引言
在当今微服务架构盛行的时代,权限认证早已成为企业级应用开发的“刚需”。从简单的登录鉴权到复杂的单点登录(SSO)、OAuth2.0授权,再到分布式Session管理和微服务网关鉴权,开发者需要一套简单、高效、优雅的解决方案。而今天,我们要介绍的Sa-Token 1.44.0,正是这样一款“开箱即用”的Java权限认证框架,它以轻量级、零学习成本、高扩展性著称,让鉴权不再成为开发者的“噩梦”。
一、Sa-Token:重新定义Java权限认证
1. 什么是Sa-Token?
Sa-Token 是一个开源、免费、轻量级的Java权限认证框架,专为解决现代Web应用中的鉴权问题而生。它提供了五大核心模块:
登录认证:支持JWT、Session等多种认证方式。
权限认证:基于RBAC(角色访问控制)模型,支持细粒度权限控制。
单点登录(SSO):支持同域、跨域、共享Redis等多种SSO模式。
OAuth2.0授权:支持授权码、隐藏式、密码式、客户端凭证四种模式。
微服务鉴权:无缝集成Spring Cloud Gateway、Nacos等微服务组件。
2. 为什么选择Sa-Token?
轻量级:核心代码仅数百KB,依赖极少,启动飞快。
简单易用:一行代码完成登录,三行代码实现权限校验。
高扩展性:支持自定义认证逻辑、权限拦截器等。
多框架支持:不仅支持SpringBoot 2/3,还兼容Solon、JFinal等Web框架。
活跃的社区:Gitee/GitHub星标数破万,文档完善,问题响应快。
二、SSO单点登录:三种模式,覆盖所有场景
单点登录(SSO)是多系统集成中的“标配”,但传统SSO方案往往存在跨域困难、Redis共享复杂、前后端分离适配差等问题。Sa-Token 1.44.0 提供了三种SSO模式,覆盖所有场景:
| 系统架构 | 采用模式 | 简介 | 适用场景 |
|---|---|---|---|
前端同域 + 后端同Redis | 模式一 | 共享Cookie同步会话 | 同一主域名下的多个系统(如c1.domain.com、c2.domain.com) |
前端不同域 + 后端同Redis | 模式二 | URL重定向传播会话 | 跨域系统,但后端共享Redis |
前端不同域 + 后端不同Redis | 模式三 | Http请求获取会话 | 完全隔离的系统,通过Ticket校验 |
Sa-Token SSO的亮点
NoSdk模式:不使用Sa-Token的系统也能对接。
前后端分离支持:提供完整的分离方案。
安全防护:域名校验、Ticket防劫持、参数签名防重放。
参数不丢失:登录后精准返回原URL参数(如
id=1&name=2)。用户数据同步:支持开发前迁移、运行时同步等多种方案。
示例代码(模式一:共享Cookie):
// sso-server 登录接口 @GetMapping("/login") public String login(String username, String password) { StpUtil.login(username); // 登录 return"redirect:/sso-client?ticket=" + StpUtil.getTokenValue(); // 返回Ticket } // sso-client 验证Ticket @GetMapping("/verify") public String verify(String ticket) { if (StpUtil.isLogin()) return"登录成功"; StpUtil.loginByToken(ticket); // 用Ticket登录 return"Ticket验证成功"; }三、OAuth2.0授权:四种模式,满足所有授权需求
OAuth2.0是现代API授权的“标准协议”,但传统实现往往复杂难用。Sa-Token 1.44.0 提供了四种OAuth2.0授权模式,覆盖所有场景:
| 授权模式 | 简介 | 适用场景 |
|---|---|---|
授权码(Authorization Code) | 标准流程,Server下放Code,Client用Code换Token | 第三方应用授权(如微信登录) |
隐藏式(Implicit) | 直接通过URL重定向下放Token | 纯前端应用(如SPA) |
密码式(Password) | Client用账号密码直接换Token | 内部系统信任授权 |
客户端凭证(Client Credentials) | Client用自身凭证换Token | 机器对机器授权(如微服务) |
示例代码(授权码模式):
// OAuth2 Server 配置 @Configuration publicclass SaOAuthConfig extends SaOAuthConfiguration { @Override public List<SaOAuth2Model> getOAuth2List() { return Arrays.asList( new SaOAuth2Model("client_id", "client_secret", "http://client.com/callback") ); } } // Client 端获取Code @GetMapping("/auth") public String auth() { String url = SaOAuthUtil.buildAuthorizeUrl("client_id", "read"); return"redirect:" + url; // 跳转到OAuth2 Server授权页 } // Client 端用Code换Token @GetMapping("/callback") public String callback(String code) { SaTokenInfo tokenInfo = SaOAuthUtil.parseAccessToken("client_id", "client_secret", code); return"Token: " + tokenInfo.getTokenValue(); }四、开源集成案例:从快速开发平台到微服务架构
Sa-Token 已被众多知名开源项目采用,以下是部分典型案例:
Snowy:国密前后分离快速开发平台(Vue3 + AntDesignVue3 + SpringBoot + SaToken)。
RuoYi-Vue-Plus:重写RuoYi-Vue,集成Sa-Token + Mybatis-Plus + Xxl-Job。
Smart-Admin:以“高质量代码”为核心的中后台快速开发平台。
灯灯:多租户微服务中后台平台,支持独立数据库/共享数据架构。
EasyAdmin:基于SpringBoot2 + Sa-Token的后台管理系统,内置代码生成器。
更多案例参考:Awesome-Sa-Token
五、友情链接:Sa-Token生态圈
Sa-Token 不仅自身强大,还与多个优秀开源项目深度集成:
OkHttps:轻量级HTTP通信框架,API优雅。
Forest:声明式HTTP请求发送库。
Bean Searcher:高级查询ORM,一行代码实现复杂检索。
TLog:轻量级分布式日志标记追踪。
Solon:更现代感的应用开发框架。
六、结语:Sa-Token,让鉴权简单如1+1=2
在权限认证这个“复杂战场”上,Sa-Token 1.44.0 用极简的API、强大的功能、活跃的社区,证明了“简单即强大”。无论是单体应用、微服务架构,还是前后端分离项目,Sa-Token 都能提供开箱即用的解决方案。
立即体验:
文档:https://sa-token.cc
Gitee:https://gitee.com/dromara/sa-token
GitHub:https://github.com/dromara/sa-token
让Sa-Token成为你项目中的“鉴权利器”,从此告别复杂的权限逻辑!
