SpringBoot가 Sa-Token을 사용하여 로그인 인증을 구현하는 방법

1. 디자인 아이디어

로그인 후에만 액세스할 수 있는 일부 인터페이스(예: 내 계정 정보 쿼리)의 경우 일반적인 접근 방식은 인터페이스 확인 계층을 추가하는 것입니다.

• 확인이 통과되면 : 정상적으로 데이터를 반환합니다.

• 인증에 실패하면 예외를 발생시키고 먼저 로그인해야 한다고 알립니다.

그럼 세션 로그인 여부를 판단하는 기준은 무엇인가요? 먼저 로그인 액세스 프로세스를 간략하게 분석해 보겠습니다.

• 사용자가 이름 + 비밀번호 매개변수를 제출하고 로그인 인터페이스를 호출합니다.

• 로그인에 성공하면 사용자의 토큰 세션 자격 증명이 반환됩니다.

• 사용자의 모든 후속 요청에는 이 토큰이 전달됩니다.

• 서버는 토큰을 기반으로 세션이 성공적으로 로그인되었는지 여부를 결정합니다.

소위 로그인 인증은 서버가 계정 비밀번호를 확인하고 사용자에게 토큰 세션 자격 증명을 발급하는 프로세스를 의미하며, 이 토큰은 세션이 로그인되었는지 여부를 판단하는 열쇠이기도 합니다.

동적 다이어그램 데모:

다음으로 Sa-Token을 사용하여 SpringBoot에서 로그인 인증 작업을 완료하는 방법을 소개합니다.

Sa-Token은 로그인 인증, 권한 인증, Single Sign-On, OAuth3, 마이크로서비스 게이트웨이 인증 등과 같은 일련의 권한 관련 문제를 주로 해결하는 Java 권한 인증 프레임워크입니다.
Gitee 오픈 소스 주소: https://gitee.com/dromara/sa-token

먼저 프로젝트에 Sa-Token 종속성을 도입하세요:

<!-- Sa-Token 权限认证 -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.34.0</version>
</dependency>

참고: SpringBoot 3.x를 사용하는 경우 추가만 하면 됩니다. sa- token-spring-boot-starter를 sa-token-spring-boot3-starter로 변경하세요.

2. 로그인 및 로그아웃

위 아이디어를 바탕으로 세션 로그인을 위한 함수가 필요합니다.

// 会话登录：参数填写要登录的账号id，建议的数据类型：long | int | String， 不可以传入复杂类型，如：User、Admin 等等
StpUtil.login(Object id);

이 코드 문장만으로도 세션 로그인에 성공할 수 있습니다. 다음을 포함하되 이에 국한되지는 않습니다.

• 이 계정이 이전에 로그인되었는지 확인하세요

• 계정에 대한 토큰 자격 증명 및 세션 생성

• 글로벌 리스너에게 xx 계정에 알림 성공적으로 로그인되었습니다

• 요청 컨텍스트

• 에 토큰을 삽입하고... 당분간 전체 로그인 프로세스를 완전히 이해할 필요는 없습니다. 핵심 사항만 기억하면 됩니다. Sa-Token은 이 계정에 대한 토큰 자격 증명을 생성하고 쿠키 컨텍스트를 통해 프런트 엔드로 반환됩니다.

따라서 일반적인 상황에서 로그인 인터페이스 코드는 대략 다음과 유사합니다.

// 会话登录接口 
@RequestMapping("doLogin")
public SaResult doLogin(String name, String pwd) {
    // 第一步：比对前端提交的账号名称、密码
    if("zhang".equals(name) && "123456".equals(pwd)) {
        // 第二步：根据账号id，进行登录 
        StpUtil.login(10001);
        return SaResult.ok("登录成功");
    }
    return SaResult.error("登录失败");
}

위 코드를 읽는 것이 부담스럽지 않다면 약간 이상한 점을 발견할 수 있습니다. 여기서는 세션 로그인만 수행되지만 토큰 정보를 프런트 엔드에 적극적으로 반환하지 않습니다.

필요없어서 그런걸까요? 엄밀히 말하면 필수이지만 StpUtil.login(id) 메소드는 쿠키의 자동 주입 기능을 활용하여 토큰을 반환하기 위해 직접 작성한 코드를 생략합니다.

쿠키 기능에 대해 잘 모르더라도 걱정하지 마세요. 쿠키 기능에 대해서는 뒷부분의 [백엔드와 백엔드 분리] 장에서 자세히 설명하겠습니다. 이제 가장 기본적인 두 가지 사항만 이해하면 됩니다.

쿠키 토큰 값은 백엔드 컨트롤에서 브라우저에 기록될 수 있습니다.

• 쿠키는 프런트 엔드에서 요청할 때마다 자동으로 토큰 값을 제출합니다.

• 따라서 쿠키 기능 지원으로 StpUtil.login(id) 코드 한 줄만으로 로그인 인증을 완료할 수 있습니다.

로그인 방법 외에도 다음이 필요합니다.

// 当前会话注销登录
StpUtil.logout();

// 获取当前会话是否已经登录，返回true=已登录，false=未登录
StpUtil.isLogin();

// 检验当前会话是否已经登录, 如果未登录，则抛出异常：`NotLoginException`
StpUtil.checkLogin();

NotLoginException은 현재 세션이 아직 로그인되지 않았음을 의미합니다. 가능한 이유는 다양합니다.

프런트 엔드에서 토큰을 제출하지 않았습니다. 프런트 엔드가 유효하지 않습니다. 프런트 엔드에서 제출한 토큰이 만료되었습니다…잠깐만 기다려 주세요.

Sa-Token 비로그인 시나리오 값 참고표:

시나리오 값해당 상수-1NotLoginException.NOT_TOKENNotLoginException.INVALID_TOKENNotLoginException.TOKEN_TIMEOUTNotLoginException.BE_REPLACEDNotLoginException.KICK_OUT그럼 장면값은 어떻게 구하나요? 헛소리는 그만하고 바로 코드로 넘어가세요:

// 全局异常拦截（拦截项目中的NotLoginException异常）
@ExceptionHandler(NotLoginException.class)
public SaResult handlerNotLoginException(NotLoginException nle)
        throws Exception {

    // 打印堆栈，以供调试
    nle.printStackTrace(); 
    
    // 判断场景值，定制化异常信息 
    String message = "";
    if(nle.getType().equals(NotLoginException.NOT_TOKEN)) {
        message = "未提供token";
    }
    else if(nle.getType().equals(NotLoginException.INVALID_TOKEN)) {
        message = "token无效";
    }
    else if(nle.getType().equals(NotLoginException.TOKEN_TIMEOUT)) {
        message = "token已过期";
    }
    else if(nle.getType().equals(NotLoginException.BE_REPLACED)) {
        message = "token已被顶下线";
    }
    else if(nle.getType().equals(NotLoginException.KICK_OUT)) {
        message = "token已被踢下线";
    }
    else {
        message = "当前会话未登录";
    }
    
    // 返回给前端
    return SaResult.error(message);
}

참고: 위의 코드는 로직을 처리하는 가장 좋은 방법이 아닙니다. 단지 가장 간단한 코드로 장면 값의 획득 및 적용을 보여주기 위한 것입니다. 자신의 프로젝트 요구에 따라 맞춤화하세요

의미 설명
에서 읽지 못했습니다. request Arrive Token		-2
토큰을 읽었지만 토큰이 유효하지 않습니다.		-3
토큰을 읽었지만 토큰이 만료되었습니다.		-4
토큰을 읽었지만 토큰이 오프라인 상태가 되었습니다.		-5
토큰을 읽었지만 토큰이 쫓겨났습니다. 오프라인

3. 세션 쿼리

// 获取当前会话账号id, 如果未登录，则抛出异常：`NotLoginException`
StpUtil.getLoginId();

// 类似查询API还有：
StpUtil.getLoginIdAsString();    // 获取当前会话账号id, 并转化为`String`类型
StpUtil.getLoginIdAsInt();       // 获取当前会话账号id, 并转化为`int`类型
StpUtil.getLoginIdAsLong();      // 获取当前会话账号id, 并转化为`long`类型

// ---------- 指定未登录情形下返回的默认值 ----------

// 获取当前会话账号id, 如果未登录，则返回null 
StpUtil.getLoginIdDefaultNull();

// 获取当前会话账号id, 如果未登录，则返回默认值 （`defaultValue`可以为任意类型）
StpUtil.getLoginId(T defaultValue);

4. 토큰 쿼리

// 获取当前会话的token值
StpUtil.getTokenValue();

// 获取当前`StpLogic`的token名称
StpUtil.getTokenName();

// 获取指定token对应的账号id，如果未登录，则返回 null
StpUtil.getLoginIdByToken(String tokenValue);

// 获取当前会话剩余有效期（单位：s，返回-1代表永久有效）
StpUtil.getTokenTimeout();

// 获取当前会话的token信息参数
StpUtil.getTokenInfo();

TokenInfo는 토큰의 공통 매개변수를 설명하는 데 사용되는 토큰 정보 모델입니다.

{
    "tokenName": "satoken",           // token名称
    "tokenValue": "e67b99f1-3d7a-4a8d-bb2f-e888a0805633",      // token值
    "isLogin": true,                  // 此token是否已经登录
    "loginId": "10001",               // 此token对应的LoginId，未登录时为null
    "loginType": "login",              // 账号类型标识
    "tokenTimeout": 2591977,          // token剩余有效期 (单位: 秒)
    "sessionTimeout": 2591977,        // User-Session剩余有效时间 (单位: 秒)
    "tokenSessionTimeout": -2,        // Token-Session剩余有效时间 (单位: 秒) (-2表示系统中不存在这个缓存)
    "tokenActivityTimeout": -1,       // token剩余无操作有效时间 (单位: 秒)
    "loginDevice": "default-device"   // 登录设备类型 
}

5. 이해를 심화하기 위한 테스트

새 LoginAuthController를 만들고 다음 코드를 복사하세요

package com.pj.cases.use;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import cn.dev33.satoken.stp.SaTokenInfo;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;

/**
 * Sa-Token 登录认证示例 
 * 
 * @author kong
 * @since 2022-10-13
 */
@RestController
@RequestMapping("/acc/")
public class LoginAuthController {

    // 会话登录接口  ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
    @RequestMapping("doLogin")
    public SaResult doLogin(String name, String pwd) {
        
        // 第一步：比对前端提交的 账号名称 & 密码 是否正确，比对成功后开始登录 
        //         此处仅作模拟示例，真实项目需要从数据库中查询数据进行比对 
        if("zhang".equals(name) && "123456".equals(pwd)) {
            
            // 第二步：根据账号id，进行登录 
            //         此处填入的参数应该保持用户表唯一，比如用户id，不可以直接填入整个 User 对象 
            StpUtil.login(10001);
            
            // SaResult 是 Sa-Token 中对返回结果的简单封装，下面的示例将不再赘述 
            return SaResult.ok("登录成功");
        }
        
        return SaResult.error("登录失败");
    }

    // 查询当前登录状态  ---- http://localhost:8081/acc/isLogin
    @RequestMapping("isLogin")
    public SaResult isLogin() {
        // StpUtil.isLogin() 查询当前客户端是否登录，返回 true 或 false 
        boolean isLogin = StpUtil.isLogin();
        return SaResult.ok("当前客户端是否登录：" + isLogin);
    }

    // 校验当前登录状态  ---- http://localhost:8081/acc/checkLogin
    @RequestMapping("checkLogin")
    public SaResult checkLogin() {
        // 检验当前会话是否已经登录, 如果未登录，则抛出异常：`NotLoginException`
        StpUtil.checkLogin();

        // 抛出异常后，代码将走入全局异常处理（GlobalException.java），如果没有抛出异常，则代表通过了登录校验，返回下面信息 
        return SaResult.ok("校验登录成功，这行字符串是只有登录后才会返回的信息");
    }

    // 获取当前登录的账号是谁  ---- http://localhost:8081/acc/getLoginId
    @RequestMapping("getLoginId")
    public SaResult getLoginId() {
        // 需要注意的是，StpUtil.getLoginId() 自带登录校验效果
        // 也就是说如果在未登录的情况下调用这句代码，框架就会抛出 `NotLoginException` 异常，效果和 StpUtil.checkLogin() 是一样的 
        Object userId = StpUtil.getLoginId();
        System.out.println("当前登录的账号id是：" + userId);
        
        // 如果不希望 StpUtil.getLoginId() 触发登录校验效果，可以填入一个默认值
        // 如果会话未登录，则返回这个默认值，如果会话已登录，将正常返回登录的账号id 
        Object userId2 = StpUtil.getLoginId(0);
        System.out.println("当前登录的账号id是：" + userId2);
        
        // 或者使其在未登录的时候返回 null 
        Object userId3 = StpUtil.getLoginIdDefaultNull();
        System.out.println("当前登录的账号id是：" + userId3);
        
        // 类型转换：
        // StpUtil.getLoginId() 返回的是 Object 类型，你可以使用以下方法指定其返回的类型 
        int userId4 = StpUtil.getLoginIdAsInt();  // 将返回值转换为 int 类型 
        long userId5 = StpUtil.getLoginIdAsLong();  // 将返回值转换为 long 类型 
        String userId6 = StpUtil.getLoginIdAsString();  // 将返回值转换为 String 类型 
        
        // 疑问：数据基本类型不是有八个吗，为什么只封装以上三种类型的转换？
        // 因为大多数项目都是拿 int、long 或 String 声明 UserId 的类型的，实在没见过哪个项目用 double、float、boolean 之类来声明 UserId 
        System.out.println("当前登录的账号id是：" + userId4 + " --- " + userId5 + " --- " + userId6);
        
        // 返回给前端 
        return SaResult.ok("当前客户端登录的账号id是：" + userId);
    }

    // 查询 Token 信息  ---- http://localhost:8081/acc/tokenInfo
    @RequestMapping("tokenInfo")
    public SaResult tokenInfo() {
        // TokenName 是 Token 名称的意思，此值也决定了前端提交 Token 时应该使用的参数名称 
        String tokenName = StpUtil.getTokenName();
        System.out.println("前端提交 Token 时应该使用的参数名称：" + tokenName);
        
        // 使用 StpUtil.getTokenValue() 获取前端提交的 Token 值 
        // 框架默认前端可以从以下三个途径中提交 Token：
        //         Cookie         （浏览器自动提交）
        //         Header头    （代码手动提交）
        //         Query 参数    （代码手动提交） 例如： /user/getInfo?satoken=xxxx-xxxx-xxxx-xxxx 
        // 读取顺序为： Query 参数 --> Header头 -- > Cookie 
        // 以上三个地方都读取不到 Token 信息的话，则视为前端没有提交 Token 
        String tokenValue = StpUtil.getTokenValue();
        System.out.println("前端提交的Token值为：" + tokenValue);
        
        // TokenInfo 包含了此 Token 的大多数信息 
        SaTokenInfo info = StpUtil.getTokenInfo();
        System.out.println("Token 名称：" + info.getTokenName());
        System.out.println("Token 值：" + info.getTokenValue());
        System.out.println("当前是否登录：" + info.getIsLogin());
        System.out.println("当前登录的账号id：" + info.getLoginId());
        System.out.println("当前登录账号的类型：" + info.getLoginType());
        System.out.println("当前登录客户端的设备类型：" + info.getLoginDevice());
        System.out.println("当前 Token 的剩余有效期：" + info.getTokenTimeout()); // 单位：秒，-1代表永久有效，-2代表值不存在
        System.out.println("当前 Token 的剩余临时有效期：" + info.getTokenActivityTimeout()); // 单位：秒，-1代表永久有效，-2代表值不存在
        System.out.println("当前 User-Session 的剩余有效期" + info.getSessionTimeout()); // 单位：秒，-1代表永久有效，-2代表值不存在
        System.out.println("当前 Token-Session 的剩余有效期" + info.getTokenSessionTimeout()); // 单位：秒，-1代表永久有效，-2代表值不存在
        
        // 返回给前端 
        return SaResult.data(StpUtil.getTokenInfo());
    }
    
    // 会话注销  ---- http://localhost:8081/acc/logout
    @RequestMapping("logout")
    public SaResult logout() {
        // 退出登录会清除三个地方的数据：
        //         1、Redis中保存的 Token 信息
        //         2、当前请求上下文中保存的 Token 信息 
        //         3、Cookie 中保存的 Token 信息（如果未使用Cookie模式则不会清除）
        StpUtil.logout();
        
        // StpUtil.logout() 在未登录时也是可以调用成功的，
        // 也就是说，无论客户端有没有登录，执行完 StpUtil.logout() 后，都会处于未登录状态 
        System.out.println("当前是否处于登录状态：" + StpUtil.isLogin());
        
        // 返回给前端 
        return SaResult.ok("退出登录成功");
    }
    
}

위 내용은 SpringBoot가 Sa-Token을 사용하여 로그인 인증을 구현하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!