Wie SpringBoot Sa-Token verwendet, um die Anmeldeauthentifizierung zu implementieren

1. Designideen

Für einige Schnittstellen, auf die nur nach der Anmeldung zugegriffen werden kann (zum Beispiel: Abfragen meiner Kontoinformationen), besteht unser üblicher Ansatz darin, eine Ebene der Schnittstellenüberprüfung hinzuzufügen:

• Wenn die Überprüfung erfolgreich ist, dann : Normale Daten zurückgeben.

• Wenn die Überprüfung fehlschlägt, dann: Lösen Sie eine Ausnahme aus und informieren Sie sie, dass sie sich zuerst anmelden müssen.

Was ist also die Grundlage, um festzustellen, ob eine Sitzung angemeldet ist? Lassen Sie uns zunächst kurz den Anmeldezugriffsprozess analysieren:

• Der Benutzer gibt die Parameter Name + Passwort ein und ruft die Anmeldeschnittstelle auf.

• Bei erfolgreicher Anmeldung werden die Token-Sitzungsanmeldeinformationen des Benutzers zurückgegeben.

• Jede weitere Anfrage des Benutzers trägt dieses Token.

• Der Server bestimmt anhand des Tokens, ob die Sitzung erfolgreich angemeldet wurde.

Die sogenannte Login-Authentifizierung bezieht sich auf den Prozess, bei dem der Server das Kontopasswort überprüft und dem Benutzer Token-Sitzungsanmeldeinformationen ausstellt. Dieses Token ist auch der Schlüssel für unsere spätere Beurteilung, ob die Sitzung angemeldet ist.

Dynamische Diagrammdemonstration:

Als nächstes stellen wir vor, wie Sie Sa-Token verwenden, um den Anmeldeauthentifizierungsvorgang in SpringBoot abzuschließen.

Sa-Token ist ein Java-Berechtigungsauthentifizierungsframework, das hauptsächlich eine Reihe von berechtigungsbezogenen Problemen wie Anmeldeauthentifizierung, Berechtigungsauthentifizierung, Single Sign-On, OAuth3, Microservice-Gateway-Authentifizierung usw. löst.
Gitee-Open-Source-Adresse: https://gitee.com/dromara/sa-token

Führen Sie zunächst die Sa-Token-Abhängigkeit im Projekt ein:

<!-- Sa-Token 权限认证 -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.34.0</version>
</dependency>

Hinweis: Wenn Sie SpringBoot 3.x verwenden, müssen Sie nur hinzufügen sa- Ändern Sie einfach token-spring-boot-starter in sa-token-spring-boot3-starter.

2. An- und Abmelden

Basierend auf den oben genannten Ideen benötigen wir eine Funktion für die Sitzungsanmeldung:

// 会话登录：参数填写要登录的账号id，建议的数据类型：long | int | String， 不可以传入复杂类型，如：User、Admin 等等
StpUtil.login(Object id);

Mit nur diesem Codesatz kann die Sitzungsanmeldung tatsächlich erfolgreich sein Arbeit hinter den Kulissen. Einschließlich, aber nicht beschränkt auf:

• Überprüfen Sie, ob dieses Konto bereits angemeldet war.

• Token-Anmeldeinformationen und Sitzung für das Konto generieren. Benachrichtigen Sie den globalen Listener, über den das xx-Konto verfügt erfolgreich angemeldet

• Injizieren Sie das Token in den Anforderungskontext

• und andere Arbeiten ... Sie müssen den gesamten Anmeldevorgang vorerst nicht vollständig verstehen. Sie müssen sich nur an den entscheidenden Punkt erinnern: Sa-Token erstellt eine Token-Anmeldeinformation für dieses Konto und wird über den Cookie-Kontext an das Frontend zurückgegeben.

Unter normalen Umständen sieht unser Login-Schnittstellencode also ungefähr wie folgt aus:

• // 会话登录接口 
  @RequestMapping("doLogin")
  public SaResult doLogin(String name, String pwd) {
      // 第一步：比对前端提交的账号名称、密码
      if("zhang".equals(name) && "123456".equals(pwd)) {
          // 第二步：根据账号id，进行登录 
          StpUtil.login(10001);
          return SaResult.ok("登录成功");
      }
      return SaResult.error("登录失败");
  }

  Wenn Sie beim Lesen des obigen Codes nicht gestresst sind, fällt Ihnen möglicherweise ein etwas seltsamer Punkt auf: Hier erfolgt nur die Sitzungsanmeldung, aber es gibt Token-Informationen nicht aktiv an das Frontend zurück.

  Liegt es daran, dass es nicht benötigt wird? Streng genommen ist es erforderlich, aber die StpUtil.login(id)-Methode nutzt die automatische Injektionsfunktion von Cookie und lässt Ihren handgeschriebenen Code weg, um das Token zurückzugeben.

Wenn Sie nicht viel über die Cookie-Funktion wissen, machen Sie sich keine Sorgen, wir werden die Cookie-Funktion später im Kapitel [Backend und Backend-Trennung] ausführlich erklären. Jetzt müssen Sie nur noch die beiden grundlegendsten Punkte verstehen:

Cookie Der Token-Wert kann vom Backend-Steuerelement in den Browser geschrieben werden.

Cookie übermittelt den Token-Wert automatisch jedes Mal, wenn das Frontend eine Anfrage stellt.

• Daher können wir mit der Unterstützung der Cookie-Funktion die Login-Authentifizierung mit nur einer Codezeile StpUtil.login(id) abschließen.

Zusätzlich zur Anmeldemethode benötigen wir außerdem:

• // 当前会话注销登录
  StpUtil.logout();
  
  // 获取当前会话是否已经登录，返回true=已登录，false=未登录
  StpUtil.isLogin();
  
  // 检验当前会话是否已经登录, 如果未登录，则抛出异常：`NotLoginException`
  StpUtil.checkLogin();

  NotLoginException bedeutet, dass die aktuelle Sitzung noch nicht angemeldet ist. Es gibt viele mögliche Gründe:

  Das Frontend hat das Token nicht übermittelt, das Token wurde übermittelt von Das Frontend ist ungültig, das vom Frontend übermittelte Token ist abgelaufen…Warten Sie.

Sa-Token-Non-Login-Szenariowert-Referenztabelle:

Szenariowert

Entsprechende Konstante

Erklärung der Bedeutung konnte nicht gelesen werden Request Arrival TokenAlso, wie erhalte ich den Szenenwert? Hören Sie auf, Unsinn zu reden, und kommen Sie direkt zum Code: Hinweis: Der obige Code ist nicht die beste Möglichkeit, Logik zu verarbeiten. Er dient lediglich dazu, die Erfassung und Anwendung von Szenenwerten mit dem einfachsten Code zu demonstrieren, den Sie können Passen Sie die Verarbeitung an Ihre eigenen Projektanforderungen an. 3. Sitzungsabfrage.

// 全局异常拦截（拦截项目中的NotLoginException异常）
@ExceptionHandler(NotLoginException.class)
public SaResult handlerNotLoginException(NotLoginException nle)
        throws Exception {

    // 打印堆栈，以供调试
    nle.printStackTrace(); 
    
    // 判断场景值，定制化异常信息 
    String message = "";
    if(nle.getType().equals(NotLoginException.NOT_TOKEN)) {
        message = "未提供token";
    }
    else if(nle.getType().equals(NotLoginException.INVALID_TOKEN)) {
        message = "token无效";
    }
    else if(nle.getType().equals(NotLoginException.TOKEN_TIMEOUT)) {
        message = "token已过期";
    }
    else if(nle.getType().equals(NotLoginException.BE_REPLACED)) {
        message = "token已被顶下线";
    }
    else if(nle.getType().equals(NotLoginException.KICK_OUT)) {
        message = "token已被踢下线";
    }
    else {
        message = "当前会话未登录";
    }
    
    // 返回给前端
    return SaResult.error(message);
}

kleiner Test, um unser Verständnis zu vertiefen

	-1	NotLoginException.NOT_TOKEN
-2	NotLoginException.INVALID_TOKEN	Token wurde gelesen, aber das Token ist ungültig
-3	NotLoginException.TOKEN_TIMEOUT	Token wurde gelesen, aber das Token ist abgelaufen
-4	NotLoginException.BE_REPLACED	Der Token wurde gelesen, aber der Token wurde offline genommen
-5	NotLoginException.KICK_OUT	Der Token wurde gelesen, aber der Token wurde gekickt offline
	rrree

Erstellen Sie einen neuen LoginAuthController und kopieren Sie den folgenden Code

// 获取当前会话账号id, 如果未登录，则抛出异常：`NotLoginException`
StpUtil.getLoginId();

// 类似查询API还有：
StpUtil.getLoginIdAsString();    // 获取当前会话账号id, 并转化为`String`类型
StpUtil.getLoginIdAsInt();       // 获取当前会话账号id, 并转化为`int`类型
StpUtil.getLoginIdAsLong();      // 获取当前会话账号id, 并转化为`long`类型

// ---------- 指定未登录情形下返回的默认值 ----------

// 获取当前会话账号id, 如果未登录，则返回null 
StpUtil.getLoginIdDefaultNull();

// 获取当前会话账号id, 如果未登录，则返回默认值 （`defaultValue`可以为任意类型）
StpUtil.getLoginId(T defaultValue);

Das obige ist der detaillierte Inhalt vonWie SpringBoot Sa-Token verwendet, um die Anmeldeauthentifizierung zu implementieren. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!