sa-token过期机制梳理

最新推荐文章于 2024-07-08 23:12:58 发布
最新推荐文章于 2024-07-08 23:12:58 发布
阅读量1.3k 收藏 6
点赞数 6
文章标签: sa-token java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mp9105/article/details/137326805
版权

sa-token过期机制梳理

1 基本配置

sa-token 配置类

@AutoConfiguration
public class SaTokenConfiguration {
    /**
     * 生成Token实现
     */
    @Bean
    public StpLogic getStpLogicJwt() {
        return new StpLogicJwtForSimple();
    }

    /**
     * 权限接口实现(使用bean注入方便用户替换)
     */
    @Bean
    public StpInterface stpInterface() {
        return new PlusSaStpInterface();
    }

    /**
     * 自定义token dao层存储
     * 这里使用 redis 实现
     */
    @Bean
    public SaTokenDao saTokenDao() {
        return new PlusSaTokenDao();
    }
}

application.yaml

sa-token:
  # token有效期 设为一天 (必定过期) 单位: 秒
  timeout: 86400
  # 多端不同 token 有效期 可查看 LoginHelper.loginByDevice 方法自定义
  # token最低活跃时间 (指定时间无操作就过期) 单位: 秒
  active-timeout: 1800

2 登录过程

核心源码

// StpLogic.login(Object id, SaLoginModel loginModel)
//   createLoginSession(Object id, SaLoginModel loginModel)
//     saveTokenToIdMapping(tokenValue, id, loginModel.getTimeout());

// 1) 设置 token 信息
getSaTokenDao().set(splicingKeyTokenValue(tokenValue), String.valueOf(loginId), timeout);

// 2) 设置 超时时间
if(isOpenCheckActiveTimeout()) {
    setLastActiveToNow(tokenValue, loginModel.getActiveTimeout(), loginModel.getTimeoutOrGlobalConfig());
}

生成 login 信息,这里使用 redis 实现,redis 的 key 设置了超时时间

# xxxx 为 token
key=Authorization:login:token:xxxxx 
# value 为 用户id信息
value=sys_user:{userId}

同时设置了一个 last-active 时间

# xxxx 为 token
key=Authorization:login:last-active:xxxxx 
# value 为 上一次检查时间的 毫秒时间戳,比如1690878257097
value={last-time}

3 检查过程

核心源码

// 拦截器中添加 StpLogic.checkLogin()
// StpLogic.checkLogin()
//     StpLogic.getLoginId()

// 3、查找此 token 对应的 loginId,如果找不到则抛出:token 无效
// 这里会从 redis 中获取,由于登录时即设置了超时时间,所以token到达了超时时间必然会失效!!!
String loginId = getLoginIdNotHandle(tokenValue);
// getLoginIdNotHandle(tokenValue) 实现 -> getSaTokenDao().get(splicingKeyTokenValue(tokenValue));
if(SaFoxUtil.isEmpty(loginId)) {
    throw NotLoginException.newInstance(loginType, INVALID_TOKEN, INVALID_TOKEN_MESSAGE, tokenValue).setCode(SaErrorCode.CODE_11012);
}


// ......

// 7、检查此 token 的最后活跃时间是否已经超过了 active-timeout 的限制,如果是则代表其已被冻结,需要抛出:token 已被冻结
if(isOpenCheckActiveTimeout()) {
    checkActiveTimeout(tokenValue);
    // ------ 至此,loginId 已经是一个合法的值,代表当前会话是一个正常的登录状态了
    // 8、如果配置了自动续签功能, 则: 更新这个 token 的最后活跃时间 (注意此处的续签是在续 active-timeout,而非 timeout)
    if(getConfigOrGlobal().getAutoRenew()) {
        updateLastActiveToNow(tokenValue);
    }
}

也即是会先从 redis 中获取 Authorization:login:token:xxxxx 对应的值,由于该 key 的 timeout 在登录时已经确定了,所以超时后必定获取不到 value 从而报错

获取到了 value 值,那么会接着取出 Authorization:login:last-active:xxxxx 上次登录时的时间戳,与 配置中的 active-timeout 进行比较

  • 如果超过了 active-timeout,直接抛出错误
  • 如果未超过,则刷新 Authorization:login:last-active:xxxxx 的值
mpmt91
关注
  • 6
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SaToken使用】springboot+redis+satoken权限认证
m0_67391683的博客
07-28 2888
之前看到satoken(文档),感觉很方便。之前我用shiro+redis+jwt(或者session)遇到的一些问题,用这个感觉都不是问题,很轻易就能解决,比如多端登录可以不用写realm、移动端保持长期登录、token自动刷新、超过系统空闲时间重新登录等。功能还是比较全面的,下面主要是会写一些比较常用的。...
sa-token封装了一下
03-15
【标题】:“sa-token封装了一下” “sa-token封装了一下”这个标题表明了这是一个关于sa-token的讨论,sa-token是一个轻量级的Java权限认证框架,主要用于解决权限认证和授权问题。这里的“封装了一下”可能意味着...
权限认证框架sa-tokentoken有效期与实时续签
热门推荐
shengzhang_的博客
12-26 1万+
sa-token sa-token 是一个非常强大的权限认证框架,其集成了诸多好用的特性,诸如:登录验证、权限验证、自定义session会话、踢人下线 等等均可以在框架中一行代码完成调用,官网地址:http://sa-token.dev33.cn/ sa-token的令牌有效期 sa-token 提供两种token自动过期策略,分别是timeout与activity-timeout,其详细用法如下: timeout timeout代表token的长久有效期,单位/秒,例如将其配置为2592000(30天)
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用
05-22
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用 前端使用html jquery ajax异步请求 后端springboot框架,Sa-Token框架。 jdk使用1.8 mysql 8.0
解决Satoken(1.29.0+)组件关于session过期时间续期问题
最新发布
whatjeans的博客
07-08 848
最近在生产环境遇到一个关于使用第三方开源组件satoken的问题:token过期时间续签,想跟大家分享一下类似问题的通用解决思路。
sa-token多端登陆实现,PC,APP登陆分别设置token过期时间
weixin_44315761的博客
06-09 4754
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。
sa-token利用WebSocket提示过期
好巧~我看到你了
05-30 1294
项目背景 项目接入sa-token之后,当token过期后,需弹出框“token会话过期”。首先放一下效果图 操作步骤 修改Redis配置文件,使其支持 key 过期事件的监听 找到 redis.windows.conf或redis.conf 文件,搜索 “notify-keyspace-events”找到原本的notify-keyspace-events " ",修改为notify-keyspace-events Ex, 原本的 修改之后的 添加依赖 <!-- redis --&g.
SaToken监听器插件:过期注销事件监听
you_get_me_there的博客
09-27 838
SaToken过期监听
satoken 框架下, 永久有效期为 -1 , 临时有效期为固定值, 过期后数据清理
you_get_me_there的博客
02-28 1372
/** * 实现 satoken 框架下, 永久有效期为 -1 , 临时有效期为固定值, 临时有效期过期后, 一旦查询当前方法, 立刻让过期用户下线, 即清除 token 信息 * * @return */ @GetMapping("/clearOffline") public void fun3() { // 获取 StpUtil 登录体系下的实际逻辑对象(单独把 StpLogic 提取出来是为了方便后期修改 StpUtil 的名字 StpLogic stpLogic = SaM.
JWT下token过期的处理策略
weixin_43993064的博客
05-28 1058
最简单最直接的方式用户再次输入他们的登录凭证,如用户名和密码,得到一个新的token
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台源代码
06-16
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台 前端采用Vue、Element UI 后端采用Spring Boot、Redis & Jwt。 Sa-Token:一个轻量级 java 权限认证框架,让鉴权变得简单、优雅! 权限认证使用Jwt,支持...
基于 SpringBoot 3+、sa-token、Layui 2.8+ 可前后端分离的后台管理系统
03-08
基于 SpringBoot 3+、sa-token、Layui 2.8+ 可前后端分离的后台管理系统,可以用于常见的的 Web 应用程序,比如网站管理后台等。.zip 适合学习/练手、毕业设计、课程设计、期末/期中/大作业、工程实训、相关项目/...
SpringBoot(51) 整合Sa-Token实现权限认证
08-17
SpringBoot(51) 整合Sa-Token实现权限认证
详解token过期含义及解决方 token过期是否需要重新登录
weixin_64051447的博客
05-25 1万+
否则,客户端就重新登录即可。暂时没研究,有兴趣的朋友可以查查。详解token过期含义及解决方 token过期是否需要重新登录Web应用和用户的身份验证息息相关,从单一服务器架构到分布式服务架构再到微服务架构,用户安全认证和授权的机制也一直在演进,下文对各个架构下的认证机制做个总结。说明:JWT 最适合的场景是不需要服务端保存用户状态的场景,但是如果考虑到 token 注销和 token 续签的场景话,没有特别好的解决方案,大部分解决方案都给 token 加上了状态,这就有点类似 Session 认证了。
再见Spring Security!推荐一款功能强大的权限认证框架,用起来够优雅!
HollisChuang's Blog
08-23 1601
‍‍在我们做SpringBoot项目的时候,认证授权是必不可少的功能!我们经常会选择Shiro、Spring Security这类权限认证框架来实现,但这些框架使用起来有点繁琐,而且功能也...
Sa-Token大坑:关于Sa-Token跨域问题解决后导致token无效,Cookie丢失的问题
weixin_47303191的博客
06-22 5763
这两天用sa-token做业务发现,如果使用前端ajax请求到认证中心的话,会导致跨域问题,而跨域问题解决后悔导致认证中心的token失效了,我debug了。同理,如果认证中心重定向回来,token也可能丢失,所以我们将token放在重定向地址里作为参数,就不会丢失了.如果不懂代码怎么回事,可以去Sa-Token学习学习,也可以去我发的**
Sa-token基本使用教程(全网最详细!!!)
可乐要加冰!!!
04-11 7189
Sa-Token登录认证权限认证Session会话单点登录OAuth2.0微服务网关鉴权等一系列权限相关问题。功能简单示例Sa-Token 的 API 设计非常简单,有多简单呢?以登录认证// 在登录时写入当前会话的账号id// 然后在需要校验登录处调用以下方法:// 如果当前会话未登录,这句代码会抛出 `NotLoginException` 异常权限认证示例(只有具备user:add权限的会话才可以进入请求)// ...return "用户增加";将某个账号踢下线。
长短token生成方式及作用
紫极岚的博客
12-12 1万+
长短token解决方案 1:解释长短token     Token的返回:     用户登陆后,后台会返回给用户两个token,1是长token,2是短token     有效期: 长token有效期为一个月,短token有效期为1小时 访问与再次获取: APP每次访问数据携带这短token,如果后台中存在短token则证明短token有效可以进行数据访问。 如果没有查到该短tok
sa-token如何校验token
07-28
sa-token可以通过以下配置来校验token: 1. 配置token名称:在yml配置文件中,可以通过设置`sa-token.token-name`来指定token的名称,例如`sa-token.token-name: X-Token`\[1\]。 2. 配置token有效期:可以通过设置`sa-token.timeout`来指定token的有效期,单位为秒,默认为30天,可以设置为-1代表永不过期,例如`sa-token.timeout: 2592000`\[1\]。 3. 配置token临时有效期:可以通过设置`sa-token.activity-timeout`来指定token的临时有效期,即在指定时间内无操作就视为token过期,单位为秒,默认为-1,表示不设置临时有效期,例如`sa-token.activity-timeout: -1`\[1\]。 4. 配置是否允许同一账号并发登录:可以通过设置`sa-token.is-concurrent`来指定是否允许同一账号并发登录,为true时允许一起登录,为false时新登录会挤掉旧登录,例如`sa-token.is-concurrent: true`\[1\]。 5. 配置是否共用一个token:可以通过设置`sa-token.is-share`来指定在多人登录同一账号时,是否共用一个token,为true时所有登录共用一个token,为false时每次登录会新建一个token,例如`sa-token.is-share: true`\[1\]。 6. 配置是否输出操作日志:可以通过设置`sa-token.is-log`来指定是否输出操作日志,为true时输出操作日志,为false时不输出操作日志,例如`sa-token.is-log: false`\[1\]。 7. 配置是否使用cookie保存token:可以通过设置`sa-token.is-read-cookie`来指定是否使用cookie保存token,为true时使用cookie保存token,为false时不使用cookie保存token,例如`sa-token.is-read-cookie: false`\[1\]。 8. 配置是否使用head保存token:可以通过设置`sa-token.is-read-head`来指定是否使用head保存token,为true时使用head保存token,为false时不使用head保存token,例如`sa-token.is-read-head: true`\[1\]。 通过以上配置,sa-token可以根据配置的规则来校验token的有效性。 #### 引用[.reference_title] - *1* [最简单的权限验证实现——使用Sa-Token进行权限验证](https://blog.csdn.net/lp840312696/article/details/127072424)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [探索 Sa-Token (一) SpringBoot 集成 Sa-Token](https://blog.csdn.net/weixin_38982591/article/details/126764928)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值