Springboot 如何使用 SaToken 进行登录认证、权限管理及路由规则接口拦截
作者:繁华尽头满是殇
Springboot 使用 SaToken 进行登录认证、权限管理以及路由规则接口拦截
前言
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。
还有踢人下线、账号封禁、路由拦截规则、微服务网关鉴权、密码加密等丰富功能
它不比 Shiro 和 SpringSecurity 的功能少,而且配置使用更加简单
一、引入和配置
先给你们看一下 Demo 文件结构
1.引入依赖
如果不需要将 token 信息存入 redis,只需要引入下面这一个依赖
<dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.31.0</version> </dependency>
如果需要将 token 存入 redis,则还需要引入下面的依赖(一般搭建单点登录服务器才需要使用 redis)
使用redis ,无需任何其他配置,只需要多引入下面几个依赖,然后下面的 yml 加一些配置,satoken 就可以自动存储到 redis,非常方便
<!-- Sa-Token 整合 Redis (使用 jackson 序列化方式)--> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-dao-redis-jackson</artifactId> <version>1.31.0</version> </dependency> <!-- Sa-Token插件:权限缓存与业务缓存分离 --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-alone-redis</artifactId> <version>1.31.0</version> </dependency> <!-- 提供Redis连接池 --> <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-pool2</artifactId> </dependency>
2、配置yml
如下代码,如果不需要使用 redis ,则删除
alone-redis
和spring redis
配置,否则连接不到 redis 会报错
如果使用了 redis,我下面的配置是业务和鉴权分离的方式,也就是说,token 存储在
alone-redis
里面配置的数据库,我这里配置的是0
号数据库,它和spring reids
配置的数据库不冲突
server: port: 8081 # Sa-Token配置 sa-token: # token前缀 # Token前缀 与 Token值 之间必须有一个空格。 # 一旦配置了 Token前缀,则前端提交 Token 时,必须带有前缀,否则会导致框架无法读取 Token。 # 由于Cookie中无法存储空格字符,也就意味配置 Token 前缀后,Cookie 鉴权方式将会失效,此时只能将 Token 提交到header里进行传输 # token-prefix: Bearer # token 名称 (同时也是cookie名称) token-name: satoken # token 有效期,单位s 默认30天, -1代表永不过期 timeout: 2592000 # token 临时有效期 (指定时间内无操作就视为token过期) 单位: 秒 activity-timeout: -1 # 是否允许同一账号并发登录 (为true时允许一起登录, 为false时新登录挤掉旧登录) is-concurrent: true # 在多人登录同一账号时,是否共用一个token (为true时所有登录共用一个token, 为false时每次登录新建一个token) is-share: false # token风格 token-style: uuid # 是否输出操作日志 is-log: true # 配置 Sa-Token 单独使用的 Redis 连接 alone-redis: # Redis数据库索引(默认为0) database: 0 # Redis服务器地址 host: 127.0.0.1 # Redis服务器连接端口 port: 6379 # Redis服务器连接密码(默认为空) password: # 连接超时时间 timeout: 10s spring: # 配置业务使用的 Redis 连接 redis: # Redis数据库索引(默认为0) database: 1 # Redis服务器地址 host: 127.0.0.1 # Redis服务器连接端口 port: 6379 # Redis服务器连接密码(默认为空) password: # 连接超时时间 timeout: 10s
3、配置全局异常处理
这一步可以不配置,配置的作用是,在鉴权失败的时候,不会报错,而是返回给前端鉴权失败的原因,方便我们开发调试
下面的异常会在鉴权失败的时候自动返回到前端,无需我们手动抛出和返回
package pers.xuyijie.satokendemo.exception; import cn.dev33.satoken.util.SaResult; import org.springframework.web.bind.annotation.ExceptionHandler; import org.springframework.web.bind.annotation.RestControllerAdvice; /** * @author 徐一杰 * @date 2022/9/23 16:45 * @description SaToken全局异常拦截 */ @RestControllerAdvice public class GlobalExceptionHandler { /** * 全局异常拦截,鉴权失败不会报错,会返回给前端报错原因 * @param e * @return */ @ExceptionHandler public SaResult handlerException(Exception e) { e.printStackTrace(); return SaResult.error(e.getMessage()); } }
4、模拟用户角色和权限
这里我们给用户分配一下我们模拟的角色和权限,正常你们要从数据库读取用户的角色和拥有的权限
这里实现了 StpInterface 下面的方法,下面的方法会在接口鉴权之前自动调用,判断角色和权限,无需我们手动调用
package pers.xuyijie.satokendemo.permission; import cn.dev33.satoken.stp.StpInterface; import org.springframework.stereotype.Component; import java.util.ArrayList; import java.util.List; /** * @author 徐一杰 * @date 2022/9/23 16:46 * @description 获取当前账号的权限和角色列表,这个类下面的方法会在接口鉴权之前自动调用 */ @Component public class UserPermission implements StpInterface { /** * 返回一个账号所拥有的权限码集合 * 即你在调用 StpUtil.login(id) 时写入的标识值。 */ @Override public List<String> getPermissionList(Object loginId, String loginType) { // 本list仅做模拟,实际项目中要根据具体业务逻辑来查询权限 List<String> list = new ArrayList<>(); list.add("1"); list.add("user-add"); list.add("user-delete"); list.add("user-update"); list.add("user-get"); list.add("article-get"); System.out.println("用户权限列表:" + list); return list; } /** * 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验) */ @Override public List<String> getRoleList(Object loginId, String loginType) { // 本list仅做模拟,实际项目中要根据具体业务逻辑来查询角色 List<String> list = new ArrayList<>(); list.add("user"); list.add("admin"); list.add("super-admin"); System.out.println("用户角色列表:" + list); return list; } }
5、配置拦截器
如果在高版本 SpringBoot (≥2.6.x) 下注册拦截器失效,则需要添加 @EnableWebMvc 注解才可以使用
下面我们配置的规则叫作
路由拦截规则
,/user/**
意思就是接口地址为/user
开头的所有接口,也就是说,下面的我们UserController
里面的所有接口都在拦截范围内
package pers.xuyijie.satokendemo.config; import cn.dev33.satoken.config.SaTokenConfig; import cn.dev33.satoken.interceptor.SaInterceptor; import cn.dev33.satoken.router.SaRouter; import cn.dev33.satoken.stp.StpUtil; import org.springframework.boot.SpringBootConfiguration; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Primary; import org.springframework.web.servlet.config.annotation.EnableWebMvc; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; /** * @author 徐一杰 * @date 2022/9/23 16:49 * @description */ @SpringBootConfiguration @EnableWebMvc public class SaTokenConfigure implements WebMvcConfigurer { /** * 注册 Sa-Token 拦截器,打开注解式鉴权功能 * 如果在高版本 SpringBoot (≥2.6.x) 下注册拦截器失效,则需要额外添加 @EnableWebMvc 注解才可以使用 * @param registry */ @Override public void addInterceptors(InterceptorRegistry registry) { // 注册路由拦截器,自定义认证规则 registry.addInterceptor(new SaInterceptor(handler -> { // 登录认证 -- 拦截所有路由,并排除/user/doLogin 用于开放登录 SaRouter.match("/**", "/user/doLogin", r -> StpUtil.checkLogin()); // 角色认证 -- 拦截以 admin 开头的路由,必须具备 admin 角色或者 super-admin 角色才可以通过认证 SaRouter.match("/admin/**", r -> StpUtil.checkRoleOr("admin", "super-admin")); // 权限认证 -- 不同模块认证不同权限 SaRouter.match("/user/**", r -> StpUtil.checkRole("user")); SaRouter.match("/admin/**", r -> StpUtil.checkPermission("admin")); // 甚至你可以随意的写一个打印语句 SaRouter.match("/**", r -> System.out.println("--------权限认证成功-------")); }).isAnnotation(true)) //拦截所有接口 .addPathPatterns("/**") //不拦截/user/doLogin登录接口 .excludePathPatterns("/user/doLogin"); } }
6、controller里调用satoken的方法
方法上面的注解是使用权限认证和拦截器的时候用的,下面我会讲到
我在下面的
UserController
演示了登录
、注销
、检查是否登录
、查看用户token
、获取token有效期
、对称加密
、非对称加密
方法,具体的方法每一行代码的作用,都在注视中写出来了,等一下我们测试每一个方法,为大家展示运行结果并解析代码
package pers.xuyijie.satokendemo.controller; import cn.dev33.satoken.annotation.SaIgnore; import cn.dev33.satoken.basic.SaBasicUtil; import cn.dev33.satoken.secure.SaBase64Util; import cn.dev33.satoken.secure.SaSecureUtil; import cn.dev33.satoken.stp.SaLoginModel; import cn.dev33.satoken.stp.SaTokenInfo; import cn.dev33.satoken.stp.StpUtil; import cn.dev33.satoken.util.SaResult; import org.springframework.web.bind.annotation.PathVariable; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; import java.util.HashMap; /** * @author 徐一杰 * @date 2022/9/23 15:52 * @description */ @RestController @RequestMapping("/user") public class UserController { private static final String USERNAME = "xyj"; private static final String PASSWORD = "123456"; /** * 测试登录 * @param username * @param password * @return */ @RequestMapping("/doLogin") public SaResult doLogin(String username, String password) { //这个方法会强制在浏览器弹出一个认证框 SaBasicUtil.check("sa:123456"); if(username.equals(USERNAME) && password.equals(PASSWORD)) { //这个是登录用户的主键,业务中你要从数据库中读取 StpUtil.login(1); //获取登录生成的token tokenInfo = StpUtil.getTokenInfo(); System.out.println(tokenInfo); return SaResult.ok("登录成功,会话ID为 " + StpUtil.getLoginId() + " ,Token为:" + StpUtil.getTokenValue()); } return SaResult.error("登录失败"); } /** * 查询登录状态 * @return */ @RequestMapping("/signOut") public SaResult signOut() { String loginId = null; if (StpUtil.isLogin()){ loginId = (String) StpUtil.getLoginId(); StpUtil.logout(); } return SaResult.ok("会话ID为 " + loginId + " 的用户注销登录成功"); } /** * 查询登录状态 * @return */ @RequestMapping("/isLogin") public SaResult isLogin() { if (StpUtil.isLogin()){ return SaResult.ok("会话是否登录:" + StpUtil.isLogin() + " ,会话ID为 " + StpUtil.getLoginId()); } return SaResult.ok("会话是否登录:" + StpUtil.isLogin()); } /** * 根据Token值获取对应的账号id,如果未登录,则返回 null * @param tokenValue * @return */ @RequestMapping("/getUserByToken/{tokenValue}") public SaResult getUserByToken(@PathVariable String tokenValue){ return SaResult.ok((String) StpUtil.getLoginIdByToken(tokenValue)); } /** * 获取当前会话剩余有效期(单位:s,返回-1代表永久有效) * @return */ @RequestMapping("/getTokenTimeout") public SaResult getTokenTimeout(){ return SaResult.ok(String.valueOf(StpUtil.getTokenTimeout())); } @SaIgnore @RequestMapping("/encodePassword") public void encodePassword() throws Exception { /** * md5加盐加密: md5(md5(str) + md5(salt)) */ String md5 = SaSecureUtil.md5("123456"); String md5BySalt = SaSecureUtil.md5BySalt("123456", "salt"); System.out.println("MD5加密:" + md5); System.out.println("MD5加盐加密:" + md5BySalt); /** * AES对称加密 */ // 定义秘钥和明文 String key = "123456"; String text = "这是一个明文用于测试AES对称加密"; // 加密 String ciphertext = SaSecureUtil.aesEncrypt(key, text); System.out.println("AES加密后:" + ciphertext); // 解密 String text2 = SaSecureUtil.aesDecrypt(key, ciphertext); System.out.println("AES解密后:" + text2); /** * RSA非对称加密 */ // 定义私钥和公钥 HashMap<String, String> keyMap = SaSecureUtil.rsaGenerateKeyPair(); String privateKey = keyMap.get("private"); String publicKey = keyMap.get("public"); // 文本 String text1 = "这是一个明文用于测试RSA非对称加密"; // 使用公钥加密 String ciphertext1 = SaSecureUtil.rsaEncryptByPublic(publicKey, text1); System.out.println("公钥加密后:" + ciphertext1); // 使用私钥解密 String text3 = SaSecureUtil.rsaDecryptByPrivate(privateKey, ciphertext1); System.out.println("私钥解密后:" + text3); /** * Base64 */ // 文本 String text4 = "这是一个明文用于测试Base64"; // 使用Base64编码 String base64Text = SaBase64Util.encode(text4); System.out.println("Base64编码后:" + base64Text); // 使用Base64解码 String text5 = SaBase64Util.decode(base64Text); System.out.println("Base64解码后:" + text5); } }
下面的
TestController
里面等下演示权限认证和路由拦截的时候用
package pers.xuyijie.satokendemo.controller; import cn.dev33.satoken.annotation.*; import cn.dev33.satoken.util.SaResult; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; /** * @author 徐一杰 * @date 2022/9/23 16:38 * @description */ @RestController @RequestMapping("/test") @SaCheckLogin public class TestController { /** * 此接口加上了 @SaIgnore 可以游客访问 * @return */ @SaIgnore @RequestMapping("/getList") public SaResult getList() { return SaResult.ok("无需登录接口"); } /** * 登陆后才可调用该方法 * @return */ @SaCheckLogin @RequestMapping("/select") public SaResult select(){ return SaResult.ok("查询成功"); } /** * 必须具有指定权限才能进入该方法 * @return */ @SaCheckRole("super-admin") @RequestMapping("/delete") public SaResult delete() { return SaResult.ok("删除成功"); } /** * 注解式鉴权:SaMode.OR 只要具有其中一个权限即可通过校验 * @return */ @RequestMapping("/add") @SaCheckPermission(value = {"user-add", "user-all"}, mode = SaMode.OR) public SaResult add() { return SaResult.ok("添加成功"); } /** * 一个接口在具有权限 user-update 或角色 admin 时可以调通 * @return */ @RequestMapping("/update") @SaCheckPermission(value = "user-add", orRole = "admin") public SaResult update() { return SaResult.ok("更新成功"); } /** * 这个接口测试用 * @return */ @RequestMapping("/testPermission") @SaCheckPermission(value = "user123") public SaResult testPermission() { return SaResult.ok("这个接口测试用"); } }
二、登录演示
到这里,我么前期的配置就已经结束了,下面我开始测试每一个方法,为大家展示运行结果并解析代码,先把项目运行起来
1、登录-doLogin
大家请看,我在请求
/doLogin
这个接口的时候,弹出了下面的认证框,这个就是方法第一行代码的功能,这叫Basic认证
,当然可以不要这一行代码,随你们,认证账号 sa 密码 123456
//这个方法会强制在浏览器弹出一个认证框 SaBasicUtil.check("sa:123456");
进行 Basic认证
后,登陆成功
我这里使用了 redis ,token 已经存储进来了
2、验证登录-isLogin
3、获取token时效-getTokenTimeout
这是我们在 yml 里面配置的时效性,30天的毫秒
4、加密
请求 encodePassword
接口
5、注销登录-logout
三、权限认证和拦截器演示
下面演示上面我们配置的拦截器,satoken 可以直接使用注解来进行拦截,很方便
我们可以发现,我在两个 controller 里面使用了 satoken 的几个注解,注解可以用在方法上或类上
@SaIgnore
忽略该方法,不进行任何拦截和鉴权@SaCheckLogin
登录后才可以调用该接口@SaCheckRole("super-admin")
登录用户必须要是"super-admin"角色才可调用@SaCheckPermission(value = "del")
登录用户必须要有"del"权限才可调用
1、登录认证
下面我们调用添加了
@SaCheckLogin
注解的方法
(1) 未登录情况
(2) 已登陆情况
可以看到调用成功,控制台打印出我们上面拦截器配置的输出信息
2、权限认证
登录后,我们调用增加了
@SaCheckPermission(value = "del")
注解的方法,可以看到提示无此权限:del
,因为前面我们模拟用户权限时,没有给用户分配del
权限
我们再调用增加了
@SaCheckRole("super-admin")
注解的方法,可以看到成功
总结
到此这篇关于Springboot 使用 SaToken 进行登录认证、权限管理以及路由规则接口拦截的文章就介绍到这了,更多相关Springboot SaToken登录认证内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!