【开源项目】Sa-Token快速登录(使用+源码解析)

已于 2023-01-06 16:42:03 修改
阅读量2.2k 收藏 1
点赞数 1
分类专栏: 源码解析 开源项目介绍 文章标签: 开源 java spring
于 2023-01-06 16:34:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42985872/article/details/128581188
版权

什么是Sa-Token

官网:https://sa-token.dev33.cn

Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证权限认证Session会话单点登录OAuth2.0微服务网关鉴权 等一系列权限相关问题。
在这里插入图片描述

快速使用

引入Maven依赖

        <!-- web支持 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <!-- Sa-Token-Quick-Login 插件 -->
        <dependency>
            <groupId>cn.dev33</groupId>
            <artifactId>sa-token-quick-login</artifactId>
            <version>1.33.0</version>
        </dependency>

配置参数

server:
  port: 8080

# Sa-Token-Quick-Login 配置
sa:
  # 登录账号
  name: admin
  # 登录密码
  pwd: 123456
  # 是否自动随机生成账号密码 (此项为true时, name与pwd失效)
  auto: false
  # 是否开启全局认证(关闭后将不再强行拦截)
  auth: true
  # 登录页标题
  title: Charles Index 登录
  # 是否显示底部版权信息
  copr: true
  # 指定拦截路径
  include: /**
  # 指定排除路径
  exclude: /test

编写Controller

@RestController
public class TestController {

    /**
     * 不需要认证
     *
     * @return
     */
    @GetMapping("test")
    public String test() {
        return "test";
    }

    /**
     * 需要认证
     *
     * @return
     */
    @GetMapping("test1")
    public String test1() {
        return "test1";
    }
}

测试

  • 访问 http://localhost:8080/test1
    在这里插入图片描述

由于没有登录,被拦截了,到了登录页面

  • 访问 http://localhost:8080/test,可以获取数据。
    在这里插入图片描述

源码解析

  1. 引入sa-token-quick-login,会加载jar包中的spring.factories
org.springframework.boot.autoconfigure.EnableAutoConfiguration=cn.dev33.satoken.quick.SaQuickInject
  1. SaQuickInject类上面注解是@Import({SaQuickController.class, SaQuickRegister.class}),所以会添加SaQuickControllerSaQuickRegister
  2. SaQuickController主要是提供登录页面和提供登录接口
@Controller
public class SaQuickController {
    public SaQuickController() {
    }

    @GetMapping({"/saLogin"})
    public String saLogin(HttpServletRequest request) {
        request.setAttribute("cfg", SaQuickManager.getConfig());
        return "sa-login.html";
    }

    @PostMapping({"/doLogin"})
    @ResponseBody
    public SaResult doLogin(String name, String pwd) {
        if (!SaFoxUtil.isEmpty(name) && !SaFoxUtil.isEmpty(pwd)) {
            SaQuickConfig config = SaQuickManager.getConfig();
            if (name.equals(config.getName()) && pwd.equals(config.getPwd())) {
                StpUtil.login(config.getName());
                return SaResult.get(200, "ok", StpUtil.getTokenInfo());
            } else {
                return SaResult.get(500, "账号或密码输入错误", (Object)null);
            }
        } else {
            return SaResult.get(500, "请输入账号和密码", (Object)null);
        }
    }
}
  1. SaQuickRegister是核心,提供了SaServletFilterSaServletFilter用来做拦截认证。
@Configuration
public class SaQuickRegister {
    public SaQuickRegister() {
    }

    @Bean
    @ConfigurationProperties(
        prefix = "sa"
    )
    public SaQuickConfig getSaQuickConfig() {
        return new SaQuickConfig();
    }

    @Bean
    @Order(-101)
    public SaServletFilter getSaServletFilter() {
        return (new SaServletFilter()).addInclude(new String[]{"/**"}).addExclude(new String[]{"/favicon.ico", "/saLogin", "/doLogin", "/sa-res/**"}).setAuth((obj) -> {
            SaRouter.match(SaQuickManager.getConfig().getInclude().split(",")).notMatch(SaQuickManager.getConfig().getExclude().split(",")).check((r) -> {
                if (SaQuickManager.getConfig().getAuth() && !StpUtil.isLogin()) {
                    SaHolder.getRequest().forward("/saLogin");
                    SaRouter.back();
                }

            });
        }).setError((e) -> {
            return e.getMessage();
        });
    }
}
  1. 访问http://localhost:8080/test,看下SaServletFilter是如何放行的。
    // cn.dev33.satoken.filter.SaServletFilter#doFilter
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        try {
            SaRouter.match(this.includeList).notMatch(this.excludeList).check((r) -> {
                this.beforeAuth.run((Object)null);
                this.auth.run((Object)null);
            });
        } catch (StopMatchException var6) {
        } catch (Throwable var7) {
            String result = var7 instanceof BackResultException ? var7.getMessage() : String.valueOf(this.error.run(var7));
            if (response.getContentType() == null) {
                response.setContentType("text/plain; charset=utf-8");
            }

            response.getWriter().print(result);
            return;
        }

        chain.doFilter(request, response);
    }
  1. 该auth方法是在SaQuickRegister类中定义的。因为/test是在配置文件中定义的,所以在执行SaRouter.match(SaQuickManager.getConfig().getInclude().split(",")).notMatch(SaQuickManager.getConfig().getExclude().split(","))后,SaRouterStaff中的isHit变量为false,所以SaRouterStaff#check()不需要执行。
	public SaRouterStaff notMatch(String... patterns) {
        if (this.isHit) {
            this.isHit = !SaRouter.isMatchCurrURI(patterns);
        }

        return this;
    }
  1. test1方法由于不在exclude配置中,所以会执行SaRouterStaff#check()。该方法中主要有两个判断,SaQuickManager.getConfig().getAuth()StpUtil.isLogin() == false。配置中的auth设置为true,所以第一个判断为true。
  2. StpUtil.isLogin()用来判断是否登录。跟踪到获取到token的方法,获取不到token,返回false,跳转到saLogin页面。
getTokenValueNotCut:249, StpLogic (cn.dev33.satoken.stp)
getTokenValue:201, StpLogic (cn.dev33.satoken.stp)
getLoginIdDefaultNull:746, StpLogic (cn.dev33.satoken.stp)
isLogin:659, StpLogic (cn.dev33.satoken.stp)
isLogin:282, StpUtil (cn.dev33.satoken.stp)
  1. 登录方法,SaQuickController#doLogin()。创造token,并且存储在客户端。
login:331, StpLogic (cn.dev33.satoken.stp)
login:293, StpLogic (cn.dev33.satoken.stp)
login:135, StpUtil (cn.dev33.satoken.stp)
doLogin:53, SaQuickController (cn.dev33.satoken.quick.web)

	public void login(Object id, SaLoginModel loginModel) {
		// 1、创建会话 
		String token = createLoginSession(id, loginModel);

		// 2、在当前客户端注入Token 
		setTokenValue(token, loginModel);
	}
  1. 存储在客户端。先保留一份在SaStorage,再存入cookie。
	public void setTokenValue(String tokenValue, SaLoginModel loginModel){
		
		if(SaFoxUtil.isEmpty(tokenValue)) {
			return;
		}
		
		// 1. 将 Token 保存到 [存储器] 里  
		setTokenValueToStorage(tokenValue);
		
		// 2. 将 Token 保存到 [Cookie] 里 
		if (getConfig().getIsReadCookie()) {
			setTokenValueToCookie(tokenValue, loginModel.getCookieTimeout());
		}
		
		// 3. 将 Token 写入到响应头里 
		if(loginModel.getIsWriteHeaderOrGlobalConfig()) {
			setTokenValueToResponseHeader(tokenValue);
		}
	}
  1. 登录的时候,从cookie中获取token,判断是否过期,如果能获取loginId,则判断是登录状态,SaTokenDaoDefaultImpl#get
	@Override
	public String get(String key) {
		clearKeyByTimeout(key);
		return (String)dataMap.get(key);
	}
秋装什么
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Sa-Token,一款更加轻量的权限认证框架
一个人的江湖
07-06 2076
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。// 会话登录,参数填登录人的账号id StpUtil . login(10001);就仅仅这一行代码即可搞定,无需实现任何接口,无需创建任何配置文件,只需要这一句静态代码的调用,便可以完成会话登录认证。
Spring Boot接入SaToken简单使用
running17的博客
03-20 1926
Spring Boot接入SaToken简单使用
SaToken框架实现在Rpc上下文的login处理逻辑
最新发布
qq_61925446的博客
05-06 721
最近在工作中遇到一个需求,需要在项目A中实现一个rpc接口供其他项目调用,接口返回登录token,从而实现其他项目的用户能免密登录到项目A。项目A是用了SaToken来做的鉴权,原本我的打算是直接在rpc中调用StpUtil.login()方法来实现登录,并通过Stputil获取到token
基于SpringBoot的影像注册系统04 sa-token使用源码解析 + 万字
m0_67614284的博客
05-03 1655
逻辑:查询username存不存在,再查询密码是否正确,只要没有抛异常就调用sa-token的login方法。 StpUtil.login(userReal.getId()); login方法传入我们user的id,比如: 把int类型的数值传进去了。 步骤 4 sa-token登录认证 ================= [核心思想](() 所谓登录认证,说白了就是限制某些API接口必须登录后才能访问(例:查询我的账号资料) 那么如何判断一个会话是否登录?框架会在登录成功后给你做个标记,每次登录认证时校
今日推荐-sa-token认证鉴权系统
热门推荐
Good Luck
04-07 8万+
官网http://sa-token.dev33.cn/
快速简单登录认证】SpringBoot使用Sa-Token-Quick-Login插件快速登录认证
wufaqidong1的博客
01-22 2784
试想一下,假如我们开发了一个非常简单的小系统,比如说:服务器性能监控页面, 我们将它部署在服务器上,通过访问这个页面,我们可以随时了解服务器性能信息,非常方便。然而,这个页面方便我们的同时,也方便了一些不法的攻击者,由于这个页面毫无防护的暴露在公网中,任何一台安装了浏览器的电脑都可以随时访问它!你马上就会发现,写个监控页你一下午就可以搞定,然而这个登录页你却可能需要花上两三天的时间,这是一笔及其不划算的时间浪费。Sa-Token-Quick-Login 可以为一个系统快速的、零代码 注入一个登录页面?
基于 SpringBoot 3+、sa-token、Layui 2.8+ 可前后端分离的后台管理系统
03-08
基于 SpringBoot 3+、sa-token、Layui 2.8+ 可前后端分离的后台管理系统,可以用于常见的的 Web 应用程序,比如网站管理后台等。.zip 适合学习/练手、毕业设计、课程设计、期末/期中/大作业、工程实训、相关项目/...
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台源代码
06-16
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台 前端采用Vue、Element UI 后端采用Spring Boot、Redis & Jwt。 Sa-Token:一个轻量级 java 权限认证框架,让鉴权变得简单、优雅! 权限认证使用Jwt,支持...
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用
05-22
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用 前端使用html jquery ajax异步请求 后端springboot框架,Sa-Token框架。 jdk使用1.8 mysql 8.0
sa-token封装了一下
03-15
开发者可以通过阅读README.md获取项目详情,通过分析src目录中的代码理解sa-token是如何被封装和使用的。此外,通过查看pom.xml可以了解项目的依赖关系和构建过程,这对于学习和复用这个封装好的sa-token实现非常有...
基于 SpringBoot 3+、sa-token、Layui 2.8+ 可前后端分离的后台管理系统 课程设计
07-02
基于 SpringBoot 3+、sa-token、Layui 2.8+ 可前后端分离 的后台管理系统,可以用于常见的的 Web 应用程序,比如网站管理后台等。 功能正在开发中...... 内置功能 系统管理 用户管理:系统用户的管理,以及用户所...
Sa-Token – 轻量级权限认证框架!
weixin_45129599的博客
11-25 409
本页目录 Sa-Token介绍相关链接框架应用原理接入权限框架sa-token Maven依赖添加配置文件配置全局异常捕获开启Sa-Token注解鉴权添加事件监听器添加角色认证、授权使用Sa-Token Demo引入Redis持久化信息Sa-Token介绍Sa-Token是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服...
sa-token v1.9.0 版本已发布,带来激动人心新特性:同端互斥登录
shengzhang_的博客
01-06 579
sa-token是什么? sa-token是一个JavaWeb轻量级权限认证框架, 官网首页:http://sa-token.dev33.cn/ 如果你经常使用腾讯QQ,就会发现它的登录有如下特点:它可以手机电脑同时在线,但是不能在两个手机上同时登录一个账号 同端互斥登录,指的就是像腾讯QQ一样,在同一类型设备上只允许单地点登录,在不同类型设备上允许同时在线 在sa-token中如何做到同端互斥登录? 首先在配置文件中,将 allowConcurrentLogin 配置为false,然后调用登录等相关接口时
分布式权限认证-Sa-token,So Easy!
qq_45515182的博客
11-26 2213
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。
springboot+sa-token-quick-login实现快速登录
ldcaws的专栏
01-11 1079
试想一下,假如我们开发了一个非常简单的小系统,比如说:服务器性能监控页面, 我们将它部署在服务器上,通过访问这个页面,我们可以随时了解服务器性能信息,非常方便。然而,这个页面方便我们的同时,也方便了一些不法的攻击者,由于这个页面毫无防护的暴露在公网中,任何一台安装了浏览器的电脑都可以随时访问它!当你的项目需要一个登录认证功能,这个登录界面可以不华丽、可以烂,但是一定要有,同时你又不想花费太多的时间浪费在登录页面上, 那么你便可以尝试一下Sa-Token-Quick-Login。
Spring Boot(五十九):Sa-Token-Quick-Login插件快速登录认证
u013938578的博客
02-10 484
试想一下,假如我们开发了一个非常简单的小系统,比如说:服务器性能监控页面, 我们将它部署在服务器上,通过访问这个页面,我们可以随时了解服务器性能信息,非常方便。然而,这个页面方便我们的同时,也方便了一些不法的攻击者,由于这个页面毫无防护的暴露在公网中,任何一台安装了浏览器的电脑都可以随时访问它!你马上就会发现,写个监控页你一下午就可以搞定,然而这个登录页你却可能需要花上两三天的时间,这是一笔及其不划算的时间浪费。为此,我们必须给这个系统加上一个登录认证,只有知晓了后台密码的人员才可以进行访问。
SpringBoot 使用 Sa-Token-Quick-Login 插件实现快速登录认证
Java知音
01-03 263
点击关注公众号,实用技术文章及时了解一、解决的问题Sa-Token-Quick-Login 可以为一个系统快速的、零代码 注入一个登录页面试想一下,假如我们开发了一个非常简单的小系统,比如说:服务器性能监控页面, 我们将它部署在服务器上,通过访问这个页面,我们可以随时了解服务器性能信息,非常方便然而,这个页面方便我们的同时,也方便了一些不法的攻击者,由于这个页面毫无防护的暴露在公网中,任何一台安装...
sa-token及相关登陆认证信息学习(一)——单点登录
qq_40138278的博客
02-14 3509
一.什么是单点登陆 单点登陆就是用户在一个系统登陆后,在访问同一认证体系下的系统时,无需进行二次登陆。其目的时为了优化用户的体验。 简而言之,单点登录可以做到:在多个互相信任的系统中,用户只需登录一次,就可以访问所有系统。 二.单点登陆和Oauth2登陆认证的区别 关于二者的区别,本人觉得,单点登陆是为了让用户无感的在各个系统之间穿梭。是同一个系统,一般是自己公司内部产品使用。而Oauth2认证是为了统一全网的登陆认证模式,该模式的主要是为了不同的系统共享同一套账号,其在认证授权过程需要用户统一才可以。打个
Sa-Token框架介绍 转载于链接:https://juejin.cn/post/7000174417846222878 来源:稀土掘金
weixin_43366953的博客
02-17 1756
Sa-Token框架介绍
sa-token登录失效
03-13
1. 会话过期:sa-token使用会话来管理用户登录状态,如果会话过期时间设置得太短或者用户长时间没有操作,会话就会过期,导致登录失效。 2. 会话被踢出:sa-token支持多终端登录,当用户在一个终端登录后,在另一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值