Sa-Token比spring security好用一百倍

最新推荐文章于 2025-06-10 08:58:42 发布
原创 最新推荐文章于 2025-06-10 08:58:42 发布 · 4.6k 阅读 · 31 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端

SA-Token 是一个轻量级的 Java 权限认证框架,旨在解决 Java Web 应用程序中的权限控制和身份验证问题。以下是 SA-Token 的详细作用介绍:

1. 身份验证

SA-Token 提供了一套简单而有效的身份验证机制,用于验证用户的登录状态。通过 Token 机制,SA-Token 可以实现用户身份的唯一标识和持久化,确保用户在访问系统资源时的合法性。

2. 权限管理

SA-Token 允许对系统中的不同资源设置权限控制。通过定义角色和权限,开发者可以轻松地控制哪些用户可以访问哪些资源。权限检查可以通过注解方式实现,简洁明了。

3. Session 管理

SA-Token 提供了强大的 Session 管理功能,可以管理用户的会话信息。每个用户的会话信息都可以独立存储和访问,支持在线用户查询、踢出用户、设置会话过期时间等功能。

4. 分布式认证

SA-Token 支持分布式系统的认证需求,可以在多节点部署环境下共享用户的认证状态。通过配置一致性存储(如 Redis),SA-Token 可以实现跨服务的 Token 验证和 Session 共享。

5. 注解支持

SA-Token 提供了一套丰富的注解,用于简化权限控制的代码实现。常用注解包括 @SaCheckLogin@SaCheckRole@SaCheckPermission 等,可以直接在方法上标注,实现对方法调用的权限检查。

6. 多登录体系支持

SA-Token 支持多种登录模式,可以针对不同的登录场景(如管理员、普通用户等)使用不同的 Token 认证方式。每种登录模式下的 Token 和 Session 可以独立管理,不会相互干扰。

7. 安全防护

SA-Token 内置了一些安全防护机制,如防止 Token 重放攻击、XSS 攻击、CSRF 攻击等。通过配置和编码规范,开发者可以有效提高系统的安全性。

8. 扩展性强

SA-Token 设计灵活,易于扩展。开发者可以根据项目需求自定义 Token 的生成和验证方式、Session 的存储方式等,以满足不同场景的需求。

9. 支持多种客户端

SA-Token 支持多种客户端环境,包括 Web、移动端、小程序等。通过统一的认证机制,不同终端的用户都可以享受一致的权限控制体验。

总结

SA-Token 是一个功能强大且灵活的权限认证框架,适用于各种 Java Web 应用程序。它简化了身份验证和权限管理的复杂性,为开发者提供了一套易于使用且安全可靠的解决方案。通过使用 SA-Token,开发者可以专注于业务逻辑的实现,而无需担心复杂的权限控制问题。

Sa-Token 功能一览

Sa-Token 目前主要五大功能模块:登录认证、权限认证、单点登录、OAuth2.0、微服务鉴权。

  • 登录认证 —— 单端登录、多端登录、同端互斥登录、七天内免登录。
  • 权限认证 —— 权限认证、角色认证、会话二级认证。
  • 踢人下线 —— 根据账号id踢人下线、根据Token值踢人下线。
  • 注解式鉴权 —— 优雅的将鉴权与业务代码分离。
  • 路由拦截式鉴权 —— 根据路由拦截鉴权,可适配 restful 模式。
  • Session会话 —— 全端共享Session,单端独享Session,自定义Session,方便的存取值。
  • 持久层扩展 —— 可集成 Redis,重启数据不丢失。
  • 前后台分离 —— APP、小程序等不支持 Cookie 的终端也可以轻松鉴权。
  • Token风格定制 —— 内置六种 Token 风格,还可:自定义 Token 生成策略。
  • 记住我模式 —— 适配 [记住我] 模式,重启浏览器免验证。
  • 二级认证 —— 在已登录的基础上再次认证,保证安全性。
  • 模拟他人账号 —— 实时操作任意用户状态数据。
  • 临时身份切换 —— 将会话身份临时切换为其它账号。
  • 同端互斥登录 —— 像QQ一样手机电脑同时在线,但是两个手机上互斥登录。
  • 账号封禁 —— 登录封禁、按照业务分类封禁、按照处罚阶梯封禁。
  • 密码加密 —— 提供基础加密算法,可快速 MD5、SHA1、SHA256、AES 加密。
  • 会话查询 —— 提供方便灵活的会话查询接口。
  • Http Basic认证 —— 一行代码接入 Http Basic、Digest 认证。
  • 全局侦听器 —— 在用户登陆、注销、被踢下线等关键性操作时进行一些AOP操作。
  • 全局过滤器 —— 方便的处理跨域,全局设置安全响应头等操作。
  • 多账号体系认证 —— 一个系统多套账号分开鉴权(比如商城的 User 表和 Admin 表)
  • 单点登录 —— 内置三种单点登录模式:同域、跨域、同Redis、跨Redis、前后端分离等架构都可以搞定。
  • 单点注销 —— 任意子系统内发起注销,即可全端下线。
  • OAuth2.0认证 —— 轻松搭建 OAuth2.0 服务,支持openid模式 。
  • 分布式会话 —— 提供共享数据中心分布式会话方案。
  • 微服务网关鉴权 —— 适配Gateway、ShenYu、Zuul等常见网关的路由拦截认证。
  • RPC调用鉴权 —— 网关转发鉴权,RPC调用鉴权,让服务调用不再裸奔
  • 临时Token认证 —— 解决短时间的 Token 授权问题。
  • 独立Redis —— 将权限缓存与业务缓存分离。
  • Quick快速登录认证 —— 为项目零代码注入一个登录页面。
  • 标签方言 —— 提供 Thymeleaf 标签方言集成包,提供 beetl 集成示例。
  • jwt集成 —— 提供三种模式的 jwt 集成方案,提供 token 扩展参数能力。
  • RPC调用状态传递 —— 提供 dubbo、grpc 等集成包,在RPC调用时登录状态不丢失。
  • 参数签名 —— 提供跨系统API调用签名校验模块,防参数篡改,防请求重放。
  • 自动续签 —— 提供两种Token过期策略,灵活搭配使用,还可自动续签。
  • 开箱即用 —— 提供SpringMVC、WebFlux、Solon 等常见框架集成包,开箱即用。
  • 最新技术栈 —— 适配最新技术栈:支持 SpringBoot 3.x,jdk 17。

功能结构图:

本篇带你从零开始集成 Sa-Token,从而快速熟悉框架的使用姿势

1、创建项目

在 IDE 中新建一个 SpringBoot 项目,例如:sa-token-demo-springboot(不会的同学请自行百度或者参考:SpringBoot-Pure

2、添加依赖

在项目中添加依赖:

注:如果你使用的是 SpringBoot 3.x,只需要将 sa-token-spring-boot-starter 修改为 sa-token-spring-boot3-starter 即可。

<!-- Sa-Token 权限认证,在线文档:https://sa-token.cc -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.38.0</version>
</dependency>

 

Maven依赖一直无法加载成功?参考解决方案
 

更多内测版本了解:Sa-Token最新版本
 

3、设置配置文件
 

你可以零配置启动项目 ,但同时你也可以在 application.yml 中增加如下配置,定制性使用框架:
 

server:
    # 端口
    port: 8081
    
############## Sa-Token 配置 (文档: https://sa-token.cc) ##############
sa-token: 
    # token 名称(同时也是 cookie 名称)
    token-name: satoken
    # token 有效期(单位:秒) 默认30天,-1 代表永久有效
    timeout: 2592000
    # token 最低活跃频率(单位:秒),如果 token 超过此时间没有访问系统就会被冻结,默认-1 代表不限制,永不冻结
    active-timeout: -1
    # 是否允许同一账号多地同时登录 (为 true 时允许一起登录, 为 false 时新登录挤掉旧登录)
    is-concurrent: true
    # 在多人登录同一账号时,是否共用一个 token (为 true 时所有登录共用一个 token, 为 false 时每次登录新建一个 token)
    is-share: true
    # token 风格(默认可取值:uuid、simple-uuid、random-32、random-64、random-128、tik)
    token-style: uuid
    # 是否输出操作日志 
    is-log: true
 

 

4、创建启动类
 

在项目中新建包 com.pj ,在此包内新建主类 SaTokenDemoApplication.java,复制以下代码:
 

@SpringBootApplication
public class SaTokenDemoApplication {
    public static void main(String[] args) throws JsonProcessingException {
        SpringApplication.run(SaTokenDemoApplication.class, args);
        System.out.println("启动成功,Sa-Token 配置如下:" + SaManager.getConfig());
    }
}
 

5、创建测试Controller
 

@RestController
@RequestMapping("/user/")
public class UserController {

    // 测试登录,浏览器访问: http://localhost:8081/user/doLogin?username=zhang&password=123456
    @RequestMapping("doLogin")
    public String doLogin(String username, String password) {
        // 此处仅作模拟示例,真实项目需要从数据库中查询数据进行比对 
        if("zhang".equals(username) && "123456".equals(password)) {
            StpUtil.login(10001);
            return "登录成功";
        }
        return "登录失败";
    }

    // 查询登录状态,浏览器访问: http://localhost:8081/user/isLogin
    @RequestMapping("isLogin")
    public String isLogin() {
        return "当前会话是否登录:" + StpUtil.isLogin();
    }
    
}
 

6、运行
 

启动代码,从浏览器依次访问上述测试接口:
 

 

运行结果
 

 

运行结果
 

出发
 

通过这个示例,你已经对 Sa-Token 有了初步的了解。
 

 

官网地址::Sa-Token

                

        

        

    

    
  


            

                    
            


    

      

        

            

              
                
                  铲子Zzz
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
【2.5 认证中心(Spring Security)】 Sa-Token和JWT,替换Spring Security 实现权限认证方

				
			

			

				

					本本本添哥
				

				

					04-06
					
					2100
					
				

			

		

		

			
				
提供了一系列权限相关的注解,如登录校验、角色校验、权限校验等,支持多种条件组合,如AND、OR逻辑关系,以及复杂的表达式。支持整合Redis,实现前后端分离,提高系统的可维护性和扩展性。提供了零配置开箱即用的体验,简化了权限认证的集成和使用过程。是一种开放标准(RFC 7519),定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。JWT通常用于身份验证和信息交换,特别是在无状态的客户端-服务器通信中。

			
		

	



                

            
              



	

		

			

				
					
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权

				
			

			

				

					念兮为美
				

				

					08-30
					
					4967
					
				

			

		

		

			
				
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-TokenSpring WebFlux集成Sa-Token这两个常用的开发框架。......

			
		

	



              


  
              

                


	

		

			

				
					
Spring SecuritySaToken的对比

				
			

			

				

					学习记录
				

				

					05-13
					
					1187
					
				

			

		

		

			
				
Spring SecuritySaToken是两种流行的安全框架,分别适用于不同的应用场景。Spring Security作为企业级安全框架,功能全面,支持OAuth2、JWT等多种认证方式,适合复杂权限模型和高安全性要求的项目,但其学习曲线陡峭,配置复杂。SaToken则是一款轻量级权限认证框架,API简洁,开发效率高,适合中小型项目和前后端分离架构,但其功能深度和社区资源相对有限。选择时,若项目复杂度高且团队熟悉Spring生态,优先选择Spring Security;若项目周期紧张且需快速实现基础安

			
		

	





	

		

			

				
					
Sa-Token 基础及 Spring Boot 集成指南

					
最新发布

				
			

			

				

					随便写写
				

				

					06-10
					
					1455
					
				

			

		

		

			
				
Sa-Token是一个轻量级Java权限认证框架,提供登录认证、权限控制、单点登录等功能。相比Shiro和Spring Security,它具有API简单易用、功能全面、性能高效等特点。核心组件包括StpUtil工具类、SaTokenConfig配置类和SaInterceptor拦截器。与Spring Boot集成只需添加依赖和简单配置即可实现登录认证(如StpUtil.login)和权限校验(通过@SaCheckPermission等注解)。支持Redis分布式会话和自定义持久化,提供路由拦截和多种安全校

			
		

	



		

			
		



	

		

			

				
					
【问答】sa-tokenSpring Security区别对比

				
			

			

				

					weixin_42306823的博客
				

				

					05-15
					
					4210
					
				

			

		

		

			
				
Sa-TokenSpring Security 各有优缺点,选择时需要根据项目的具体需求和开发团队的技术水平来决定。Sa-Token 更加适合简单快速的应用场景,而 Spring Security 则是处理复杂安全需求的不二选择。

			
		

	





	

		

			

				
					
全方位讲解sa-tokenspring security的区别,通俗易懂,简洁明了

				
			

			

				

					weixin_42124444的博客
				

				

					02-12
					
					2017
					
				

			

		

		

			
				
全方位讲解sa-tokenspring security的区别,通俗易懂,简洁明了

			
		

	





	

		

			

				
					
sa-token使用及与spring-security的对比

				
			

			

				

					brimsullowr的专栏
				

				

					11-11
					
					1338
					
				

			

		

		

			
				
说了这么多,只是想说spring-security真的挺复杂。当然你可以说站在使用者的角度,我们配置的代码量并不大。那确实,不过对于比较想看源码、想进行比较底层一点定制的人的来说,理解难度太大了。

			
		

	





	

		

			

				
					
有听说过吗?有一套框架比spring security更好用,更简便

				
			

			

				

					qq_45838796的博客
				

				

					09-28
					
					2079
					
				

			

		

		

			
				
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。

			
		

	





	

		

			

				
					
Spring Boot 整合 SA-Token 使用详解

				
			

			

				

					m0_74825093的博客
				

				

					12-31
					
					1387
					
				

			

		

		

			
				
SA-Token是一个基于TokenJava权限认证框架,主要解决:登录认证、权限认证、Session会话、踢出登录、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。SA-Token以“简单、易用、安全”为设计目标,致力于打造一个轻量级的权限认证框架。SA-Token允许你通过实现接口来自定义Token的生成、解析和验证逻辑。这对于有特殊Token格式或加密需求的应用非常有用。@Component// 实现自定义的Token处理逻辑// 在配置类中指定自定义的Token处理器。

			
		

	





	

		

			

				
					
【微服务】springboot 整合 SA-Token 使用详解

					
热门推荐

				
			

			

				

					congge
				

				

					08-04
					
					1万+
					
				

			

		

		

			
				
springboot 整合 SA-Token 使用详解

			
		

	





	

		

			

				
					
Spring SecuritySaToken的对比与优缺点分析

				
			

			

				

					专注于与编程相关的知识内容分享
				

				

					05-18
					
					726
					
				

			

		

		

			
				
摘要: Spring SecuritySaTokenJava应用开发中两大主流安全框架,各有侧重。Spring Security功能全面,提供认证、授权、攻击防护等企业级安全方案,深度集成Spring生态,但学习曲线陡峭;SaToken轻量简洁,专注Token会话管理,开发效率高,适合中小型项目。对比显示,Spring Security适合高安全需求的复杂系统,而SaToken更适用于快速开发和高并发场景。选型需权衡功能深度、开发效率及项目规模,Spring生态项目优先选Spring Security

			
		

	





	

		

			

				
					
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架

				
			

			

				

					doxopcsdn的博客
				

				

					06-28
					
					1424
					
				

			

		

		

			
				
可参考:码云:GlobalException.java(https://gitee.com/dromara/sa-token/blob/master/sa-token-demo/sa-token-demo-springboot/src/main/java/com/pj/current/GlobalException.java)q=sa-token)下载地址:sa-token-1.6.0.jar(https://oss.dev33.cn/sa-token/sa-token-1.6.0.jar)

			
		

	





	

		

			

				
					
Spring Security vs Shiro vs Sa-Token

				
			

			

				

					了凡
				

				

					05-16
					
					738
					
				

			

		

		

			
				
【代码】Spring Security vs Shiro vs Sa-Token

			
		

	





	

		

			

				
					
再见Spring Security!推荐一款功能强大的权限认证框架,用起来够优雅!

				
			

			

				

					HollisChuang's Blog
				

				

					08-23
					
					1777
					
				

			

		

		

			
				
‍‍在我们做SpringBoot项目的时候,认证授权是必不可少的功能!我们经常会选择Shiro、Spring Security这类权限认证框架来实现,但这些框架使用起来有点繁琐,而且功能也...

			
		

	





	

		

			

				
					
sa-token目前几个项目中用到最好用的鉴权框架

				
			

			

				

					Gospel11的博客
				

				

					05-29
					
					2792
					
				

			

		

		

			
				
sa-token,权限,spring权限框架

			
		

	





	

		

			

				
					
SaToken认证与授权框架

				
			

			

				

					2302_78886445的博客
				

				

					08-20
					
					2949
					
				

			

		

		

			
				
Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。SaToken官方文档非常详尽,大家可以按照手册的指引可以很轻松的把SaToken整合到SpringBoot项目中。

			
		

	





	

		

			

				
					
sa-token 多端登录思路和遇到的坑

				
			

			

				

					ControlDemo的博客
				

				

					01-28
					
					8191
					
				

			

		

		

			
				
sa-token 多端登录思路和遇到的坑

			
		

	





	

		

			

				
					
如何选择最优权限框架?Sa-Token 和 Shiro 对比

				
			

			

				

					90程序员说科技的博客
				

				

					05-10
					
					1437
					
				

			

		

		

			
				
在实现权限管理方面,sa-token 和 Shiro 都是备受瞩目的 Java 权限框架。然而,它们的设计理念、技术特点以及使用场景各不相同。本文旨在从使用和配置的角度对比这两个框架,帮助读者选择适合自己应用的权限框架。本文从使用和配置的角度,对比了 Sa-Token 和 Shiro 这两个权限框架,并且介绍了它们各自的优缺点和适用场景。总的来说,Sa-Token 相对于 Shiro 来说,使用更加简单、配置更加方便,且在性能上有一定的优势。但是,它也有适用场景的限制,需要根据具体的项目需求来进行选择。

			
		

	





	

		

			

				
					
sa-tokenspring security

				
			

			

				

					09-08
				

			

		

		

			
				
sa-tokenSpring Security都是用于在Java后端应用程序中实现身份认证和授权的框架。

Spring Security是一个功能强大且广泛使用的安全框架,它提供了一系列的功能来保护应用程序,如身份认证、权限管理、会话管理等。它基于过滤器链的方式,可以通过配置来定义不同路径的访问规则。

而sa-token是一个轻量级的Java身份认证和授权框架,相对于Spring Security来说更加简单易用。它基于Token机制,通过在客户端保存Token来实现状态的保持,无需依赖Session或Cookie。sa-token提供了丰富的API和注解,简化了身份认证和权限控制的操作。

sa-tokenSpring Security各有优势,选择使用哪个框架取决于具体的项目需求和开发团队的喜好。如果你的项目对安全性要求较高且需要更复杂的功能,Spring Security可能更适合;如果你需要一个轻量级、简单易用的身份认证和授权解决方案,那么sa-token可能是不错的选择。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值