SpringBoot集成Sa-Token实现轻量级权限认证实战 1. SpringBoot集成Sa-Token权限认证实战指南在Java企业级应用开发中权限认证是每个系统都无法绕开的核心模块。传统方案如Shiro、Spring Security虽然功能强大但配置复杂、学习曲线陡峭。而Sa-Token作为一款轻量级Java权限认证框架以简单、优雅、高效为设计理念仅需少量代码即可实现完整的权限控制体系。我在多个生产级SpringBoot项目中采用Sa-Token后发现其API设计极其符合开发者直觉下面分享具体实践方案。2. 环境准备与基础集成2.1 创建SpringBoot项目使用IDEA的Spring Initializr创建项目选择以下依赖Spring WebLombok简化实体类开发JDBC用于存储会话数据在pom.xml中添加Sa-Token核心依赖dependency groupIdcn.dev33/groupId artifactIdsa-token-spring-boot-starter/artifactId version1.45.0/version /dependency2.2 基础配置在application.yml中添加最小化配置sa-token: token-name: satoken # HTTP请求头中携带的token名称 timeout: 2592000 # token有效期30天单位秒 is-share: true # 同一账号多端登录时是否共享会话 is-read-body: true # 是否尝试从请求体读取token注意生产环境建议通过Redis集成分布式会话添加sa-token-redis依赖后只需配置Redis连接信息即可自动启用3. 认证与鉴权核心实现3.1 登录认证实现创建AuthController处理认证逻辑RestController RequestMapping(/auth) public class AuthController { PostMapping(/login) public Result login(RequestBody LoginDto dto) { // 模拟数据库校验实际项目需替换为真实查询 if(admin.equals(dto.getUsername()) 123456.equals(dto.getPassword())) { // 参数1登录账号 参数2设备标识PC、APP等 StpUtil.login(dto.getUsername(), PC); return Result.success(登录成功, StpUtil.getTokenInfo()); } return Result.fail(账号或密码错误); } GetMapping(/logout) public Result logout() { StpUtil.logout(); return Result.success(登出成功); } }3.2 权限校验注解Sa-Token提供三种粒度的权限控制登录校验注解SaCheckLogin GetMapping(/userinfo) public Result getUserInfo() { // 只有登录后才能进入该方法 String username StpUtil.getLoginIdAsString(); return Result.success(userService.getUserInfo(username)); }角色校验注解SaCheckRole(admin) // 必须具有admin角色 PostMapping(/deleteUser) public Result deleteUser(Long userId) { // 业务逻辑 return Result.success(); }权限校验注解SaCheckPermission(user:add) // 需要user:add权限 PostMapping(/addUser) public Result addUser(RequestBody User user) { userService.save(user); return Result.success(); }4. 高级功能实战4.1 会话管理Sa-Token提供丰富的会话API// 获取当前会话所有token信息 StpUtil.getTokenInfo(); // 强制指定账号下线踢人下线 StpUtil.kickout(admin); // 查询指定账号的登录设备列表 ListString devices StpUtil.getDeviceList(admin); // 临时身份切换A管理员以B用户身份操作系统 StpUtil.switchTo(user123); // 执行用户操作... StpUtil.endSwitch(); // 切换回原身份4.2 路由拦截鉴权在WebMvcConfigurer中配置拦截规则Configuration public class SaTokenConfig implements WebMvcConfigurer { Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new SaInterceptor(handler - { SaRouter .match(/**) // 拦截所有路径 .notMatch(/auth/login) // 排除登录接口 .notMatch(/swagger**) // 排除Swagger .check(r - StpUtil.checkLogin()); // 校验登录状态 })).addPathPatterns(/**); } }4.3 Redis集成分布式会话添加Redis依赖dependency groupIdcn.dev33/groupId artifactIdsa-token-redis/artifactId version1.45.0/version /dependency配置Redis连接spring: redis: host: 127.0.0.1 port: 6379 database: 0代码零修改自动启用分布式会话5. 生产环境最佳实践5.1 安全加固方案开启token前缀校验sa-token: token-prefix: Bearer # 类似JWT的Bearer方案配置HTTPS安全传输Configuration public class SaTokenCookieConfig { Bean public SaTokenConfig getSaTokenConfig() { SaTokenConfig config new SaTokenConfig(); config.setCookieSecure(true); // 仅HTTPS传输Cookie return config; } }定期更换token密钥// 在应用启动时执行 PostConstruct public void initTokenSecret() { SaManager.getSaTokenDao().updateSecret(随机生成32位密钥); }5.2 性能优化建议会话存储优化sa-token: is-concurrent: true # 开启并发登录不同设备独立会话 is-share: false # 关闭会话共享提高安全性 token-style: uuid # 使用uuid风格token默认二级缓存配置Redis 本地缓存Bean public SaTokenDao saTokenDao() { return new SaTokenDaoRedisJackson() { Override public SaTokenDao getSecondaryCache() { return new SaTokenDaoDefault(); // 本地内存缓存 } }; }6. 常见问题排查6.1 登录失效问题排查现象登录后随机掉线检查Redis连接稳定性确认token有效期配置sa-token: timeout: 86400 # 单位秒 activity-timeout: -1 # 无操作续期时间-1不续期现象多端登录冲突调整会话共享策略sa-token: is-share: false # 每个终端独立会话 is-concurrent: true # 允许并发登录6.2 权限校验异常注解不生效检查清单确认启动类添加了EnableSaToken检查拦截器注册顺序需在SpringSecurity之前验证权限数据是否正常加载// 动态添加权限 StpInterface stpInterface new StpInterface() { Override public ListString getPermissionList(Object loginId, String loginType) { return Arrays.asList(user:add, user:delete); } }; SaManager.setStpInterface(stpInterface);7. 扩展功能集成7.1 单点登录(SSO)配置添加SSO依赖dependency groupIdcn.dev33/groupId artifactIdsa-token-sso/artifactId version1.45.0/version /dependency配置SSO认证中心Configuration public class SsoConfig { Bean public SaSsoProcessor saSsoProcessor() { return new SaSsoProcessor() .setAuthUrl(/sso/auth) // 认证地址 .setDoLoginUrl(/sso/doLogin) // 执行登录地址 .setCheckTicketUrl(/sso/checkTicket); // ticket校验地址 } }7.2 OAuth2.0集成配置OAuth2.0服务端Bean public SaOAuth2Server saOAuth2Server() { return new SaOAuth2Server() .setNotLoginView(() - 请先登录) .setConfirmView((clientId, scope) - 确认授权吗); }客户端接入示例// 获取授权地址 String authUrl SaOAuth2Client .serverUrl(http://oauth-server.com) .clientId(1001) .redirectUrl(http://client.com/callback) .buildAuthUrl();8. 监控与统计8.1 接入Admin监控面板添加监控模块依赖dependency groupIdcn.dev33/groupId artifactIdsa-token-admin/artifactId version1.45.0/version /dependency配置访问权限Configuration public class SaAdminConfig { Bean public SaAdminConfig getSaAdminConfig() { return new SaAdminConfig() .setPassword(admin123) // 控制台密码 .setAllowUrl(/sa-admin/**); } }访问路径http://domain.com/sa-admin/8.2 自定义统计指标通过Sa-Token事件总线收集数据EventListener public void onLogin(SaLoginEvent event) { metricsService.recordLogin( event.getLoginType(), event.getLoginId() ); } EventListener public void onLogout(SaLogoutEvent event) { metricsService.recordLogout( event.getLoginType(), event.getLoginId() ); }9. 微服务场景适配9.1 网关统一鉴权在Spring Cloud Gateway中配置全局过滤器Component public class SaTokenFilter implements GlobalFilter { Override public MonoVoid filter(ServerWebExchange exchange, GatewayFilterChain chain) { ServerHttpRequest request exchange.getRequest(); String token request.getHeaders().getFirst(satoken); if(StpUtil.isLogin(token)) { return chain.filter(exchange); } return Mono.error(new RuntimeException(无效token)); } }9.2 RPC服务间鉴权服务提供方配置SaCheckRpcSecret(rpc-secret-key) PostMapping(/internal/api) public Result internalApi() { // 受保护的内部接口 }服务消费方调用Bean public SaRpcClient saRpcClient() { return new SaRpcClient() .setSecretKey(rpc-secret-key) .setServiceName(user-service); }10. 测试策略10.1 单元测试方案SpringBootTest public class AuthTest { Test public void testLogin() { // 模拟登录 StpUtil.login(10001); // 验证会话 assertTrue(StpUtil.isLogin()); assertEquals(10001, StpUtil.getLoginId()); // 清理会话 StpUtil.logout(); } }10.2 压力测试建议使用JMeter模拟配置HTTP Header携带token测试鉴权接口的TPS监控Redis内存增长情况性能调优参数sa-token: token-session-timeout: 1800 # token临时有效期秒 token-active-timeout: 300 # 无操作失效时间11. 迁移方案11.1 从Shiro迁移会话数据迁移工具类public class ShiroToSaToken { public static void migrateSession(String username) { Subject subject SecurityUtils.getSubject(); Session shiroSession subject.getSession(); // 转换会话数据 StpUtil.login(username); SaSession saSession StpUtil.getSession(); shiroSession.getAttributeKeys().forEach(key - { saSession.set(key, shiroSession.getAttribute(key)); }); } }11.2 从Spring Security迁移权限数据适配器Component public class SecurityAdapter implements StpInterface { Override public ListString getPermissionList(Object loginId, String loginType) { UserDetails user userDetailsService.loadUserByUsername((String)loginId); return user.getAuthorities().stream() .map(GrantedAuthority::getAuthority) .collect(Collectors.toList()); } }12. 项目经验总结在实际企业级项目中采用Sa-Token后我发现以下经验特别值得分享会话存储策略选择小型项目默认内存模式即可中型项目Redis单机存储大型分布式Redis集群本地二级缓存权限设计建议// 采用RBAC三级模型 user - role - permission // 权限标识遵循 资源:操作 格式 order:create, report:export性能监控重点指标登录QPS权限校验平均耗时Redis内存占用增长趋势Token异常率过期/无效升级注意事项跨大版本升级前先阅读Breaking Changes生产环境先灰度发布到测试集群保留回滚方案旧版本依赖包移动端适配技巧sa-token: token-style: simple-uuid # 移动端友好型token is-read-header: true # 从header读取 is-read-body: false # 禁用body读取节省流量国际项目时区处理Bean public SaTokenConfig saTokenConfig() { SaTokenConfig config new SaTokenConfig(); config.setTimeZone(GMT8); // 统一使用北京时间 return config; }

本周精选

本月热点