给你开开眼来看看我的Java鉴权系统

最新推荐文章于 2024-05-06 23:20:59 发布
最新推荐文章于 2024-05-06 23:20:59 发布
阅读量1.7k 收藏 11
点赞数 2
分类专栏: 开源指北 文章标签: 网络 docker 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44015043/article/details/123908979
版权

哈喽,大家好,我是指北君

大家有没有发现,现在我们已经习惯了一处登录,处处使用的设计,但是你知道该如何实现吗?又该如何优雅的实现?

前言

不知道在前几年互联网还没有那么发达的时候,大家有没有感触到?

那个时候我们还是不太敢把我们的钱都存放在支付宝里面,心里想着“看不见,摸不着”,很容易就会被盗取。而且那个时间段里面,一些黑客的入侵也比较频繁,在一些安全技术没有那么完善的前提下,确实也出现过几次鲜为人知的圈内大事件。

但是近三年的互联网飞速发展,我们好像已经习惯了享受:“一键登录支付宝,就可以在各大购物网站中畅快支付,不需要再进行频繁地登录与登出,只需要一个支付宝用户名和密码,就可以完成你想要做的所有事情”

大家有没有想过背后的原理呢? 可能对于我们程序员圈之外的人来说,这些好像会说:“这些不都该是基础的功能吗?”但是对于我们圈内的人来说,其中的原理与实现确实能够作为衡量我们技术水平的一个关键点

但是我们该如何设计

首先让我们来看看【周志明-《深入理解java虚拟机》作者】在其凤凰架构中写到的 架构安全性的几大要素

  • [认证](Authentication):系统如何正确分辨出操作用户的真实身份?
  • [授权]( Authorization):系统如何控制一个用户该看到哪些数据、能操作哪些功能?
  • [凭证](Credential):系统如何保证它与用户之间的承诺是双方当时真实意图的体现,是准确、完整且不可抵赖的?
  • [保密](Confidentiality):系统如何保证敏感数据无法被包括系统管理员在内的内外部人员所窃取、滥用?
  • [传输]:系统如何保证通过网络传输的信息无法被第三方窃听、篡改和冒充?
  • [验证]:系统如何确保提交到每项服务中的数据是合乎规则的,不会对系统稳定性、数据一致性、正确性产生风险?

如上所示,首当其冲的就是认证——如何辨别是你,然后就是授权——如何访问数据,以及凭证——如何保证唯一性等等,在我们想要设计时候,也就可以从这些地方入手。无论是说引用已经存在的框架,或者是说自己去设计。

当然对于一些已经有着丰富经验的老司机可能会说:“shiro 和 SpringSecurity 不是都已经实现了这些功能吗,直接引入就好了,指北君又在卖什么关子呢,想要表达什么呢?”

这个时候指北君会很严肃的反驳大家,shiroSpringSecurity有对应的自定义 Realm 去进行权限的校验,需要设置对应的诸多全局过滤器,以及各种配置文件等等。

揭开面纱

而今天介绍的Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证权限认证Session会话单点登录OAuth2.0微服务网关鉴权 等一系列权限相关问题。

对于登录来说 Sa-Token 只需要这样:

// 在登录时写入当前会话的账号id
StpUtil.login(10001);

// 然后在需要校验登录处调用以下方法:
// 如果当前会话未登录,这句代码会抛出 `NotLoginException` 异常
StpUtil.checkLogin();

至此,我们已经借助 Sa-Token 完成登录认证!

没错,在 Sa-Token 中,登录认证就是如此简单,不需要任何的复杂前置工作,只需这一行简单的API调用,就可以完成会话登录认证!

当你受够 ShiroSpringSecurity 等框架的三拜九叩之后,你就会明白,相对于这些传统老牌框架,Sa-Token 的 API 设计是多么的简单、优雅!

权限认证示例(只有具备 user:add 权限的会话才可以进入请求):

@SaCheckPermission("user:add")
@RequestMapping("/user/insert")
public String insert(SysUser user) {
   
    // ...
    return "用户增加";
}

将某个账号踢下线(待到对方再次访问系统时会抛出NotLoginException异常):

// 将账号id为 10001 的会话踢下线
StpUtil.kickout(10001);

Sa-Token 中,绝大多数功能都可以 一行代码 完成:

StpUtil.login(10001);    // 标记当前会话登录的账号id
StpUtil.getLoginId();    // 获取当前会话登录的账号id
StpUtil.isLogin();    // 获取当前会话是否已经登录, 返回true或false
StpUtil.logout();    // 当前会话注销登录
StpUtil.kickout(10001);    // 将账号为10001的会话踢下线
StpUtil.hasRole("super-admin");    // 查询当前账号是否含有指定角色标识, 返回true或false
StpUtil.hasPermission("user:add");    // 查询当前账号是否含有指定权限, 返回true或false
StpUtil.getSession();    // 获取当前账号id的Session
StpUtil.getSessionByLoginId(10001
最低0.47元/天 解锁文章
黛色翩翩
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合Sa-Token
weixin_44864594的博客
07-14 3280
SpringBoot整合Sa-Token入门介绍技术理论技术实践 入门介绍 Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0 等一系列权限相关问题 框架集成简单、开箱即用、API设计清爽,功能十分强大 技术理论 Sa-Token对于权限登录有着更为简洁的API,省下了很多繁琐的固定要写的代码 能做些什么? 登录验证 —— 单端登录、多端登录、同端互斥登录、七天内免登录 权限验证 —— 权限认证、角色认证、会话二级认证 Sessio
Spring Boot中使用Sa-Token实现轻量级登录与鉴权
m0_71777195的博客
02-23 2277
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。功能结构图@Data@Component // 保证此类被SpringBoot扫描,完成Sa-Token的自定义权限验证扩展/*** 返回一个账号所拥有的权限码集合*/@Override// 本list仅做模拟,实际项目中要根据具体业务逻辑来查询权限//从redis中获取权限/**
一个轻量的登录鉴权工具Sa-Token 集成SpringBoot简要步骤
qq_37529302的博客
05-30 1620
Sa-Token是一个轻量级Java权限认证框架。主要解决的问题如下:登录认证权限认证单点登录OAuth2.0分布式Session会话微服务网关鉴权等一系列权限相关问题。
SaToken框架实现在Rpc上下文的login处理逻辑
最新发布
qq_61925446的博客
05-06 711
最近在工作中遇到一个需求,需要在项目A中实现一个rpc接口供其他项目调用,接口返回登录token,从而实现其他项目的用户能免密登录到项目A。项目A是用了SaToken来做的鉴权,原本我的打算是直接在rpc中调用StpUtil.login()方法来实现登录,并通过Stputil获取到token。
Sa token的相关学习
m0_61909204的博客
06-13 668
因为每个项目的需求不同,其权限设计也千变万化,因此 [ 获取当前账号权限码集合 ] 这一操作不可能内置到框架中, 所以 Sa-Token 将此操作以接口的方式暴露给你,以方便你根据自己的业务逻辑进行重写。此处仅仅做了会话登录,但并没有主动向前端返回 Token 信息。严格来讲是需要的,只不过。方法利用了 Cookie 自动注入的特性,省略了你手写返回 Token 的代码。有同学要问,鉴权失败,抛出异常,然后呢?在Sa-Token中,角色和权限可以独立验证。你需要做的就是新建一个类,实现。
sa-token学习笔记
m0_46506164的博客
03-20 851
Sa-Token登录认证权限认证单点登录OAuth2.0分布式Session会话微服务网关鉴权等一系列权限相关问题。
从开眼看世界到维新变法PPT课件.pptx
10-11
从开眼看世界到维新变法PPT课件.pptx
从开眼看世界到维新变法.pptx
11-30
从开眼看世界到维新变法.pptx
从开眼看世界到维新变法学习教案.pptx
11-19
从开眼看世界到维新变法学习教案.pptx
从开眼看世界到维新变法PPT学习教案.pptx
10-02
从开眼看世界到维新变法PPT学习教案.pptx
第8课“从开眼看世界”到维新变法.pptx
01-21
第8课“从开眼看世界”到维新变法.pptx
基于SpringBoot的影像注册系统04 sa-token使用(源码解析 + 万字
m0_67614284的博客
05-03 1627
逻辑:查询username存不存在,再查询密码是否正确,只要没有抛异常就调用sa-token的login方法。 StpUtil.login(userReal.getId()); login方法传入我们user的id,比如: 把int类型的数值传进去了。 步骤 4 sa-token登录认证 ================= [核心思想](() 所谓登录认证,说白了就是限制某些API接口必须登录后才能访问(例:查询我的账号资料) 那么如何判断一个会话是否登录?框架会在登录成功后给你做个标记,每次登录认证时校
简单易学sa-token快速搭建——权限认证《一》
weixin_45883611的博客
01-28 3430
token
spring boot +Sa-Token优雅的实现项目鉴权
wcj_java的专栏
05-24 1282
Sa-Token是一个轻量级Java权限认证框架。主要解决的问题如下:登录认证权限认证单点登录OAuth2.0分布式Session会话微服务网关鉴权等一系列权限相关问题。Sa-Token框架是一个轻量级的登录、鉴权框架,有利于我们开发。
登录认证施法教程
zollty的专栏
12-31 368
如果你对以上代码阅读没有压力,你可能会注意到略显奇怪的一点:此处仅仅做了会话登录,但并没有主动向前端返回 Token 信息。所谓登录认证,指的就是服务器校验账号密码,为用户颁发 Token 会话凭证的过程,这个 Token 也是我们后续判断会话是否登录的关键所在。方法利用了 Cookie 自动注入的特性,省略了你手写返回 Token 的代码。佳都科技啊打卡机阿德。没那么那倒是,魅力之城,做错了。啊打卡机,收款方健康减肥。大健康及时反馈,啊大健康大健康。因此,在 Cookie 功能的加持下,我们可以仅靠。
SpringBoot 项目使用 Sa-Token 完成登录认证
wsnbb_2023的博客
07-20 983
所谓登录认证,指的就是服务器校验账号密码,为用户颁发 Token 会话凭证的过程,这个 Token 也是我们后续判断会话是否登录的关键所在。如果你对以上代码阅读没有压力,你可能会注意到略显奇怪的一点:此处仅仅做了会话登录,但并没有主动向前端返回 Token 信息。注意:以上代码并非处理逻辑的最佳方式,只为以最简单的代码演示出场景值的获取与应用,大家可以根据自己的项目需求来定制化处理。对于一些登录之后才能访问的接口(例如:查询我的账号资料),我们通常的做法是增加一层接口校验:。严格来讲是需要的,只不过。
权限认证体系Sa-Token应用
qq_36602951的博客
04-06 5386
零、调研下权限系统工具Sa-Token 开源项目-官网入口:Sa-Token
Sa-token简单介绍和基本使用
热门推荐
weixin_43967582的博客
12-21 4万+
Sa-Token 官方文档 官方文档写的很好,推荐去参考 1.概述 1.1 Sa-Token介绍 Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关问题。 功能简单示例 Sa-Token 的 API 设计非常简单,有多简单呢?以登录认证为例,你只需要: // 在登录时写入当前会话的账号id StpUtil.login(10001); // 然后在需要校验登录处调用以下方法: // 如
java 常见面试题
07-27
1. 什么是 Java 中的面向对象编程2. Java 中的类和对象有什么区别? 3. 什么是封装、继承和多态? 4. Java 中的接口和抽象类有什么区别? 5. 什么是 Java 中的异常处理机制?...如果你还有其他问题,可以继续问我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值