一、需求剖析
如图所示,一般网站的登录界面都会有一个 [记住我] 按钮,当你勾选它登录后,即便你封闭浏览器再次翻开网站,也仍然会处于登录状况,无须重复验证暗码:
![使用 Sa-Token 实现 [记住我] 模式登录、七天免登录](https://www.6hu.cc/storage/2023/07/1689994439-4e1161714b50151.png "使用 Sa-Token 实现 [记住我] 模式登录、七天免登录")
本文将详细介绍在 Sa-Token中,如何做到以下登录形式:
- 记住我登录:登录后封闭浏览器,再次翻开网站登录状况仍然有用,无需重复登录。
- 仅本次有用登录:登录后封闭浏览器,再次翻开网站登录状况将失效,需求再次登录。
- 七天免登录:为登录状况设定一个详细的有用期,在这个期限内无需重复登录,过了期限后需求再次登录。
Sa-Token 是一个轻量级 java 权限认证结构,主要处理登录认证、权限认证、单点登录、OAuth2、微服务网关鉴权 等一系列权限相关问题。
Gitee 开源地址:gitee.com/dromara/sa-…
首先在项目中引进 Sa-Token 依赖:
<!-- Sa-Token 权限认证 -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-spring-boot-starter</artifactId>
<version>1.34.0</version>
</dependency>
注:假如你运用的是 SpringBoot 3.x,只需求将 sa-token-spring-boot-starter 修改为 sa-token-spring-boot3-starter 即可。
二、在 Sa-Token 中完成记住我功用
Sa-Token的登录授权,默许便是[记住我]形式,为了完成[非记住我]形式,你需求在登录时如下设置:
// 设置登录账号id为10001,第二个参数指定是否为[记住我],当此值为false后,封闭浏览器后再次翻开需求从头登录
StpUtil.login(10001, false);
那么,Sa-Token完成[记住我]的详细原理是?
三、完成原理
Cookie作为浏览器供给的默许会话跟踪机制,其生命周期有两种形式,分别是:
- 暂时Cookie:有用期为本次会话,只需封闭浏览器窗口,Cookie就会消失。
- 耐久Cookie:有用期为一个详细的时刻,在时刻未到期之前,即便用户封闭了浏览器Cookie也不会消失。
运用Cookie的此特性,咱们便能够轻松完成 [记住我] 形式:
- 勾选 [记住我] 按钮时:调用
StpUtil.login(10001, true),在浏览器写入一个耐久Cookie贮存 Token,此刻用户即便重启浏览器 Token 仍然有用。 - 不勾选 [记住我] 按钮时:调用
StpUtil.login(10001, false),在浏览器写入一个暂时Cookie贮存 Token,此刻用户在重启浏览器后 Token 便会消失,导致会话失效。
动态演示图:
![使用 Sa-Token 实现 [记住我] 模式登录、七天免登录](https://www.6hu.cc/storage/2023/07/1689994446-f69b84ae126d8aa.gif "使用 Sa-Token 实现 [记住我] 模式登录、七天免登录")
四、前后端别离形式下如何完成[记住我]?
此刻机敏的你很快发现一个问题,Cookie虽好,却无法在前后端别离环境下运用,那是不是代表上述计划在APP、小程序等环境中无效?
精确的讲,答案是必定的,任何根据Cookie的认证计划在前后端别离环境下都会失效(原因在于这些客户端默许没有完成Cookie功用),不过好在,这些客户端一般都供给了替代计划, 唯一惋惜的是,此场景中token的生命周期需求咱们在前端手动控制:
以经典跨端结构 uni-app 为例,咱们能够运用如下方法到达同样的作用:
// 运用本地存储保存token,到达 [耐久Cookie] 的作用
uni.setStorageSync("satoken", "xxxx-xxxx-xxxx-xxxx-xxx");
// 运用globalData保存token,到达 [暂时Cookie] 的作用
getApp().globalData.satoken = "xxxx-xxxx-xxxx-xxxx-xxx";
假如你决定在PC浏览器环境下进行前后端别离形式开发,那么更加简单:
// 运用 localStorage 保存token,到达 [耐久Cookie] 的作用
localStorage.setItem("satoken", "xxxx-xxxx-xxxx-xxxx-xxx");
// 运用 sessionStorage 保存token,到达 [暂时Cookie] 的作用
sessionStorage.setItem("satoken", "xxxx-xxxx-xxxx-xxxx-xxx");
Remember me, it’s too easy!
五、登录时指定 Token 有用期
登录时不只能够指定是否为[记住我]形式,还能够指定一个特定的时刻作为 Token 有用时长,如下示例:
// 示例1:
// 指定token有用期(单位: 秒),如下所示token七天有用
StpUtil.login(10001, new SaLoginModel().setTimeout(60 * 60 * 24 * 7));
// ----------------------- 示例2:一切参数
// `SaLoginModel`为登录参数Model,其有诸多参数决定登录时的各种逻辑,例如:
StpUtil.login(10001, new SaLoginModel()
.setDevice("PC") // 此次登录的客户端设备类型, 用于[同端互斥登录]时指定此次登录的设备类型
.setIsLastingCookie(true) // 是否为耐久Cookie(暂时Cookie在浏览器封闭时会主动删除,耐久Cookie在从头翻开后仍然存在)
.setTimeout(60 * 60 * 24 * 7) // 指定此次登录token的有用期, 单位:秒 (如未指定,主动取大局装备的 timeout 值)
.setToken("xxxx-xxxx-xxxx-xxxx") // 预订此次登录的生成的Token
.setIsWriteHeader(false) // 是否在登录后将 Token 写入到呼应头
);
注:假如在登录时未指定 new SaLoginModel().setTimeout(604800) 那么结构将选用大局装备的 sa-token.timeout 值作为 Token 的有用期。
六、不同登录战略的代码对比
以下是三种登录战略的代码差异:
package com.pj.cases.up;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;
/**
* Sa-Token 记住我形式登录
*
* @author kong
* @since 2022-10-17
*/
@RestController
@RequestMapping("/RememberMe/")
public class RememberMeController {
// 记住我登录 ---- http://localhost:8081/RememberMe/doLogin?name=zhang&pwd=123456
@RequestMapping("doLogin")
public SaResult doLogin(String name, String pwd) {
if("zhang".equals(name) && "123456".equals(pwd)) {
StpUtil.login(10001, true);
return SaResult.ok("登录成功");
}
return SaResult.error("登录失利");
}
// 不记住我登录 ---- http://localhost:8081/RememberMe/doLogin2?name=zhang&pwd=123456
@RequestMapping("doLogin2")
public SaResult doLogin2(String name, String pwd) {
if("zhang".equals(name) && "123456".equals(pwd)) {
StpUtil.login(10001, false);
return SaResult.ok("登录成功");
}
return SaResult.error("登录失利");
}
// 七天免登录 ---- http://localhost:8081/RememberMe/doLogin3?name=zhang&pwd=123456
@RequestMapping("doLogin3")
public SaResult doLogin3(String name, String pwd) {
if("zhang".equals(name) && "123456".equals(pwd)) {
StpUtil.login(10001, 60 * 60 * 24 * 7);
return SaResult.ok("登录成功");
}
return SaResult.error("登录失利");
}
}
可依次访问注释中供给的测验链接,调查不同登录战略带来的会话有用期差异。
参考资料
- Sa-Token 文档:sa-token.cc
- Gitee 仓库地址:gitee.com/dromara/sa-…
- GitHub 仓库地址:github.com/dromara/sa-…
