Java集成SaToken构建登录

SaToken 是一款轻量级的 Java Token 认证框架，专为 Web 应用程序设计，旨在简化前后端分离架构下的认证、授权及会话管理流程。其核心目标是通过统一的 Token 机制，解决分布式系统中的身份验证与权限控制难题，同时降低开发复杂度。

一、SaToken的核心功能

1. Token 生命周期管理
   生成与验证：支持自定义 Token 生成规则（如 JWT 或 UUID），并提供高效的验证机制，确保 Token 的合法性与有效性。
   刷新与过期处理：允许在 Token 过期前自动刷新，延长会话有效期；同时支持灵活配置过期时间，平衡安全性与用户体验。
   黑名单机制：可手动将恶意 Token 加入黑名单，防止滥用或攻击。
2. 单点登录（SSO）
   用户在一个子系统中登录后，无需重复认证即可访问其他关联系统，实现跨域身份共享。
3. 细粒度权限控制
   注解式鉴权：通过 @SaCheckRole、@SaCheckPermission 等注解，快速标记接口或类的访问权限（如角色、权限码）。
   动态权限加载：支持从数据库或缓存中实时加载权限数据，适应权限频繁变更的场景。
4. 分布式会话支持
   集成 Redis 等缓存工具，实现 Token 状态的集中式管理，确保多节点服务间的会话一致性。
5. 安全增强
   Token 加密：支持对 Token 内容加密，防止中间人攻击。
   防篡改设计：通过签名机制确保 Token 未被篡改，提升安全性。

二、SaToken技术优势

1. 轻量级与高性能：无复杂依赖，核心代码精简，适合高并发场景。
2. 开发友好：提供丰富的 API 和注解，减少样板代码，加速开发流程。
3. 灵活扩展：支持自定义 Token 解析器、存储策略等，满足多样化需求。
4. 生态兼容：与 Spring Boot、Quarkus 等主流框架无缝集成，降低迁移成本。

三、Java集成SaToken

1、添加依赖（Maven 示例）

<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-spring-boot-starter</artifactId>
<version>1.34.0</version> <!-- 使用最新版本 -->
</dependency>
<!-- 可选：Redis 持久化支持 --><dependency><groupId>cn.dev33</groupId><artifactId>sa-token-dao-redis</artifactId><version>1.34.0</version></dependency>

2、配置文件（application.yml）

sa-token:
# Token 有效期（秒），默认30天
timeout: 2592000
# 是否自动续签
auto-renew: true
# Token 名称（前端携带的Header键）
token-name: Authorization
# 存储方式：0-内存、1-Redis、2-MongoDB
store: 1
# 拦截器配置
interceptor:
is-open: true
include-path: /**          # 拦截所有路径
exclude-path: /login       # 排除登录接口

3、登录接口实现

@RestController
public class LoginController {
@PostMapping("/login")
public SaResult login(String username, String password) {
// 1. 验证用户名密码（示例简化逻辑）
if ("admin".equals(username) && "123456".equals(password)) {
// 2. 执行登录（参数为用户ID）
StpUtil.login(10001);
// 3. 返回Token（前端需存储并携带）
return SaResult.ok("登录成功").set("token", StpUtil.getTokenValue());
}
return SaResult.error("登录失败");
}
}

4、权限控制注解

@RestController
@SaCheckRole("admin") // 需admin角色才能访问
public class AdminController {
@GetMapping("/admin")
public String adminPage() {
return "Admin Page";
}
}

5、拦截器全局配置

@Configuration
public class SatokenConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new SaInterceptor())
.addIncludePaths("/**")       // 拦截所有路径
.addExcludePaths("/login");   // 排除登录接口
}
}

6、注销功能

@RestController
public class LogoutController {
@PostMapping("/logout")
public SaResult logout() {
StpUtil.logout(); // 清除当前会话Token
return SaResult.ok("注销成功");
}
}

7、验证登录状态

// 校验是否登录
StpUtil.checkLogin();
// 获取当前登录用户ID
Long userId = StpUtil.getLoginIdAsLong();
// 判断用户是否具备角色/权限
boolean isAdmin = StpUtil.hasRole("admin");
boolean canDelete = StpUtil.hasPermission("user:delete");

8、关键注意事项

1. 依赖冲突：确保SaToken版本与其他库（如Spring Security）兼容。
2. Redis 配置：若使用Redis存储，需在application.yml中配置Redis连接信息。
3. 跨域处理：若前端跨域访问，需配置CORS或使用@CrossOrigin注解。
4. 安全加固：建议启用HTTPS，避免Token泄露；敏感接口增加二次验证。