SpringBoot 如何使用 Sa-Token 完成权限认证?
1. 什么是 Sa-Token
Sa-Token 是一个轻量级 Java 权限认证框架,在其官网中,它的自我介绍是:
非常易用且功能强大的Java身份认证授权框架,专注于减少用户认证授权开发的工作量,让开发人员可以将精力更多的放在业务逻辑中。
它可以轻松地实现用户身份验证、权限控制、会话管理等功能。 使用 Sa-Token 可以大大简化我们的权限认证开发工作,提高开发效率,因此它受到了越来越多的 Java 开发者的喜爱。
2. SpringBoot 如何使用 Sa-Token
接下来我们将介绍如何在 SpringBoot 中使用 Sa-Token,实现权限认证功能。
2.1. 添加依赖
首先,我们需要在 pom.xml 文件中添加 Sa- Token 的依赖,具体代码如下:
<dependency>
<groupId>cn.dev33.satoken</groupId>
<artifactId>sa-token-starter-springboot</artifactId>
<version>1.16.1-RELEASE</version>
</dependency>
2.2. 配置文件
在添加完依赖之后,我们需要在配置文件中进行相关的配置,主要包括数据库连接信息和 Sa-Token 的相关配置。
首先,我们需要在配置文件中添加数据库连接信息,具体代码如下:
# 数据库连接信息
spring.datasource.url = jdbc:mysql://localhost:3306/sa_token?useUnicode=true&characterEncoding=utf8&serverTimezone=Asia/Shanghai
spring.datasource.username = root
spring.datasource.password = root
# 配置druid监控
spring.datasource.druid.stat-view-servlet.enabled=true
spring.datasource.druid.stat-view-servlet.url-pattern=/druid/*
spring.datasource.druid.web-stat-filter.enabled=true
spring.datasource.druid.web-stat-filter.url-pattern=/*
然后,我们需要在配置文件中添加 Sa-Token 的相关配置,具体代码如下:
# Sa-Token 配置
sa-token.token-name=mytoken
sa-token.timeout=1800
sa-token.cache-type=redis
sa-token.redis.host=localhost
sa-token.redis.port=6379
sa-token.redis.password=
sa-token.redis.database=0
其中,token-name 是指定 Token 的名称,默认为Sa-Token-Auth。timeout是指定 Token 过期时间,单位是秒,默认为 30 分钟。cache-type是指定 Token 的缓存方式,默认为 Memory 缓存。redis.host、redis.port 和 redis.password 是指定 Redis 的相关信息。如果使用的是 Memory 缓存,则不需要对 Redis 相关配置进行配置。
2.3. 编写安全配置类
接下来,我们需要编写一个安全配置类,用于配置 Sa-Token 的 Servlet 拦截器和 Filter 拦截器,以保证所有的请求都会被 Sa-Token 拦截并进行身份认证和权限控制。
@Configuration
public class SaTokenConfigure {
@Bean
public SaTokenWebInterceptor getSaTokenWebInterceptor() {
return new SaTokenWebInterceptor()
.addPathPatterns("/**") // 拦截所有请求
.excludePathPatterns("/login.html", "/login", "/logout"); // 排除登录和注销接口
}
@Bean
public SaServletFilter getSaServletFilter() {
return new SaServletFilter()
.addInclude("/**"); // 拦截所有请求
}
}
在上述代码中,我们编写了一个 SaTokenConfigure 类,并分别编写了 getSaTokenWebInterceptor() 和 getSaServletFilter() 方法,用于配置 Sa-Token 的 Servlet 拦截器和 Filter 拦截器。其中,addPathPatterns("/**") 表示拦截所有的请求,excludePathPatterns("/login.html", "/login", "/logout") 表示排除登录和注销接口,以保证不会出现无限递归的错误。
2.4. 编写登录和注销接口
最后,我们还需要编写一个登录和注销接口,用于进行用户的登录、退出和设置 Token 等操作。
@RestController
public class LoginController {
/**
* 模拟登录接口
*/
@PostMapping("/login")
public String login(String username, String password, HttpServletResponse response) {
// 登录验证成功后,设置token,并将token返回给前端
String token = SaTokenManager.createToken(username);
response.setHeader("Authorization", token);
return token;
}
/**
* 模拟登出接口
*/
@GetMapping("/logout")
public String logout(HttpServletRequest request) {
// 登出时,删除token
SaTokenManager.deleteTokenByLoginId(SaTokenContext.getLoginId());
return "退出成功";
}
}
在上述代码中,我们编写了一个 LoginController 类,并分别编写了 login() 和 logout() 方法,用于进行用户的登录、退出和设置 Token 等操作。其中,PostMapping("/login") 表示登录接口使用 POST 请求方式,GetMapping("/logout") 表示注销接口使用 GET 请求方式。
3. 实现效果
在完成以上步骤之后,我们已经成功地将 Sa-Token 集成到了 SpringBoot 应用中,下面让我们来测试一下它的实际效果。
3.1. 登录
访问登录接口 /login,并传入用户名和密码,然后将获取到的 Token 值保存下来,方便后续测试接口时使用。
POST http://localhost:8080/login HTTP/1.1
Content-Type: application/json;charset=UTF-8
{
"username": "admin",
"password": "123456"
}
返回结果如下:
HTTP/1.1 200
Authorization: e849c5fe820a2a2b2519c4b8cc6b3134
Content-Type: text/plain;charset=UTF-8
e849c5fe820a2a2b2519c4b8cc6b3134
3.2. 访问受保护的资源
访问一个需要权限验证的资源,此时如果在请求头中携带正确的 Token,那么请求会被正常处理,否则会返回 401 错误码。
GET http://localhost:8080/protected HTTP/1.1
Authorization: e849c5fe820a2a2b2519c4b8cc6b3134
返回结果如下:
HTTP/1.1 200
Content-Type: text/plain;charset=UTF-8
Hello, protected resource!
3.3. 访问注销接口
访问注销接口 /logout,传入正确的 Token,然后再访问受保护的资源 /protected,此时应该返回 401 错误码,表示未授权。
GET http://localhost:8080/logout HTTP/1.1
Authorization: e849c5fe820a2a2b2519c4b8cc6b3134
返回结果如下:
HTTP/1.1 200
Content-Type: text/plain;charset=UTF-8
退出成功
GET http://localhost:8080/protected HTTP/1.1
Authorization: e849c5fe820a2a2b2519c4b8cc6b3134
返回结果如下:
HTTP/1.1 401
Content-Type: text/plain;charset=UTF-8
Unauthorized
4. 总结
本文详细介绍了如何在 SpringBoot 中集成 Sa-Token,用于完成身份认证和权限控制等功能。具体来说,我们通过添加依赖、配置文件、编写安全配置类和登录和注销接口等步骤,完成了 Sa-Token 的集成工作,并对其实现效果进行了测试。
总的来说,Sa-Token 是一个非常易用且功能强大的 Java 权限认证框架,可以大大提高我们的权限认证开发效率。因此,我们应该积极学习和使用 Sa-Token,将其应用到我们的项目中,以更好地保障系统的安全和稳定运行。
- 点赞
- 收藏
- 关注作者
评论(0)