一、設計思路
對于一些登錄之后才能訪問的介面(例如:查詢我的賬號資料),我們通常的做法是增加一層介面校驗:
- 如果校驗通過,則:正常回傳資料,
- 如果校驗未通過,則:拋出例外,告知其需要先進行登錄,
那么,判斷會話是否登錄的依據是什么?我們先來簡單分析一下登錄訪問流程:
- 用戶提交
name+password引數,呼叫登錄介面, - 登錄成功,回傳這個用戶的 Token 會話憑證,
- 用戶后續的每次請求,都攜帶上這個 Token,
- 服務器根據 Token 判斷此會話是否登錄成功,
所謂登錄認證,指的就是服務器校驗賬號密碼,為用戶頒發 Token 會話憑證的程序,這個 Token 也是我們后續判斷會話是否登錄的關鍵所在,
動態圖演示:
接下來,我們將介紹在 SpringBoot 中如何使用 Sa-Token 完成登錄認證操作,
Sa-Token 是一個 java 權限認證框架,主要解決登錄認證、權限認證、單點登錄、OAuth2、微服務網關鑒權 等一系列權限相關問題,
Gitee 開源地址:https://gitee.com/dromara/sa-token
首先在專案中引入 Sa-Token 依賴:
<!-- Sa-Token 權限認證 -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-spring-boot-starter</artifactId>
<version>1.34.0</version>
</dependency>
注:如果你使用的是 SpringBoot 3.x,只需要將 sa-token-spring-boot-starter 修改為 sa-token-spring-boot3-starter 即可,
二、登錄與注銷
根據以上思路,我們需要一個會話登錄的函式:
// 會話登錄:引數填寫要登錄的賬號id,建議的資料型別:long | int | String, 不可以傳入復雜型別,如:User、Admin 等等
StpUtil.login(Object id);
只此一句代碼,便可以使會話登錄成功,實際上,Sa-Token 在背后做了大量的作業,包括但不限于:
- 檢查此賬號是否之前已有登錄
- 為賬號生成
Token憑證與Session會話 - 通知全域偵聽器,xx 賬號登錄成功
- 將
Token注入到請求背景關系 - 等等其它作業……
你暫時不需要完整的了解整個登錄程序,你只需要記住關鍵一點:Sa-Token 為這個賬號創建了一個Token憑證,且通過 Cookie 背景關系回傳給了前端,
所以一般情況下,我們的登錄介面代碼,會大致類似如下:
// 會話登錄介面
@RequestMapping("doLogin")
public SaResult doLogin(String name, String pwd) {
// 第一步:比對前端提交的賬號名稱、密碼
if("zhang".equals(name) && "123456".equals(pwd)) {
// 第二步:根據賬號id,進行登錄
StpUtil.login(10001);
return SaResult.ok("登錄成功");
}
return SaResult.error("登錄失敗");
}
如果你對以上代碼閱讀沒有壓力,你可能會注意到略顯奇怪的一點:此處僅僅做了會話登錄,但并沒有主動向前端回傳 Token 資訊,
是因為不需要嗎?嚴格來講是需要的,只不過 StpUtil.login(id) 方法利用了 Cookie 自動注入的特性,省略了你手寫回傳 Token 的代碼,
如果你對 Cookie 功能還不太了解,也不用擔心,我們會在之后的 [ 前后端分離 ] 章節中詳細的闡述 Cookie 功能,現在你只需要了解最基本的兩點:
- Cookie 可以從后端控制往瀏覽器中寫入 Token 值,
- Cookie 會在前端每次發起請求時自動提交 Token 值,
因此,在 Cookie 功能的加持下,我們可以僅靠 StpUtil.login(id) 一句代碼就完成登錄認證,
除了登錄方法,我們還需要:
// 當前會話注銷登錄
StpUtil.logout();
// 獲取當前會話是否已經登錄,回傳true=已登錄,false=未登錄
StpUtil.isLogin();
// 檢驗當前會話是否已經登錄, 如果未登錄,則拋出例外:`NotLoginException`
StpUtil.checkLogin();
例外 NotLoginException 代表當前會話暫未登錄,可能的原因有很多:
前端沒有提交 Token、前端提交的 Token 是無效的、前端提交的 Token 已經過期 …… 等等,
Sa-Token 未登錄場景值參照表:
| 場景值 | 對應常量 | 含義說明 |
|---|---|---|
| -1 | NotLoginException.NOT_TOKEN | 未能從請求中讀取到 Token |
| -2 | NotLoginException.INVALID_TOKEN | 已讀取到 Token,但是 Token無效 |
| -3 | NotLoginException.TOKEN_TIMEOUT | 已讀取到 Token,但是 Token已經過期 |
| -4 | NotLoginException.BE_REPLACED | 已讀取到 Token,但是 Token 已被頂下線 |
| -5 | NotLoginException.KICK_OUT | 已讀取到 Token,但是 Token 已被踢下線 |
那么,如何獲取場景值呢?廢話少說直接上代碼:
// 全域例外攔截(攔截專案中的NotLoginException例外)
@ExceptionHandler(NotLoginException.class)
public SaResult handlerNotLoginException(NotLoginException nle)
throws Exception {
// 列印堆疊,以供除錯
nle.printStackTrace();
// 判斷場景值,定制化例外資訊
String message = "";
if(nle.getType().equals(NotLoginException.NOT_TOKEN)) {
message = "未提供token";
}
else if(nle.getType().equals(NotLoginException.INVALID_TOKEN)) {
message = "token無效";
}
else if(nle.getType().equals(NotLoginException.TOKEN_TIMEOUT)) {
message = "token已過期";
}
else if(nle.getType().equals(NotLoginException.BE_REPLACED)) {
message = "token已被頂下線";
}
else if(nle.getType().equals(NotLoginException.KICK_OUT)) {
message = "token已被踢下線";
}
else {
message = "當前會話未登錄";
}
// 回傳給前端
return SaResult.error(message);
}
注意:以上代碼并非處理邏輯的最佳方式,只為以最簡單的代碼演示出場景值的獲取與應用,大家可以根據自己的專案需求來定制化處理
三、會話查詢
// 獲取當前會話賬號id, 如果未登錄,則拋出例外:`NotLoginException`
StpUtil.getLoginId();
// 類似查詢API還有:
StpUtil.getLoginIdAsString(); // 獲取當前會話賬號id, 并轉化為`String`型別
StpUtil.getLoginIdAsInt(); // 獲取當前會話賬號id, 并轉化為`int`型別
StpUtil.getLoginIdAsLong(); // 獲取當前會話賬號id, 并轉化為`long`型別
// ---------- 指定未登錄情形下回傳的默認值 ----------
// 獲取當前會話賬號id, 如果未登錄,則回傳null
StpUtil.getLoginIdDefaultNull();
// 獲取當前會話賬號id, 如果未登錄,則回傳默認值 (`defaultValue`可以為任意型別)
StpUtil.getLoginId(T defaultValue);
四、Token 查詢
// 獲取當前會話的token值
StpUtil.getTokenValue();
// 獲取當前`StpLogic`的token名稱
StpUtil.getTokenName();
// 獲取指定token對應的賬號id,如果未登錄,則回傳 null
StpUtil.getLoginIdByToken(String tokenValue);
// 獲取當前會話剩余有效期(單位:s,回傳-1代表永久有效)
StpUtil.getTokenTimeout();
// 獲取當前會話的token資訊引數
StpUtil.getTokenInfo();
TokenInfo 是 Token 資訊 Model,用來描述一個 Token 的常用引數:
{
"tokenName": "satoken", // token名稱
"tokenValue": "e67b99f1-3d7a-4a8d-bb2f-e888a0805633", // token值
"isLogin": true, // 此token是否已經登錄
"loginId": "10001", // 此token對應的LoginId,未登錄時為null
"loginType": "login", // 賬號型別標識
"tokenTimeout": 2591977, // token剩余有效期 (單位: 秒)
"sessionTimeout": 2591977, // User-Session剩余有效時間 (單位: 秒)
"tokenSessionTimeout": -2, // Token-Session剩余有效時間 (單位: 秒) (-2表示系統中不存在這個快取)
"tokenActivityTimeout": -1, // token剩余無操作有效時間 (單位: 秒)
"loginDevice": "default-device" // 登錄設備型別
}
五、來個小測驗,加深一下理解
新建 LoginAuthController,復制以下代碼
package com.pj.cases.use;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import cn.dev33.satoken.stp.SaTokenInfo;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;
/**
* Sa-Token 登錄認證示例
*
* @author kong
* @since 2022-10-13
*/
@RestController
@RequestMapping("/acc/")
public class LoginAuthController {
// 會話登錄介面 ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
@RequestMapping("doLogin")
public SaResult doLogin(String name, String pwd) {
// 第一步:比對前端提交的 賬號名稱 & 密碼 是否正確,比對成功后開始登錄
// 此處僅作模擬示例,真實專案需要從資料庫中查詢資料進行比對
if("zhang".equals(name) && "123456".equals(pwd)) {
// 第二步:根據賬號id,進行登錄
// 此處填入的引數應該保持用戶表唯一,比如用戶id,不可以直接填入整個 User 物件
StpUtil.login(10001);
// SaResult 是 Sa-Token 中對回傳結果的簡單封裝,下面的示例將不再贅述
return SaResult.ok("登錄成功");
}
return SaResult.error("登錄失敗");
}
// 查詢當前登錄狀態 ---- http://localhost:8081/acc/isLogin
@RequestMapping("isLogin")
public SaResult isLogin() {
// StpUtil.isLogin() 查詢當前客戶端是否登錄,回傳 true 或 false
boolean isLogin = StpUtil.isLogin();
return SaResult.ok("當前客戶端是否登錄:" + isLogin);
}
// 校驗當前登錄狀態 ---- http://localhost:8081/acc/checkLogin
@RequestMapping("checkLogin")
public SaResult checkLogin() {
// 檢驗當前會話是否已經登錄, 如果未登錄,則拋出例外:`NotLoginException`
StpUtil.checkLogin();
// 拋出例外后,代碼將走入全域例外處理(GlobalException.java),如果沒有拋出例外,則代表通過了登錄校驗,回傳下面資訊
return SaResult.ok("校驗登錄成功,這行字串是只有登錄后才會回傳的資訊");
}
// 獲取當前登錄的賬號是誰 ---- http://localhost:8081/acc/getLoginId
@RequestMapping("getLoginId")
public SaResult getLoginId() {
// 需要注意的是,StpUtil.getLoginId() 自帶登錄校驗效果
// 也就是說如果在未登錄的情況下呼叫這句代碼,框架就會拋出 `NotLoginException` 例外,效果和 StpUtil.checkLogin() 是一樣的
Object userId = StpUtil.getLoginId();
System.out.println("當前登錄的賬號id是:" + userId);
// 如果不希望 StpUtil.getLoginId() 觸發登錄校驗效果,可以填入一個默認值
// 如果會話未登錄,則回傳這個默認值,如果會話已登錄,將正常回傳登錄的賬號id
Object userId2 = StpUtil.getLoginId(0);
System.out.println("當前登錄的賬號id是:" + userId2);
// 或者使其在未登錄的時候回傳 null
Object userId3 = StpUtil.getLoginIdDefaultNull();
System.out.println("當前登錄的賬號id是:" + userId3);
// 型別轉換:
// StpUtil.getLoginId() 回傳的是 Object 型別,你可以使用以下方法指定其回傳的型別
int userId4 = StpUtil.getLoginIdAsInt(); // 將回傳值轉換為 int 型別
long userId5 = StpUtil.getLoginIdAsLong(); // 將回傳值轉換為 long 型別
String userId6 = StpUtil.getLoginIdAsString(); // 將回傳值轉換為 String 型別
// 疑問:資料基本型別不是有八個嗎,為什么只封裝以上三種型別的轉換?
// 因為大多數專案都是拿 int、long 或 String 宣告 UserId 的型別的,實在沒見過哪個專案用 double、float、boolean 之類來宣告 UserId
System.out.println("當前登錄的賬號id是:" + userId4 + " --- " + userId5 + " --- " + userId6);
// 回傳給前端
return SaResult.ok("當前客戶端登錄的賬號id是:" + userId);
}
// 查詢 Token 資訊 ---- http://localhost:8081/acc/tokenInfo
@RequestMapping("tokenInfo")
public SaResult tokenInfo() {
// TokenName 是 Token 名稱的意思,此值也決定了前端提交 Token 時應該使用的引數名稱
String tokenName = StpUtil.getTokenName();
System.out.println("前端提交 Token 時應該使用的引數名稱:" + tokenName);
// 使用 StpUtil.getTokenValue() 獲取前端提交的 Token 值
// 框架默認前端可以從以下三個途徑中提交 Token:
// Cookie (瀏覽器自動提交)
// Header頭 (代碼手動提交)
// Query 引數 (代碼手動提交) 例如: /user/getInfo?satoken=xxxx-xxxx-xxxx-xxxx
// 讀取順序為: Query 引數 --> Header頭 -- > Cookie
// 以上三個地方都讀取不到 Token 資訊的話,則視為前端沒有提交 Token
String tokenValue = https://www.cnblogs.com/shengzhang/archive/2023/03/30/StpUtil.getTokenValue();
System.out.println("前端提交的Token值為:" + tokenValue);
// TokenInfo 包含了此 Token 的大多數資訊
SaTokenInfo info = StpUtil.getTokenInfo();
System.out.println("Token 名稱:" + info.getTokenName());
System.out.println("Token 值:" + info.getTokenValue());
System.out.println("當前是否登錄:" + info.getIsLogin());
System.out.println("當前登錄的賬號id:" + info.getLoginId());
System.out.println("當前登錄賬號的型別:" + info.getLoginType());
System.out.println("當前登錄客戶端的設備型別:" + info.getLoginDevice());
System.out.println("當前 Token 的剩余有效期:" + info.getTokenTimeout()); // 單位:秒,-1代表永久有效,-2代表值不存在
System.out.println("當前 Token 的剩余臨時有效期:" + info.getTokenActivityTimeout()); // 單位:秒,-1代表永久有效,-2代表值不存在
System.out.println("當前 User-Session 的剩余有效期" + info.getSessionTimeout()); // 單位:秒,-1代表永久有效,-2代表值不存在
System.out.println("當前 Token-Session 的剩余有效期" + info.getTokenSessionTimeout()); // 單位:秒,-1代表永久有效,-2代表值不存在
// 回傳給前端
return SaResult.data(StpUtil.getTokenInfo());
}
// 會話注銷 ---- http://localhost:8081/acc/logout
@RequestMapping("logout")
public SaResult logout() {
// 退出登錄會清除三個地方的資料:
// 1、Redis中保存的 Token 資訊
// 2、當前請求背景關系中保存的 Token 資訊
// 3、Cookie 中保存的 Token 資訊(如果未使用Cookie模式則不會清除)
StpUtil.logout();
// StpUtil.logout() 在未登錄時也是可以呼叫成功的,
// 也就是說,無論客戶端有沒有登錄,執行完 StpUtil.logout() 后,都會處于未登錄狀態
System.out.println("當前是否處于登錄狀態:" + StpUtil.isLogin());
// 回傳給前端
return SaResult.ok("退出登錄成功");
}
}
代碼注釋已針對每一步操作做出詳細解釋,大家可根據可參照注釋中的訪問鏈接進行逐步測驗,
本示例代碼已上傳至 Gitee,可參考:
Sa-Token 登錄認證示例
參考資料
- Gitee 倉庫地址:https://gitee.com/dromara/sa-token
- GitHub 倉庫地址:https://github.com/dromara/sa-token
- Sa-Token 在線檔案:https://sa-token.dev33.cn/
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/548706.html
標籤:其他