Bagaimana SpringBoot menggunakan Sa-Token untuk melaksanakan pengesahan log masuk

1. Idea Reka Bentuk

Untuk beberapa antara muka yang hanya boleh diakses selepas log masuk (contohnya: menanyakan maklumat akaun saya), pendekatan biasa kami ialah menambah lapisan pengesahan antara muka:

• Jika pengesahan lulus, maka: kembalikan data seperti biasa.

• Jika pengesahan gagal, maka: buang pengecualian dan maklumkan bahawa ia perlu log masuk dahulu.

Jadi, apakah asas untuk menentukan sama ada sesi dilog masuk? Mari kita menganalisis secara ringkas proses akses log masuk:

• Pengguna menyerahkan parameter nama + kata laluan dan memanggil antara muka log masuk.

• Berjaya log masuk dan kembalikan kelayakan sesi Token pengguna.

• Setiap permintaan seterusnya oleh pengguna akan membawa Token ini.

• Pelayan menentukan sama ada sesi berjaya dilog masuk berdasarkan Token.

Apa yang dipanggil pengesahan log masuk merujuk kepada proses di mana pelayan mengesahkan kata laluan akaun dan mengeluarkan kelayakan sesi Token kepada pengguna Token ini juga merupakan kunci kepada penghakiman kami yang seterusnya sama ada sesi dilog masuk.

Demonstrasi gambar rajah dinamik:

Seterusnya, kami akan memperkenalkan cara menggunakan Sa-Token untuk melengkapkan operasi pengesahan log masuk dalam SpringBoot.

Sa-Token ialah rangka kerja pengesahan kebenaran java yang terutamanya menyelesaikan satu siri isu berkaitan kebenaran seperti pengesahan log masuk, pengesahan kebenaran, log masuk tunggal, OAuth3, pengesahan get laluan mikroperkhidmatan, dsb.
Alamat sumber terbuka Gitee: https://gitee.com/dromara/sa-token

Mula-mula perkenalkan pergantungan Sa-Token ke dalam projek:

<!-- Sa-Token 权限认证 -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.34.0</version>
</dependency>

Nota: Jika anda menggunakan Untuk SpringBoot 3.x, anda hanya perlu mengubah suai sa-token-spring-boot-starter kepada sa-token-spring-boot3-starter.

2. Log masuk dan log keluar

Berdasarkan idea di atas, kami memerlukan fungsi untuk log masuk sesi:

// 会话登录：参数填写要登录的账号id，建议的数据类型：long | int | String， 不可以传入复杂类型，如：User、Admin 等等
StpUtil.login(Object id);

Dengan hanya ayat kod ini, log masuk sesi boleh Malah, , Sa-Token telah melakukan banyak kerja di belakang tabir, termasuk tetapi tidak terhad kepada:

• Semak sama ada akaun ini telah dilog masuk sebelum ini

• untuk Akaun menjana bukti kelayakan Token dan Sesi

• Memberitahu pendengar global bahawa akaun xx telah berjaya log masuk

• Menyuntik Token ke dalam konteks permintaan

• Dan tugasan lain... Token mencipta bukti kelayakan Token untuk akaun ini dan mengembalikannya ke bahagian hadapan melalui konteks Kuki.

Jadi secara amnya, kod antara muka log masuk kami hampir sama dengan yang berikut:

// 会话登录接口 
@RequestMapping("doLogin")
public SaResult doLogin(String name, String pwd) {
    // 第一步：比对前端提交的账号名称、密码
    if("zhang".equals(name) && "123456".equals(pwd)) {
        // 第二步：根据账号id，进行登录 
        StpUtil.login(10001);
        return SaResult.ok("登录成功");
    }
    return SaResult.error("登录失败");
}

Jika anda tidak tertekan membaca kod di atas, anda mungkin melihat satu perkara yang pelik: This The office hanya melakukan log masuk sesi, tetapi tidak secara aktif mengembalikan maklumat Token ke bahagian hadapan.

Adakah kerana ia tidak diperlukan? Tegasnya, ia diperlukan, tetapi kaedah StpUtil.login(id) mengambil kesempatan daripada ciri suntikan automatik Kuki, meninggalkan kod tulisan tangan anda untuk mengembalikan Token.

Jika anda tidak tahu banyak tentang fungsi Kuki, jangan risau, kami akan menerangkan fungsi Kuki secara terperinci dalam bab [Pemisahan Bahagian Belakang dan Bahagian Belakang] nanti mata paling asas:

Kuki boleh menulis nilai Token kepada penyemak imbas daripada kawalan hujung belakang.

• Kuki akan menyerahkan nilai Token secara automatik setiap kali bahagian hadapan memulakan permintaan.

• Oleh itu, dengan sokongan fungsi Cookie, kami boleh melengkapkan pengesahan log masuk dengan hanya satu baris kod StpUtil.login(id).

Selain kaedah log masuk, kami juga memerlukan:

// 当前会话注销登录
StpUtil.logout();

// 获取当前会话是否已经登录，返回true=已登录，false=未登录
StpUtil.isLogin();

// 检验当前会话是否已经登录, 如果未登录，则抛出异常：`NotLoginException`
StpUtil.checkLogin();

Exception NotLoginException bermakna sesi semasa belum dilog masuk. Terdapat banyak sebab yang mungkin:

Halaman hadapan tidak menyerahkan Token, dan Token yang diserahkan oleh bahagian hadapan adalah tidak sah , Token yang diserahkan oleh bahagian hadapan telah tamat tempoh...dan seterusnya.

Jadual rujukan nilai adegan bukan log masuk Sa-Token:

Jadi, bagaimana untuk mendapatkan nilai adegan? Berhenti bercakap kosong dan terus ke kod:

// 全局异常拦截（拦截项目中的NotLoginException异常）
@ExceptionHandler(NotLoginException.class)
public SaResult handlerNotLoginException(NotLoginException nle)
        throws Exception {

    // 打印堆栈，以供调试
    nle.printStackTrace(); 
    
    // 判断场景值，定制化异常信息 
    String message = "";
    if(nle.getType().equals(NotLoginException.NOT_TOKEN)) {
        message = "未提供token";
    }
    else if(nle.getType().equals(NotLoginException.INVALID_TOKEN)) {
        message = "token无效";
    }
    else if(nle.getType().equals(NotLoginException.TOKEN_TIMEOUT)) {
        message = "token已过期";
    }
    else if(nle.getType().equals(NotLoginException.BE_REPLACED)) {
        message = "token已被顶下线";
    }
    else if(nle.getType().equals(NotLoginException.KICK_OUT)) {
        message = "token已被踢下线";
    }
    else {
        message = "当前会话未登录";
    }
    
    // 返回给前端
    return SaResult.error(message);
}

Nota: Kod di atas bukanlah cara terbaik untuk memproses logik Ia hanya untuk menunjukkan pemerolehan dan penerapan nilai adegan dengan kod yang paling mudah. Anda boleh menyesuaikannya mengikut keperluan projek anda sendiri

场景值	对应常量	含义说明
-1	NotLoginException.NOT_TOKEN	未能从请求中读取到 Token
-2	NotLoginException.INVALID_TOKEN	已读取到 Token，但是 Token无效
-3	NotLoginException.TOKEN_TIMEOUT	已读取到 Token，但是 Token已经过期
-4	NotLoginException.BE_REPLACED	已读取到 Token，但是 Token 已被顶下线
-5	NotLoginException.KICK_OUT	已读取到 Token，但是 Token 已被踢下线

3 Pertanyaan Sesi

// 获取当前会话账号id, 如果未登录，则抛出异常：`NotLoginException`
StpUtil.getLoginId();

// 类似查询API还有：
StpUtil.getLoginIdAsString();    // 获取当前会话账号id, 并转化为`String`类型
StpUtil.getLoginIdAsInt();       // 获取当前会话账号id, 并转化为`int`类型
StpUtil.getLoginIdAsLong();      // 获取当前会话账号id, 并转化为`long`类型

// ---------- 指定未登录情形下返回的默认值 ----------

// 获取当前会话账号id, 如果未登录，则返回null 
StpUtil.getLoginIdDefaultNull();

// 获取当前会话账号id, 如果未登录，则返回默认值 （`defaultValue`可以为任意类型）
StpUtil.getLoginId(T defaultValue);

4 pertanyaan Token

// 获取当前会话的token值
StpUtil.getTokenValue();

// 获取当前`StpLogic`的token名称
StpUtil.getTokenName();

// 获取指定token对应的账号id，如果未登录，则返回 null
StpUtil.getLoginIdByToken(String tokenValue);

// 获取当前会话剩余有效期（单位：s，返回-1代表永久有效）
StpUtil.getTokenTimeout();

// 获取当前会话的token信息参数
StpUtil.getTokenInfo();

TokenInfo ialah model maklumat Token. terangkan parameter biasa Token:

{
    "tokenName": "satoken",           // token名称
    "tokenValue": "e67b99f1-3d7a-4a8d-bb2f-e888a0805633",      // token值
    "isLogin": true,                  // 此token是否已经登录
    "loginId": "10001",               // 此token对应的LoginId，未登录时为null
    "loginType": "login",              // 账号类型标识
    "tokenTimeout": 2591977,          // token剩余有效期 (单位: 秒)
    "sessionTimeout": 2591977,        // User-Session剩余有效时间 (单位: 秒)
    "tokenSessionTimeout": -2,        // Token-Session剩余有效时间 (单位: 秒) (-2表示系统中不存在这个缓存)
    "tokenActivityTimeout": -1,       // token剩余无操作有效时间 (单位: 秒)
    "loginDevice": "default-device"   // 登录设备类型 
}

5 Mari kita lakukan ujian kecil untuk mendalami pemahaman kita

Buat LoginAuthController baharu dan salin kod berikut

package com.pj.cases.use;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import cn.dev33.satoken.stp.SaTokenInfo;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;

/**
 * Sa-Token 登录认证示例 
 * 
 * @author kong
 * @since 2022-10-13
 */
@RestController
@RequestMapping("/acc/")
public class LoginAuthController {

    // 会话登录接口  ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
    @RequestMapping("doLogin")
    public SaResult doLogin(String name, String pwd) {
        
        // 第一步：比对前端提交的 账号名称 & 密码 是否正确，比对成功后开始登录 
        //         此处仅作模拟示例，真实项目需要从数据库中查询数据进行比对 
        if("zhang".equals(name) && "123456".equals(pwd)) {
            
            // 第二步：根据账号id，进行登录 
            //         此处填入的参数应该保持用户表唯一，比如用户id，不可以直接填入整个 User 对象 
            StpUtil.login(10001);
            
            // SaResult 是 Sa-Token 中对返回结果的简单封装，下面的示例将不再赘述 
            return SaResult.ok("登录成功");
        }
        
        return SaResult.error("登录失败");
    }

    // 查询当前登录状态  ---- http://localhost:8081/acc/isLogin
    @RequestMapping("isLogin")
    public SaResult isLogin() {
        // StpUtil.isLogin() 查询当前客户端是否登录，返回 true 或 false 
        boolean isLogin = StpUtil.isLogin();
        return SaResult.ok("当前客户端是否登录：" + isLogin);
    }

    // 校验当前登录状态  ---- http://localhost:8081/acc/checkLogin
    @RequestMapping("checkLogin")
    public SaResult checkLogin() {
        // 检验当前会话是否已经登录, 如果未登录，则抛出异常：`NotLoginException`
        StpUtil.checkLogin();

        // 抛出异常后，代码将走入全局异常处理（GlobalException.java），如果没有抛出异常，则代表通过了登录校验，返回下面信息 
        return SaResult.ok("校验登录成功，这行字符串是只有登录后才会返回的信息");
    }

    // 获取当前登录的账号是谁  ---- http://localhost:8081/acc/getLoginId
    @RequestMapping("getLoginId")
    public SaResult getLoginId() {
        // 需要注意的是，StpUtil.getLoginId() 自带登录校验效果
        // 也就是说如果在未登录的情况下调用这句代码，框架就会抛出 `NotLoginException` 异常，效果和 StpUtil.checkLogin() 是一样的 
        Object userId = StpUtil.getLoginId();
        System.out.println("当前登录的账号id是：" + userId);
        
        // 如果不希望 StpUtil.getLoginId() 触发登录校验效果，可以填入一个默认值
        // 如果会话未登录，则返回这个默认值，如果会话已登录，将正常返回登录的账号id 
        Object userId2 = StpUtil.getLoginId(0);
        System.out.println("当前登录的账号id是：" + userId2);
        
        // 或者使其在未登录的时候返回 null 
        Object userId3 = StpUtil.getLoginIdDefaultNull();
        System.out.println("当前登录的账号id是：" + userId3);
        
        // 类型转换：
        // StpUtil.getLoginId() 返回的是 Object 类型，你可以使用以下方法指定其返回的类型 
        int userId4 = StpUtil.getLoginIdAsInt();  // 将返回值转换为 int 类型 
        long userId5 = StpUtil.getLoginIdAsLong();  // 将返回值转换为 long 类型 
        String userId6 = StpUtil.getLoginIdAsString();  // 将返回值转换为 String 类型 
        
        // 疑问：数据基本类型不是有八个吗，为什么只封装以上三种类型的转换？
        // 因为大多数项目都是拿 int、long 或 String 声明 UserId 的类型的，实在没见过哪个项目用 double、float、boolean 之类来声明 UserId 
        System.out.println("当前登录的账号id是：" + userId4 + " --- " + userId5 + " --- " + userId6);
        
        // 返回给前端 
        return SaResult.ok("当前客户端登录的账号id是：" + userId);
    }

    // 查询 Token 信息  ---- http://localhost:8081/acc/tokenInfo
    @RequestMapping("tokenInfo")
    public SaResult tokenInfo() {
        // TokenName 是 Token 名称的意思，此值也决定了前端提交 Token 时应该使用的参数名称 
        String tokenName = StpUtil.getTokenName();
        System.out.println("前端提交 Token 时应该使用的参数名称：" + tokenName);
        
        // 使用 StpUtil.getTokenValue() 获取前端提交的 Token 值 
        // 框架默认前端可以从以下三个途径中提交 Token：
        //         Cookie         （浏览器自动提交）
        //         Header头    （代码手动提交）
        //         Query 参数    （代码手动提交） 例如： /user/getInfo?satoken=xxxx-xxxx-xxxx-xxxx 
        // 读取顺序为： Query 参数 --> Header头 -- > Cookie 
        // 以上三个地方都读取不到 Token 信息的话，则视为前端没有提交 Token 
        String tokenValue = StpUtil.getTokenValue();
        System.out.println("前端提交的Token值为：" + tokenValue);
        
        // TokenInfo 包含了此 Token 的大多数信息 
        SaTokenInfo info = StpUtil.getTokenInfo();
        System.out.println("Token 名称：" + info.getTokenName());
        System.out.println("Token 值：" + info.getTokenValue());
        System.out.println("当前是否登录：" + info.getIsLogin());
        System.out.println("当前登录的账号id：" + info.getLoginId());
        System.out.println("当前登录账号的类型：" + info.getLoginType());
        System.out.println("当前登录客户端的设备类型：" + info.getLoginDevice());
        System.out.println("当前 Token 的剩余有效期：" + info.getTokenTimeout()); // 单位：秒，-1代表永久有效，-2代表值不存在
        System.out.println("当前 Token 的剩余临时有效期：" + info.getTokenActivityTimeout()); // 单位：秒，-1代表永久有效，-2代表值不存在
        System.out.println("当前 User-Session 的剩余有效期" + info.getSessionTimeout()); // 单位：秒，-1代表永久有效，-2代表值不存在
        System.out.println("当前 Token-Session 的剩余有效期" + info.getTokenSessionTimeout()); // 单位：秒，-1代表永久有效，-2代表值不存在
        
        // 返回给前端 
        return SaResult.data(StpUtil.getTokenInfo());
    }
    
    // 会话注销  ---- http://localhost:8081/acc/logout
    @RequestMapping("logout")
    public SaResult logout() {
        // 退出登录会清除三个地方的数据：
        //         1、Redis中保存的 Token 信息
        //         2、当前请求上下文中保存的 Token 信息 
        //         3、Cookie 中保存的 Token 信息（如果未使用Cookie模式则不会清除）
        StpUtil.logout();
        
        // StpUtil.logout() 在未登录时也是可以调用成功的，
        // 也就是说，无论客户端有没有登录，执行完 StpUtil.logout() 后，都会处于未登录状态 
        System.out.println("当前是否处于登录状态：" + StpUtil.isLogin());
        
        // 返回给前端 
        return SaResult.ok("退出登录成功");
    }
    
}

.

Atas ialah kandungan terperinci Bagaimana SpringBoot menggunakan Sa-Token untuk melaksanakan pengesahan log masuk. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!