Satoken+Redis实现短信登录、注册、鉴权

已于 2023-08-09 11:16:58 修改
阅读量1.9k 收藏 19
点赞数 1
文章标签: redis java 安全
于 2023-06-05 17:45:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/love_eat_peach/article/details/131053037
版权

目录

Springboot集成Satoken

登录

注销

注册

重写获取权限或角色的接口

路由拦截实现鉴权

Springboot集成Satoken

添加依赖

注:如果你使用的是 SpringBoot 3.x,只需要将 sa-token-spring-boot-starter 修改为 sa-token-spring-boot3-starter 即可。

<!-- Sa-Token 权限认证,在线文档:https://sa-token.cc -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.34.0</version>
</dependency>

设置配置文件

# 端口
server.port=8081
    
############## Sa-Token 配置 (文档: https://sa-token.cc) ##############


# token名称 (同时也是cookie名称)
sa-token.token-name=satoken
# token有效期,单位s 默认30天, -1代表永不过期 
sa-token.timeout=2592000
# token临时有效期 (指定时间内无操作就视为token过期) 单位: 秒
sa-token.activity-timeout=-1
# 是否允许同一账号并发登录 (为true时允许一起登录, 为false时新登录挤掉旧登录) 
sa-token.is-concurrent=true
# 在多人登录同一账号时,是否共用一个token (为true时所有登录共用一个token, 为false时每次登录新建一个token) 
sa-token.is-share=true
# token风格
sa-token.token-style=uuid
# 是否输出操作日志 
sa-token.is-log=false

启动类

在项目中新建包 com.pj ,在此包内新建主类 SaTokenDemoApplication.java,复制以下代码:

@SpringBootApplication
public class SaTokenDemoApplication {
    public static void main(String[] args) throws JsonProcessingException {
        SpringApplication.run(SaTokenDemoApplication.class, args);
        System.out.println("启动成功:Sa-Token配置如下:" + SaManager.getConfig());
    }
}

登录

用户输入手机号,调用登录接口,根据手机号查询是否存在该用户

@PostMapping("/login")
public Boolean login(@RequestBody String phone) {
  //从数据库查询该手机号的用户
  User user = userInfoDao.selectUser(phone);
  //若不存在该用户返回false,存在返回true
  return user == null ? false : true;
}

确认用户存在后就可以调用发送验证码接口,再校验验证码是否正确

/**
 * 发送验证码:
 * 在redis中用hash存储用户的相关信息,用PHONE_NUM+手机号作为用户hash的key,
 * “code”作为用户信息hash中验证码的小key,查询redis中用户的验证码信息,
 * "num"是验证次数的小key
 */
@PostMapping("/sendCaptcha")
public String sendCaptcha(String phone){
    //验证码verCode
    String verCode;
    String key = "PHONE_NUM"+phone;
    //如果redis中有缓存的验证码
    Object object = redisTemplate.opsForHash().get(key, "code");
    if(null != object){
        throw Error("该用户验证码已发送,且未过期,请输入验证码登录或注册!");
    }else {
        Random r = new Random(System.currentTimeMillis());
        int low = 100000;
        int high = 999999;
        //根据时间随机生成验证码verCode,将其放入redis中
        int code = (r.nextInt(high - low) + low);
        verCode = String.valueOf(code);
        redisTemplate.opsForHash().put(key,"code",verCode);
        //放入检验次数num=5
        redisTemplate.opsForHash().put(key,"num",5);
        //设置过期时间
        redisTemplate.expire(key,60*5,TimeUnit.SECONDS);
    }
    try {
        //调用发送验证码的接口发送验证码
        String smsResult= sendMsg(phone, verCode);
    }catch (Throwable throwable){
        redisTemplate.delete(key);
        throw Error("短信发送失败!");
    }
    return "发送成功";
}

重点!!!

/**
 * 校验验证码:
 * 验证成功就StpUtil.login(user.getId())进行登录,自动生成token并写入cookie中
 */
@PostMapping("/checkCaptcha")
public String checkCaptcha(String phone,String verCode){
    if(phone==null||verCode==null||phone==""||verCode==""){
        throw Errorr("请输入手机及验证码!");
    }
    //从redis中获取该手机号用户的信息
    String key = "PHONE_NUM"+phone;
    Object object = redisTemplate.opsForHash().get(key, "code");
    if(null == object){
        throw Error("未请求验证码或验证码已失效,请重新登录!");
    }
    String code= object.toString();
    if(code.equals(verCode)){
        //验证码比对正确,删除redis中验证码记录
        redisTemplate.delete(key);
        
        //从数据库查询出该用户的信息,并调用stputil进行登录
        User user = userService.findUser(phone);
        StpUtil.login(user.getId());
        return "登陆成功";
        
    }else{
        //验证码比对错误,校验次数减1
        double num = redisTemplate.opsForHash().increment(key,"num",-1);
        //若校验次数小于0则验证码失效,不小于0则抛出验证码错误
        if(num < 0 ){
            redisTemplate.delete(key);
            return "未请求验证码或验证码已失效,请重新登录!";
        } else {
            return "验证码错误!";
        }
    }
}

注销

@PostMapping("/logout")
public Boolean logout() {
    if (!StpUtil.isLogin()) {
    throw Error("未检测到登录信息,请先登录!");
    }
    StpUtil.logout();
    return true;
}

注册

填入手机号后,若调用登录接口根据手机号查询数据库发现不存在该用户,自动跳转到注册页面

@PostMapping("/regist)
public Boolean regist(String userName,String verCode) {
    if(userName==null||verCode==null||userName==""||verCode==""){
        throw Errorr("请输入用户名或验证码!");
    }
    
    查询数据库检查该用户名是否已经被用;
    调用上面登录里的校验用户验证码的方法;
    用户名未被占用且验证码正确,则向数据库用户表插入该用户信息,得到用户id;
    
    //调用stputil进行登录
    StpUtil.login(userId());
    return true;
}

重写获取权限或角色的接口

接口的调用往往需要权限的校验,一般的系统会给用户绑定某种角色,再给此角色分配权限,设置权限码,具有此角色或者权限码才放行请求。sa-token实现权限需要进行自定义扩展,下面是获取一个用户权限码集合和角色标识集合的类:

/**
 * 自定义权限验证接口扩展
 */
@Component    // 保证此类被SpringBoot扫描,完成Sa-Token的自定义权限验证扩展
public class StpInterfaceImpl implements StpInterface {


    /**
     * 返回一个账号所拥有的权限码集合
     */
    @Override
    public List<String> getPermissionList(Object loginId, String loginType) {
        List<String> list = new ArrayList<String>();
        //1.先从redis中根据loginId取该用户的权限,有则直接返回
        //2.若是redis中没有,则从数据库中查询,再把结果添加到redis中
        return list;


        // 比如:
        // list.add("101");
        // list.add("user.add");
        // list.add("user.update");
        // list.add("user.get");
        // list.add("user.delete");
        // list.add("art.*");
    }


    /**
     * 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
     */
    @Override
    public List<String> getRoleList(Object loginId, String loginType) {
         List<String> list = new ArrayList<String>();
        //1.先从redis中根据loginId取该用户的角色集合,有则直接返回
        //2.若是redis中没有,则从数据库中查询,再把结果添加到redis中
        return list;
        
        // 比如:
        // list.add("admin");
        // list.add("super-admin");
    }


}

路由拦截实现鉴权

在调用后台服务时,我们可以在路由时做一些拦截,例如添加登陆权限拦截、放开一些接口白名单等。(一定要排除 登录、注册、发送验证码等接口 的拦截)

@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {
    // 注册 Sa-Token 的拦截器
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 注册路由拦截器,自定义认证规则
        registry.addInterceptor(new SaInterceptor(handler -> {


            //SaRouter.match(参数一:需要拦截的路由,
                              参数二:可排除的路由,
                              参数三:用来检验是否通过拦截的方法)
            
            // 登录校验 -- 用是否登录拦截所有路由,
            // 在最下面的.excludePathPatterns中并排除登录等接口的拦截
            SaRouter.match("/**", r -> StpUtil.checkLogin());


            // 角色校验 -- 拦截以 admin 开头的路由,必须具备 admin 角色或者 super-admin 角色才可以通过认证
            SaRouter.match("/admin/**", r -> StpUtil.checkRoleOr("admin", "super-admin"));


            // 权限校验 -- 不同模块校验不同权限
            SaRouter.match("/user/**", r -> StpUtil.checkPermission("user"));
            SaRouter.match("/admin/**", r -> StpUtil.checkPermission("admin"));
            SaRouter.match("/goods/**", r -> StpUtil.checkPermission("goods"));
            SaRouter.match("/orders/**", r -> StpUtil.checkPermission("orders"));
            SaRouter.match("/notice/**", r -> StpUtil.checkPermission("notice"));
            SaRouter.match("/comment/**", r -> StpUtil.checkPermission("comment"));


            // 甚至你可以随意的写一个打印语句
            SaRouter.match("/**", r -> System.out.println("----啦啦啦----"));


            // 连缀写法
            SaRouter.match("/**").check(r -> System.out.println("----啦啦啦----"));


        })).addPathPatterns("/**")
           // 排除登录、注册、发送验证码等接口 的拦截
           .excludePathPatterns("/user/login")
           .excludePathPatterns("/user/sendCaptcha")
           .excludePathPatterns("/user/checkCaptcha")
           .excludePathPatterns("/user/regist")
        ;
    }
}

阿辉___
关注
  • 1
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot集成Sa-TokenRedisredisson客户端
penriver的博客
02-12 741
Sa-Token 是一个轻量级 Java 权限认证框架。 为什么集成Redisredisson客户端? 因为项目都是使用redisson redis客户端,但sa-token-redis-jackson读取Redis是基于spring-boot-starter-data-redis实现的,而spring-boot-starter-data-redis操作Redis是基于luttuce redis客户端实现的 所以本文给出spring集成Sa-TokenRedisredisson客户端的示例
SaToken使用】springboot+redis+satoken权限认证
m0_67391683的博客
07-28 2834
之前看到satoken(文档),感觉很方便。之前我用shiro+redis+jwt(或者session)遇到的一些问题,用这个感觉都不是问题,很轻易就能解决,比如多端登录可以不用写realm、移动端保持长期登录token自动刷新、超过系统空闲时间重新登录等。功能还是比较全面的,下面主要是会写一些比较常用的。...
SpringCloud+Sa-Token+Redis登录校验
最新发布
m0_73625251的博客
05-17 1021
思路:先创建一个权限表,在自定义权限类中通过从数据库获取权限再放进该类,将auth模块注册注册中心,gateway模块进行调用,登录成功之后,gateway通过检验satoken返回的token来判断是否登录成功,如果登录成功则可访问其他微服务,gateway就要建立一个全局过滤器来拦截其他路径,比如一个测试微服务模块。这种多层安全策略可以提供更全面的保护。因此,当您将这些配置信息改为您自己的邮箱信息时,意味着您的应用程序将使用您的邮箱账户来发送注册验证码等邮件,而不是从您的个人邮箱客户端发送。
Sa-Token 集成 alone-redis
2201_76059856的博客
07-03 921
搭建两个Redis服务器,一个专门用来做业务缓存,另一台专门存放Sa-Token权限数据。
sprintboot Redis配置详解
u010125432的博客
10-21 807
# REDIS (RedisProperties) # Redis数据库索引(默认为0) spring.redis.database=0 # Redis服务器地址 spring.redis.host=localhost # Redis服务器连接端口 spring.redis.port=6379 # Redis服务器连接密码(默认为空) spring.redis.password= # 连接池最大连接数(使用负值表示没有限制) spring.redis.pool.max-active=8 # 连接池最大阻塞等
Sa-Token】6、Sa-Token集成Redis
热门推荐
Asurplus
08-01 20万+
Sa-Token 支持 Redis、Memcached 等专业的缓存中间件中, 做到重启数据不丢失,而且保证分布式环境下多节点的会话一致性 一、引入Maven依赖 <!-- springboot集成redis --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artif
Sa-Token实现分布式登录鉴权Redis集成 前后端分离)
Lifelong learning
02-12 6500
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
vue+springboot+redis+kaptcha实现登录验证码
04-10
本教程将介绍如何结合Vue.js前端框架、Spring Boot后端框架、Redis缓存服务以及Kaptcha验证码技术,实现一个前后端分离的登录页面验证码功能。这个组合可以提供高效、安全且用户友好的验证机制。 首先,Vue.js是一...
shiro+spring+data+session+redis实现单点登录
08-03
本案例聚焦于使用Apache Shiro、Spring、Spring Data以及Redis实现单点登录功能,下面将详细解释这些组件以及它们如何协同工作。 **Apache Shiro** Apache Shiro是一款轻量级的安全框架,提供了认证、授权、会话...
SpringBoot+Vue+Redis实现单点登录(一处登录另一处退出登录)
08-25
小编接到一个需求,需要实现用户在浏览器登录后,跳转到其他页面,当用户在其它地方又登录时,前面用户登录的页面退出登录,这篇文章主要介绍了SpringBoot+Vue+Redis实现单点登录,需要的朋友可以参考下
shiro+ springMVC + Redis+mysql 实现 单点登录
12-06
"Shiro+SpringMVC+Redis+MySQL实现单点登录"是一个典型的系统安全架构,它整合了多个技术组件来构建一个高效、可靠的单点登录(Single Sign-On, SSO)解决方案。以下是关于这个主题的详细知识点: 1. **Apache ...
Satoken+Redis实现短信登录注册鉴权_sa-token redis
m0_60147147的博客
04-15 502
接口的调用往往需要权限的校验,一般的系统会给用户绑定某种角色,再给此角色分配权限,设置权限码,具有此角色或者权限码才放行请求。在调用后台服务时,我们可以在路由时做一些拦截,例如添加登陆权限拦截、放开一些接口白名单等。(一定要排除 登录注册、发送验证码等接口 的拦截)填入手机号后,若调用登录接口根据手机号查询数据库发现不存在该用户,自动跳转到注册页面。
Satoken+Redis实现短信登录注册,2024年最新网络安全开发中常见的一些问题面试专题
2401_84182906的博客
04-10 1053
添加依赖注:如果你使用的是,只需要将修改为即可。设置配置文件。
SaToken利用Redis做持久化
qq_45153375的博客
12-05 660
SaToken开发每次都要重新登录,利用redis做缓存示实现持久化
springboot整合sa-token中的redis报netty错误
todoitbo的博客
08-21 533
springboot整合sa-token中的redis报netty错误;org.springframework.web.util.NestedServletException: Handler dispatch failed; nested exception is java.lang.NoSuchMethodError: 'void io.netty.util.concurrent.SingleThreadEventExecutor.(io.netty.util.concurrent.Even
Sa-Token+redis实现账号封禁
小菜椒的博客
10-17 1623
账号正常输入 密码持续输入错误,为了防止系统会遭遇暴力破解,设置在5次持续错误后,账号被上锁5分钟,账号封禁
SpringBoot2.x+Redis+token实现鉴权功能
SuchASilly的博客
06-01 1426
springboot2.x+redis+token实现鉴权 流程分析: 1.客户端登录,输入用户名和密码,后台进行验证,如果验证失败则返回登录失败的提示。如果验证成功,则生成token然后将username和token双向绑定(可以根据username取出token也可以根据token取出username)存入redis,同时使用token+username作为key把当前时间戳也存入redis。并且给它们都设置过期时间。 2.每次请求都会走拦截器,如果该接口标注了@AuthToken注解,则要检查htt
springboot+shiro+redis实现单点登录源码
09-17
Spring Boot是一个用于快速开发Java应用程序的开源框架,Shiro是一个强大且易于使用的Java安全框架,Redis是一个开源的内存数据库。结合使用这些技术可以实现单点登录功能。 在Spring Boot中使用Shiro来处理认证和授权,可以通过配置Shiro的Realm来实现用户的登录认证和权限控制。将用户的信息存储在Redis中,利用Redis的持久化特性来实现用户登录状态的共享和存储。 首先,在Spring Boot项目的配置文件中配置Redis的连接信息,以便连接到Redis数据库。 然后,创建一个自定义的Shiro的Realm,在其中重写认证和授权的方法。在认证方法中,将用户的登录信息存储到Redis中,以便其他服务可以进行验证。在授权方法中,根据用户的角色和权限进行相应的授权操作。 接着,在Spring Boot项目的配置类中配置Shiro的相关设置,包括Realm、Session管理器、Cookie管理器等。 最后,可以在Controller层中使用Shiro的注解来标记需要进行认证和授权的接口,以确保只有登录后且具备相应权限的用户才能访问这些接口。 总的来说,通过使用Spring Boot、Shiro和Redis的组合,可以实现单点登录的功能。用户在登录后,将登录信息存储到Redis中,其他服务可以通过验证Redis中的数据来判断用户的登录状态。同时,Shiro提供了强大的认证和授权功能,可以确保只有具备相应权限的用户才能访问受保护的接口。这些功能的具体实现可以通过深入研究Spring Boot、Shiro和Redis的源码来了解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值