哈喽,大家好,我是指北君
。
大家有没有发现,现在我们已经习惯了一处登录,处处使用的设计,但是你知道该如何实现吗?又该如何优雅的实现?
不知道在前几年互联网还没有那么发达的时候,大家有没有感触到?
那个时候我们还是不太敢把我们的钱都存放在支付宝里面,心里想着“看不见,摸不着”,很容易就会被盗取。而且那个时间段里面,一些黑客的入侵也比较频繁,在一些安全技术没有那么完善的前提下,确实也出现过几次鲜为人知的圈内大事件。
但是近三年的互联网飞速发展,我们好像已经习惯了享受:“一键登录支付宝,就可以在各大购物网站中畅快支付,不需要再进行频繁地登录与登出,只需要一个支付宝用户名和密码,就可以完成你想要做的所有事情”
大家有没有想过背后的原理呢? 可能对于我们程序员圈之外的人来说,这些好像会说:“这些不都该是基础的功能吗?”但是对于我们圈内的人来说,其中的原理与实现确实能够作为衡量我们技术水平的一个关键点。
但是我们该如何设计
首先让我们来看看【周志明-《深入理解java虚拟机》作者】在其凤凰架构
中写到的 架构安全性的几大要素:
如上所示,首当其冲的就是认证——如何辨别是你,然后就是授权——如何访问数据,以及凭证——如何保证唯一性等等,在我们想要设计时候,也就可以从这些地方入手。无论是说引用已经存在的框架,或者是说自己去设计。
当然对于一些已经有着丰富经验的老司机可能会说:“shiro 和 SpringSecurity 不是都已经实现了这些功能吗,直接引入就好了,指北君又在卖什么关子呢,想要表达什么呢?”
这个时候指北君会很严肃的反驳大家,shiro
和 SpringSecurity
有对应的自定义 Realm
去进行权限的校验,需要设置对应的诸多全局过滤器,以及各种配置文件等等。
而今天介绍的Sa-Token
是一个轻量级 Java 权限认证框架,主要解决:登录认证
、权限认证
、Session会话
、单点登录
、OAuth2.0
、微服务网关鉴权
等一系列权限相关问题。
对于登录来说 Sa-Token
只需要这样:
// 在登录时写入当前会话的账号id
StpUtil.login(10001);
// 然后在需要校验登录处调用以下方法:
// 如果当前会话未登录,这句代码会抛出 `NotLoginException` 异常
StpUtil.checkLogin();
至此,我们已经借助 Sa-Token
完成登录认证!
没错,在 Sa-Token
中,登录认证就是如此简单,不需要任何的复杂前置工作,只需这一行简单的API调用,就可以完成会话登录认证!
当你受够 Shiro
、SpringSecurity
等框架的三拜九叩之后,你就会明白,相对于这些传统老牌框架,Sa-Token
的 API 设计是多么的简单、优雅!
权限认证示例(只有具备 user:add
权限的会话才可以进入请求):
@SaCheckPermission("user:add")
@RequestMapping("/user/insert")
public String insert(SysUser user) {
// ...
return "用户增加";
}
将某个账号踢下线(待到对方再次访问系统时会抛出NotLoginException
异常):
// 将账号id为 10001 的会话踢下线
StpUtil.kickout(10001);
在 Sa-Token
中,绝大多数功能都可以 一行代码 完成:
StpUtil.login(10001); // 标记当前会话登录的账号id
StpUtil.getLoginId(); // 获取当前会话登录的账号id
StpUtil.isLogin(); // 获取当前会话是否已经登录, 返回true或false
StpUtil.logout(); // 当前会话注销登录
StpUtil.kickout(10001); // 将账号为10001的会话踢下线
StpUtil.hasRole("super-admin"); // 查询当前账号是否含有指定角色标识, 返回true或false
StpUtil.hasPermission("user:add"); // 查询当前账号是否含有指定权限, 返回true或false
StpUtil.getSession(); // 获取当前账号id的Session
StpUtil.getSessionByLoginId(10001); // 获取账号id为10001的Session
StpUtil.getTokenValueByLoginId(10001); // 获取账号id为10001的token令牌值
StpUtil.login(10001, "PC"); // 指定设备标识登录,常用于“同端互斥登录”
StpUtil.kickout(10001, "PC"); // 指定账号指定设备标识踢下线 (不同端不受影响)
StpUtil.openSafe(120); // 在当前会话开启二级认证,有效期为120秒
StpUtil.checkSafe(); // 校验当前会话是否处于二级认证有效期内,校验失败会抛出异常
StpUtil.switchTo(10044); // 将当前会话身份临时切换为其它账号
即使不运行测试,相信你也能意会到绝大多数 API 的用法。
单端登录、多端登录、同端互斥登录、七天内免登录
所谓登录认证,说白了就是限制某些API接口必须登录后才能访问(例:查询我的账号资料)
那么如何判断一个会话是否登录?框架会在登录成功后给你做个标记,每次登录认证时校验这个标记,有标记者视为已登录,无标记者视为未登录!
根据以上思路,我们很容易想到以下api:
// 标记当前会话登录的账号id
// 建议的参数类型:long | int | String, 不可以传入复杂类型,如:User、Admin等等
StpUtil.login(Object id);
// 当前会话注销登录
StpUtil.logout();
// 获取当前会话是否已经登录,返回true=已登录,false=未登录
StpUtil.isLogin();
// 检验当前会话是否已经登录, 如果未登录,则抛出异常:`NotLoginException`
StpUtil.checkLogin();
NotLoginException
异常对象扩展:getLoginType()
方法获取具体是哪个 StpLogic
抛出的异常。getType()
方法获取具体的场景值,详细参考章节:未登录场景值// 获取当前会话账号id, 如果未登录,则抛出异常:`NotLoginException`
StpUtil.getLoginId();
// 类似查询API还有:
StpUtil.getLoginIdAsString(); // 获取当前会话账号id, 并转化为`String`类型
StpUtil.getLoginIdAsInt(); // 获取当前会话账号id, 并转化为`int`类型
StpUtil.getLoginIdAsLong(); // 获取当前会话账号id, 并转化为`long`类型
// ---------- 指定未登录情形下返回的默认值 ----------
// 获取当前会话账号id, 如果未登录,则返回null
StpUtil.getLoginIdDefaultNull();
// 获取当前会话账号id, 如果未登录,则返回默认值 (`defaultValue`可以为任意类型)
StpUtil.getLoginId(T defaultValue);
// 获取指定token对应的账号id,如果未登录,则返回 null
StpUtil.getLoginIdByToken(String tokenValue);
// 获取当前`StpLogic`的token名称
StpUtil.getTokenName();
// 获取当前会话的token值
StpUtil.getTokenValue();
// 获取当前会话的token信息参数
StpUtil.getTokenInfo();
新建 LoginController
,复制以下代码:
/**
* 登录测试
* @author kong
*
*/
@RestController
@RequestMapping("/acc/")
public class LoginController {
// 测试登录 ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
@RequestMapping("doLogin")
public SaResult doLogin(String name, String pwd) {
// 此处仅作模拟示例,真实项目需要从数据库中查询数据进行比对
if("zhang".equals(name) && "123456".equals(pwd)) {
StpUtil.login(10001);
return SaResult.ok("登录成功");
}
return SaResult.error("登录失败");
}
// 查询登录状态 ---- http://localhost:8081/acc/isLogin
@RequestMapping("isLogin")
public SaResult isLogin() {
return SaResult.ok("是否登录:" + StpUtil.isLogin());
}
// 查询 Token 信息 ---- http://localhost:8081/acc/tokenInfo
@RequestMapping("tokenInfo")
public SaResult tokenInfo() {
return SaResult.data(StpUtil.getTokenInfo());
}
// 测试注销 ---- http://localhost:8081/acc/logout
@RequestMapping("logout")
public SaResult logout() {
StpUtil.logout();
return SaResult.ok();
}
}
权限认证、角色认证、会话二级认证
所谓权限认证,认证的核心就是一个账号是否拥有一个权限码。
有,就让你通过。没有?那么禁止访问!
再往低了说,就是每个账号都会拥有一个权限码集合,我来校验这个集合中是否包含指定的权限码。
例如:当前账号拥有权限码集合:["user-add", "user-delete", "user-get"]
,这时候我来校验权限 "user-update"
,则其结果就是:验证失败,禁止访问。
所以现在问题的核心就是:
因为每个项目的需求不同,其权限设计也千变万化,因此【获取当前账号权限码集合】这一操作不可能内置到框架中, 所以 Sa-Token 将此操作以接口的方式暴露给你,以方便的你根据自己的业务逻辑进行重写。
你需要做的就是新建一个类,实现StpInterface
接口,例如以下代码:
package com.pj.satoken;
import java.util.ArrayList;
import java.util.List;
import org.springframework.stereotype.Component;
import cn.dev33.satoken.stp.StpInterface;
/**
* 自定义权限验证接口扩展
*/
@Component // 保证此类被SpringBoot扫描,完成Sa-Token的自定义权限验证扩展
public class StpInterfaceImpl implements StpInterface {
/**
* 返回一个账号所拥有的权限码集合
*/
@Override
public List<String> getPermissionList(Object loginId, String loginType) {
// 本list仅做模拟,实际项目中要根据具体业务逻辑来查询权限
List<String> list = new ArrayList<String>();
list.add("101");
list.add("user-add");
list.add("user-delete");
list.add("user-update");
list.add("user-get");
list.add("article-get");
return list;
}
/**
* 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
*/
@Override
public List<String> getRoleList(Object loginId, String loginType) {
// 本list仅做模拟,实际项目中要根据具体业务逻辑来查询角色
List<String> list = new ArrayList<String>();
list.add("admin");
list.add("super-admin");
return list;
}
}
然后就可以用以下api来鉴权了:
// 判断:当前账号是否含有指定权限, 返回true或false
StpUtil.hasPermission("user-update");
// 校验:当前账号是否含有指定权限, 如果验证未通过,则抛出异常: NotPermissionException
StpUtil.checkPermission("user-update");
// 校验:当前账号是否含有指定权限 [指定多个,必须全部验证通过]
StpUtil.checkPermissionAnd("user-update", "user-delete");
// 校验:当前账号是否含有指定权限 [指定多个,只要其一验证通过即可]
StpUtil.checkPermissionOr("user-update", "user-delete");
扩展:NotPermissionException
对象可通过 getLoginType()
方法获取具体是哪个 StpLogic
抛出的异常。
在Sa-Token中,角色和权限可以独立验证:
// 判断:当前账号是否拥有指定角色, 返回true或false
StpUtil.hasRole("super-admin");
// 校验:当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleException
StpUtil.checkRole("super-admin");
// 校验:当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]
StpUtil.checkRoleAnd("super-admin", "shop-admin");
// 校验:当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可]
StpUtil.checkRoleOr("super-admin", "shop-admin");
扩展:NotRoleException
对象可通过 getLoginType()
方法获取具体是哪个 StpLogic
抛出的异常。
权限精确到按钮级的意思就是指:权限范围可以控制到页面上的每一个按钮是否显示。
思路:如此精确的范围控制只依赖后端已经难以完成,此时需要前端进行一定的逻辑判断。
如果是前后端一体项目,可以参考:Thymeleaf 标签方言,如果是前后端分离项目,则:
在登录时,把当前账号拥有的所有权限码一次性返回给前端。
前端将权限码集合保存在localStorage
或其它全局状态管理对象中。
在需要权限控制的按钮上,使用js进行逻辑判断,例如在vue
框架中我们可以使用如下写法:
其中: arr
是当前用户拥有的权限码数组,user:delete
是显示按钮需要拥有的权限码,删除按钮
是用户拥有权限码才可以看到的内容。
注意:以上写法只为提供一个参考示例,不同框架有不同写法,开发者可根据项目技术栈灵活封装进行调用。
需要!
前端的鉴权只是一个辅助功能,对于专业人员这些限制都是可以轻松绕过的,为保证服务器安全,无论前端是否进行了权限校验,后端接口都需要对会话请求再次进行权限校验!
可以看到的是对于我们开发者来说这绝对是神器中的神器了。
上面指北君给大家介绍了其基础的功能,看起来好像还行,那到底有没有具体应用到实际的操作项目中呢,回答是有的,快来看看,你所了解的有没有用到这个鉴权吧:
如下图所示,可以看到,无论是对多个目前主流的开源项目的集成,或者是说对于若依
的扩展等,都有着良好的解决方案,可以毫不夸张地说,学习了这个鉴权工具,你也可以同时学习如下这些质量较高的项目。
在学习一个开源项目的时候,对于其 star
数,也是我们衡量这个项目质量是否上乘,认可度是否高,口碑是否优秀的一个很重要的原因。如下图所示,可以说自从2020-8项目创建以来,经过了一段时间的使用,star
数直线上升,足够证明其优秀性与稳定性。
正如前文所说一样,目前系统的安全性越来越受到大家的重视,但是对于一个用于学习如何鉴权和登录的开源项目来说,【Sa-Token】 能够让我们不仅仅能够学习到如何优雅的鉴权与处理,在学习完成之后,还能够学习到相关技术的扩展,让我们在学习的过程中,能够获取到更多的知识与内容。实在是用于学习鉴权——开发自己公司的产品,或者用于自学,找到一份较好的工作的不二之选,快来试一试吧。
关注开源指北
,后台回复satoken
获取资源。
这里是开源指北,立志做最好的开源分享平台,分享有趣实用的开源项目。
同时也欢迎加入开源指北交流群,群里你可以摸鱼、划水、吐槽、咨询,还有简历模板、各种技术面试资料等100G的资源等着你领取哦。快来一起聊一聊吧!
以上就是本次推荐的全部内容,我是指北君
,感谢各位的观看。