推荐一款功能强大的权限认证框架

在我们做SpringBoot项目的时候，认证授权是必不可少的功能！我们经常会选择Shiro、Spring Security这类权限认证框架来实现，但这些框架使用起来有点繁琐，而且功能也不够强大。最近发现一款功能强大的权限认证框架Sa-Token，它使用简单、API设计优雅，推荐给大家

Sa-Token简介

Sa-Token是一款轻量级的Java权限认证框架，可以用来解决登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。

框架集成简单、开箱即用、API设计优雅，通过Sa-Token，你将以一种极其简单的方式实现系统的权限认证部分，有时候往往只需一行代码就能实现功能。

Sa-Token功能很全，具体可以参考下图。

使用

在SpringBoot中使用Sa-Token是非常简单的，接下来我们使用它来实现最常用的认证授权功能，包括登录认证、角色认证和权限认证。

集成及配置

Sa-Token的集成和配置都非常简单，不愧为开箱即用。

• 首先我们需要在项目的pom.xml中添加Sa-Token的相关依赖；

<!-- Sa-Token 权限认证 -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.24.0</version>
</dependency>

• 然后在application.yml中添加Sa-Token的相关配置，考虑到要支持前后端分离项目，我们关闭从cookie中读取token，改为从head中读取token。

# Sa-Token配置
sa-token:
  # token名称 (同时也是cookie名称)
  token-name: Authorization
  # token有效期，单位秒，-1代表永不过期
  timeout: 2592000
  # token临时有效期 (指定时间内无操作就视为token过期)，单位秒
  activity-timeout: -1
  # 是否允许同一账号并发登录 (为false时新登录挤掉旧登录)
  is-concurrent: true
  # 在多人登录同一账号时，是否共用一个token (为false时每次登录新建一个token)
  is-share: false
  # token风格
  token-style: uuid
  # 是否输出操作日志
  is-log: false
  # 是否从cookie中读取token
  is-read-cookie: false
  # 是否从head中读取token
  is-read-head: true

登录认证

在管理系统中，除了登录接口，基本都需要登录认证，在Sa-Token中使用路由拦截鉴权是最方便的，下面我们来实现下。

• 实现登录认证非常简单，首先在UmsAdminController中添加一个登录接口；

/**
 * 后台用户管理
 * Created by macro on 2018/4/26.
 */
@Controller
@Api(tags = "UmsAdminController", description = "后台用户管理")
@RequestMapping("/admin")
public class UmsAdminController {
    @Autowired
    private UmsAdminService adminService;

    @ApiOperation(value = "登录以后返回token")
    @RequestMapping(value = "/login", method = RequestMethod.POST)
    @ResponseBody
    public CommonResult login(@RequestParam String username, @RequestParam String password) {
        SaTokenInfo saTokenInfo = adminService.login(username, password);
        if (saTokenInfo == null) {
            return CommonResult.validateFailed("用户名或密码错误");
        }
        Map<String, String> tokenMap = new HashMap<>();
        token