sa-token源码解析一

最新推荐文章于 2024-07-02 10:33:08 发布
最新推荐文章于 2024-07-02 10:33:08 发布
阅读量1.8k 收藏 3
点赞数 4
分类专栏: 权限认证框架 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40118044/article/details/121516058
版权

Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证权限认证Session会话

点登录OAuth2.0微服务网关鉴权 等一系列权限相关问题。

首先引入pom

<!-- Sa-Token 权限认证, 在线文档:http://sa-token.dev33.cn/ -->
		<dependency>
            <groupId>cn.dev33</groupId>
            <artifactId>sa-token-spring-boot-starter</artifactId>
            <version>${sa-token-version}</version>
        </dependency>
我们来一起看哈SaToken的登录认证是怎么实现的就一行代码
StpUtil.login(id);

我们从入口debugger看源码

 使用stpLogic

 StpLogic默认type为login

 看stpLogic的构造方法

 

 

 调用stplogic的login方法,传入SaLoginModal配置类

 主要逻辑都在这里面我们一步步看

0.前置检查:如果此账号已被封禁.

SaTokenDao的实现类

 默认实现为SaTokenDaoDefaultImpl 从dataMap中取出为key为封禁的数据,如果不为空说明被封禁

 如果添加了redis支持,则查询通过key查询redis数据

1.初始化 loginModel

 

 starter里SaTokenConfig 已经在spring ioc 过程已经设置进去了

 那SaTokenConfig是怎么读取yml或properties的值

 

 

 

初始哈loginModal完成

2、生成一个token

判断是否允许并发登录,如果配置为共享token, 则尝试从Session签名记录里取出token,如果不允许并发登录,则将这个账号的历史登录标记为:被顶下线,仍未成功创建tokenValue, 则开始生成一个

我们具体来看一哈创建token的方法

 创建的方法是放在SaStrategy里的createToken方法上

 我们继续来看看SaTokenAction接口的实现类 SaTokenActionDefaultImpl

 通过不同规则生产Token(默认,还是uuid )

 3. 获取 User-Session , 续期

续期具体实现实际上就是在SaTokenDao实现类中

 

4. 持久化其它数据    token -> id 映射关系

在redis中数据为

 

 

目前有4种存储值的方法 (在 Request作用域里: 存值、取值)

 

看到这里我们看看这个response从哪里来 

 

 我们能看出来spring中还是通过RequestContextHolder中拿到的response

RequestContextHolder顾名思义,持有上下文的Request容器.

request和response等是什么时候设置进去的?

需要对springMVC结构的`DispatcherServlet`的结构有一定了解

1. HttpServletBean 进行初始化工作

2. FrameworkServlet 初始化 WebApplicationContext,并提供service方法预处理请

3. DispatcherServlet 具体分发处理.

那么就可以在FrameworkServlet查看到该类重写了service(),doGet(),doPost()...等方法,这些实现里面都有一个预处理方法`processRequest(request, response);`,所以定位到了我们要找的位置

查看`processRequest(request, response);`的实现,具体可以分为三步:

  1. 获取上一个请求的参数
  2. 重新建立新的参数
  3. 设置到XXContextHolder
  4. 父类的service()处理请求
  5. 恢复request
  6. 发布事

protected final void processRequest(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
long startTime = System.currentTimeMillis();
Throwable failureCause = null;
//获取上一个请求保存的LocaleContext
    LocaleContext previousLocaleContext = LocaleContextHolder.getLocaleContext();
//建立新的LocaleContext
    LocaleContext localeContext = buildLocaleContext(request);
//获取上一个请求保存的RequestAttributes
    RequestAttributes previousAttributes = RequestContextHolder.getRequestAttributes();
//建立新的RequestAttributes
    ServletRequestAttributes requestAttributes = buildRequestAttributes(request, 
response, previousAttributes);
    WebAsyncManager asyncManager = WebAsyncUtils.getAsyncManager(request);
asyncManager.registerCallableInterceptor(FrameworkServlet.class.getName(), 
new RequestBindingInterceptor());
//具体设置的方法
    initContextHolders(request, localeContext, requestAttributes);
try {
        doService(request, response);
    }
catch (ServletException ex) {
failureCause = ex;
throw ex;
    }
catch (IOException ex) {
   failureCause = ex;
   throw ex;
    }
catch (Throwable ex) {
   failureCause = ex;
   throw new NestedServletException("Request processing failed", ex);
    }
finally {
//恢复
        resetContextHolders(request, previousLocaleContext, previousAttributes);
if (requestAttributes != null) {
requestAttributes.requestCompleted();
        }
if (logger.isDebugEnabled()) {
if (failureCause != null) {
this.logger.debug("Could not complete request", failureCause);
            }
else {
if (asyncManager.isConcurrentHandlingStarted()) {
                    logger.debug("Leaving response open for concurrent processing");
                }
else {
this.logger.debug("Successfully completed request");
                }
            }
        }
//发布事件
        publishRequestHandledEvent(request, response, startTime, failureCause);
    }
}

再看initContextHolders(request, localeContext, requestAttributes)方法,把新的RequestAttributes设置进LocalThread,实际上保存的类型为ServletRequestAttributes,这也是为什么在使用的时候可以把RequestAttributes强转为ServletRequestAttributes.

private void initContextHolders(HttpServletRequest request, 
                                LocaleContext localeContext, 
                                RequestAttributes requestAttributes) {
if (localeContext != null) {
        LocaleContextHolder.setLocaleContext(localeContext, 
this.threadContextInheritable);
    }
if (requestAttributes != null) {
        RequestContextHolder.setRequestAttributes(requestAttributes, 
this.threadContextInheritable);
    }
if (logger.isTraceEnabled()) {
        logger.trace("Bound request context to thread: " + request);
    }
}

 因此RequestContextHolder里面最终保存的为ServletRequestAttributes,这个类相比RequestAttributes`方法是多了很多

好的回归正题

通知监听器,账号xxx 登录成功

 

 回调默认监听器

 返回登录成功

没事搞点事做serendipity
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
sa-token使用(源码解析 + 万字)
2301_82241859的博客
03-30 1967
JVM,JAVA集合,JAVA多线程并发,JAVA基础,Spring原理,微服务,Netty与RPC,网络,日志,Zookeeper,Kafka,RabbitMQ,Hbase,MongoDB,Cassandra,设计模式,负载均衡,数据库,一致性哈希,JAVA算法,数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算…《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取!家的负担。
基于SpringBoot的影像注册系统04 sa-token使用(源码解析 + 万字
m0_67614284的博客
05-03 1683
逻辑:查询username存不存在,再查询密码是否正确,只要没有抛异常就调用sa-token的login方法。 StpUtil.login(userReal.getId()); login方法传入我们user的id,比如: 把int类型的数值传进去了。 步骤 4 sa-token登录认证 ================= [核心思想](() 所谓登录认证,说白了就是限制某些API接口必须登录后才能访问(例:查询我的账号资料) 那么如何判断一个会话是否登录?框架会在登录成功后给你做个标记,每次登录认证时校
sa-token部分源码分析
ZHANGLIZENG的博客
02-14 1329
to-token基本介绍及部分源码分析...
Sa-Token比spring security好用一百倍
最新发布
WXY888888888的博客
07-02 1437
SA-Token 是一个功能强大且灵活的权限认证框架,适用于各种 Java Web 应用程序。它简化了身份验证和权限管理的复杂性,为开发者提供了一套易于使用且安全可靠的解决方案。通过使用 SA-Token,开发者可以专注于业务逻辑的实现,而无需担心复杂的权限控制问题。Sa-Token 功能一览Sa-Token 目前主要五大功能模块:登录认证、权限认证、单点登录、OAuth2.0、微服务鉴权。登录认证—— 单端登录、多端登录、同端互斥登录、七天内免登录。权限认证—— 权限认证、角色认证、会话二级认证。
mall :sa-token项目源码解析
忆~遂愿的博客
08-22 1788
对开源项目的mall :sa-token源码解析
sa-token封装了一下
03-15
sa-token封装了一下”这个标题表明了这是一个关于sa-token的讨论,sa-token是一个轻量级的Java权限认证框架,主要用于解决权限认证和授权问题。这里的“封装了一下”可能意味着有人或团队对sa-token进行了二次开发...
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用
05-22
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用 前端使用html jquery ajax异步请求 后端springboot框架,Sa-Token框架。 jdk使用1.8 mysql 8.0
基于 SpringBoot 3+、sa-token、Layui 2.8+ 可前后端分离的后台管理系统
03-08
基于 SpringBoot 3+、sa-token、Layui 2.8+ 可前后端分离的后台管理系统,可以用于常见的的 Web 应用程序,比如网站管理后台等。.zip 适合学习/练手、毕业设计、课程设计、期末/期中/大作业、工程实训、相关项目/...
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台源代码
06-16
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台 ...Sa-Token:一个轻量级 java 权限认证框架,让鉴权变得简单、优雅! 权限认证使用Jwt,支持多终端认证系统。 支持加载动态权限菜单,多方式轻松权限控制
SpringBoot(51) 整合Sa-Token实现权限认证
08-17
SpringBoot(51) 整合Sa-Token实现权限认证
探索 Sa-Token (三) 权限认证原理
weixin_38982591的博客
09-08 5239
sa-token 权限认证源码分析
权限框架之Sa-Token基础讲解
上善若泪
02-15 1005
Sa-Token)是一个基于Java的权限认证框架,用于在Web和普通Java应用中进行身份认证和权限控制。它的设计理念是简单易用、功能全面,适用于各种场景。Sa-Token简单易用: 提供了简洁的 API,易于学习和使用。全面功能: 支持身份认证、权限控制、单点登录、会话管理等多种功能。支持多种存储方式: 可以选择内存存储、数据库存储等多种方式存储会话信息。
Sa-Token源码简单阅读
yaoct的博客
04-23 1255
获取权限在第三方框架snowy中比较简单,因为缓存中已经存有token和session的映射(session中存有用户信息),直接通过token就能在缓存中取到了。取角色权限未必需要在过滤器中调用,可以在任何需要的时候调用。第三方框架snowy在登录时又在缓存中存了用户权限角色基本信息,方便单点登录时取权限角色信息(存在上面session的dataMap中)中存入用户信息(一般必须要有用户标识和访问token,或再加一些附加信息如用户的角色权限),再返回访问token给客户端。3.获取角色权限的方式。
SA-TokenJava 的轻量级权限管理与会话控制框架
GSl0408的博客
03-04 1251
作为一款轻量级的权限管理与会话控制框架,SA-Token 在提供简单易用、高性能可靠的同时,也保障了系统的安全性,是 Java 开发中的一款不可或缺的工具。SA-Token 的核心原理是基于 Token 的会话管理机制,主要包括会话创建、会话存储、会话验证和会话销毁等过程。SA-Token 提供了丰富的 API 来管理会话,例如创建会话、获取会话信息、验证会话是否有效等。可以在需要的地方直接调用这些 API。使用 SA-Token 提供的 API 进行会话管理,包括会话创建、会话验证、会话销毁等操作。
Sa-Token浅谈
imVainiycos的博客
12-14 5163
官网介绍的非常详细,主要突出这是一个轻量级鉴权框架的特点,详情可自行访问:https://sa-token.dev33.cn/doc.html#/
单点登录原理、解决方案、基于satoken的实现
love_eat_peach的博客
06-20 4211
当前会话是否登录:" + StpUtil.isLogin() + "
基于Token的身份验证的原理
热门推荐
一土宁的博客
05-06 4万+
目录 1 发展史 2 Cookie 3 Session 3.1cookie和session的区别 4 Token 4.1 传统方式——基于服务器的验证 4.2 基于服务器验证方式暴露的一些问题 4.3 基于Token的验证原理 4.5 Tokens的优势 参考文献 1 发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某...
sa-token如何校验token
07-28
sa-token可以通过以下配置来校验token: 1. 配置token名称:在yml配置文件中,可以通过设置`sa-token.token-name`来指定token的名称,例如`sa-token.token-name: X-Token`\[1\]。 2. 配置token有效期:可以通过设置`sa-token.timeout`来指定token的有效期,单位为秒,默认为30天,可以设置为-1代表永不过期,例如`sa-token.timeout: 2592000`\[1\]。 3. 配置token临时有效期:可以通过设置`sa-token.activity-timeout`来指定token的临时有效期,即在指定时间内无操作就视为token过期,单位为秒,默认为-1,表示不设置临时有效期,例如`sa-token.activity-timeout: -1`\[1\]。 4. 配置是否允许同一账号并发登录:可以通过设置`sa-token.is-concurrent`来指定是否允许同一账号并发登录,为true时允许一起登录,为false时新登录会挤掉旧登录,例如`sa-token.is-concurrent: true`\[1\]。 5. 配置是否共用一个token:可以通过设置`sa-token.is-share`来指定在多人登录同一账号时,是否共用一个token,为true时所有登录共用一个token,为false时每次登录会新建一个token,例如`sa-token.is-share: true`\[1\]。 6. 配置是否输出操作日志:可以通过设置`sa-token.is-log`来指定是否输出操作日志,为true时输出操作日志,为false时不输出操作日志,例如`sa-token.is-log: false`\[1\]。 7. 配置是否使用cookie保存token:可以通过设置`sa-token.is-read-cookie`来指定是否使用cookie保存token,为true时使用cookie保存token,为false时不使用cookie保存token,例如`sa-token.is-read-cookie: false`\[1\]。 8. 配置是否使用head保存token:可以通过设置`sa-token.is-read-head`来指定是否使用head保存token,为true时使用head保存token,为false时不使用head保存token,例如`sa-token.is-read-head: true`\[1\]。 通过以上配置,sa-token可以根据配置的规则来校验token的有效性。 #### 引用[.reference_title] - *1* [最简单的权限验证实现——使用Sa-Token进行权限验证](https://blog.csdn.net/lp840312696/article/details/127072424)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [探索 Sa-Token (一) SpringBoot 集成 Sa-Token](https://blog.csdn.net/weixin_38982591/article/details/126764928)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

没事搞点事做serendipity

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值