一、需求剖析
如图所示,通常网站的登入界面就会有一个[记住我]按键,当你勾选它登陆后,虽然你关掉浏览器再度打开网站,也仍然会处于登入状态,无须重复验证密码:
login-view.png
本文将详尽介绍在Sa-Token中,怎样做到以下登陆模式:
Sa-Token是一个轻量级java权限认证框架,主要解决登陆认证、权限认证、单点登陆、OAuth2、微服务网段信令等一系列权限相关问题。
Gitee开源地址:
首先在项目中引入Sa-Token依赖:
cn.dev33
sa-token-spring-boot-starter
1.34.0
注:假如你使用的是SpringBoot3.x,只须要将sa-token-spring-boot-starter更改为sa-token-spring-boot3-starter即可。
二、在Sa-Token中实现记住我功能
Sa-Token的登陆授权,默认就是[记住我]模式,为了实现[非记住我]模式,你须要在登陆时如下设置:
// 设置登录账号id为10001,第二个参数指定是否为[记住我],当此值为false后,关闭浏览器后再次打开需要重新登录
StpUtil.login(10001, false);
这么,Sa-Token实现[记住我]的具体原理是?
三、实现原理
Cookie作为浏览器提供的默认会话跟踪机制,其生命周期有两种方式,分别是:
借助Cookie的此特点,我们便可以轻松实现[记住我]模式:
动态演示图:
g3--remember-me.gif
四、前后端分离模式下怎样实现[记住我]?
此时机智的你很快发觉一个问题,Cookie虽好,却未能在前后端分离环境下使用,那是不是代表上述方案在APP、小程序等环境中无效?
确切的讲,答案是肯定的,任何基于Cookie的认证方案在前后端分离环境下就会失效(缘由在于这种顾客端默认没有实现Cookie功能),不过好在,这种顾客端通常都提供了代替方案,
惟一遗憾的是,此场景中token的生命周期须要我们在后端自动控制:
以精典跨端框架uni-app为例,我们可以使用如下形式达到同样的疗效:
// 使用本地存储保存token,达到 [持久Cookie] 的效果
uni.setStorageSync("satoken", "xxxx-xxxx-xxxx-xxxx-xxx");
// 使用globalData保存token,达到 [临时Cookie] 的效果
getApp().globalData.satoken = "xxxx-xxxx-xxxx-xxxx-xxx";
假如你决定在PC浏览器环境下进行前后端分离模式开发,这么愈发简单:
// 使用 localStorage 保存token,达到 [持久Cookie] 的效果
localStorage.setItem("satoken", "xxxx-xxxx-xxxx-xxxx-xxx");
// 使用 sessionStorage 保存token,达到 [临时Cookie] 的效果
sessionStorage.setItem("satoken", "xxxx-xxxx-xxxx-xxxx-xxx");
Rememberme,it'stooeasy!
五、登录时指定Token有效期
登陆时除了可以指定是否为[记住我]模式,还可以指定一个特定的时间作为Token有效时长,如下示例:
// 示例1:
// 指定token有效期(单位: 秒),如下所示token七天有效
StpUtil.login(10001, new SaLoginModel().setTimeout(60 * 60 * 24 * 7));
// ----------------------- 示例2:所有参数
// `SaLoginModel`为登录参数Model,其有诸多参数决定登录时的各种逻辑,例如:
StpUtil.login(10001, new SaLoginModel()
.setDevice("PC") // 此次登录的客户端设备类型, 用于[同端互斥登录]时指定此次登录的设备类型
.setIsLastingCookie(true) // 是否为持久Cookie(临时Cookie在浏览器关闭时会自动删除,持久Cookie在重新打开后依然存在)
.setTimeout(60 * 60 * 24 * 7) // 指定此次登录token的有效期, 单位:秒 (如未指定,自动取全局配置的 timeout 值)
.setToken("xxxx-xxxx-xxxx-xxxx") // 预定此次登录的生成的Token
.setIsWriteHeader(false) // 是否在登录后将 Token 写入到响应头
);
注:假如在登陆时未指定newSaLoginModel().setTimeout(604800)这么框架将采用全局配置的sa-token.timeout值作为Token的有效期。
六、不同登陆策略的代码对比
以下是三种登陆策略的代码差别:
package com.pj.cases.up;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;
/**
* Sa-Token 记住我模式登录
*
* @author kong
* @since 2022-10-17
*/
@RestController
@RequestMapping("/RememberMe/")
public class RememberMeController {
// 记住我登录 ---- http://localhost:8081/RememberMe/doLogin?name=zhang&pwd=123456
@RequestMapping("doLogin")
public SaResult doLogin(String name, String pwd) {
if("zhang".equals(name) && "123456".equals(pwd)) {
StpUtil.login(10001, true);
return SaResult.ok("登录成功");
}
return SaResult.error("登录失败");
}
// 不记住我登录 ---- http://localhost:8081/RememberMe/doLogin2?name=zhang&pwd=123456
@RequestMapping("doLogin2")
public SaResult doLogin2(String name, String pwd) {
if("zhang".equals(name) && "123456".equals(pwd)) {
StpUtil.login(10001, false);
return SaResult.ok("登录成功");
}
return SaResult.error("登录失败");
}
// 七天免登录 ---- http://localhost:8081/RememberMe/doLogin3?name=zhang&pwd=123456
@RequestMapping("doLogin3")
public SaResult doLogin3(String name, String pwd) {
if("zhang".equals(name) && "123456".equals(pwd)) {
StpUtil.login(10001, 60 * 60 * 24 * 7);
return SaResult.ok("登录成功");
}
return SaResult.error("登录失败");
}
}
可依次访问注释中提供的测试链接,观察不同登陆策略带来的会话有效期差别。
参考资料