今天給大家介紹一個輕量級 Java 權限認證架構,我們之前一直采用最多的鑒權架構是OAuth2.0或者SpringSecurity,但是兩者的配置都相當複雜,學習成本也非常高,是以我一直在試圖尋找更好的解決辦法,這幾天在搭建權限體系平台的時候,調研到了這一款開源架構,後續我會為大家詳細介紹這款架構的詳細使用。希望大家多多關注點贊支援!!
官網位址:https://sa-token.cc/
Sa-Token介紹
Sa-Token 是一個輕量級 Java 權限認證架構,主要解決:登入認證、權限認證、單點登入、OAuth2.0、分布式Session會話、微服務網關鑒權 等一系列權限相關問題。
它的簡單讓你感到驚訝,比如最常見的登入:
// 會話登入,參數填登入人的賬号id
StpUtil.login(10001); 就僅僅這一行代碼即可搞定,無需實作任何接口,無需建立任何配置檔案,隻需要這一句靜态代碼的調用,便可以完成會話登入認證。
Sa-Token功能
- 登入認證 —— 單端登入、多端登入、同端互斥登入、七天内免登入
- 權限認證 —— 權限認證、角色認證、會話二級認證
- Session會話 —— 全端共享Session、單端獨享Session、自定義Session
- 踢人下線 —— 根據賬号id踢人下線、根據Token值踢人下線
- 賬号封禁 —— 登入封禁、按照業務分類封禁、按照處罰階梯封禁
- 持久層擴充 —— 可內建Redis、Memcached等專業緩存中間件,重新開機資料不丢失
- 分布式會話 —— 提供jwt內建、共享資料中心兩種分布式會話方案
- 微服務網關鑒權 —— 适配Gateway、ShenYu、Zuul等常見網關的路由攔截認證
- 單點登入 —— 内置三種單點登入模式:無論是否跨域、是否共享Redis,都可以搞定
- OAuth2.0認證 —— 輕松搭建 OAuth2.0 服務,支援openid模式
- 二級認證 —— 在已登入的基礎上再次認證,保證安全性
- Basic認證 —— 一行代碼接入 Http Basic 認證
- 獨立Redis —— 将權限緩存與業務緩存分離
- 臨時Token認證 —— 解決短時間的Token授權問題
- 模拟他人賬号 —— 實時操作任意使用者狀态資料
- 臨時身份切換 —— 将會話身份臨時切換為其它賬号
- 前後端分離 —— APP、小程式等不支援Cookie的終端
- 同端互斥登入 —— 像QQ一樣手機電腦同時線上,但是兩個手機上互斥登入
- 多賬号認證體系 —— 比如一個商城項目的user表和admin表分開鑒權
- Token風格定制 —— 内置六種Token風格,還可:自定義Token生成政策、自定義Token字首
- 注解式鑒權 —— 優雅的将鑒權與業務代碼分離
- 路由攔截式鑒權 —— 根據路由攔截鑒權,可适配restful模式
- 自動續簽 —— 提供兩種Token過期政策,靈活搭配使用,還可自動續簽
- 會話治理 —— 提供友善靈活的會話查詢接口
- 記住我模式 —— 适配[記住我]模式,重新開機浏覽器免驗證
- 密碼加密 —— 提供密碼加密子產品,可快速MD5、SHA1、SHA256、AES、RSA加密
- 全局偵聽器 —— 在使用者登陸、登出、被踢下線等關鍵性操作時進行一些AOP操作
- 開箱即用 —— 提供SpringMVC、WebFlux等常見web架構starter內建包,真正的開箱即用
功能點的實作
登入認證
我們先梳理下登入認證流程:
- 使用者送出 name + password 參數,調用登入接口。
- 登入成功,傳回這個使用者的 Token 會話憑證。
- 使用者後續的每次請求,都攜帶上這個 Token。
- 伺服器根據 Token 判斷此會話是否登入成功。
說到本質,其實所謂的登入認證就是,伺服器校驗賬号密碼,然後為使用者頒發令牌,然後使用者在後續的請求中,攜帶token,伺服器根據token判斷是否可以通路。
1. 登入和登出
在認證的第一步,我們得先要進行登入,在登入的時候,我們隻需要一行代碼即可搞定:
// 會話登入:參數填寫要登入的賬号id,建議的資料類型:long | int | String, 不可以傳入複雜類型,如:User、Admin 等等
StpUtil.login(Object id); 底層sa-token做了大量的工作,包括:
- 檢查此賬号是否之前已有登入;
- 為賬号生成 Token 憑證與 Session 會話;
- 記錄 Token 活躍時間;
- 通知全局偵聽器,xx 賬号登入成功;
- 将 Token 注入到請求上下文;
由此,Sa-Token 為這個賬号建立了一個Token憑證,且通過 Cookie 上下文傳回給了前端。
測試代碼如下:
// 會話登入接口
@RequestMapping("doLogin")
public SaResult doLogin(String name, String pwd) {
// 第一步:比對前端送出的賬号名稱、密碼
if("zhang".equals(name) && "123456".equals(pwd)) {
// 第二步:根據賬号id,進行登入
StpUtil.login(10001);
return SaResult.ok("登入成功");
}
return SaResult.error("登入失敗");
} 有沒有發現,我們并沒有給前端傳回token,那麼前端是怎麼拿到的,其實是StpUtil.login(id) 方法利用了 Cookie 自動注入的特性,省略了你手寫傳回 token 的代碼。Cookie 可以從後端控制往浏覽器中寫入 token 值,也會在前端每次發起請求時自動送出 token 值,這樣我們就完成了登入認證。
但是要注意這種寫法,真正在生産上是不可行的,是以我們就得需要手動将token傳回給後端。
還有一些方法需要我們注意:
// 目前會話登出登入
StpUtil.logout();
// 擷取目前會話是否已經登入,傳回true=已登入,false=未登入
StpUtil.isLogin();
// 檢驗目前會話是否已經登入, 如果未登入,則抛出異常:`NotLoginException`
StpUtil.checkLogin();
2. token 查詢
// 擷取目前會話的 token 值
StpUtil.getTokenValue();
// 擷取目前`StpLogic`的 token 名稱
StpUtil.getTokenName();
// 擷取指定 token 對應的賬号id,如果未登入,則傳回 null
StpUtil.getLoginIdByToken(String tokenValue);
// 擷取目前會話剩餘有效期(機關:s,傳回-1代表永久有效)
StpUtil.getTokenTimeout();
// 擷取目前會話的 token 資訊參數
StpUtil.getTokenInfo();
3. 測試
這裡我們來一個小的測試:
/**
* 登入測試
*/
@RestController
@RequestMapping("/acc/")
public class LoginController {
// 測試登入 ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
@RequestMapping("doLogin")
public SaResult doLogin(String name, String pwd) {
// 此處僅作模拟示例,真實項目需要從資料庫中查詢資料進行比對
if("zhang".equals(name) && "123456".equals(pwd)) {
StpUtil.login(10001);
return SaResult.ok("登入成功");
}
return SaResult.error("登入失敗");
}
// 查詢登入狀态 ---- http://localhost:8081/acc/isLogin
@RequestMapping("isLogin")
public SaResult isLogin() {
return SaResult.ok("是否登入:" + StpUtil.isLogin());
}
// 查詢 Token 資訊 ---- http://localhost:8081/acc/tokenInfo
@RequestMapping("tokenInfo")
public SaResult tokenInfo() {
return SaResult.data(StpUtil.getTokenInfo());
}
// 測試登出 ---- http://localhost:8081/acc/logout
@RequestMapping("logout")
public SaResult logout() {
StpUtil.logout();
return SaResult.ok();
}
}
權限認證
所謂權限認證,核心邏輯就是判斷一個賬号是否擁有指定權限,深入到底層資料中,就是每個賬号都會擁有一組權限碼集合,架構來校驗這個集合中是否包含指定的權限碼。
是以現在我們的核心任務是:如何擷取一個賬号所擁有的權限碼集合;本次操作需要驗證的權限碼是哪個。
1. 擷取目前賬号權限碼集合
建立一個類,實作 StpInterface接口
/**
* 自定義權限加載接口實作類
*/
@Component // 保證此類被 SpringBoot 掃描,完成 Sa-Token 的自定義權限驗證擴充
public class StpInterfaceImpl implements StpInterface {
/**
* 傳回一個賬号所擁有的權限碼集合
*/
@Override
public List<String> getPermissionList(Object loginId, String loginType) {
// 本 list 僅做模拟,實際項目中要根據具體業務邏輯來查詢權限
List<String> list = new ArrayList<String>();
list.add("101");
list.add("user.add");
list.add("user.update");
list.add("user.get");
// list.add("user.delete");
list.add("art.*");
return list;
}
/**
* 傳回一個賬号所擁有的角色辨別集合 (權限與角色可分開校驗)
*/
@Override
public List<String> getRoleList(Object loginId, String loginType) {
// 本 list 僅做模拟,實際項目中要根據具體業務邏輯來查詢角色
List<String> list = new ArrayList<String>();
list.add("admin");
list.add("super-admin");
return list;
}
}
接口詳細說明
要注意,它的調用,不需要你來直接調用,而是當你調用下面的權限校驗方法的時候,它會自動執行。
2. 權限校驗
// 擷取:目前賬号所擁有的權限集合
StpUtil.getPermissionList();
// 判斷:目前賬号是否含有指定權限, 傳回 true 或 false
StpUtil.hasPermission("user.add");
// 校驗:目前賬号是否含有指定權限, 如果驗證未通過,則抛出異常: NotPermissionException
StpUtil.checkPermission("user.add");
// 校驗:目前賬号是否含有指定權限 [指定多個,必須全部驗證通過]
StpUtil.checkPermissionAnd("user.add", "user.delete", "user.get");
// 校驗:目前賬号是否含有指定權限 [指定多個,隻要其一驗證通過即可]
StpUtil.checkPermissionOr("user.add", "user.delete", "user.get"); 3. 角色校驗
// 擷取:目前賬号所擁有的角色集合
StpUtil.getRoleList();
// 判斷:目前賬号是否擁有指定角色, 傳回 true 或 false
StpUtil.hasRole("super-admin");
// 校驗:目前賬号是否含有指定角色辨別, 如果驗證未通過,則抛出異常: NotRoleException
StpUtil.checkRole("super-admin");
// 校驗:目前賬号是否含有指定角色辨別 [指定多個,必須全部驗證通過]
StpUtil.checkRoleAnd("super-admin", "shop-admin");
// 校驗:目前賬号是否含有指定角色辨別 [指定多個,隻要其一驗證通過即可]
StpUtil.checkRoleOr("super-admin", "shop-admin"); 4. 權限通配符
Sa-Token允許你根據通配符指定泛權限,例如當一個賬号擁有art.*的權限時,art.add、art.delete、art.update都将比對通過。
踢人下線
所謂踢人下線,核心操作就是找到指定 loginId 對應的 Token,并設定其失效。
1. 強制登出
StpUtil.logout(10001); // 強制指定賬号登出下線
StpUtil.logout(10001, "PC"); // 強制指定賬号指定端登出下線
StpUtil.logoutByTokenValue("token"); // 強制指定 Token 登出下線 2. 踢人下線
StpUtil.kickout(10001); // 将指定賬号踢下線
StpUtil.kickout(10001, "PC"); // 将指定賬号指定端踢下線
StpUtil.kickoutByTokenValue("token"); // 将指定 Token 踢下線 強制登出 和 踢人下線 的差別在于:
- 強制登出等價于對方主動調用了登出方法,再次通路會提示:Token無效。
- 踢人下線不會清除Token資訊,而是将其打上特定标記,再次通路會提示:Token已被踢下線。
路由攔截鑒權
比如需求:項目中所有接口均需要登入認證,隻有 “登入接口” 本身對外開放。
1. 注冊 Sa-Token 路由攔截器
@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {
// 注冊攔截器
@Override
public void addInterceptors(InterceptorRegistry registry) {
// 注冊 Sa-Token 攔截器,校驗規則為 StpUtil.checkLogin() 登入校驗。
registry.addInterceptor(new SaInterceptor(handle -> StpUtil.checkLogin()))
.addPathPatterns("/**")
.excludePathPatterns("/user/doLogin");
}
}
以上代碼,我們注冊了一個基于 StpUtil.checkLogin() 的登入校驗攔截器,并且排除了/user/doLogin接口用來開放登入(除了/user/doLogin以外的所有接口都需要登入才能通路)。
2. 校驗函數詳解
自定義認證規則:new SaInterceptor(handle -> StpUtil.checkLogin()) 是最簡單的寫法,代表隻進行登入校驗功能。
@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
// 注冊 Sa-Token 攔截器,定義詳細認證規則
registry.addInterceptor(new SaInterceptor(handler -> {
// 指定一條 match 規則
SaRouter
.match("/**") // 攔截的 path 清單,可以寫多個 */
.notMatch("/user/doLogin") // 排除掉的 path 清單,可以寫多個
.check(r -> StpUtil.checkLogin()); // 要執行的校驗動作,可以寫完整的 lambda 表達式
// 根據路由劃分子產品,不同子產品不同鑒權
SaRouter.match("/user/**", r -> StpUtil.checkPermission("user"));
SaRouter.match("/admin/**", r -> StpUtil.checkPermission("admin"));
SaRouter.match("/goods/**", r -> StpUtil.checkPermission("goods"));
SaRouter.match("/orders/**", r -> StpUtil.checkPermission("orders"));
SaRouter.match("/notice/**", r -> StpUtil.checkPermission("notice"));
SaRouter.match("/comment/**", r -> StpUtil.checkPermission("comment"));
})).addPathPatterns("/**");
}
}
SaRouter.match() 比對函數有兩個參數:
參數一:要比對的path路由;
參數二:要執行的校驗函數。
今天sa-token就給大家講到這裡,這裡隻是一個入門和基礎,後面我會連續出幾篇文章,為大家更加詳細深入地講解sa-token在生産中的用法,以及會給大家進行生産實戰,希望大家多多點贊關注支援!!!