shiro太复杂？快来试试这个轻量级权限认证框架！

前言

在java的世界里，有不少优秀的权限认证框架，如Apache Shiro、Spring Security 等等。这些框架背景强大，历史悠久，其生态也比较齐全。

但同时这些框架也并不是十分完美，在先后台分离已成标配的互联网时代，这些老牌框架的不少设计理念已经至关滞后，没法与咱们的项目完美契合。

而今天我要介绍的这款框架，专门为先后台分离架构而生, 功能强大, 上手简单 —— sa-token。

Sa-Token是什么？

sa-token是一个轻量级Java权限认证框架，主要解决：登陆认证、权限认证、Session会话、单点登陆、OAuth2.0 等一系列权限相关问题

框架针对踢人下线、自动续签、先后台分离、分布式会话……等常见业务进行N多适配，经过sa-token，你能够以一种极简的方式实现系统的权限认证部分

与其它权限认证框架相比，sa-token 具备如下优点：

1. 简单 ：可零配置启动框架，真正的开箱即用，低成本上手
2. 强大 ：目前已集成几十项权限相关特性，涵盖了大部分业务场景的解决方案
3. 易用 ：如丝般顺滑的API调用，大量高级特性通通只需一行代码便可实现
4. 高扩展 ：几乎全部组件都提供了扩展接口，90%以上的逻辑均可以按需重写

有了sa-token，你全部的权限认证问题，都再也不是问题！

Sa-Token 能作什么？

• 登陆验证 —— 轻松登陆鉴权，并提供五种细分场景值
• 权限验证 —— 适配RBAC权限模型，不一样角色不一样受权
• Session会话 —— 专业的数据缓存中心
• 踢人下线 —— 将违规用户马上清退下线
• 持久层扩展 —— 可集成Redis、Memcached等专业缓存中间件，重启数据不丢失
• 分布式会话 —— 提供jwt集成和共享数据中心两种分布式会话方案
• 单点登陆 —— 一处登陆，到处通行
• 模拟他人帐号 —— 实时操做任意用户状态数据
• 临时身份切换 —— 将会话身份临时切换为其它帐号
• 无Cookie模式 —— APP、小程序等先后台分离场景
• 同端互斥登陆 —— 像QQ同样手机电脑同时在线，可是两个手机上互斥登陆
• 多帐号认证体系 —— 好比一个商城项目的user表和admin表分开鉴权
• 花式token生成 —— 内置六种token风格，还可自定义token生成策略
• 注解式鉴权 —— 优雅的将鉴权与业务代码分离
• 路由拦截式鉴权 —— 根据路由拦截鉴权，可适配restful模式
• 自动续签 —— 提供两种token过时策略，灵活搭配使用，还可自动续签
• 会话治理 —— 提供方便灵活的会话查询接口
• 记住我模式 —— 适配[记住我]模式，重启浏览器免验证
• 密码加密 —— 提供密码加密模块，可快速MD五、SHA一、SHA25六、AES、RSA加密
• 组件自动注入 —— 零配置与Spring等框架集成
• 更多功能正在集成中... —— 若有您有好想法或者建议，欢迎加群交流

代码示例

sa-token的API调用很是简单，有多简单呢？以登陆验证为例，你只须要：

// 在登陆时写入当前会话的帐号id
StpUtil.setLoginId(10001);

// 而后在任意须要校验登陆处调用如下API
// 若是当前会话未登陆，这句代码会抛出 `NotLoginException`异常
StpUtil.checkLogin();

至此，咱们已经借助sa-token框架完成登陆受权！

此时的你小脑壳可能飘满了问号，就这么简单？自定义Realm呢？全局过滤器呢？我不用写各类配置文件吗？

事实上在此我能够负责的告诉你，在sa-token中，登陆受权就是如此的简单，不须要什么全局过滤器，不须要各类乱七八糟的配置！只须要这一行简单的API调用，便可完成会话的登陆受权！

当你受够Shiro、Security等框架的三拜九叩以后，你就会明白，相对于这些传统老牌框架，sa-token的API设计是多么的清爽！

权限认证示例 (只有具备user:add权限的会话才能够进入请求)

@SaCheckPermission("user:add")
@RequestMapping("/user/insert")
public String insert(SysUser user) {
    // ... 
    return "用户增长";
}

将某个帐号踢下线 (待到对方再次访问系统时会抛出NotLoginException异常)

// 使帐号id为10001的会话注销登陆
StpUtil.logoutByLoginId(10001);

除了以上的示例，sa-token还能够一行代码完成如下功能：

StpUtil.setLoginId(10001);                // 标记当前会话登陆的帐号id
StpUtil.getLoginId();                     // 获取当前会话登陆的帐号id
StpUtil.isLogin();                        // 获取当前会话是否已经登陆, 返回true或false
StpUtil.logout();                         // 当前会话注销登陆
StpUtil.logoutByLoginId(10001);           // 让帐号为10001的会话注销登陆（踢人下线）
StpUtil.hasRole("super-admin");           // 查询当前帐号是否含有指定角色标识, 返回true或false
StpUtil.hasPermission("user:add");        // 查询当前帐号是否含有指定权限, 返回true或false
StpUtil.getSession();                     // 获取当前帐号id的Session
StpUtil.getSessionByLoginId(10001);       // 获取帐号id为10001的Session
StpUtil.getTokenValueByLoginId(10001);    // 获取帐号id为10001的token令牌值
StpUtil.setLoginId(10001, "PC");          // 指定设备标识登陆
StpUtil.logoutByLoginId(10001, "PC");     // 指定设备标识进行强制注销 (不一样端不受影响)
StpUtil.switchTo(10044);                  // 将当前会话身份临时切换为其它帐号

sa-token的API众多，请恕此处没法为您逐一展现，更多示例请戳官方在线文档

最后附上项目连接：

• 官网文档：http://sa-token.dev33.cn/
• Gitee开源地址: https://gitee.com/sz6/sa-token
• GitHub开源地址: https://github.com/click33/sa-token