Solon 权限认证之 Sa-Token 的使用与详解
本文详细介绍了 Sa-Token 在 Java 项目中的使用方法,包括 Sa-Token 的基本概念、与其他权限框架的比较、基本语法和高级用法,并通过实例讲解了如何在项目中集成和使用 Sa-Token 。
作为一款轻量级 Java 权限认证框架,Sa-Token 在简化权限管理、提高开发效率方面发挥了重要作用。本文还将深入探讨 Sa-Token 的核心原理,通过内部代码展示其工作机制。最后,总结了 Sa-Token 的优缺点及其在实际开发中的应用场景,为开发者提供全面的指导。
一、Sa-Token 介绍
1. Sa-Token 简介
Sa-Token 是一款轻量级 Java 权限认证框架,旨在解决 Java Web 系统中常见的登录认证、权限验证、Session 会话、单点登录等问题。其核心目标是以最简洁的方式,实现强大的权限控制功能,帮助开发者快速完成权限系统的搭建。
Sa-Token 具有如下优势:
| 优势 | 描述 |
|---|---|
| 简单易用 | API设计简洁明了,易于集成和使用,上手快,学习成本低。 |
| 功能丰富 | 支持多种权限控制需求,满足复杂业务场景。支持登录认证、权限验证、角色验证、Session会话、多账号体系等功能。 |
| 高性能 | 轻量级设计,对系统性能影响小。 |
| 高度可扩展 | 提供丰富的扩展接口,与 Spring、SpringBoot、Solon 等常用框架高度兼容,支持自定义持久化、注解方式验证、单点登录等高级特性。 |
| 社区活跃 | 有良好的社区支持和文档资源。 |
2. Sa-Token原理解析
Sa-Token 的核心原理是通过 Token 机制实现用户的身份认证和权限校验。
其主要工作流程如下:
- 登录认证:用户登录成功后,服务器生成一个全局唯一的 Token,并将其返回给客户端。
- Token存储:Token 与用户身份信息的映射关系保存在服务器的会话中(如 Redis、内存等)。
- 权限验证:客户端请求时携带 Token,服务器根据Token获取用户信息,验证其权限是否满足要求。
- 会话管理:支持 Session 会话管理,可以获取和操作当前会话的属性。
流程图例如下:
3. Sa-Token 与其他权限框架比较
Sa-Token 与其他常见权限框架在学习成本、集成难度上有显著优势:
| 特性 | Sa-Token | Solon Auth |
|---|---|---|
| 学习成本 | 低 | 低 |
| 功能丰富度 | 高 | 低 |
| 集成难度 | 低 | 低 |
| 性能表现 | 高 | 高 |
| 社区支持 | 活跃 | 一般 |
| 扩展性 | 高 | 中 |
二、Sa-Token的基本语法
在实际项目中,Sa-Token 通过简单的配置和API调用,即可实现完整的权限管理功能。以下将通过一个完整的 Solon 示例,演示如何集成和使用Sa-Token。
1. 创建 Solon Web 项目
首先,创建一个新的 Solon 项目,可以使用IDEA的项目向导或 Solon Initializr。
引入必要的依赖:
<dependencies>
<!-- Solon Web -->
<dependency>
<groupId>org.noear</groupId>
<artifactId>solon-web</artifactId>
</dependency>
<!-- Sa-Token核心依赖 -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-solon-plugin</artifactId>
<version>1.44.0</version>
</dependency>
</dependencies>
2. 配置 Sa-Token:app.yml
# Sa-Token配置,可根据需要进行调整
sa-token:
# token有效期,单位秒,默认30天
timeout: 2592000
# 是否打开二级登录校验
open-safe: false
3. 配置拦截器
创建配置类,添加Sa-Token的拦截器,以拦截请求并进行权限验证。SaTokenConfig.java
import cn.dev33.satoken.solon.integration.SaTokenInterceptor;
import org.noear.solon.annotation.Configuration;
import org.noear.solon.annotation.Managed;
@Configuration
public class SaTokenConfig {
@Managed(index = -100) //-100,是顺序位(低值优先)
public SaTokenInterceptor saTokenInterceptor() {
return new SaTokenInterceptor(); //用于支持规划处理及注解处理
}
}
4. 登录认证
创建登录接口,实现用户登录功能。LoginController.java
import cn.dev33.satoken.stp.StpUtil;
import org.noear.solon.annotation.Controller;
import org.noear.solon.annotation.Mapping;
import org.noear.solon.annotation.Param;
import org.noear.solon.annotation.Post;
@Controller
public class LoginController {
@Post
@Mapping("/login")
public String login(@Param String username, @Param String password) {
// 1. 校验用户名和密码(这里模拟一个简单的校验)
if ("admin".equals(username) && "123456".equals(password)) {
// 2. 登录,保存用户ID为10001
StpUtil.login(10001);
return "登录成功,Token:" + StpUtil.getTokenValue();
}
return "用户名或密码错误";
}
}
说明:
- 调用
StpUtil.login(10001)方法,实现登录操作,参数为用户的唯一标识 ID。 - 登录成功后,可以通过
StpUtil.getTokenValue()获取当前会话的 Token。
5. 权限验证
创建需要权限验证的接口,例如获取用户信息的接口。UserController.java
import cn.dev33.satoken.annotation.SaCheckPermission;
import cn.dev33.satoken.stp.StpUtil;
import org.noear.solon.annotation.Controller;
import org.noear.solon.annotation.Get;
import org.noear.solon.annotation.Mapping;
import org.noear.solon.annotation.Post;
@Controller
@Mapping("/user")
public class UserController {
// 查询用户信息,需登录
@Get
@Mapping("/info")
public String getUserInfo() {
// 校验是否登录
StpUtil.checkLogin();
// 获取用户ID
int userId = StpUtil.getLoginIdAsInt();
return "当前用户信息,ID:" + userId;
}
// 修改用户信息,需有权限"user:update"
@SaCheckPermission("user:update")
@Post
@Mapping("/update")
public String updateUser() {
return "用户信息更新成功";
}
}
说明:
- 使用
StpUtil.checkLogin()方法手动校验登录状态。 - 使用
@SaCheckPermission("user:update")注解,声明该接口需要权限user:update。
6. 角色验证
如果需要基于角色进行权限控制,可以使用 @SaCheckRole 注解。
import cn.dev33.satoken.annotation.SaCheckRole;
import org.noear.solon.annotation.Controller;
import org.noear.solon.annotation.Get;
import org.noear.solon.annotation.Mapping;
@Controller
@Mapping("/admin")
public class AdminController {
// 仅管理员角色可访问
@SaCheckRole("admin")
@Get
@Mapping("/dashboard")
public String adminDashboard() {
return "欢迎进入管理员控制台";
}
}
7. 自定义权限验证逻辑
需要自定义获取用户权限和角色的逻辑,可以实现 StpInterface 接口。StpInterfaceImpl.java
import cn.dev33.satoken.stp.StpInterface;
import org.noear.solon.annotation.Managed;
import java.util.ArrayList;
import java.util.List;
@Managed
public class StpInterfaceImpl implements StpInterface {
// 返回一个用户所拥有的权限码集合
@Override
public List<String> getPermissionList(Object loginId, String loginKey) {
// 模拟从数据库获取权限
List<String> permissionList = new ArrayList<>();
if("10001".equals(loginId.toString())) {
permissionList.add("user:update");
permissionList.add("user:delete");
}
return permissionList;
}
// 返回一个用户所拥有的角色标识集合 (权限与角色可分开校验)
@Override
public List<String> getRoleList(Object loginId, String loginKey) {
// 模拟从数据库获取角色
List<String> roleList = new ArrayList<>();
if("10001".equals(loginId.toString())) {
roleList.add("admin");
}
return roleList;
}
}
说明:
- 实现
getPermissionList方法,返回指定用户的权限列表。 - 实现
getRoleList方法,返回指定用户的角色列表。
8. 会话管理
Sa-Token 提供了会话管理功能,可以在 Session 中存储和获取数据。
import cn.dev33.satoken.session.SaSession;
import cn.dev33.satoken.stp.StpUtil;
public void sessionDemo() {
// 获取当前会话的Session
SaSession session = StpUtil.getSession();
// 存储数据
session.set("name", "张三");
session.set("email", "zhangsan@example.com");
// 获取数据
String name = session.getString("name");
String email = session.getString("email");
// 输出
System.out.println("姓名:" + name);
System.out.println("邮箱:" + email);
}
9. 踢人下线
可以通过用户ID强制用户下线。
// 将用户ID为10001的用户踢下线
StpUtil.logoutByLoginId(10001);
// 检查用户是否已被踢下线
boolean isLogout = StpUtil.isLogin();
System.out.println("用户是否登录:" + isLogout);
10. 注销登录
用户主动注销登录,可以调用 StpUtil.logout() 方法。
// 注销登录
StpUtil.logout();
// 检查登录状态
boolean isLogin = StpUtil.isLogin();
System.out.println("用户是否登录:" + isLogin);
三、Sa-Token 的高级用法
1. 自定义持久化
Sa-Token 默认使用内存来存储 Token 信息,在分布式环境中,可以使用 Redis 作为持久化介质。
引入Redis依赖:
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-redisx</artifactId>
<version>1.44.0</version>
</dependency>
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-snack3</artifactId>
<version>1.44.0</version>
</dependency>
配置 Redis Dao 连接信息:app.yml
sa-token: # 不同的扩展插件,配置可能会不同
dao:
server: "localhost:6379"
password: 123456
db: 1
maxTotal: 200
配置 Redis 持久化:
import cn.dev33.satoken.dao.SaTokenDao;
import cn.dev33.satoken.dao.SaTokenDaoForRedisx;
import org.noear.solon.annotation.Configuration;
import org.noear.solon.annotation.Inject;
import org.noear.solon.annotation.Managed;
@Configuration
public class SaTokenDaoConfig {
@Managed
public SaTokenDao saTokenDaoInit(@Inject("${sa-token.dao}") SaTokenDaoForRedisx saTokenDao) {
return saTokenDao;
}
}
2. 单点登录(SSO)
Sa-Token提供了SSO模块,可以快速实现单点登录功能。
引入SSO依赖:
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-sso</artifactId>
<version>1.44.0</version>
</dependency>
配置 SSO 相关参数:app.yml
sa-token:
sso-client:
client: demo-app
server-url: http://sso-server.com
is-http: true
secret-key: SSO-C3-kQwIOrYvnXmSDkwEiFngrKidMcdrgKor
3. OAuth2.0支持
Sa-Token 也支持 OAuth2.0 协议,可以实现与第三方平台的对接。
引入 OAuth2.0 依赖:
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-oauth2</artifactId>
<version>1.44.0</version>
</dependency>
配置 OAuth2.0 参数和实现授权流程(此处略,具体可参考官方文档)。
4. 多账号体系
如果系统中存在多种身份的用户,例如普通用户、管理员、商家等,可以使用多账号体系进行区分。
登录指定账号体系:
// 管理员登录,loginKey为"admin"
StpUtil.login(10001, "admin");
检查登录状态:
// 检查当前账号体系下是否登录
boolean isLogin = StpUtil.isLogin("admin");
权限验证:
// 在指定账号体系下进行权限验证
StpUtil.checkPermission("user:update", "admin");
四、Sa-Token使用总结
Sa-Token 是一款轻量级的 Java 权限认证框架,因其简单易用和功能丰富而备受开发者青睐。它以简洁明了的API设计,使得集成和使用变得非常方便,开发者可以快速上手,降低了学习成本。Sa-Token 支持多种权限控制需求,满足复杂业务场景,包括登录认证、权限验证、角色验证、Session 会话、多账号体系等功能,全面覆盖了权限管理的各个方面。其轻量级的设计对系统性能影响小,适用于高并发的应用环境。此外,Sa-Token 提供了丰富的扩展接口,与 Spring、SpringBoot、Solon 等常用框架高度兼容,支持自定义持久化、注解方式验证、单点登录等高级特性,方便开发者根据项目需求进行定制开发。活跃的社区支持和丰富的文档资源也使得开发者能够轻松获取帮助和指导。
由于这些优势,Sa-Token 非常适 Web 项目的快速开发和微服务架构下的权限管理。当项目需要快速搭建权限系统时,选择 Sa-Token 是一个理想的方案。然而,在使用过程中需要注意 Token 的安全性,防止泄露带来风险;对于高并发场景,建议使用Redis等持久化介质来提高系统性能和扩展性;同时,关注 Sa-Token 的版本更新,及时获取新功能和安全补丁,以确保系统的安全性和稳定性。
关注公众号
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
-
上一篇
快手发布工业级规模强化学习(RL)训练框架 SeamlessFlow
快手 Kwaipilot 团队近日发布了 SeamlessFlow 技术报告,SeamlessFlow 是该团队所使用的工业级规模强化学习(RL)训练框架。 据介绍,该框架通过创新的数据平面架构,对RL的训练逻辑和Agent做了彻底解耦,用以支持多智能体、在线强化学习训练等复杂场景。 更进一步,针对RL计算资源分配问题,团队提出了“标签分配机制”,统一了该领域最广泛的两种设计模式(训推共卡、训推分离)。以标签分配的思路为出发点,在业界首个提出“时空复用pipeline”,实现了在训推分离的异构集群上彻底消除Pipeline Bubble的效果。 在实际测试中,SeamlessFlow的端到端token吞吐量相比基线提升100%,整体训练时间减少62%。 详细内容查看技术报告:https://arxiv.org/abs/2508.11553
-
下一篇
校方怀疑学生使用 AI 作弊,要求全员重考并接受现场答辩
新西兰林肯大学一门研究生课程近日引发了热议:因怀疑部分学生在作业中使用了生成式 AI 工具,授课教师要求全班 115 名学生必须参加线下答辩重新考核。 据了解,该课程聚焦“大数据与人工智能”,教师发现作业中出现大量“高水准代码”,怀疑学生不当使用生成式 AI 工具。 尽管承认个别学生可能具备编程能力,但大规模出现此类情况概率极低,因此决定让全班重考:学生需现场编写代码、解释作业思路,并接受即兴问答,全程录像。教师称此举为“保证公平性”,并强调“若代码是自己写的,就能解释清楚;解释不了则可能作弊”。 对于校方的处理方案,学生认为重考营造了“人人有嫌疑”的紧张氛围,担心因答错一句被认定作弊。部分学生表示从未使用AI,却被迫参与重考,认为处理方式“反应过度”。 校方称处理符合学术规范,课程大纲已明确 AI 使用规则,且政策允许在怀疑作弊时要求学生重新验证。教务长强调重视学术诚信,目标是确保学生成果代表自身努力。 维多利亚大学 AI 专家认为,AI 普及是不可逆趋势,高校需调整教学和考核方式,如增加面对面讲解作业、设置阶段性检查点,而非单纯依赖线下考试。
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2全家桶,快速入门学习开发网站教程
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- CentOS7,8上快速安装Gitea,搭建Git服务器
微信收款码
支付宝收款码