Sa-Token 多账号认证:同时为系统的 Admin 账号和 User 账号提供鉴权操作 ...

打印 上一主题 下一主题

主题 876|帖子 876|积分 2628

Sa-Token 是一个轻量级 java 权限认证框架,主要解决登录认证、权限认证、单点登录、OAuth2、微服务网关鉴权 等一系列权限相关问题。
Gitee 开源地址:https://gitee.com/dromara/sa-token
本篇将介绍 Sa-Token 中的多账号认证操作。
一、需求分析

有的时候,我们会在一个项目中设计两套账号体系,比如一个电商系统的 user表 和 admin表, 在这种场景下,如果两套账号我们都使用 StpUtil 类的API进行登录鉴权,那么势必会发生逻辑冲突。
在Sa-Token中,这个问题的模型叫做:多账号体系认证。
要解决这个问题,我们必须有一个合理的机制将这两套账号的授权给区分开,让它们互不干扰才行。
二、演进思路

假如说我们的 user表 和 admin表 都有一个 id=10001 的账号,它们对应的登录代码:StpUtil.login(10001) 是一样的,
那么问题来了:在StpUtil.getLoginId()获取到的账号id如何区分它是User用户,还是Admin用户?
你可能会想到为他们加一个固定前缀,比如StpUtil.login("User_" + 10001)、StpUtil.login("Admin_" + 10001),这样确实是可以解决问题的,
但是同样的:你需要在StpUtil.getLoginId()时再裁剪掉相应的前缀才能获取真正的账号id,这样一增一减就让我们的代码变得无比啰嗦。
那么,有没有从框架层面支持的,更优雅的解决方案呢?
SaManager 提供了动态创建 StpLogic 的能力:
  1. // 在当前会话登录 Admin 账号 10001
  2. SaManager.getStpLogic("admin").login(10001);
  3. // 在当前会话登录 User 账号 10001
  4. SaManager.getStpLogic("user").login(10001);
复制代码
这是一种解决方案,但仍然需要我们每次调用方法时指定账号类型参数,代码略显啰嗦,接下来我们介绍方案二:自定义 StpUtil 鉴权工具类。
三、自定义 StpUtil 鉴权工具类

前面几篇介绍的api调用,都是经过 StpUtil 类的各种静态方法进行授权认证,
而如果我们深入它的源码,点此阅览

就会发现,此类并没有任何代码逻辑,唯一做的事就是对成员变量stpLogic的各个API包装一下进行转发。
这样做有两个优点:

  • StpLogic 类的所有函数都可以被重写,按需扩展。
  • 在构造方法时随意传入一个不同的 loginType,就可以再造一套账号登录体系。
四、操作示例

比如说,对于原生StpUtil类,我们只做admin账号权限认证,而对于user账号,我们则:

  • 新建一个新的权限认证类,比如: StpUserUtil.java。
  • 将StpUtil.java类的全部代码复制粘贴到 StpUserUtil.java里。
  • 更改一下其 LoginType, 比如:
  1. public class StpUserUtil {
  2.        
  3.         /**
  4.          * 账号体系标识
  5.          */
  6.         public static final String TYPE = "user";        // 将 LoginType 从`login`改为`user`
  7.         // 其它代码 ...
  8. }
复制代码

  • 接下来就可以像调用StpUtil.java一样调用 StpUserUtil.java了,这两套账号认证的逻辑是完全隔离的。
成品样例参考:码云 StpUserUtil.java
五、在多账户模式下使用注解鉴权

框架默认的注解鉴权 如@SaCheckLogin 只针对原生StpUtil进行鉴权。
例如,我们在一个方法上加上@SaCheckLogin注解,这个注解只会放行通过StpUtil.login(id)进行登录的会话,
而对于通过StpUserUtil.login(id)进行登录的会话,则始终不会通过校验。
那么如何告诉@SaCheckLogin要鉴别的是哪套账号的登录会话呢?很简单,你只需要指定一下注解的type属性即可:
  1. // 通过type属性指定此注解校验的是我们自定义的`StpUserUtil`,而不是原生`StpUtil`
  2. @SaCheckLogin(type = StpUserUtil.TYPE)
  3. @RequestMapping("info")
  4. public String info() {
  5.     return "查询用户信息";
  6. }
复制代码
注:@SaCheckRole("xxx")、@SaCheckPermission("xxx")同理,亦可根据type属性指定其校验的账号体系,此属性默认为"",代表使用原生StpUtil账号体系。
六、使用注解合并简化代码

交流群里有同学反应,虽然可以根据 @SaCheckLogin(type = "user") 指定账号类型,但几十上百个注解都加上这个的话,还是有些繁琐,代码也不够优雅,有么有更简单的解决方案?
我们期待一种[注解继承/合并]的能力,即:自定义一个注解,标注上@SaCheckLogin(type = "user"),
然后在方法上标注这个自定义注解,效果等同于标注@SaCheckLogin(type = "user")。
很遗憾,JDK默认的注解处理器并没有提供这种[注解继承/合并]的能力,不过好在我们可以利用 Spring 的注解处理器,达到同样的目的。
1、重写Sa-Token默认的注解处理器:
  1. @Configuration
  2. public class SaTokenConfigure {
  3.     @Autowired
  4.     public void rewriteSaStrategy() {
  5.             // 重写Sa-Token的注解处理器,增加注解合并功能
  6.                 SaStrategy.me.getAnnotation = (element, annotationClass) -> {
  7.                         return AnnotatedElementUtils.getMergedAnnotation(element, annotationClass);
  8.                 };
  9.     }
  10. }
复制代码
2、自定义一个注解:
  1. /**
  2. * 登录认证(User版):只有登录之后才能进入该方法
  3. * <p> 可标注在函数、类上(效果等同于标注在此类的所有方法上)
  4. */
  5. @SaCheckLogin(type = "user")
  6. @Retention(RetentionPolicy.RUNTIME)
  7. @Target({ ElementType.METHOD, ElementType.TYPE})
  8. public @interface SaUserCheckLogin {
  9.        
  10. }
复制代码
3、接下来就可以使用我们的自定义注解了:
  1. // 使用 @SaUserCheckLogin 的效果等同于使用:@SaCheckLogin(type = "user")
  2. @SaUserCheckLogin
  3. @RequestMapping("info")
  4. public String info() {
  5.     return "查询用户信息";
  6. }
复制代码
注:其它注解 @SaCheckRole("xxx")、@SaCheckPermission("xxx")同理,
完整示例参考:码云:自定义注解
七、同端多登陆

假设我们不仅需要在后台同时集成两套账号,我们还需要在一个客户端同时登陆两套账号(业务场景举例:一个APP中可以同时登陆商家账号和用户账号)。
如果我们不做任何特殊处理的话,在客户端会发生token覆盖,新登录的token会覆盖掉旧登录的token从而导致旧登录失效。
那么如何解决这个问题?

很简单,我们只要更改一下 StpUserUtil 的 TokenName 即可,参考示例如下:
  1. public class StpUserUtil {
  2.        
  3.         // 使用匿名子类 重写`stpLogic对象`的一些方法
  4.         public static StpLogic stpLogic = new StpLogic("user") {
  5.                 // 重写 StpLogic 类下的 `splicingKeyTokenName` 函数,返回一个与 `StpUtil` 不同的token名称, 防止冲突
  6.                 @Override
  7.                 public String splicingKeyTokenName() {
  8.                         return super.splicingKeyTokenName() + "-user";
  9.                 }
  10.                 // 同理你可以按需重写一些其它方法 ...
  11.         };
  12.        
  13.         // ...
  14.        
  15. }
复制代码
再次调用 StpUserUtil.login(10001) 进行登录授权时,token的名称将不再是 satoken,而是我们重写后的 satoken-user。
八、不同体系不同 SaTokenConfig 配置

如果自定义的 StpUserUtil 需要使用不同 SaTokenConfig 对象, 也很简单,参考示例如下:
  1. public class StpUserUtil {
  2.        
  3.         // 使用匿名子类 重写`stpLogic对象`的一些方法
  4.         public static StpLogic stpLogic = new StpLogic("user") {
  5.                
  6.                 // 首先自定义一个 Config 对象
  7.                 SaTokenConfig config = new SaTokenConfig()
  8.                         .setTokenName("satoken")
  9.                         .setTimeout(2592000)
  10.                         // ... 其它set
  11.                         ;
  12.                
  13.                 // 然后重写 stpLogic 配置获取方法
  14.                 @Override
  15.                 public SaTokenConfig getConfig() {
  16.                         return config;
  17.                 }
  18.         };
  19.        
  20.         // ...
  21.        
  22. }
复制代码
九、多账号体系混合鉴权

QQ群中有小伙伴提问:在多账号体系下,怎么在 SaInterceptor 拦截器中给一个接口登录鉴权?
其实这个问题,主要是靠你的业务需求来决定,以后台 Admin 账号和前台 User 账号为例:
  1. // 注册 Sa-Token 拦截器
  2. @Override
  3. public void addInterceptors(InterceptorRegistry registry) {
  4.         registry.addInterceptor(new SaInterceptor(handle -> {
  5.                
  6.                 // 如果这个接口,要求客户端登录了后台 Admin 账号才能访问:
  7.                 SaRouter.match("/art/getInfo").check(r -> StpUtil.checkLogin());
  8.                 // 如果这个接口,要求客户端登录了前台 User 账号才能访问:
  9.                 SaRouter.match("/art/getInfo").check(r -> StpUserUtil.checkLogin());
  10.                
  11.                 // 如果这个接口,要求客户端同时登录 Admin 和 User 账号,才能访问:
  12.                 SaRouter.match("/art/getInfo").check(r -> {
  13.                         StpUtil.checkLogin();
  14.                         StpUserUtil.checkLogin();
  15.                 });
  16.                 // 如果这个接口,要求客户端登录 Admin 和 User 账号任意一个,就能访问:
  17.                 SaRouter.match("/art/getInfo").check(r -> {
  18.                         if(StpUtil.isLogin() == false && StpUserUtil.isLogin() == false) {
  19.                                 throw new SaTokenException("请登录后再访问接口");
  20.                         }
  21.                 });
  22.                
  23.         })).addPathPatterns("/**");
  24. }
复制代码
参考资料


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
回复

使用道具 举报

0 个回复

倒序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

涛声依旧在

金牌会员
这个人很懒什么都没写!

标签云

快速回复 返回顶部 返回列表