给你开开眼来看看我的Java鉴权系统
哈喽,大家好,我是指北君
。
大家有没有发现,现在我们已经习惯了一处登录,处处使用的设计,但是你知道该如何实现吗?又该如何优雅地实现?
前言
不知道在前几年互联网还没有那么发达的时候,大家有没有感触到?
那个时候我们还是不太敢把我们的钱都存放在支付宝里面,心里想着“看不见,摸不着”,很容易就会被盗取。而且那个时间段里面,一些黑客的入侵也比较频繁,在一些安全技术没有那么完善的前提下,确实也出现过几次鲜为人知的圈内大事件。
但是近三年的互联网飞速发展,我们好像已经习惯了享受:“一键登录支付宝,就可以在各大购物网站中畅快支付,不需要再进行频繁地登录与登出,只需要一个支付宝用户名和密码,就可以完成你想要做的所有事情”
大家有没有想过背后的原理呢?可能对于我们程序员圈之外的人来说,这些好像会说:“这些不都该是基础的功能吗?”但是对于我们圈内的人来说,其中的原理与实现确实能够作为衡量我们技术水平的一个关键点。
但是我们该如何设计
首先让我们来看看【周志明-《深入理解java虚拟机》作者】在其凤凰架构
中写到的 架构安全性的几大要素:
-
[ 认证](Authentication):系统如何正确分辨出操作用户的真实身份? -
[ 授权]( Authorization):系统如何控制一个用户该看到哪些数据、能操作哪些功能? -
[ 凭证](Credential):系统如何保证它与用户之间的承诺是双方当时真实意图的体现,是准确、完整且不可抵赖的? -
[ 保密](Confidentiality):系统如何保证敏感数据无法被包括系统管理员在内的内外部人员所窃取、滥用? -
[ 传输]:系统如何保证通过网络传输的信息无法被第三方窃听、篡改和冒充? -
[ 验证]:系统如何确保提交到每项服务中的数据是合乎规则的,不会对系统稳定性、数据一致性、正确性产生风险?
如上所示,首当其冲的就是认证——如何辨别是你,然后就是授权——如何访问数据,以及凭证——如何保证唯一性等等,在我们想要设计时候,也就可以从这些地方入手。无论是说引用已经存在的框架,或者是说自己去设计。
当然对于一些已经有着丰富经验的老司机可能会说:“shiro 和 SpringSecurity 不是都已经实现了这些功能吗,直接引入就好了,指北君又在卖什么关子呢,想要表达什么呢?”
这个时候指北君会很严肃的反驳大家,shiro
和 SpringSecurity
有对应的自定义 Realm
去进行权限的校验,需要设置对应的诸多全局过滤器,以及各种配置文件等等。
揭开面纱
而今天介绍的Sa-Token
是一个轻量级 Java 权限认证框架,主要解决:登录认证
、权限认证
、Session会话
、单点登录
、OAuth2.0
、微服务网关鉴权
等一系列权限相关问题。
对于登录来说 Sa-Token
只需要这样:
// 在登录时写入当前会话的账号id
StpUtil.login(10001);
// 然后在需要校验登录处调用以下方法:
// 如果当前会话未登录,这句代码会抛出 `NotLoginException` 异常
StpUtil.checkLogin();
至此,我们已经借助 Sa-Token
完成登录认证!
没错,在 Sa-Token
中,登录认证就是如此简单,不需要任何的复杂前置工作,只需这一行简单的API调用,就可以完成会话登录认证!
当你受够 Shiro
、SpringSecurity
等框架的三拜九叩之后,你就会明白,相对于这些传统老牌框架,Sa-Token
的 API 设计是多么的简单、优雅!
权限认证示例(只有具备 user:add
权限的会话才可以进入请求):
@SaCheckPermission("user:add")
@RequestMapping("/user/insert")
public String insert(SysUser user) {
// ...
return "用户增加";
}
将某个账号踢下线(待到对方再次访问系统时会抛出NotLoginException
异常):
// 将账号id为 10001 的会话踢下线
StpUtil.kickout(10001);
在 Sa-Token
中,绝大多数功能都可以 一行代码 完成:
StpUtil.login(10001); // 标记当前会话登录的账号id
StpUtil.getLoginId(); // 获取当前会话登录的账号id
StpUtil.isLogin(); // 获取当前会话是否已经登录, 返回true或false
StpUtil.logout(); // 当前会话注销登录
StpUtil.kickout(10001); // 将账号为10001的会话踢下线
StpUtil.hasRole("super-admin"); // 查询当前账号是否含有指定角色标识, 返回true或false
StpUtil.hasPermission("user:add"); // 查询当前账号是否含有指定权限, 返回true或false
StpUtil.getSession(); // 获取当前账号id的Session
StpUtil.getSessionByLoginId(10001); // 获取账号id为10001的Session
StpUtil.getTokenValueByLoginId(10001); // 获取账号id为10001的token令牌值
StpUtil.login(10001, "PC"); // 指定设备标识登录,常用于“同端互斥登录”
StpUtil.kickout(10001, "PC"); // 指定账号指定设备标识踢下线 (不同端不受影响)
StpUtil.openSafe(120); // 在当前会话开启二级认证,有效期为120秒
StpUtil.checkSafe(); // 校验当前会话是否处于二级认证有效期内,校验失败会抛出异常
StpUtil.switchTo(10044); // 将当前会话身份临时切换为其它账号
即使不运行测试,相信你也能意会到绝大多数 API 的用法。
功能展示
- 登录认证
单端登录、多端登录、同端互斥登录、七天内免登录
核心思想
所谓登录认证,说白了就是限制某些API接口必须登录后才能访问(例:查询我的账号资料) 那么如何判断一个会话是否登录?框架会在登录成功后给你做个标记,每次登录认证时校验这个标记,有标记者视为已登录,无标记者视为未登录!
登录与注销
根据以上思路,我们很容易想到以下api:
// 标记当前会话登录的账号id
// 建议的参数类型:long | int | String, 不可以传入复杂类型,如:User、Admin等等
StpUtil.login(Object id);
// 当前会话注销登录
StpUtil.logout();
// 获取当前会话是否已经登录,返回true=已登录,false=未登录
StpUtil.isLogin();
// 检验当前会话是否已经登录, 如果未登录,则抛出异常:`NotLoginException`
StpUtil.checkLogin();
NotLoginException
异常对象扩展:
-
通过 getLoginType()
方法获取具体是哪个StpLogic
抛出的异常。 -
通过 getType()
方法获取具体的场景值,详细参考章节:未登录场景值
会话查询
// 获取当前会话账号id, 如果未登录,则抛出异常:`NotLoginException`
StpUtil.getLoginId();
// 类似查询API还有:
StpUtil.getLoginIdAsString(); // 获取当前会话账号id, 并转化为`String`类型
StpUtil.getLoginIdAsInt(); // 获取当前会话账号id, 并转化为`int`类型
StpUtil.getLoginIdAsLong(); // 获取当前会话账号id, 并转化为`long`类型
// ---------- 指定未登录情形下返回的默认值 ----------
// 获取当前会话账号id, 如果未登录,则返回null
StpUtil.getLoginIdDefaultNull();
// 获取当前会话账号id, 如果未登录,则返回默认值 (`defaultValue`可以为任意类型)
StpUtil.getLoginId(T defaultValue);
其它API
// 获取指定token对应的账号id,如果未登录,则返回 null
StpUtil.getLoginIdByToken(String tokenValue);
// 获取当前`StpLogic`的token名称
StpUtil.getTokenName();
// 获取当前会话的token值
StpUtil.getTokenValue();
// 获取当前会话的token信息参数
StpUtil.getTokenInfo();
来个小测试
新建 LoginController
,复制以下代码:
/**
* 登录测试
* @author kong
*
*/
@RestController
@RequestMapping("/acc/")
public class LoginController {
// 测试登录 ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
@RequestMapping("doLogin")
public SaResult doLogin(String name, String pwd) {
// 此处仅作模拟示例,真实项目需要从数据库中查询数据进行比对
if("zhang".equals(name) && "123456".equals(pwd)) {
StpUtil.login(10001);
return SaResult.ok("登录成功");
}
return SaResult.error("登录失败");
}
// 查询登录状态 ---- http://localhost:8081/acc/isLogin
@RequestMapping("isLogin")
public SaResult isLogin() {
return SaResult.ok("是否登录:" + StpUtil.isLogin());
}
// 查询 Token 信息 ---- http://localhost:8081/acc/tokenInfo
@RequestMapping("tokenInfo")
public SaResult tokenInfo() {
return SaResult.data(StpUtil.getTokenInfo());
}
// 测试注销 ---- http://localhost:8081/acc/logout
@RequestMapping("logout")
public SaResult logout() {
StpUtil.logout();
return SaResult.ok();
}
}
- 权限认证
权限认证、角色认证、会话二级认证
核心思想
所谓权限认证,认证的核心就是一个账号是否拥有一个权限码。有,就让你通过。没有?那么禁止访问!
再往低了说,就是每个账号都会拥有一个权限码集合,我来校验这个集合中是否包含指定的权限码。例如:当前账号拥有权限码集合:["user-add", "user-delete", "user-get"]
,这时候我来校验权限 "user-update"
,则其结果就是:验证失败,禁止访问。
所以现在问题的核心就是:
-
如何获取一个账号所拥有的的权限码集合。 -
本次操作需要验证的权限码是哪个。
获取当前账号权限码
因为每个项目的需求不同,其权限设计也千变万化,因此【获取当前账号权限码集合】这一操作不可能内置到框架中, 所以 Sa-Token 将此操作以接口的方式暴露给你,以方便的你根据自己的业务逻辑进行重写。
你需要做的就是新建一个类,实现StpInterface
接口,例如以下代码:
package com.pj.satoken;
import java.util.ArrayList;
import java.util.List;
import org.springframework.stereotype.Component;
import cn.dev33.satoken.stp.StpInterface;
/**
* 自定义权限验证接口扩展
*/
@Component // 保证此类被SpringBoot扫描,完成Sa-Token的自定义权限验证扩展
public class StpInterfaceImpl implements StpInterface {
/**
* 返回一个账号所拥有的权限码集合
*/
@Override
public List<String> getPermissionList(Object loginId, String loginType) {
// 本list仅做模拟,实际项目中要根据具体业务逻辑来查询权限
List<String> list = new ArrayList<String>();
list.add("101");
list.add("user-add");
list.add("user-delete");
list.add("user-update");
list.add("user-get");
list.add("article-get");
return list;
}
/**
* 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
*/
@Override
public List<String> getRoleList(Object loginId, String loginType) {
// 本list仅做模拟,实际项目中要根据具体业务逻辑来查询角色
List<String> list = new ArrayList<String>();
list.add("admin");
list.add("super-admin");
return list;
}
}
权限认证
然后就可以用以下api来鉴权了:
// 判断:当前账号是否含有指定权限, 返回true或false
StpUtil.hasPermission("user-update");
// 校验:当前账号是否含有指定权限, 如果验证未通过,则抛出异常: NotPermissionException
StpUtil.checkPermission("user-update");
// 校验:当前账号是否含有指定权限 [指定多个,必须全部验证通过]
StpUtil.checkPermissionAnd("user-update", "user-delete");
// 校验:当前账号是否含有指定权限 [指定多个,只要其一验证通过即可]
StpUtil.checkPermissionOr("user-update", "user-delete");
扩展:NotPermissionException
对象可通过 getLoginType()
方法获取具体是哪个 StpLogic
抛出的异常。
角色认证
在Sa-Token中,角色和权限可以独立验证:
// 判断:当前账号是否拥有指定角色, 返回true或false
StpUtil.hasRole("super-admin");
// 校验:当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleException
StpUtil.checkRole("super-admin");
// 校验:当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]
StpUtil.checkRoleAnd("super-admin", "shop-admin");
// 校验:当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可]
StpUtil.checkRoleOr("super-admin", "shop-admin");
扩展:NotRoleException
对象可通过 getLoginType()
方法获取具体是哪个 StpLogic
抛出的异常。
如何把权限精确达到按钮级?
权限精确到按钮级的意思就是指:权限范围可以控制到页面上的每一个按钮是否显示。
思路:如此精确的范围控制只依赖后端已经难以完成,此时需要前端进行一定的逻辑判断。
如果是前后端一体项目,可以参考:Thymeleaf 标签方言,如果是前后端分离项目,则:
-
在登录时,把当前账号拥有的所有权限码一次性返回给前端。
-
前端将权限码集合保存在
localStorage
或其它全局状态管理对象中。 -
在需要权限控制的按钮上,使用js进行逻辑判断,例如在
vue
框架中我们可以使用如下写法:
<button v-if="arr.indexOf('user:delete') > -1">删除按钮</button>
其中:arr
是当前用户拥有的权限码数组,user:delete
是显示按钮需要拥有的权限码,删除按钮
是用户拥有权限码才可以看到的内容。
注意:以上写法只为提供一个参考示例,不同框架有不同写法,开发者可根据项目技术栈灵活封装进行调用。
前端有了鉴权后端还需要鉴权吗?
需要!
前端的鉴权只是一个辅助功能,对于专业人员这些限制都是可以轻松绕过的,为保证服务器安全,无论前端是否进行了权限校验,后端接口都需要对会话请求再次进行权限校验!
其他功能展示
-
踢人下线 —— 根据账号id踢人下线、根据Token值踢人下线 -
账号封禁 —— 指定天数封禁、永久封禁、设定解封时间 -
持久层扩展 —— 可集成Redis、Memcached等专业缓存中间件,重启数据不丢失 -
分布式会话 —— 提供jwt集成、共享数据中心两种分布式会话方案 -
微服务网关鉴权 —— 适配Gateway、ShenYu、Zuul等常见网关的路由拦截认证 -
单点登录 —— 内置三种单点登录模式:无论是否跨域、是否共享Redis,都可以搞定 -
OAuth2.0认证 —— 基于RFC-6749标准编写,OAuth2.0标准流程的授权认证,支持openid模式 -
二级认证 —— 在已登录的基础上再次认证,保证安全性 -
Basic认证 —— 一行代码接入 Http Basic 认证 -
独立Redis —— 将权限缓存与业务缓存分离 -
临时Token验证 —— 解决短时间的Token授权问题 -
模拟他人账号 —— 实时操作任意用户状态数据 -
临时身份切换 —— 将会话身份临时切换为其它账号 -
前后台分离 —— APP、小程序等不支持Cookie的终端 -
同端互斥登录 —— 像QQ一样手机电脑同时在线,但是两个手机上互斥登录 -
多账号认证体系 —— 比如一个商城项目的user表和admin表分开鉴权 -
花式token生成 —— 内置六种Token风格,还可:自定义Token生成策略、自定义Token前缀 -
注解式鉴权 —— 优雅的将鉴权与业务代码分离 -
自动续签 —— 提供两种Token过期策略,灵活搭配使用,还可自动续签 -
会话治理 —— 提供方便灵活的会话查询接口 -
记住我模式 —— 适配[记住我]模式,重启浏览器免验证 -
密码加密 —— 提供密码加密模块,可快速MD5、SHA1、SHA256、AES、RSA加密 -
全局侦听器 —— 在用户登陆、注销、被踢下线等关键性操作时进行一些AOP操作 -
开箱即用 —— 提供SpringMVC、WebFlux等常见web框架starter集成包,真正的开箱即用
可以看到的是对于我们开发者来说这绝对是神器中的神器了。
生态结构
实际运用
上面指北君给大家介绍了其基础的功能,看起来好像还行,那到底有没有具体应用到实际的操作项目中呢,回答是有的,快来看看,你所了解的有没有用到这个鉴权吧:
如下图所示,可以看到,无论是对多个目前主流的开源项目的集成,或者是说对于若依
的扩展等,都有着良好的解决方案,可以毫不夸张地说,学习了这个鉴权工具,你也可以同时学习如下这些质量较高的项目。
论坛生态
这个时候,你可能会发问了:“若是我在学习的过程中,遇到不会的问题怎么办呢?”
没问题,【Sa-Token】也有对应的社区论坛,同1000+小伙伴一同学习与问题的探讨与划水。文末可获取。
开源仓库Star趋势
在学习一个开源项目的时候,对于其 star
数,也是我们衡量这个项目质量是否上乘,认可度是否高,口碑是否优秀的一个很重要的原因。如下图所示,可以说自从2020-8项目创建以来,经过了一段时间的使用,star
数直线上升,足够证明其优秀性与稳定性。
指北君有话说
正如前文所说一样,目前系统的安全性越来越受到大家的重视,但是对于一个用于学习如何鉴权和登录的开源项目来说,【Sa-Token】 能够让我们不仅仅能够学习到如何优雅的鉴权与处理,在学习完成之后,还能够学习到相关技术的扩展,让我们在学习的过程中,能够获取到更多的知识与内容。实在是用于学习鉴权——开发自己公司的产品,或者用于自学,找到一份较好的工作的不二之选,快来试一试吧。
关注开源指北
,后台回复sa-token
获取资源。
这里是开源指北,立志做最好的开源分享平台,分享有趣实用的开源项目。
同时也欢迎加入开源指北交流群,群里你可以摸鱼、划水、吐槽、咨询,还有简历模板、各种技术面试资料等100G的资源等着你领取哦。快来一起聊一聊吧!
以上就是本次推荐的全部内容,我是指北君
,感谢各位的观看。