开源项目

给你开开眼来看看我的Java鉴权系统

2022-04-01  本文已影响0人  开源指北

哈喽,大家好,我是指北君

大家有没有发现,现在我们已经习惯了一处登录,处处使用的设计,但是你知道该如何实现吗?又该如何优雅的实现?

前言

不知道在前几年互联网还没有那么发达的时候,大家有没有感触到?

那个时候我们还是不太敢把我们的钱都存放在支付宝里面,心里想着“看不见,摸不着”,很容易就会被盗取。而且那个时间段里面,一些黑客的入侵也比较频繁,在一些安全技术没有那么完善的前提下,确实也出现过几次鲜为人知的圈内大事件。

但是近三年的互联网飞速发展,我们好像已经习惯了享受:“一键登录支付宝,就可以在各大购物网站中畅快支付,不需要再进行频繁地登录与登出,只需要一个支付宝用户名和密码,就可以完成你想要做的所有事情”

大家有没有想过背后的原理呢? 可能对于我们程序员圈之外的人来说,这些好像会说:“这些不都该是基础的功能吗?”但是对于我们圈内的人来说,其中的原理与实现确实能够作为衡量我们技术水平的一个关键点

但是我们该如何设计

首先让我们来看看【周志明-《深入理解java虚拟机》作者】在其凤凰架构中写到的 架构安全性的几大要素

如上所示,首当其冲的就是认证——如何辨别是你,然后就是授权——如何访问数据,以及凭证——如何保证唯一性等等,在我们想要设计时候,也就可以从这些地方入手。无论是说引用已经存在的框架,或者是说自己去设计。

当然对于一些已经有着丰富经验的老司机可能会说:“shiro 和 SpringSecurity 不是都已经实现了这些功能吗,直接引入就好了,指北君又在卖什么关子呢,想要表达什么呢?”

这个时候指北君会很严肃的反驳大家,shiroSpringSecurity有对应的自定义 Realm 去进行权限的校验,需要设置对应的诸多全局过滤器,以及各种配置文件等等。

揭开面纱

而今天介绍的Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证权限认证Session会话单点登录OAuth2.0微服务网关鉴权 等一系列权限相关问题。

对于登录来说 Sa-Token 只需要这样:

// 在登录时写入当前会话的账号id
StpUtil.login(10001);

// 然后在需要校验登录处调用以下方法:
// 如果当前会话未登录,这句代码会抛出 `NotLoginException` 异常
StpUtil.checkLogin();

至此,我们已经借助 Sa-Token 完成登录认证!

没错,在 Sa-Token 中,登录认证就是如此简单,不需要任何的复杂前置工作,只需这一行简单的API调用,就可以完成会话登录认证!

当你受够 ShiroSpringSecurity 等框架的三拜九叩之后,你就会明白,相对于这些传统老牌框架,Sa-Token 的 API 设计是多么的简单、优雅!

权限认证示例(只有具备 user:add 权限的会话才可以进入请求):

@SaCheckPermission("user:add")
@RequestMapping("/user/insert")
public String insert(SysUser user) {
    // ...
    return "用户增加";
}

将某个账号踢下线(待到对方再次访问系统时会抛出NotLoginException异常):

// 将账号id为 10001 的会话踢下线
StpUtil.kickout(10001);

Sa-Token 中,绝大多数功能都可以 一行代码 完成:

StpUtil.login(10001);    // 标记当前会话登录的账号id
StpUtil.getLoginId();    // 获取当前会话登录的账号id
StpUtil.isLogin();    // 获取当前会话是否已经登录, 返回true或false
StpUtil.logout();    // 当前会话注销登录
StpUtil.kickout(10001);    // 将账号为10001的会话踢下线
StpUtil.hasRole("super-admin");    // 查询当前账号是否含有指定角色标识, 返回true或false
StpUtil.hasPermission("user:add");    // 查询当前账号是否含有指定权限, 返回true或false
StpUtil.getSession();    // 获取当前账号id的Session
StpUtil.getSessionByLoginId(10001);    // 获取账号id为10001的Session
StpUtil.getTokenValueByLoginId(10001);    // 获取账号id为10001的token令牌值
StpUtil.login(10001, "PC");    // 指定设备标识登录,常用于“同端互斥登录”
StpUtil.kickout(10001, "PC");    // 指定账号指定设备标识踢下线 (不同端不受影响)
StpUtil.openSafe(120);    // 在当前会话开启二级认证,有效期为120秒
StpUtil.checkSafe();    // 校验当前会话是否处于二级认证有效期内,校验失败会抛出异常
StpUtil.switchTo(10044);    // 将当前会话身份临时切换为其它账号 

即使不运行测试,相信你也能意会到绝大多数 API 的用法。

功能展示

- 登录认证

单端登录、多端登录、同端互斥登录、七天内免登录

核心思想

所谓登录认证,说白了就是限制某些API接口必须登录后才能访问(例:查询我的账号资料)
那么如何判断一个会话是否登录?框架会在登录成功后给你做个标记,每次登录认证时校验这个标记,有标记者视为已登录,无标记者视为未登录!

登录与注销

根据以上思路,我们很容易想到以下api:

// 标记当前会话登录的账号id
// 建议的参数类型:long | int | String, 不可以传入复杂类型,如:User、Admin等等
StpUtil.login(Object id);

// 当前会话注销登录
StpUtil.logout();

// 获取当前会话是否已经登录,返回true=已登录,false=未登录
StpUtil.isLogin();

// 检验当前会话是否已经登录, 如果未登录,则抛出异常:`NotLoginException`
StpUtil.checkLogin();
NotLoginException异常对象扩展:
  1. 通过 getLoginType() 方法获取具体是哪个 StpLogic 抛出的异常。
  2. 通过 getType() 方法获取具体的场景值,详细参考章节:未登录场景值
会话查询
// 获取当前会话账号id, 如果未登录,则抛出异常:`NotLoginException`
StpUtil.getLoginId();

// 类似查询API还有:
StpUtil.getLoginIdAsString();    // 获取当前会话账号id, 并转化为`String`类型
StpUtil.getLoginIdAsInt();       // 获取当前会话账号id, 并转化为`int`类型
StpUtil.getLoginIdAsLong();      // 获取当前会话账号id, 并转化为`long`类型

// ---------- 指定未登录情形下返回的默认值 ----------

// 获取当前会话账号id, 如果未登录,则返回null
StpUtil.getLoginIdDefaultNull();

// 获取当前会话账号id, 如果未登录,则返回默认值 (`defaultValue`可以为任意类型)
StpUtil.getLoginId(T defaultValue);
其它API
// 获取指定token对应的账号id,如果未登录,则返回 null
StpUtil.getLoginIdByToken(String tokenValue);

// 获取当前`StpLogic`的token名称
StpUtil.getTokenName();

// 获取当前会话的token值
StpUtil.getTokenValue();

// 获取当前会话的token信息参数
StpUtil.getTokenInfo();
来个小测试

新建 LoginController,复制以下代码:

/**
 * 登录测试
 * @author kong
 *
 */
@RestController
@RequestMapping("/acc/")
public class LoginController {

    // 测试登录  ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
    @RequestMapping("doLogin")
    public SaResult doLogin(String name, String pwd) {
        // 此处仅作模拟示例,真实项目需要从数据库中查询数据进行比对
        if("zhang".equals(name) && "123456".equals(pwd)) {
            StpUtil.login(10001);
            return SaResult.ok("登录成功");
        }
        return SaResult.error("登录失败");
    }

    // 查询登录状态  ---- http://localhost:8081/acc/isLogin
    @RequestMapping("isLogin")
    public SaResult isLogin() {
        return SaResult.ok("是否登录:" + StpUtil.isLogin());
    }

    // 查询 Token 信息  ---- http://localhost:8081/acc/tokenInfo
    @RequestMapping("tokenInfo")
    public SaResult tokenInfo() {
        return SaResult.data(StpUtil.getTokenInfo());
    }

    // 测试注销  ---- http://localhost:8081/acc/logout
    @RequestMapping("logout")
    public SaResult logout() {
        StpUtil.logout();
        return SaResult.ok();
    }
}

- 权限认证

权限认证、角色认证、会话二级认证

核心思想

所谓权限认证,认证的核心就是一个账号是否拥有一个权限码。
有,就让你通过。没有?那么禁止访问!

再往低了说,就是每个账号都会拥有一个权限码集合,我来校验这个集合中是否包含指定的权限码。
例如:当前账号拥有权限码集合:["user-add", "user-delete", "user-get"],这时候我来校验权限 "user-update",则其结果就是:验证失败,禁止访问

所以现在问题的核心就是:

  1. 如何获取一个账号所拥有的的权限码集合。
  2. 本次操作需要验证的权限码是哪个。
获取当前账号权限码

因为每个项目的需求不同,其权限设计也千变万化,因此【获取当前账号权限码集合】这一操作不可能内置到框架中, 所以 Sa-Token 将此操作以接口的方式暴露给你,以方便的你根据自己的业务逻辑进行重写。

你需要做的就是新建一个类,实现StpInterface接口,例如以下代码:

package com.pj.satoken;

import java.util.ArrayList;
import java.util.List;
import org.springframework.stereotype.Component;
import cn.dev33.satoken.stp.StpInterface;

/**
 * 自定义权限验证接口扩展
 */
@Component    // 保证此类被SpringBoot扫描,完成Sa-Token的自定义权限验证扩展
public class StpInterfaceImpl implements StpInterface {

    /**
     * 返回一个账号所拥有的权限码集合
     */
    @Override
    public List<String> getPermissionList(Object loginId, String loginType) {
        // 本list仅做模拟,实际项目中要根据具体业务逻辑来查询权限
        List<String> list = new ArrayList<String>();
        list.add("101");
        list.add("user-add");
        list.add("user-delete");
        list.add("user-update");
        list.add("user-get");
        list.add("article-get");
        return list;
    }

    /**
     * 返回一个账号所拥有的角色标识集合 (权限与角色可分开校验)
     */
    @Override
    public List<String> getRoleList(Object loginId, String loginType) {
        // 本list仅做模拟,实际项目中要根据具体业务逻辑来查询角色
        List<String> list = new ArrayList<String>();
        list.add("admin");
        list.add("super-admin");
        return list;
    }
}
权限认证

然后就可以用以下api来鉴权了:

// 判断:当前账号是否含有指定权限, 返回true或false
StpUtil.hasPermission("user-update");

// 校验:当前账号是否含有指定权限, 如果验证未通过,则抛出异常: NotPermissionException
StpUtil.checkPermission("user-update");

// 校验:当前账号是否含有指定权限 [指定多个,必须全部验证通过]
StpUtil.checkPermissionAnd("user-update", "user-delete");

// 校验:当前账号是否含有指定权限 [指定多个,只要其一验证通过即可]
StpUtil.checkPermissionOr("user-update", "user-delete");        

扩展:NotPermissionException 对象可通过 getLoginType() 方法获取具体是哪个 StpLogic 抛出的异常。

角色认证

在Sa-Token中,角色和权限可以独立验证:

// 判断:当前账号是否拥有指定角色, 返回true或false
StpUtil.hasRole("super-admin");

// 校验:当前账号是否含有指定角色标识, 如果验证未通过,则抛出异常: NotRoleException
StpUtil.checkRole("super-admin");

// 校验:当前账号是否含有指定角色标识 [指定多个,必须全部验证通过]
StpUtil.checkRoleAnd("super-admin", "shop-admin");

// 校验:当前账号是否含有指定角色标识 [指定多个,只要其一验证通过即可]
StpUtil.checkRoleOr("super-admin", "shop-admin");        

扩展:NotRoleException 对象可通过 getLoginType() 方法获取具体是哪个 StpLogic 抛出的异常。

如何把权限精确搭到按钮级?

权限精确到按钮级的意思就是指:权限范围可以控制到页面上的每一个按钮是否显示

思路:如此精确的范围控制只依赖后端已经难以完成,此时需要前端进行一定的逻辑判断。

如果是前后端一体项目,可以参考:Thymeleaf 标签方言,如果是前后端分离项目,则:

  1. 在登录时,把当前账号拥有的所有权限码一次性返回给前端。

  2. 前端将权限码集合保存在localStorage或其它全局状态管理对象中。

  3. 在需要权限控制的按钮上,使用js进行逻辑判断,例如在vue框架中我们可以使用如下写法:

<button v-if="arr.indexOf('user:delete') > -1">删除按钮</button>

其中: arr是当前用户拥有的权限码数组,user:delete是显示按钮需要拥有的权限码,删除按钮是用户拥有权限码才可以看到的内容。

注意:以上写法只为提供一个参考示例,不同框架有不同写法,开发者可根据项目技术栈灵活封装进行调用。

前端有了鉴权后端还需要鉴权吗?

需要!

前端的鉴权只是一个辅助功能,对于专业人员这些限制都是可以轻松绕过的,为保证服务器安全,无论前端是否进行了权限校验,后端接口都需要对会话请求再次进行权限校验!

其他功能展示

可以看到的是对于我们开发者来说这绝对是神器中的神器了。

生态结构

实际运用

上面指北君给大家介绍了其基础的功能,看起来好像还行,那到底有没有具体应用到实际的操作项目中呢,回答是有的,快来看看,你所了解的有没有用到这个鉴权吧:

如下图所示,可以看到,无论是对多个目前主流的开源项目的集成,或者是说对于若依的扩展等,都有着良好的解决方案,可以毫不夸张地说,学习了这个鉴权工具,你也可以同时学习如下这些质量较高的项目。

论坛生态

这个时候,你可能会发问了: “若是我在学习的过程中,遇到不会的问题怎么办呢?”

没问题,【Sa-Token】也有对应的社区论坛,同1000+小伙伴一同学习与问题的探讨与划水。

开源仓库Star趋势

在学习一个开源项目的时候,对于其 star数,也是我们衡量这个项目质量是否上乘,认可度是否高,口碑是否优秀的一个很重要的原因。如下图所示,可以说自从2020-8项目创建以来,经过了一段时间的使用,star数直线上升,足够证明其优秀性与稳定性。

指北君有话说

正如前文所说一样,目前系统的安全性越来越受到大家的重视,但是对于一个用于学习如何鉴权和登录的开源项目来说,【Sa-Token】 能够让我们不仅仅能够学习到如何优雅的鉴权与处理,在学习完成之后,还能够学习到相关技术的扩展,让我们在学习的过程中,能够获取到更多的知识与内容。实在是用于学习鉴权——开发自己公司的产品,或者用于自学,找到一份较好的工作的不二之选,快来试一试吧。

关注开源指北,后台回复satoken获取资源。

这里是开源指北,立志做最好的开源分享平台,分享有趣实用的开源项目。
同时也欢迎加入开源指北交流群,群里你可以摸鱼、划水、吐槽、咨询,还有简历模板、各种技术面试资料等100G的资源等着你领取哦。快来一起聊一聊吧!

以上就是本次推荐的全部内容,我是指北君,感谢各位的观看。

上一篇下一篇

猜你喜欢

热点阅读