Sa-Token浅谈

已于 2022-12-19 16:47:30 修改
阅读量4.8k 收藏 8
点赞数 5
分类专栏: java 鉴权 文章标签: java 鉴权 sa-token
于 2022-12-14 17:24:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imVainiycos/article/details/128319460
版权
java 同时被 2 个专栏收录
56 篇文章 4 订阅
订阅专栏
鉴权
2 篇文章 0 订阅
订阅专栏

主要介绍Sa-Token的鉴权使用以及实现原理。

文章目录

简介

官网介绍的非常详细,主要突出这是一个轻量级鉴权框架的特点,详情可自行访问:https://sa-token.dev33.cn/doc.html#/

image-20221213155942848

使用

旨在简单使用,大部分功能均可以在一行代码内实现,这里举几个官网示例:

首先添加依赖:

<!-- Sa-Token 权限认证,在线文档:https://sa-token.cc -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.33.0</version>
</dependency>

yaml配置文件:

server:
    # 端口
    port: 8081

############## Sa-Token 配置 (文档: https://sa-token.cc) ##############
sa-token: 
    # token名称 (同时也是cookie名称)
    token-name: satoken
    # token有效期,单位s 默认30天, -1代表永不过期 
    timeout: 2592000
    # token临时有效期 (指定时间内无操作就视为token过期) 单位: 秒
    activity-timeout: -1
    # 是否允许同一账号并发登录 (为true时允许一起登录, 为false时新登录挤掉旧登录) 
    is-concurrent: true
    # 在多人登录同一账号时,是否共用一个token (为true时所有登录共用一个token, 为false时每次登录新建一个token) 
    is-share: true
    # token风格
    token-style: uuid
    # 是否输出操作日志 
    is-log: false

// 会话登录,参数填登录人的账号id 
StpUtil.login(10001);

// 校验当前客户端是否已经登录,如果未登录则抛出 `NotLoginException` 异常
StpUtil.checkLogin();

// 将账号id为 10077 的会话踢下线 
StpUtil.kickout(10077);

功能图如下所示:

sa-token-js

源码解释

解释登录原理

StpUtil.login(usId);

这短短的一句话代码蕴藏了多少玄机,我们一探究竟。

首先我们观察现象,模拟一个登录入口/login,里面做一个最简单的动作,就是将前端传入的usId作为用户id并交给StpUtil执行登录逻辑,并最终将usId返回。

@GetMapping("/login")
private String login(String usId){
    StpUtil.login(usId);
    return usId;
}

访问 http://localhost:8081/login?usId=123,成功返回结果123。

随后我们F12查看浏览器的控制台,Application->打开Cookies:

image-20221214103335083

能够观察到Cookies自动新增了一个键为satoken的cookie键值对,值类似于uuid随机字符串,此处示例为9ea38efb-228f-4131-b844-903467caf205,过期时间设置了30天,可对应前面配置文件的配置信息,satoken的cookie名称以及过期时间均支持配置调整。

接下来我们分析源码:

首先通过StpUtil作为入口,实际上通过实例化StpLogic来进行调用:

// StpUtil.java
public static StpLogic stpLogic = new StpLogic("login");

public static void login(Object id) {
    stpLogic.login(id);
}

随后在StpLogic中,通过传入的Object id以及SaLoginModel进行构建会话:

// StpLogic.java
public void login(Object id) {
    this.login(id, new SaLoginModel());
}

// 通过这两个方法进行会话建立 createLoginSession()/setTokenValue()
public void login(Object id, SaLoginModel loginModel) {
    // 1、创建会话 
    String token = this.createLoginSession(id, loginModel);
    // 2、在当前客户端注入Token 
    setTokenValue(token, loginModel);
}

创建会话

分析StpLogic.createLoginSession()方法

public String createLoginSession(Object id, SaLoginModel loginModel) {
    // 1.这个设计可以借鉴一下,直接可以判断id值为null就抛异常,将异常封装起来
    SaTokenException.throwByNull(id, "账号id不能为空", 11002);
    // 2.获取配置信息
    SaTokenConfig config = this.getConfig();
    loginModel.build(config);
    // 3.生成token(若已经有存在生效的token则使用原先的token)
    String tokenValue = this.distUsableToken(id, loginModel);
    // 4.获取 User-Session/首次登录则创建会话,使用自定义封装的SaSession对象接收
    SaSession session = this.getSessionByLoginId(id, true);
    session.updateMinTimeout(loginModel.getTimeout());
    session.addTokenSign(tokenValue, loginModel.getDeviceOrDefault());
    // 5.设置token -> id 映射关系  
    this.saveTokenToIdMapping(tokenValue, id, loginModel.getTimeout());
    // 调用getSaTokenDao().set设置tokenValue与失效时间的关系
    this.setLastActivityToNow(tokenValue);
    // 6.事件发布
    SaTokenEventCenter.doLogin(this.loginType, id, tokenValue, loginModel);
    // 7.检查此账号会话数量是否超出最大值,-1表示不限会话数量
    if (config.getMaxLoginCount() != -1) {
        logoutByMaxLoginCount(id, session, (String)null, config.getMaxLoginCount());
    }

    return tokenValue;
}

1.前置检查

判断Object id是否为null

 SaTokenException.throwByNull(id, "账号id不能为空", 11002);

public static void throwByNull(Object value, String message, int code) {
    if(SaFoxUtil.isEmpty(value)) {
        throw new SaTokenException(message).setCode(code);
    }
}

2.获取配置

StpLogic.getConfig():

// 2.获取配置信息
SaTokenConfig config = this.getConfig();

image-20221214104609553

3.分配token

StpLogic.distUsableToken():

protected String distUsableToken(Object id, SaLoginModel loginModel) {
    Boolean isConcurrent = this.getConfig().getIsConcurrent();
    if (!isConcurrent) {
        this.replaced(id, loginModel.getDevice());
    }

    if (SaFoxUtil.isNotEmpty(loginModel.getToken())) {
        return loginModel.getToken();
    } else {
        if (isConcurrent && this.getConfigOfIsShare() && !loginModel.isSetExtraData()) {
            // 获取token
            String tokenValue = this.getTokenValueByLoginId(id, loginModel.getDeviceOrDefault());
            // 已经存在会话,将之前生成的token返回
            if (SaFoxUtil.isNotEmpty(tokenValue)) {
                return tokenValue;
            }
        }
		// *新会话,生成一个新token,可借鉴,见下方解析
        return this.createTokenValue(id, loginModel.getDeviceOrDefault(), loginModel.getTimeout(), loginModel.getExtraData());
    }
}

解析StpLogic.createTokenValue():

public class StpLogic {
    // ...
    
    public String createTokenValue(Object loginId, String device, long timeout, Map<String, Object> extraData) {
        // SaStrategy.me:使用SaStrategy的单例引用
        // SaStrategy.me.createToken:调用createToken()方法
        // SaStrategy.me.createToken.apply:使得结果生效
        return SaStrategy.me.createToken.apply(loginId, loginType);
    }
}


public final class SaStrategy {
    public static final SaStrategy me = new SaStrategy();
    
    public BiFunction<Object, String, String> createToken = (loginId, loginType) -> {
		// 根据配置的tokenStyle生成不同风格的token 
		String tokenStyle = SaManager.getConfig().getTokenStyle();
		// uuid 
		if(SaTokenConsts.TOKEN_STYLE_UUID.equals(tokenStyle)) {
			return UUID.randomUUID().toString();
		}
		// 简单uuid (不带下划线)
		if(SaTokenConsts.TOKEN_STYLE_SIMPLE_UUID.equals(tokenStyle)) {
			return UUID.randomUUID().toString().replaceAll("-", "");
		}
		// 32位随机字符串
		if(SaTokenConsts.TOKEN_STYLE_RANDOM_32.equals(tokenStyle)) {
			return SaFoxUtil.getRandomString(32);
		}
		// 64位随机字符串
		if(SaTokenConsts.TOKEN_STYLE_RANDOM_64.equals(tokenStyle)) {
			return SaFoxUtil.getRandomString(64);
		}
		// 128位随机字符串
		if(SaTokenConsts.TOKEN_STYLE_RANDOM_128.equals(tokenStyle)) {
			return SaFoxUtil.getRandomString(128);
		}
		// tik风格 (2_14_16)
		if(SaTokenConsts.TOKEN_STYLE_TIK.equals(tokenStyle)) {
			return SaFoxUtil.getRandomString(2) + "_" + SaFoxUtil.getRandomString(14) + "_" + SaFoxUtil.getRandomString(16) + "__";
		}
		// 默认,还是uuid 
		return UUID.randomUUID().toString();
	};
    
}

4.获取 User-Session

StpLogic.getSessionByLoginId()

public SaSession getSessionByLoginId(Object loginId, boolean isCreate) {
    return getSessionBySessionId(splicingKeySession(loginId), isCreate);
}

/** 
* 获取指定key的Session, 如果Session尚未创建,isCreate=是否新建并返回
* @param sessionId SessionId
* @param isCreate 是否新建
* @return Session对象 
*/
public SaSession getSessionBySessionId(String sessionId, boolean isCreate) {
    // getSaTokenDao使用了懒加载初始化SaTokenDao对象,最终由new SaTokenDaoDefaultImpl()进行实现具体方法
    // 并根据sessionId获取session
    SaSession session = getSaTokenDao().getSession(sessionId);
    // session暂未建立,进行session新建
    if(session == null && isCreate) {
        // 与上方的createToken使用了同样的设计
        session = SaStrategy.me.createSession.apply(sessionId);
        // 设置session与session过期时效
        getSaTokenDao().setSession(session, getConfig().getTimeout());
    }
    return session;
}

5.设置token-id映射关系

StpLogic.saveTokenToIdMapping()

public void saveTokenToIdMapping(String tokenValue, Object loginId, long timeout) {
	// 如果继续往下深挖其实set方法的实现底层就是一个new ConcurrentHashMap<String, Object>()
    // 并且封装了一个new ConcurrentHashMap<String, Long>()来记录key与过期时间的关系
    // 并且设置的过期过期时间
    getSaTokenDao().set(splicingKeyTokenValue(tokenValue), String.valueOf(loginId), timeout);
}

这里浅浅看一下设置的过期时间如何实现:

/**
* 数据集合 
*/
public Map<String, Object> dataMap = new ConcurrentHashMap<String, Object>();

/**
* 过期时间集合 (单位: 毫秒) , 记录所有key的到期时间 [注意不是剩余存活时间] 
*/
public Map<String, Long> expireMap = new ConcurrentHashMap<String, Long>();

@Override
public void set(String key, String value, long timeout) {
    if(timeout == 0 || timeout <= SaTokenDao.NOT_VALUE_EXPIRE)  {
        return;
    }
    // 设置key-value
    dataMap.put(key, value);
    // 设置key-到期时间
    expireMap.put(key, (timeout == SaTokenDao.NEVER_EXPIRE) ? (SaTokenDao.NEVER_EXPIRE) : (System.currentTimeMillis() + timeout * 1000));
}

/**
* 如果指定key已经过期,则立即清除它。在每个get方法前都首先调用一下这个方法
* @param key 指定key 
*/
void clearKeyByTimeout(String key) {
    Long expirationTime = expireMap.get(key);
    // 清除条件:如果不为空 && 不是[永不过期] && 已经超过过期时间 
    if(expirationTime != null && expirationTime != SaTokenDao.NEVER_EXPIRE && expirationTime < System.currentTimeMillis()) {
        dataMap.remove(key);
        expireMap.remove(key);
    }
}

// ------------------------ String 读写操作 

@Override
public String get(String key) {
    // 首先判断一下key是否已经过期
    clearKeyByTimeout(key);
    return (String)dataMap.get(key);
}

6.登录成功事件发布

SaTokenEventCenter.doLogin

// --------- 注册侦听器 
private static List<SaTokenListener> listenerList = new ArrayList<>();

/**
* 每次登录时触发 
* @param loginType 账号类别
* @param loginId 账号id
* @param tokenValue 本次登录产生的 token 值 
* @param loginModel 登录参数
*/
public static void doLogin(String loginType, Object loginId, String tokenValue, SaLoginModel loginModel) {
    for (SaTokenListener listener : listenerList) {
        listener.doLogin(loginType, loginId, tokenValue, loginModel);
    }
}

主要目的是登录成功后的一些后置处理方法回调等,通过观察我们可以发现只要注册到SaTokenEventCenter.listenerList中即可在遍历中执行监听器的doLogin()方法。目前默认添加控制台日志侦听器,new SaTokenListenerForLog(),主要实现一些日志打印:

image-20221214140145488

还有一个空实现的SaTokenListenerForSimple监听器,后续我们如果想要做一些自定义扩展,就可以继承SaTokenListenerForSimple做一些属于我们自己的业务监听器处理:

image-20221214140335284

7.检查会话数量

StpLogic.logoutByMaxLoginCount()

/**
* 会话注销,根据账号id 和 设备类型 和 最大同时在线数量 
* 
* @param loginId 账号id 
* @param session 此账号的 Session 对象,可填写null,框架将自动获取 
* @param device 设备类型 (填null代表注销所有设备类型) 
* @param maxLoginCount 保留最近的几次登录 
*/
public void logoutByMaxLoginCount(Object loginId, SaSession session, String device, int maxLoginCount) {
    if(session == null) {
        session = getSessionByLoginId(loginId, false);
        if(session == null) {
            return;
        }
    }
    List<TokenSign> list = session.tokenSignListCopyByDevice(device);
    // 遍历操作 
    for (int i = 0; i < list.size(); i++) {
        // 只操作前n条 
        if(i >= list.size() - maxLoginCount) {
            continue;
        }
        // 清理: token签名、token最后活跃时间 
        String tokenValue = list.get(i).getValue();
        session.removeTokenSign(tokenValue); 
        clearLastActivity(tokenValue); 	
        // 删除Token-Id映射 & 清除Token-Session 
        deleteTokenToIdMapping(tokenValue);
        deleteTokenSession(tokenValue);
        // $$ 发布事件:指定账号注销 
        SaTokenEventCenter.doLogout(loginType, loginId, tokenValue);
    }
    // 注销 Session 
    session.logoutByTokenSignCountToZero();
}

客户端注入Token

分析StpLogic.setTokenValue()方法

/**
* 在当前会话写入当前TokenValue 
* @param tokenValue token值 
* @param loginModel 登录参数 
*/
public void setTokenValue(String tokenValue, SaLoginModel loginModel){

    if(SaFoxUtil.isEmpty(tokenValue)) {
        return;
    }

    // 1. 将 Token 保存到 [存储器] 里  
    setTokenValueToStorage(tokenValue);

    // 2. 将 Token 保存到 [Cookie] 里 此处对应
    if (getConfig().getIsReadCookie()) {
        setTokenValueToCookie(tokenValue, loginModel.getCookieTimeout());
    }

    // 3. 将 Token 写入到响应头里 
    if(loginModel.getIsWriteHeaderOrGlobalConfig()) {
        setTokenValueToResponseHeader(tokenValue);
    }
}

参考资料:

Vainycos
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用
05-22
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用 前端使用html jquery ajax异步请求 后端springboot框架,Sa-Token框架。 jdk使用1.8 mysql 8.0
再见Spring Security!推荐一款功能强大的权限认证框架,用起来够优雅!
HollisChuang's Blog
08-23 1542
‍‍在我们做SpringBoot项目的时候,认证授权是必不可少的功能!我们经常会选择Shiro、Spring Security这类权限认证框架来实现,但这些框架使用起来有点繁琐,而且功能也...
Sa-Token基本到深入操作
最新发布
cxl0209的博客
03-13 1258
1.Sa-Token 介绍 Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。 Sa-Token 旨在以简单、优雅的方式完成系统的权限认证部分,以登录认证为例,你只需要: 下面展示一些 内联代码片。 // 会话登录,参数填登录人的账号id StpUtil.login(10001); 无需实现任何接口,无需创建任何配置文件,只需要这一句静态代码的调用,便可以完成会话登录认证。如果
sa-token封装了一下
03-15
sa-token封装了一下
SpringBoot(51) 整合Sa-Token实现权限认证
08-17
SpringBoot(51) 整合Sa-Token实现权限认证
Sa-Token简单学习教程
H_xiao_nian的博客
04-26 2345
Sa-Token是一个轻量级 Java 权限认证框架​ 主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。
SaToken技术分享文档
ljx1129071273的博客
03-23 5089
SaToken技术分享 1.什么是SaToken Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关问题,简化了相对Shiro或者SpringSecurity的复杂的前置配置,比如自定义的Realm或者全局过滤器这些。 SaToekn与Shiro以及SpringSecurity对比 相同点:都具备认证、授权、加密、会话、缓存、rememerMe等功能,都是一种安全认证框架。 SpringSec
SaToken使用】springboot+redis+satoken权限认证
m0_67391683的博客
07-28 2645
之前看到satoken(文档),感觉很方便。之前我用shiro+redis+jwt(或者session)遇到的一些问题,用这个感觉都不是问题,很轻易就能解决,比如多端登录可以不用写realm、移动端保持长期登录、token自动刷新、超过系统空闲时间重新登录等。功能还是比较全面的,下面主要是会写一些比较常用的。...
SaToken使用】SpringBoot整合SaToken(一)token自动续期+token定期刷新+注解鉴权
热门推荐
weixin_43165220的博客
09-28 1万+
SpringBoot整合SaTokentoken自动续期+token定期刷新+注解鉴权
基于SpringBoot的影像注册系统04 sa-token使用(源码解析 + 万字
m0_67614284的博客
05-03 1566
逻辑:查询username存不存在,再查询密码是否正确,只要没有抛异常就调用sa-token的login方法。 StpUtil.login(userReal.getId()); login方法传入我们user的id,比如: 把int类型的数值传进去了。 步骤 4 sa-token登录认证 ================= [核心思想](() 所谓登录认证,说白了就是限制某些API接口必须登录后才能访问(例:查询我的账号资料) 那么如何判断一个会话是否登录?框架会在登录成功后给你做个标记,每次登录认证时校
Sa-Token 的简介和使用
qq_34654085的博客
08-19 3165
市场上,Shiro、SpringSecurity是目前鉴权主要的两个工具组件,在从最基本的配置到约定大于配置的发展道路上,Sa-token 应运而生。该组件目前在github上仅有1W的star,但是却有着很大的影响力。因为他的简约配置和优雅使用,得到了更多开发者的依赖。
sa-token:这可能是史上功能最全的Java权限认证框架!目前已集成-登录验证,权限验证,会话会话,踢人下线,分布式会话,单点登录,OAuth2.0,记住我模式,模拟公众账号,临时身份切换,集成Redis,多账号认证体系,前后台分离模式,注解式鉴权,路由拦截式鉴权,花式令牌生成,自动续签,同端互斥登录,会话治理,密码加密,jwt集成,Spring集成..
04-02
sa-token v1.15.2这可能是史上功能最全的Java权限认证框架!在线资料Sa-Token是什么? sa-token是一个轻量级Java权限认证框架,主要解决:登录认证,权限认证,会话会话,单点登录,OAuth2.0等长度权限相关问题框架...
Sa-Token权限认证框架.rar
07-08
Sa-Token是一个轻量级Java权限验证框架。它不仅支持SpringBoot等主流框架,也可以适配Servlet、JFinal等非主流框架。Sa-Token可以用于身份验证、角色权限验证、API接口鉴权等场景。本文将重点介绍在SpringBoot框架中...
Java认证鉴权框架:Sa-Token
love_eat_peach的博客
06-06 2119
(调用角色校验和权限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的权限码集合后,再将权限码和待校验的字符串进行判断是否有权限)(调用角色校验和权限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的权限码集合后,再将权限码和待校验的字符串进行判断是否有权限)?SaRouter.match("/**").check(r -> System.out.println("----啦啦啦----"))
sa-token 鉴权框架(springboot集成)
qq_34751170的博客
03-07 2320
一个轻量级java权限认证框架,让鉴权变得简单、优雅(官方文档描述 哈哈) 一、pom依赖 <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.27.0</version> </dependency> 二、yml文件配置
Spring Boot中使用Sa-Token实现轻量级登录与鉴权
Timeguys的专栏
02-23 2785
token、springboot
再见Spring Security!推荐一款功能强大的权限认证框架
m0_63213529的博客
10-25 426
在我们做SpringBoot项目的时候,认证授权是必不可少的功能!我们经常会选择Shiro、Spring Security这类权限认证框架来实现,但这些框架使用起来有点繁琐,而且功能也不够强大。最近发现一款功能强大的权限认证框架Sa-Token,它使用简单、API设计优雅,推荐给大家! Sa-Token简介 Sa-Token是一款轻量级的Java权限认证框架,可以用来解决登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。 框架集成简单、开箱即用.
Sa-Token 实现分布式登录鉴权(轻量级,超简单)
z_ssyy的博客
08-27 965
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。功能结构图@Data@Component // 保证此类被SpringBoot扫描,完成Sa-Token的自定义权限验证扩展/*** 返回一个账号所拥有的权限码集合*/@Override// 本list仅做模拟,实际项目中要根据具体业务逻辑来查询权限//从redis中获取权限/**
sa-token如何校验token
07-28
1. 配置token名称:在yml配置文件中,可以通过设置`sa-token.token-name`来指定token的名称,例如`sa-token.token-name: X-Token`\[1\]。 2. 配置token有效期:可以通过设置`sa-token.timeout`来指定token的有效期...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值