stu/weblog
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
weblog/doc/5、整合 SaToken 实现 JWT 登录功能/5.2 整合 SaToken 权限认证框架,以及初步尝鲜.md
cuijiawang 971bc89ee9 doc 4 5 6 8
2025-02-17 10:05:44 +08:00

9.4 KiB
Raw Blame History

星球第一个项目 中,我们实现用户认证鉴权功能,是通过 Spring Security 框架来开发的,很多小伙伴反馈,过程繁琐且不易理解,弯弯绕绕的,敲完整个脑壳子嗡嗡的。

本项目中,我们将使用国产的 SaToken 权限认证框架,来实现这块的功能。

1. 什么是 SaToken ?

Sa-Token 是一个轻量级 Java 权限认证框架,官网地址:https://sa-token.cc/ ,主要解决:登录认证权限认证单点登录OAuth2.0分布式Session会话微服务网关鉴权 等一系列权限相关问题。

当你受够 Shiro、SpringSecurity 等框架的三拜九叩之后你就会明白相对于这些传统老牌框架Sa-Token 的 API 设计是多么的简单、优雅!

2. Sa-Token 功能一览

Sa-Token 目前主要五大功能模块登录认证、权限认证、单点登录、OAuth2.0、微服务鉴权。

  • 登录认证 —— 单端登录、多端登录、同端互斥登录、七天内免登录。
  • 权限认证 —— 权限认证、角色认证、会话二级认证。
  • 踢人下线 —— 根据账号id踢人下线、根据Token值踢人下线。
  • 注解式鉴权 —— 优雅的将鉴权与业务代码分离。
  • 路由拦截式鉴权 —— 根据路由拦截鉴权,可适配 restful 模式。
  • Session会话 —— 全端共享Session,单端独享Session,自定义Session,方便的存取值。
  • 持久层扩展 —— 可集成 Redis重启数据不丢失。
  • 前后台分离 —— APP、小程序等不支持 Cookie 的终端也可以轻松鉴权。
  • Token风格定制 —— 内置六种 Token 风格,还可:自定义 Token 生成策略。
  • 记住我模式 —— 适配 [记住我] 模式,重启浏览器免验证。
  • 二级认证 —— 在已登录的基础上再次认证,保证安全性。
  • 模拟他人账号 —— 实时操作任意用户状态数据。
  • 临时身份切换 —— 将会话身份临时切换为其它账号。
  • 同端互斥登录 —— 像QQ一样手机电脑同时在线但是两个手机上互斥登录。
  • 账号封禁 —— 登录封禁、按照业务分类封禁、按照处罚阶梯封禁。
  • 密码加密 —— 提供基础加密算法,可快速 MD5、SHA1、SHA256、AES 加密。
  • 会话查询 —— 提供方便灵活的会话查询接口。
  • Http Basic认证 —— 一行代码接入 Http Basic、Digest 认证。
  • 全局侦听器 —— 在用户登陆、注销、被踢下线等关键性操作时进行一些AOP操作。
  • 全局过滤器 —— 方便的处理跨域,全局设置安全响应头等操作。
  • 多账号体系认证 —— 一个系统多套账号分开鉴权(比如商城的 User 表和 Admin 表)
  • 单点登录 —— 内置三种单点登录模式同域、跨域、同Redis、跨Redis、前后端分离等架构都可以搞定。
  • 单点注销 —— 任意子系统内发起注销,即可全端下线。
  • OAuth2.0认证 —— 轻松搭建 OAuth2.0 服务支持openid模式 。
  • 分布式会话 —— 提供共享数据中心分布式会话方案。
  • 微服务网关鉴权 —— 适配Gateway、ShenYu、Zuul等常见网关的路由拦截认证。
  • RPC调用鉴权 —— 网关转发鉴权RPC调用鉴权让服务调用不再裸奔
  • 临时Token认证 —— 解决短时间的 Token 授权问题。
  • 独立Redis —— 将权限缓存与业务缓存分离。
  • Quick快速登录认证 —— 为项目零代码注入一个登录页面。
  • 标签方言 —— 提供 Thymeleaf 标签方言集成包,提供 beetl 集成示例。
  • jwt集成 —— 提供三种模式的 jwt 集成方案,提供 token 扩展参数能力。
  • RPC调用状态传递 —— 提供 dubbo、grpc 等集成包在RPC调用时登录状态不丢失。
  • 参数签名 —— 提供跨系统API调用签名校验模块防参数篡改防请求重放。
  • 自动续签 —— 提供两种Token过期策略灵活搭配使用还可自动续签。
  • 开箱即用 —— 提供SpringMVC、WebFlux、Solon 等常见框架集成包,开箱即用。
  • 最新技术栈 —— 适配最新技术栈:支持 SpringBoot 3.xjdk 17。

功能结构图:

3. 添加依赖

了解完了 SaToken 以及其优势后,准备将它整合到我们的项目中。编辑项目的最外层 pom.xml 文件,声明 SaToken 的版本号以及依赖:

Tip

: 写此篇文档时SaToken 的最新版本是 1.38.0

    // 省略...
    
    <properties>
        // 省略...
        <sa-token.version>1.38.0</sa-token.version>
    </properties>

    <!-- 统一依赖管理 -->
    <dependencyManagement>
        <dependencies>
			// 省略...

            <!-- Sa-Token 权限认证 -->
            <dependency>
                <groupId>cn.dev33</groupId>
                <artifactId>sa-token-spring-boot3-starter</artifactId>
                <version>${sa-token.version}</version>
            </dependency>
        </dependencies>
    </dependencyManagement>
    
    // 省略...

接着,编辑 xiaohashu-auth 认证服务的 pom.xml , 添加该依赖:

    <dependencies>
		// 省略...

        <!-- Sa-Token 权限认证 -->
        <dependency>
            <groupId>cn.dev33</groupId>
            <artifactId>sa-token-spring-boot3-starter</artifactId>
        </dependency>
    </dependencies>

添加完成后,记得刷新一下 Maven 依赖,将包下载到本地仓库中。

4. 添加配置

依赖添加完毕后,编辑 application.yml 文件,添加 SaToken 基础配置项:

内容如下:

############## Sa-Token 配置 (文档: https://sa-token.cc) ##############
sa-token:
  # token 名称(同时也是 cookie 名称)
  token-name: satoken
  # token 有效期(单位:秒) 默认30天-1 代表永久有效
  timeout: 2592000
  # token 最低活跃频率(单位:秒),如果 token 超过此时间没有访问系统就会被冻结,默认-1 代表不限制,永不冻结
  active-timeout: -1
  # 是否允许同一账号多地同时登录 (为 true 时允许一起登录, 为 false 时新登录挤掉旧登录)
  is-concurrent: true
  # 在多人登录同一账号时,是否共用一个 token (为 true 时所有登录共用一个 token, 为 false 时每次登录新建一个 token
  is-share: true
  # token 风格默认可取值uuid、simple-uuid、random-32、random-64、random-128、tik
  token-style: uuid
  # 是否输出操作日志
  is-log: true

5. 添加登录接口、查询登录状态接口

然后,编辑 TestController 测试类,分别创建用户登录接口、查询登录状态接口,如下图所示:

代码如下:

package com.quanxiaoha.xiaohashu.auth.controller;

import cn.dev33.satoken.stp.StpUtil;
import com.quanxiaoha.framework.biz.operationlog.aspect.ApiOperationLog;
import com.quanxiaoha.framework.common.response.Response;
import org.springframework.validation.annotation.Validated;
import org.springframework.web.bind.annotation.*;

import java.time.LocalDateTime;

/**
 * @author: 犬小哈
 * @url: www.quanxiaoha.com
 * @date: 2024/5/4 12:53
 * @description: TODO
 **/
@RestController
public class TestController {

	// 省略...

    // 测试登录,浏览器访问: http://localhost:8080/user/doLogin?username=zhang&password=123456
    @RequestMapping("/user/doLogin")
    public String doLogin(String username, String password) {
        // 此处仅作模拟示例,真实项目需要从数据库中查询数据进行比对
        if("zhang".equals(username) && "123456".equals(password)) {
            StpUtil.login(10001);
            return "登录成功";
        }
        return "登录失败";
    }

    // 查询登录状态,浏览器访问: http://localhost:8080/user/isLogin
    @RequestMapping("/user/isLogin")
    public String isLogin() {
        return "当前会话是否登录:" + StpUtil.isLogin();
    }
}

6. 自测一波

以上为官方提供的示例接口,添加完成后,重启认证服务,观察控制台日志,若看到下图标注的部分,说明 SaToken 框架整合成功了:

打开浏览器,访问地址 http://localhost:8080/user/doLogin?username=zhang&password=123456 , 测试一下登录接口,若如下图所示,成功返回提示信息,说明登录成功了:

登录成功后,访问地址 http://localhost:8080/user/isLogin , 验证一下登录状态,如下图所示,可以看到会话登录是成功的。

初步尝鲜 SaToken 权限认证框架后,你可以明显感觉到,一个登录功能,如果使用 Spring Security 来实现,就会写一堆代码与配置,而 SaToken 几行代码就搞定了,很舒服有木有~

本小节源码下载

https://t.zsxq.com/UzwcM