龙空技术网

Sa-Token,让你的权限认证更简单

技术闲聊DD 680

前言:

目前看官们对“aspnetmvc泛解析”都比较关怀,看官们都需要学习一些“aspnetmvc泛解析”的相关资讯。那么小编同时在网摘上收集了一些有关“aspnetmvc泛解析””的相关文章,希望我们能喜欢,小伙伴们快快来学习一下吧!

今天给大家介绍一个轻量级 Java 权限认证框架,我们之前一直采用最多的鉴权框架是OAuth2.0或者SpringSecurity,但是两者的配置都相当复杂,学习成本也非常高,所以我一直在试图寻找更好的解决办法,这几天在搭建权限体系平台的时候,调研到了这一款开源框架,后续我会为大家详细介绍这款框架的详细使用。希望大家多多关注点赞支持!!

官网地址:

Sa-Token介绍

Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。

它的简单让你感到惊讶,比如最常见的登录:

// 会话登录,参数填登录人的账号id StpUtil.login(10001);

就仅仅这一行代码即可搞定,无需实现任何接口,无需创建任何配置文件,只需要这一句静态代码的调用,便可以完成会话登录认证。

Sa-Token功能

登录认证 —— 单端登录、多端登录、同端互斥登录、七天内免登录权限认证 —— 权限认证、角色认证、会话二级认证Session会话 —— 全端共享Session、单端独享Session、自定义Session踢人下线 —— 根据账号id踢人下线、根据Token值踢人下线账号封禁 —— 登录封禁、按照业务分类封禁、按照处罚阶梯封禁持久层扩展 —— 可集成Redis、Memcached等专业缓存中间件,重启数据不丢失分布式会话 —— 提供jwt集成、共享数据中心两种分布式会话方案微服务网关鉴权 —— 适配Gateway、ShenYu、Zuul等常见网关的路由拦截认证单点登录 —— 内置三种单点登录模式:无论是否跨域、是否共享Redis,都可以搞定OAuth2.0认证 —— 轻松搭建 OAuth2.0 服务,支持openid模式二级认证 —— 在已登录的基础上再次认证,保证安全性Basic认证 —— 一行代码接入 Http Basic 认证独立Redis —— 将权限缓存与业务缓存分离临时Token认证 —— 解决短时间的Token授权问题模拟他人账号 —— 实时操作任意用户状态数据临时身份切换 —— 将会话身份临时切换为其它账号前后端分离 —— APP、小程序等不支持Cookie的终端同端互斥登录 —— 像QQ一样手机电脑同时在线,但是两个手机上互斥登录多账号认证体系 —— 比如一个商城项目的user表和admin表分开鉴权Token风格定制 —— 内置六种Token风格,还可:自定义Token生成策略、自定义Token前缀注解式鉴权 —— 优雅的将鉴权与业务代码分离路由拦截式鉴权 —— 根据路由拦截鉴权,可适配restful模式自动续签 —— 提供两种Token过期策略,灵活搭配使用,还可自动续签会话治理 —— 提供方便灵活的会话查询接口记住我模式 —— 适配[记住我]模式,重启浏览器免验证密码加密 —— 提供密码加密模块,可快速MD5、SHA1、SHA256、AES、RSA加密全局侦听器 —— 在用户登陆、注销、被踢下线等关键性操作时进行一些AOP操作开箱即用 —— 提供SpringMVC、WebFlux等常见web框架starter集成包,真正的开箱即用

功能点的实现

登录认证

我们先梳理下登录认证流程:

用户提交 name + password 参数,调用登录接口。登录成功,返回这个用户的 Token 会话凭证。用户后续的每次请求,都携带上这个 Token。服务器根据 Token 判断此会话是否登录成功。

说到本质,其实所谓的登录认证就是,服务器校验账号密码,然后为用户颁发令牌,然后用户在后续的请求中,携带token,服务器根据token判断是否可以访问。

1. 登录和注销

在认证的第一步,我们得先要进行登录,在登录的时候,我们只需要一行代码即可搞定:

// 会话登录:参数填写要登录的账号id,建议的数据类型:long | int | String, 不可以传入复杂类型,如:User、Admin 等等StpUtil.login(Object id);

底层sa-token做了大量的工作,包括:

检查此账号是否之前已有登录;为账号生成 Token 凭证与 Session 会话;记录 Token 活跃时间;通知全局侦听器,xx 账号登录成功;将 Token 注入到请求上下文;

由此,Sa-Token 为这个账号创建了一个Token凭证,且通过 Cookie 上下文返回给了前端。

测试代码如下:

// 会话登录接口 @RequestMapping("doLogin")public SaResult doLogin(String name, String pwd) {    // 第一步:比对前端提交的账号名称、密码    if("zhang".equals(name) && "123456".equals(pwd)) {        // 第二步:根据账号id,进行登录         StpUtil.login(10001);        return SaResult.ok("登录成功");    }    return SaResult.error("登录失败");}

有没有发现,我们并没有给前端返回token,那么前端是怎么拿到的,其实是StpUtil.login(id) 方法利用了 Cookie 自动注入的特性,省略了你手写返回 token 的代码。Cookie 可以从后端控制往浏览器中写入 token 值,也会在前端每次发起请求时自动提交 token 值,这样我们就完成了登录认证。

但是要注意这种写法,真正在生产上是不可行的,所以我们就得需要手动将token返回给后端。

还有一些方法需要我们注意:

// 当前会话注销登录StpUtil.logout();// 获取当前会话是否已经登录,返回true=已登录,false=未登录StpUtil.isLogin();// 检验当前会话是否已经登录, 如果未登录,则抛出异常:`NotLoginException`StpUtil.checkLogin();

2. token 查询

// 获取当前会话的 token 值StpUtil.getTokenValue();// 获取当前`StpLogic`的 token 名称StpUtil.getTokenName();// 获取指定 token 对应的账号id,如果未登录,则返回 nullStpUtil.getLoginIdByToken(String tokenValue);// 获取当前会话剩余有效期(单位:s,返回-1代表永久有效)StpUtil.getTokenTimeout();// 获取当前会话的 token 信息参数StpUtil.getTokenInfo();

3. 测试

这里我们来一个小的测试:

/** * 登录测试  */@RestController@RequestMapping("/acc/")public class LoginController {    // 测试登录  ----     @RequestMapping("doLogin")    public SaResult doLogin(String name, String pwd) {        // 此处仅作模拟示例,真实项目需要从数据库中查询数据进行比对         if("zhang".equals(name) && "123456".equals(pwd)) {            StpUtil.login(10001);            return SaResult.ok("登录成功");        }        return SaResult.error("登录失败");    }    // 查询登录状态  ----     @RequestMapping("isLogin")    public SaResult isLogin() {        return SaResult.ok("是否登录:" + StpUtil.isLogin());    }        // 查询 Token 信息  ----     @RequestMapping("tokenInfo")    public SaResult tokenInfo() {        return SaResult.data(StpUtil.getTokenInfo());    }        // 测试注销  ----     @RequestMapping("logout")    public SaResult logout() {        StpUtil.logout();        return SaResult.ok();    }    }
权限认证

所谓权限认证,核心逻辑就是判断一个账号是否拥有指定权限,深入到底层数据中,就是每个账号都会拥有一组权限码集合,框架来校验这个集合中是否包含指定的权限码。

所以现在我们的核心任务是:如何获取一个账号所拥有的权限码集合;本次操作需要验证的权限码是哪个。

1. 获取当前账号权限码集合

新建一个类,实现 StpInterface接口

/** * 自定义权限加载接口实现类 */@Component    // 保证此类被 SpringBoot 扫描,完成 Sa-Token 的自定义权限验证扩展 public class StpInterfaceImpl implements StpInterface {    /**     * 返回一个账号所拥有的权限码集合      */    @Override    public List<String> getPermissionList(Object loginId, String loginType) {        // 本 list 仅做模拟,实际项目中要根据具体业务逻辑来查询权限        List<String> list = new ArrayList<String>();            list.add("101");        list.add("user.add");        list.add("user.update");        list.add("user.get");        // list.add("user.delete");        list.add("art.*");        return list;    }    /**     * 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)     */    @Override    public List<String> getRoleList(Object loginId, String loginType) {        // 本 list 仅做模拟,实际项目中要根据具体业务逻辑来查询角色        List<String> list = new ArrayList<String>();            list.add("admin");        list.add("super-admin");        return list;    }}

接口详细说明

要注意,它的调用,不需要你来直接调用,而是当你调用下面的权限校验方法的时候,它会自动执行。

2. 权限校验

// 获取:当前账号所拥有的权限集合StpUtil.getPermissionList();// 判断:当前账号是否含有指定权限, 返回 true 或 falseStpUtil.hasPermission("user.add"); // 校验:当前账号是否含有指定权限, 如果验证未通过,则抛出异常: NotPermissionException StpUtil.checkPermission("user.add"); // 校验:当前账号是否含有指定权限 [指定多个,必须全部验证通过]StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get"); // 校验:当前账号是否含有指定权限 [指定多个,只要其一验证通过即可]StpUtil.checkPermissionOr("user.add", "user.delete", "user.get");

3. 角色校验

// 获取:当前账号所拥有的角色集合StpUtil.getRoleList();// 判断:当前账号是否拥有指定角色, 返回 true 或 falseStpUtil.hasRole("super-admin"); // 校验:当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleExceptionStpUtil.checkRole("super-admin"); // 校验:当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]StpUtil.checkRoleAnd("super-admin", "shop-admin"); // 校验:当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可] StpUtil.checkRoleOr("super-admin", "shop-admin");

4. 权限通配符

Sa-Token允许你根据通配符指定泛权限,例如当一个账号拥有art.*的权限时,art.add、art.delete、art.update都将匹配通过。

踢人下线

所谓踢人下线,核心操作就是找到指定 loginId 对应的 Token,并设置其失效。

1. 强制注销

StpUtil.logout(10001); // 强制指定账号注销下线 StpUtil.logout(10001, "PC"); // 强制指定账号指定端注销下线 StpUtil.logoutByTokenValue("token"); // 强制指定 Token 注销下线

2. 踢人下线

StpUtil.kickout(10001); // 将指定账号踢下线 StpUtil.kickout(10001, "PC"); // 将指定账号指定端踢下线StpUtil.kickoutByTokenValue("token"); // 将指定 Token 踢下线

强制注销 和 踢人下线 的区别在于:

强制注销等价于对方主动调用了注销方法,再次访问会提示:Token无效。踢人下线不会清除Token信息,而是将其打上特定标记,再次访问会提示:Token已被踢下线。路由拦截鉴权

比如需求:项目中所有接口均需要登录认证,只有 “登录接口” 本身对外开放。

1. 注册 Sa-Token 路由拦截器

@Configurationpublic class SaTokenConfigure implements WebMvcConfigurer {    // 注册拦截器    @Override    public void addInterceptors(InterceptorRegistry registry) {        // 注册 Sa-Token 拦截器,校验规则为 StpUtil.checkLogin() 登录校验。        registry.addInterceptor(new SaInterceptor(handle -> StpUtil.checkLogin()))                .addPathPatterns("/**")                .excludePathPatterns("/user/doLogin");     }}

以上代码,我们注册了一个基于 StpUtil.checkLogin() 的登录校验拦截器,并且排除了/user/doLogin接口用来开放登录(除了/user/doLogin以外的所有接口都需要登录才能访问)。

2. 校验函数详解

自定义认证规则:new SaInterceptor(handle -> StpUtil.checkLogin()) 是最简单的写法,代表只进行登录校验功能。

@Configurationpublic class SaTokenConfigure implements WebMvcConfigurer {    @Override    public void addInterceptors(InterceptorRegistry registry) {        // 注册 Sa-Token 拦截器,定义详细认证规则         registry.addInterceptor(new SaInterceptor(handler -> {            // 指定一条 match 规则            SaRouter                .match("/**")    // 拦截的 path 列表,可以写多个 */                .notMatch("/user/doLogin")        // 排除掉的 path 列表,可以写多个                 .check(r -> StpUtil.checkLogin());        // 要执行的校验动作,可以写完整的 lambda 表达式                            // 根据路由划分模块,不同模块不同鉴权             SaRouter.match("/user/**", r -> StpUtil.checkPermission("user"));            SaRouter.match("/admin/**", r -> StpUtil.checkPermission("admin"));            SaRouter.match("/goods/**", r -> StpUtil.checkPermission("goods"));            SaRouter.match("/orders/**", r -> StpUtil.checkPermission("orders"));            SaRouter.match("/notice/**", r -> StpUtil.checkPermission("notice"));            SaRouter.match("/comment/**", r -> StpUtil.checkPermission("comment"));        })).addPathPatterns("/**");    }}

SaRouter.match() 匹配函数有两个参数:

参数一:要匹配的path路由;

参数二:要执行的校验函数。

今天sa-token就给大家讲到这里,这里只是一个入门和基础,后面我会连续出几篇文章,为大家更加详细深入地讲解sa-token在生产中的用法,以及会给大家进行生产实战,希望大家多多点赞关注支持!!!

标签: #aspnetmvc泛解析