有听说过吗?有一套框架比spring security更好用,更简便

已于 2024-09-28 15:29:15 修改
阅读量1.9k 收藏 32
点赞数 16
文章标签: spring 数据库 java
于 2024-09-28 15:28:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45838796/article/details/142615482
版权

1、sa-token介绍

在这里插入图片描述

Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。

官网地址:

https://sa-token.cc/doc.html

2、sa-token与spring security比较

(1)易用性
Spring Security 可能需要一定的学习曲线,因为它提供了大量的功能并且可以通过多种方式进行配置。
sa-token 相对简单,易于理解和实现,尤其是在简单的应用场景下。

(2)性能考虑
Spring Security 在某些情况下可能会引入一些性能开销,尤其是在高度定制的情况下。
sa-token 通常具有较好的性能,因为它的无状态特性减少了服务器端的状态维护。

3、sa-token使用

(1)引入依赖

<dependency>
	<groupId>cn.dev33</groupId>
	<artifactId>sa-token-spring-boot3-starter</artifactId>
	<version>按需引入对应版本</version>
</dependency>

(2)添加基础配置

sa-token:
  token-name: Satoken # token名字
  timeout: 7200 # token超时时间
  is-concurrent: false # 当前端有多个域时,是否允许多个域同时登录
  is-share: true #当前端有多个域时,需要设置为true
  token-style: uuid # token风格
  is-log: false #  是否输出日志
  auto-renew: true # 设置令牌(token)自动续期功能为开启状态
  active-timeout: 1800 # 配置令牌在失效前的有效时间为1800秒。

(3)添加拦截器配置

@Component
public class SaTokenInitConfig implements CommandLineRunner, WebMvcConfigurer {

    @Override
    public void run(String... args) throws Exception {
        // 初始化 SaToken
        SaManager.getConfig().setTokenName("Satoken");
        SaManager.getConfig().setTimeout(7200);
    }

    // 注册拦截器
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 注册 Sa-Token 拦截器,定义详细认证规则
        registry.addInterceptor(new SaInterceptor(handle -> {
                    StpUtil.checkLogin();
                    if(StpUtil.isLogin()){
                        // 写一些登录后公共逻辑
                    }
                }))
                .addPathPatterns("/**")
                .excludePathPatterns("/login");
    }
}

(4)编写全局异常处理

注意:因为sa-token当校验失败后,就直接抛异常的,不会处理异常,若要处理校验结果,需要编写全局异常处理器处理对应的异常


import cn.dev33.satoken.exception.NotLoginException;
import cn.dev33.satoken.exception.NotRoleException;
import cn.dev33.satoken.util.SaResult;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.RestControllerAdvice;

@RestControllerAdvice
public class GlobalExceptionHandler {
    // 全局异常拦截
    @ExceptionHandler(NotRoleException.class)
    public SaResult notRoleException(NotRoleException e) {
        return SaResult.error(e.getMessage());
    }

    @ExceptionHandler(NotLoginException.class)
    public SaResult handlerException(NotLoginException e) {
        SaResult saResult = SaResult.get(401, "请登录", null);
        return saResult;
    }
}

完成上面的配置对于单体项目来说就可以使用sa-token完成各种功能实现了

4、sa-token权限控制

(1)常见注解

  • @SaCheckLogin: 登录校验 —— 只有登录之后才能进入该方法。
  • @SaCheckRole(“admin”): 角色校验 —— 必须具有指定角色标识才能进入该方法。
  • @SaCheckPermission(“user:add”): 权限校验 —— 必须具有指定权限才能进入该方法。
  • @SaCheckSafe: 二级认证校验 —— 必须二级认证之后才能进入该方法。
  • @SaCheckHttpBasic: HttpBasic校验 —— 只有通过 HttpBasic 认证后才能进入该方法。
  • @SaCheckHttpDigest: HttpDigest校验 —— 只有通过 HttpDigest 认证后才能进入该方法。
  • @SaIgnore:忽略校验 —— 表示被修饰的方法或类无需进行注解鉴权和路由拦截器鉴权。
  • @SaCheckDisable(“comment”):账号服务封禁校验 —— 校验当前账号指定服务是否被封禁。

eg:
控制接口只能拥有user角色的用户才能请求

    @GetMapping("/test02")
    @SaCheckRole("user")
    public String test02() {
        return "sdsad";
    }

但注意若要实现接口权限控制,我们需要自己编写一个接口的权限控制实现类

// 保证此类被 SpringBoot 扫描,完成 Sa-Token 的自定义权限验证扩展
@Component  
public class StpInterfaceImpl implements StpInterface {

    /**
     * 返回一个账号所拥有的权限码集合
     */
    @Override
    public List<String> getPermissionList(Object loginId, String loginType) {
        // 本 list 仅做模拟,实际项目中要根据具体业务逻辑来查询权限
        List<String> list = new ArrayList<String>();
        list.add("101");
        list.add("user.add");
        list.add("user.update");
        list.add("user.get");
        // list.add("user.delete");
        list.add("art.*");
        return list;
    }

    /**
     * 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
     */
    @Override
    public List<String> getRoleList(Object loginId, String loginType) {
        // 本 list 仅做模拟,实际项目中要根据具体业务逻辑来查询角色
        List<String> list = new ArrayList<String>();
        list.add("user");
        list.add("super-admin");
        return list;
    }

5、分布式环境下sa-token使用

因为sa-token有个缺点就是他会将token存储在缓存中,当宕机或重启token就会丢失,但对于这问题sa-token也提供了解决方式,就是集成各种优秀的第三方缓存工具进行分布式缓存
eg:redis
(1)引入依赖

<dependency>
	<groupId>cn.dev33</groupId>
	<artifactId>sa-token-redis</artifactId>
	<version>1.38.0</version>
</dependency>
 <dependency>
 	<groupId>org.apache.commons</groupId>
	<artifactId>commons-pool2</artifactId>
	<version>2.12.0</version>
</dependency>

坑点:注意redis与缓存池的版本对应,不是会报错

(2)添加redis基础配置

spring:
  data:
    redis:
      database: 2
      host: 127.0.0.1
      port: 6379
      timeout: 10s
      lettuce:
        pool:
          max-active: 200
          max-wait: -1ms
          max-idle: 10
          min-idle: 0

完成以上操作基本就完成了,但可能有些小伙伴觉得sa-token这是怎么将token信息存储到redis?会自动存储?
答案:框架会自动帮忙存储的,若想知道原理,可以自己去看源码

https://gitee.com/dromara/sa-token

当登录后:
在这里插入图片描述

Style-MJ
关注
详解比springSecurityshiro简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
念兮为美
08-30 4855
详解比springSecurityshiro简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-TokenSpring WebFlux集成Sa-Token这两个常用的开发框架。......
【2.5 认证中心(Spring Security)】 Sa-TokenJWT,替换Spring Security 实现权限认证方
本本本添哥
04-06 1939
提供了一系列权限相关的注解,如登录校验、角色校验、权限校验等,支持多种条件组合,如AND、OR逻辑关系,以及复杂的表达式。支持整合Redis,实现前后端分离,提高系统的可维护性扩展性。提供了零配置开箱即用的体验,简化了权限认证的集成使用过程。是一种开放标准(RFC 7519),定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。JWT通常用于身份验证信息交换,特别是在无状态的客户端-服务器通信中。
全方位讲解sa-tokenspring security的区别,通俗易懂,简洁明了
weixin_42124444的博客
02-12 1513
全方位讲解sa-tokenspring security的区别,通俗易懂,简洁明了
再见SpringSecurity,比Shiro简单优雅的轻量级Sa-Token框架我粉了
Javatutouhouduan的博客
05-25 2840
最近在做登录、授权的功能,一开始考虑到的是spring boot + spring security,但spring security太重,而我们是轻量级的项目,所以,spring security不适合我们。 而后考虑spring boot + shiro,但shiro自带的aop会影响spring boot的aop,所以,shiro也不适合我们。 后来浏览github时,发现Sa-Token这个框架,如下是Sa-Token的功能图:
Spring Boot整合Sa-Token:轻量级权限认证框架实战
咖啡因依赖症晚期
03-15 1830
Sa-Token是一款轻量级Java权限认证框架,专为解决Web系统的登录认证、权限控制、Session会话等问题而设计。其核心优势在于API简洁、功能丰富、扩展性强,支持注解鉴权、多账号体系、单点登录等场景相比ShiroSpring Security,Sa-Token的学习成本集成难度低,适合快速开发。Sa-token功能概览Sa-Token 目前主要五大功能模块:登录认证、权限认证、单点登录、OAuth2.0、微服务鉴权。登录认证—— 单端登录、多端登录、同端互斥登录、七天内免登录。权限认证。
Sa-Token比spring security好用一百倍
WXY888888888的博客
07-02 4092
SA-Token 是一个功能强大且灵活的权限认证框架,适用于各种 Java Web 应用程序。它简化了身份验证权限管理的复杂性,为开发者提供了一套易于使用且安全可靠的解决方案。通过使用 SA-Token,开发者可以专注于业务逻辑的实现,而无需担心复杂的权限控制问题。Sa-Token 功能一览Sa-Token 目前主要五大功能模块:登录认证、权限认证、单点登录、OAuth2.0、微服务鉴权。登录认证—— 单端登录、多端登录、同端互斥登录、七天内免登录。权限认证—— 权限认证、角色认证、会话二级认证。
【问答】sa-tokenSpring Security区别对比
weixin_42306823的博客
05-15 3899
Sa-Token Spring Security 各有优缺点,选择时需要根据项目的具体需求开发团队的技术水平来决定。Sa-Token 加适合简单快速的应用场景,而 Spring Security 则是处理复杂安全需求的不二选择。
spring security Sa-Token
weixin_47827594的博客
08-27 1999
转:http://sa-token.dev33.cn/doc/index.html#/
sa-token使用及与spring-security的对比
brimsullowr的专栏
11-11 1228
说了这么多,只是想说spring-security真的挺复杂。当然你可以说站在使用者的角度,我们配置的代码量并不大。那确实,不过对于比较想看源码、想进行比较底层一点定制的人的来说,理解难度太大了。
基于SpringBoot+MyBatis-Plus+SpringSecurity+Layui的餐厅网络点餐系统设计源码
09-26
这样清晰的代码结构有助于开发者更好地理解维护系统。 这个餐厅网络点餐系统的设计源码提供了一套完整的解决方案,将后端的业务逻辑处理、数据库操作与前端的用户界面展示相结合,是一个集成了多种现代Web开发...
Spring Security 教程:从入门到精通(含 OAuth2 接入)
kalle2021的博客
03-17 1177
本文全面深入地介绍了Spring Security相关知识。首先阐述其基础概念,包括认证与授权等关键要点。接着讲述从入门到进阶的实践过程,如创建Spring Boot项目并引入依赖,进行内存用户认证、基于数据库的用户认证配置,还涉及授权管理的多种方式。随后说明CSRF防护机制及其配置要点。重点讲解了OAuth2接入方法,涵盖客户端与资源服务器的配置及自定义流程。最后提及一些高级特性与优化方向,助力开发者构建安全可靠的Web应用 。
Spring框架有哪几部分组成-.docx
10-25
7. **集成框架**:Spring与其他流行的技术框架有很好的集成,比如Quartz作业调度器、JSF、Struts、EJB、JMS、JMX等。这使得Spring能够无缝地融入现有的企业架构。 8. **消息**:Spring对消息传递提供了支持,包括...
Spring ssm SpringSecurity 做一个小项目,非常简单
m0_58039950的博客
04-13 525
SpringSecurity 本章我们会一边讲解SpringSecurity框架,一边从头开始编写图书管理系统。 SpringSecurity是一个基于Spring开发的非常强大的权限验证框架,其核心功能包括: 认证 (用户登录) 授权 (此用户能够做哪些事情) 攻击防护 (防止伪造身份攻击) 我们为什么需要使用加专业的全新验证框架,还要从CSRF说起。 CSRF跨站请求伪造攻击 我们时常会在QQ上收到别人发送的钓鱼网站链接,只要你在上面登陆了你的QQ账号,那么不出意外,你的号已经在别人手中了。实际.
基于 Java Spring Security 的关注微信公众号即登录的设计与实现 ya
m0_67698950的博客
04-07 2059
太长不看版本 本文通过一个实际的具有一定商业价值的项目,展示了 API 优先的开发方法。通过薅羊毛的方式,落地了 Free Arch 架构。 背景价值 通过微信公众号积累粉丝并进行商业活动宣传,是新媒体运营的常见方式。而系统对接微信登录,既能给用户带来便利,同时也能够给系统引流。但是传统或者标准的 PC 网页端微信扫码登录,用户扫码只需要做 OAuth 授权,不必关注公众号。但是对于运营者来说,希望通过微信登录的用户,自动成为微信粉丝,实现系统中微信用户公众号粉丝的一一对应。 ..
satokenspring security区别
g470641382的博客
11-29 468
2. **学习曲线**:Sa-Token的学习曲线相对较低,适合需要快速上手的项目。它的集成配置都非常简单,开箱即用,对于初学者来说是一个容易上手的选择。相比之下,Spring Security的学习曲线中等或较高,因为它提供了丰富的功能较为复杂的配置选项。3. **功能方面**:Spring Security提供了认证、授权、CSRF保护、会话管理等全面的安全功能。1. **依赖管理**:Sa-Token被描述为一个轻量级的框架,它的依赖较少,易于集成,特别是与Spring生态紧密集成时。
Spring Security vs Shiro vs Sa-Token
最新发布
了凡
05-16 620
【代码】Spring Security vs Shiro vs Sa-Token。
再见Spring Security!推荐一款功能强大的权限认证框架
m0_63213529的博客
10-25 669
在我们做SpringBoot项目的时候,认证授权是必不可少的功能!我们经常会选择Shiro、Spring Security这类权限认证框架来实现,但这些框架使用起来有点繁琐,而且功能也不够强大。最近发现一款功能强大的权限认证框架Sa-Token,它使用简单、API设计优雅,推荐给大家! Sa-Token简介 Sa-Token是一款轻量级的Java权限认证框架,可以用来解决登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。 框架集成简单、开箱即用.
sso与spring security
zhufengzhuiri的博客
05-07 761
1.spring securiy多认证 定制化认证过滤器 继承AbstractProcessingFilter @Override public Authentication attemptAuthentication(HttpServletRequest httpServletRequest) throws AuthenticationException { //认证逻辑,可以参考org...
详解比springSecurityshiro简单优雅的轻量级Sa-Token框架
doxopcsdn的博客
06-28 1353
可参考:码云:GlobalException.java(https://gitee.com/dromara/sa-token/blob/master/sa-token-demo/sa-token-demo-springboot/src/main/java/com/pj/current/GlobalException.java)q=sa-token)下载地址:sa-token-1.6.0.jar(https://oss.dev33.cn/sa-token/sa-token-1.6.0.jar)
Spring框架外文资料翻译套装
同时,翻译文档的提供能够帮助那些英语水平有限的开发者更好地学习使用Spring框架。 在尊重原创作者或出版方的前提下,这类资料的共享可以帮助多的人学习交流,促进技术的传播应用。但同时也需要注意,对于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值