请求 后端springboot框架,Sa-Token框架。 jdk使用1.8 mysql 8.0
Spring Boot使用Sa-Token实现轻量级登录与鉴权
Timeguys的专栏
02-23 3058
tokenspringboot
权限认证体系Sa-Token应用
qq_36602951的博客
04-06 5565
零、调研下权限系统工具Sa-Token 开源项目-官网入口:Sa-Token
Spring Boot 整合 SA-Token 使用详解
最新发布
hong161688的博客
08-07 1108
SA-Token是一个基于TokenJava权限认证框架,主要解决:登录认证、权限认证、Session会话、踢出登录、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。SA-Token以“简单、易用、安全”为设计目标,致力于打造一个轻量级的权限认证框架。SA-Token允许你通过实现接口来自定义Token的生成、解析和验证逻辑。这对于有特殊Token格式或加密需求的应用非常有用。@Component// 实现自定义的Token处理逻辑// 在配置类中指定自定义的Token处理器。
代理登录,token,ticket
weixin_44005006的博客
03-13 3703
SSO,单一登录(single sign-on),意思是指在多套系统并存的环境下,用户只需登录一次即可访问其他授权的系统。 提起SSO(单一登录),大概企业里的IT人员无人不知,但真正意识到其复杂度的,未必有多少,只有亲身实施过的技术人员,也许才明白个中玄妙。本文基于蓝凌为国内几十家大中型企业的服务案例,针对SSO的相关技术和案例进行一些探讨,希望能帮助到企业IT人员更深刻理解SSO技术及其应用。...
SSO单点登录-1-同浏览器进行单点登录
daniuniuniu的博客
07-08 323
客户端2进行登录,客户端2未登录,则重定向到service端进行登录,此时重定像到service端的时候,能够携带sevice端域名下的cookie中的token信息进行验证,验证已登录,则创建ticket(信息并携带ticket信息重定向到到客户端2。service已登录,创建ticket(创建一个key与账号的缓存)信息并携带ticket信息重定向到到客户端1,客户端1根据ticket中的账号信息进行登录,并重定像到最初的地址(保存token信息到客户端1域名下的cookie)。
使用Sa-token实现单点登录
zjq852533445的博客
01-17 7777
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题
springboot整合Sa-Token
m0_63837020的博客
07-31 3362
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。Sa-Token 旨在以简单、优雅的方式完成系统的权限认证部分
java框架怎么发现用户的自定义实现类
qq_41132384的博客
04-06 519
这里说的是spring环境下的.比如提供给用户一个接口. 用户实现了这个接口就用用户的. 没有实现就用框架里自带的 第一种方式 首先参考的是sa-token框架中 /** * 自定义侦听器的实现 */ @Component @Slf4j public class MySaTokenListener implements SaTokenListener { } 点进去之后.发现有个set.见下图 这里建议下载框架源码再研究. 刚开始没有下载全.总是找不到入口 /** * 注入侦听器Bea
sa-token封装了一下
03-15
这里的“封装了一下”可能意味着有人或团队对sa-token进行了二次开发或者优化,将其与特定的业务场景结合,提供了更便捷的使用方式。 【描述】:“sa-token封装了一下” 描述非常简洁,暗示了sa-token可能被整合到...
Sa-Token:这可能是史上功能最全的Java权限认证框架!目前已集成——登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0、踢人下线、Redis集成、前后台分离、记住我模式、模拟他人账号、临时身份切换、账号封禁、多账号认证体系、注解式鉴权、路由拦截式鉴权、花式token生成、自动续签、同端互斥登录、会话治理、密码加密、jwt集成、Spring集成、WebFlux集成..
07-23
Sa-Token v1.23.0 这可能是史上功能最全的 Java 权限认证框架! 在线资料 Sa-Token 介绍 Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关问题 框架集成简单、开箱即用、API设计清爽,通过Sa-Token,你将以一种极其简单的方式实现系统的权限认证部分 登录认证 —— 单端登录、多端登录、同端互斥登录、七天内免登录 权限认证 —— 权限认证、角色认证、会话二级认证 Session会话 —— 全端共享Session、单端独享Session、自定义Session 踢人下线 —— 根据账号id踢人下线、根据Token值踢人下线 账号封禁 —— 指定天数封禁、永久封禁、设定解封时间 持久层扩展 —— 可集成Redis、Memcached等专业缓存中间件,重启数
这可能是史上功能最全的Java权限认证框架!
04-24
这可能是史上功能最全的Java权限认证框架! Sa-Token 功能一览: 登录认证 —— 单端登录、多端登录、同端互斥登录、七天内免登录 权限认证 —— 权限认证、角色认证、会话二级认证 Session会话 —— 全端共享Session、单端独享Session、自定义Session 踢人下线 —— 根据账号id踢人下线、根据Token值踢人下线 账号封禁 —— 指定天数封禁、永久封禁、设定解封时间 持久层扩展 —— 可集成Redis、Memcached等专业缓存中间件,重启数据不丢失 分布式会话 —— 提供jwt集成、共享数据中心两种分布式会话方案 微服务网关鉴权 —— 适配Gateway、ShenYu、Zuul等常见网关的路由拦截认证 单点登录 —— 内置三种单点登录模式:无论是否跨域、是否共享Redis,都可以搞定 OAuth2.0认证 —— 基于RFC-6749标准编写,OAuth2.0标准流程的授权认证,支持openid模式 二级认证 —— 在已登录的基础上再次认证,保证安全性 Basic认证 —— 一行代码接入 Http Basic 认证 ......
基于 SpringBoot 3+、sa-token、Layui 2.8+ 可前后端分离的后台管理系统
03-08
基于 SpringBoot 3+、sa-token、Layui 2.8+ 可前后端分离的后台管理系统,可以用于常见的的 Web 应用程序,比如网站管理后台等。.zip 适合学习/练手、毕业设计、课程设计、期末/期中/大作业、工程实训、相关项目/...
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台源代码
06-16
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台 前端采用Vue、Element UI 后端采用Spring Boot、Redis & Jwt。 Sa-Token:一个轻量级 java 权限认证框架,让鉴权变得简单、优雅! 权限认证使用Jwt,支持...
再见Spring Security!推荐一款功能强大的权限认证框架,用起来够优雅!
HollisChuang's Blog
08-23 1626
‍‍在我们做SpringBoot项目的时候,认证授权是必不可少的功能!我们经常会选择Shiro、Spring Security这类权限认证框架来实现,但这些框架使用起来有点繁琐,而且功能也...
Sa-Token 实现分布式登录鉴权(轻量级,超简单)
z_ssyy的博客
08-27 1515
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。功能结构图@Data@Component // 保证此类被SpringBoot扫描,完成Sa-Token的自定义权限验证扩展/*** 返回一个账号所拥有的权限码集合*/@Override// 本list仅做模拟,实际项目中要根据具体业务逻辑来查询权限//从redis中获取权限/**
Java + sa-token统一身份认证开发笔记
gdgztt的专栏
03-15 1084
sa-token,统一身份认证的实现,直接用的官网的demo,稍加改动,因为要前后端分离,加了一个H5Controller,官网也有详细介绍,这一部分不难,照着做就行了。因为要用到跨redis,跨域,所以要用到他们的client3模式。上面是demo,整合到自己的业务服务端。提供一个api获取登录后的相关信息。将自己的token一并返回给前端。整合到自己的业务客户端。修改路由配置,非常关键。
SpringCloud+saToken实现登录及权限认证
m0_54088427的博客
01-04 2161
相比于我们常用的spring security框架,sa-Token更轻,更快,更优雅.
sa-token使用
07-28
sa-token 是一个基于 Spring Boot 框架的轻量级权限认证与会话管理框架。它提供了一套简单易用的 API,用于实现用户身份认证、权限控制和会话管理。 使用 sa-token 需要在 Spring Boot 项目中添加对应的依赖,具体方式可以参考官方文档。一般来说,你需要在 pom.xml 文件中添加如下依赖: ```xml <dependency> ***
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值