SaToken 是一个开源的权限认证与管理框架，基于 JWT 技术，适用于 Java 项目。它提供了用户登录态管理、权限校验和分布式会话等功能，帮助开发者轻松构建安全的权限系统。本文将详细介绍如何使用 SaToken 进行环境搭建、用户认证、权限管理等操作。

SaToken是什么

SaToken 是一个开源的权限认证与管理框架，适用于 Java 项目。它基于 JWT（JSON Web Token）技术，主要解决用户登录态、权限管理等问题。SaToken 提供了一系列简单易用的方法接口，帮助开发者快速构建安全的权限认证系统。此外，SaToken 还支持分布式环境下的会话管理，使得开发人员在高并发场景下也能轻松应对。

SaToken的主要功能和优势

• 用户登录态管理：SaToken 支持多端登录态管理，包括 PC 端、手机端等。它能够同时记录不同设备上的登录状态，减少不必要的重复登录操作。
• 权限校验：开发者可以自定义权限校验逻辑，针对不同的角色和权限进行精细化管理。
• 分布式会话：在分布式环境下，SaToken 可以实现会话的统一管理，保持多个节点间的一致性。
• 自定义扩展：开发者可以轻松扩展 SaToken 的功能，以满足特定业务需求。
• 性能优化：SaToken 在设计上考虑了性能优化，减少不必要的计算和数据库访问，提高系统响应速度。

准备开发环境

在开始使用 SaToken 之前，首先需要搭建一个开发环境。以下是一些基本步骤：

1. 安装 JDK：确保你的开发环境中已经安装了 Java 开发工具包（JDK）。
2. 安装 IDE：选择合适的集成开发环境（IDE），如 IntelliJ IDEA、Eclipse 等。
3. 数据库设置：配置数据库连接信息，例如 MySQL、PostgreSQL 等。
4. 构建工具：选择 Maven 或 Gradle 作为项目构建工具。

添加 SaToken 依赖

在项目的构建文件中添加 SaToken 的依赖。以下是如何在 Maven 和 Gradle 中添加 SaToken 依赖的示例代码。

Maven

在 pom.xml 文件中添加 SaToken 依赖：

<dependencies>
    <!-- SaToken 依赖 -->
    <dependency>
        <groupId>cn.dev33</groupId>
        <artifactId>satoken-sa-token</artifactId>
        <version>1.33.0</version>
    </dependency>
    <!-- 其他依赖 -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-data-jpa</artifactId>
    </dependency>
    <!-- 数据库驱动依赖 -->
    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
    </dependency>
</dependencies>

Gradle

在 build.gradle 文件中添加 SaToken 依赖：

dependencies {
    // SaToken 依赖
    implementation 'cn.dev33:satoken-sa-token:1.33.0'
    // 其他依赖
    implementation 'org.springframework.boot:spring-boot-starter-web'
    implementation 'org.springframework.boot:spring-boot-starter-data-jpa'
    // 数据库驱动依赖
    implementation 'mysql:mysql-connector-java'
}

配置数据库连接

在 application.properties 或 application.yml 文件中配置数据库连接信息：

spring.datasource.url=jdbc:mysql://localhost:3306/mydatabase
spring.datasource.username=root
spring.datasource.password=root
spring.jpa.hibernate.ddl-auto=update

创建启动类

创建一个简单的 Spring Boot 启动类 Application.java：

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class Application {
    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }
}

创建用户认证接口

创建一个用户认证接口，用于处理用户的登录请求。用户提交用户名和密码后，系统需要验证这些信息，并生成一个有效的认证 token。

首先，定义一个简单的 User 类：

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@Data
@NoArgsConstructor
@AllArgsConstructor
public class User {
    private int id;
    private String username;
    private String password;
}

然后，构建一个简单的用户认证接口：

import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.sa-Token;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.web.bind.annotation.*;

@RestController
public class UserController {

    @PostMapping("/login")
    public String login(@RequestBody User user) {
        // 从数据库中查找用户
        User dbUser = findUserFromDatabase(user.getUsername());
        if (dbUser != null && dbUser.getPassword().equals(user.getPassword())) {
            // 用户认证成功，生成 SaToken
            String token = StpUtil.newSatoken().setUser(dbUser.getId()).getTokenValue();
            return "登录成功, 你的 token 为: " + token;
        }
        return "登录失败，用户名或密码错误";
    }

    private User findUserFromDatabase(String username) {
        // 实际应用中应从数据库中查找用户
        // 示例中直接返回一个用户对象
        return new User(1, "admin", "password");
    }
}

实现登录逻辑

在上述代码中，login 方法接收一个 User 对象作为请求体，从数据库中查找用户信息，并验证密码。如果认证成功，生成一个 SaToken 并返回给客户端。

这里使用了 StpUtil.newSatoken().setUser(dbUser.getId()).getTokenValue() 方法生成 SaToken。setUser 方法用于设置用户信息，getTokenValue 方法用于获取生成的 token 值。

设置权限规则

为了实现权限管理，首先需要为不同的用户角色设置对应的权限规则。SaToken 提供了一种灵活的方式来定义和管理权限规则。

定义一个简单的权限类 Role：

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@Data
@NoArgsConstructor
@AllArgsConstructor
public class Role {
    private int id;
    private String name;
    private String permissions;
}

接下来，实现一个简单的权限管理接口：

import cn.dev33.satoken.stp.StpUtil;
import org.springframework.web.bind.annotation.*;

@RestController
public class RoleController {

    @PostMapping("/assign-role")
    public String assignRole(@RequestBody Role role) {
        // 从数据库中查找用户
        User dbUser = findUserFromDatabase(role.getId());
        if (dbUser != null) {
            // 设置用户角色和权限
            StpUtil.withUser(dbUser.getId()).setRoles(role.getName()).setPermission(role.getPermissions());
            return "角色和权限分配成功";
        }
        return "分配角色和权限失败，用户不存在";
    }

    private User findUserFromDatabase(int id) {
        // 实际应用中应从数据库中查找用户
        // 示例中直接返回一个用户对象
        return new User(1, "admin", "password");
    }
}

验证用户权限

在实际应用中，需要验证用户是否具有相应的权限才能访问某些资源或执行某些操作。以下是一个简单的权限验证示例：

import cn.dev33.satoken.stp.StpUtil;
import org.springframework.web.bind.annotation.*;

@RestController
public class PermissionController {

    @GetMapping("/check-permission")
    public String checkPermission(@RequestParam String permission) {
        // 验证用户是否有指定权限
        if (StpUtil.checkPermission(permission)) {
            return "用户有权限执行 " + permission;
        }
        return "用户没有权限执行 " + permission;
    }
}

在上述代码中，checkPermission 方法接收一个权限参数，通过 StpUtil.checkPermission(permission) 方法验证用户是否拥有该权限。如果有权限则返回成功信息，否则返回失败信息。

设计系统架构

在实际的权限管理系统中，通常需要包括用户管理、角色管理、权限管理等多个模块。这里我们设计一个简单的架构，包括以下几个部分：

1. 用户模块：管理用户信息，包括增删改查等操作。
2. 角色模块：管理角色信息，包括增删改查等操作。
3. 权限模块：管理权限信息，包括增删改查等操作。
4. 登录模块：实现用户登录功能。
5. 权限验证：实现权限校验逻辑。

编写核心代码

根据上述架构，我们可以编写核心代码来实现这些功能。以下是一个示例代码，展示了如何实现这些模块：

用户模块

首先，定义一个简单的 User 类：

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@Data
@NoArgsConstructor
@AllArgsConstructor
public class User {
    private int id;
    private String username;
    private String password;
    private String roles;
}

接下来，实现一个简单的用户管理接口：

import cn.dev33.satoken.stp.StpUtil;
import org.springframework.web.bind.annotation.*;

import java.util.List;

@RestController
public class UserController {

    @PostMapping("/login")
    public String login(@RequestBody User user) {
        // 从数据库中查找用户
        User dbUser = findUserFromDatabase(user.getUsername(), user.getPassword());
        if (dbUser != null) {
            // 用户认证成功，生成 SaToken
            String token = StpUtil.newSatoken().setUser(dbUser.getId()).setRoles(dbUser.getRoles()).getTokenValue();
            return "登录成功, 你的 token 为: " + token;
        }
        return "登录失败，用户名或密码错误";
    }

    @PostMapping("/register")
    public String register(@RequestBody User user) {
        // 向数据库中添加用户
        addUserToDatabase(user);
        return "注册成功";
    }

    @GetMapping("/users")
    public List<User> getUsers() {
        // 从数据库中获取所有用户
        return getUsersFromDatabase();
    }

    private User findUserFromDatabase(String username, String password) {
        // 实际应用中应从数据库中查找用户
        // 示例中直接返回一个用户对象
        return new User(1, "admin", "password", "admin,manager");
    }

    private void addUserToDatabase(User user) {
        // 实际应用中应向数据库中添加用户
        // 示例中不做实际操作
        System.out.println("User registered: " + user);
    }

    private List<User> getUsersFromDatabase() {
        // 实际应用中应从数据库中获取所有用户
        // 示例中直接返回一个用户列表
        return List.of(new User(1, "admin", "password", "admin,manager"));
    }
}

角色模块

定义一个简单的 Role 类：

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@Data
@NoArgsConstructor
@AllArgsConstructor
public class Role {
    private int id;
    private String name;
}

接下来，实现一个简单的角色管理接口：

import cn.dev33.satoken.stp.StpUtil;
import org.springframework.web.bind.annotation.*;

import java.util.List;

@RestController
public class RoleController {

    @PostMapping("/add-role")
    public String addRole(@RequestBody Role role) {
        // 向数据库中添加角色
        addRoleToDatabase(role);
        return "角色添加成功";
    }

    @GetMapping("/roles")
    public List<Role> getRoles() {
        // 从数据库中获取所有角色
        return getRolesFromDatabase();
    }

    private void addRoleToDatabase(Role role) {
        // 实际应用中应向数据库中添加角色
        // 示例中不做实际操作
        System.out.println("Role added: " + role);
    }

    private List<Role> getRolesFromDatabase() {
        // 实际应用中应从数据库中获取所有角色
        // 示例中直接返回一个角色列表
        return List.of(new Role(1, "admin"), new Role(2, "manager"));
    }
}

权限模块

定义一个简单的 Permission 类：

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@Data
@NoArgsConstructor
@AllArgsConstructor
public class Permission {
    private int id;
    private String name;
}

接下来，实现一个简单的权限管理接口：

import cn.dev33.satoken.stp.StpUtil;
import org.springframework.web.bind.annotation.*;

import java.util.List;

@RestController
public class PermissionController {

    @PostMapping("/add-permission")
    public String addPermission(@RequestBody Permission permission) {
        // 向数据库中添加权限
        addPermissionToDatabase(permission);
        return "权限添加成功";
    }

    @GetMapping("/permissions")
    public List<Permission> getPermissions() {
        // 从数据库中获取所有权限
        return getPermissionsFromDatabase();
    }

    private void addPermissionToDatabase(Permission permission) {
        // 实际应用中应向数据库中添加权限
        // 示例中不做实际操作
        System.out.println("Permission added: " + permission);
    }

    private List<Permission> getPermissionsFromDatabase() {
        // 实际应用中应从数据库中获取所有权限
        // 示例中直接返回一个权限列表
        return List.of(new Permission(1, "read"), new Permission(2, "write"));
    }
}

登录模块

上述代码中已经包含了用户登录模块，这里不再重复。

权限验证模块

定义一个简单的权限验证接口：

import cn.dev33.satoken.stp.StpUtil;
import org.springframework.web.bind.annotation.*;

@RestController
public class PermissionCheckController {

    @GetMapping("/check-permission")
    public String checkPermission(@RequestParam String permission) {
        // 验证用户是否有指定权限
        if (StpUtil.checkPermission(permission)) {
            return "用户有权限执行 " + permission;
        }
        return "用户没有权限执行 " + permission;
    }
}

在上述代码中，checkPermission 方法接收一个权限参数，通过 StpUtil.checkPermission(permission) 方法验证用户是否拥有该权限。如果有权限则返回成功信息，否则返回失败信息。

常见错误及调试技巧

1. 登录失败：最常见的问题是登录失败。确保用户名和密码正确，并且数据库中的用户信息一致。
2. 权限验证失败：权限验证失败时，检查权限设置是否正确，以及用户角色是否分配了相应的权限。
3. 会话管理错误：在分布式环境中，确保会话管理配置正确。可以通过 StpUtil 的相关方法进行调试。

示例：调试登录失败

@RestController
public class UserController {

    @PostMapping("/login")
    public String login(@RequestBody User user) {
        // 从数据库中查找用户
        User dbUser = findUserFromDatabase(user.getUsername());
        if (dbUser != null && dbUser.getPassword().equals(user.getPassword())) {
            // 用户认证成功，生成 SaToken
            String token = StpUtil.newSatoken().setUser(dbUser.getId()).getTokenValue();
            return "登录成功, 你的 token 为: " + token;
        } else {
            return "登录失败，用户名或密码错误";
        }
    }

    private User findUserFromDatabase(String username) {
        // 实际应用中应从数据库中查找用户
        // 示例中直接返回一个用户对象
        return new User(1, "admin", "password");
    }
}

示例：调试权限验证失败

@RestController
public class PermissionCheckController {

    @GetMapping("/check-permission")
    public String checkPermission(@RequestParam String permission) {
        // 验证用户是否有指定权限
        if (StpUtil.checkPermission(permission)) {
            return "用户有权限执行 " + permission;
        } else {
            return "用户没有权限执行 " + permission;
        }
    }
}

性能优化建议

1. 增加缓存：在高频调用的接口中，考虑使用缓存来减少数据库访问。
2. 优化会话管理：在分布式环境中，使用 Redis 等缓存技术来管理会话信息，提高会话管理的性能。
3. 异步处理：对于耗时较长的操作，可以使用异步处理来提升系统响应速度。

示例：使用 Redis 管理会话信息

import cn.dev33.satoken.stp.StpLogic;
import cn.dev33.satoken.cache.model.SaCache;
import cn.dev33.satoken.config.SaTokenConfig;
import cn.dev33.satoken.context.SaTokenContext;
import cn.dev33.satoken.jwt.model.SaJwtToken;
import cn.dev33.satoken.jwt.util.SaJwtUtil;
import cn.dev33.satoken.manager.SaTokenManager;
import cn.dev33.satoken.session.model.SaSession;
import cn.dev33.satoken.stp.StpUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.web.bind.annotation.*;

import java.util.concurrent.TimeUnit;

@RestController
public class RedisSessionController {

    @Autowired
    private RedisTemplate<String, String> redisTemplate;

    @PostMapping("/login")
    public String login(@RequestBody User user) {
        // 从数据库中查找用户
        User dbUser = findUserFromDatabase(user.getUsername(), user.getPassword());
        if (dbUser != null) {
            // 用户认证成功，生成 SaToken 并存入 Redis
            String token = StpUtil.newSatoken().setUser(dbUser.getId()).setCacheName("redis").setCacheKey("session_" + dbUser.getId()).setCacheValue("user_" + dbUser.getId()).getTokenValue();
            redisTemplate.opsForValue().set("session_" + dbUser.getId(), token, 30, TimeUnit.MINUTES);
            return "登录成功, 你的 token 为: " + token;
        }
        return "登录失败，用户名或密码错误";
    }

    private User findUserFromDatabase(String username, String password) {
        // 实际应用中应从数据库中查找用户
        // 示例中直接返回一个用户对象
        return new User(1, "admin", "password", "admin,manager");
    }
}

在上述代码中，setCacheName 和 setCacheKey 方法用于指定缓存名称和缓存键，setCacheValue 方法用于指定缓存值。redisTemplate 用于与 Redis 进行交互，将生成的 token 存储到 Redis 中，并设置过期时间。