一、需要剖析
在某些敏感操作下,咱们须要对已登录的会话进行二次验证。
比方代码托管平台的仓库删除操作,只管咱们曾经登录了账号,当咱们点击 [删除] 按钮时,还是须要再次输出一遍明码,这么做次要为了两点:
- 保障操作者是以后账号自己。
- 减少操作步骤,避免误删除重要数据。
这就是咱们本篇要讲的 —— 二级认证,即:在已登录会话的根底上,进行再次验证,进步会话的安全性。
Sa-Token 是一个轻量级 java 权限认证框架,次要解决登录认证、权限认证、单点登录、OAuth2、微服务网关鉴权 等一系列权限相干问题。
Gitee 开源地址:https://gitee.com/dromara/sa-token
本文将介绍在 SpringBoot 架构下,如何应用 Sa-Token 实现二级认证操作。
首先在我的项目中引入 Sa-Token 依赖:
<!-- Sa-Token 权限认证 -->
<dependency>
<groupId>cn.dev33</groupId>
<artifactId>sa-token-spring-boot-starter</artifactId>
<version>1.34.0</version>
</dependency>注:如果你应用的是 SpringBoot 3.x,只须要将 sa-token-spring-boot-starter 批改为 sa-token-spring-boot3-starter 即可。
二、具体 API
在 Sa-Token 中进行二级认证非常简单,只须要应用以下 API:
// 在以后会话 开启二级认证,工夫为 120 秒
StpUtil.openSafe(120);
// 获取:以后会话是否处于二级认证工夫内
StpUtil.isSafe();
// 查看以后会话是否已通过二级认证,如未通过则抛出异样
StpUtil.checkSafe();
// 获取以后会话的二级认证残余无效工夫 (单位: 秒, 返回 - 2 代表尚未通过二级认证)
StpUtil.getSafeTime();
// 在以后会话 完结二级认证
StpUtil.closeSafe(); 三、一个小示例
一个残缺的二级认证业务流程,应该大抵如下:
package com.pj.cases.up;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;
/**
* Sa-Token 二级认证示例
*
* @author kong
* @since 2022-10-16
*/
@RestController
@RequestMapping("/safe/")
public class SafeAuthController {
// 删除仓库 ---- http://localhost:8081/safe/deleteProject
@RequestMapping("deleteProject")
public SaResult deleteProject(String projectId) {
// 第 1 步,先查看以后会话是否已实现二级认证
// 这个中央既能够通过 StpUtil.isSafe() 手动判断,// 也能够通过 StpUtil.checkSafe() 或者 @SaCheckSafe 来校验(校验不通过时将抛出 NotSafeException 异样)if(!StpUtil.isSafe()) {return SaResult.error("仓库删除失败,请实现二级认证后再次拜访接口");
}
// 第 2 步,如果已实现二级认证,则开始执行业务逻辑
// ...
// 第 3 步,返回后果
return SaResult.ok("仓库删除胜利");
}
// 提供明码进行二级认证 ---- http://localhost:8081/safe/openSafe?password=123456
@RequestMapping("openSafe")
public SaResult openSafe(String password) {
// 比对明码(此处只是举例,实在我的项目时可拿其它参数进行校验)if("123456".equals(password)) {
// 比对胜利,为以后会话关上二级认证,有效期为 120 秒,意为在 120 秒内再调用 deleteProject 接口都无需提供明码
StpUtil.openSafe(120);
return SaResult.ok("二级认证胜利");
}
// 如果明码校验失败,则二级认证也会失败
return SaResult.error("二级认证失败");
}
// 手动敞开二级认证 ---- http://localhost:8081/safe/closeSafe
@RequestMapping("closeSafe")
public SaResult closeSafe() {StpUtil.closeSafe();
return SaResult.ok();}
}全局异样拦截器,对立返回给前端的格局,参考:
@RestControllerAdvice
public class GlobalExceptionHandler {
// 全局异样拦挡
@ExceptionHandler
public SaResult handlerException(Exception e) {e.printStackTrace();
return SaResult.error(e.getMessage());
}
}前提:二级认证时咱们必须处于登录状态(可参考之前的登录认证章节代码),实现登录后,调用接口进行二级认证校验:
- 前端调用 deleteProject 接口,尝试删除仓库。—-
http://localhost:8081/safe/deleteProject - 后端校验会话尚未实现二级认证,返回:仓库删除失败,请实现二级认证后再次拜访接口。
- 前端将信息提醒给用户,用户输出明码,调用 openSafe 接口。—-
http://localhost:8081/safe/openSafe?password=123456 - 后端比对用户输出的明码,实现二级认证,有效期为:120 秒。
- 前端在 120 秒内再次调用 deleteProject 接口,尝试删除仓库。—-
http://localhost:8081/safe/deleteProject - 后端校验会话已实现二级认证,返回:仓库删除胜利。
四、指定业务标识进行二级认证
如果我的项目有多条业务线都须要敏感操作验证,则 StpUtil.openSafe() 无奈提供细粒度的认证操作,
此时咱们能够指定一个业务标识来分辨不同的业务线:
// 在以后会话 开启二级认证,业务标识为 client,工夫为 600 秒
StpUtil.openSafe("client", 600);
// 获取:以后会话是否已实现指定业务的二级认证
StpUtil.isSafe("client");
// 校验:以后会话是否已实现指定业务的二级认证,如未认证则抛出异样
StpUtil.checkSafe("client");
// 获取以后会话指定业务二级认证残余无效工夫 (单位: 秒, 返回 - 2 代表尚未通过二级认证)
StpUtil.getSafeTime("client");
// 在以后会话 完结指定业务标识的二级认证
StpUtil.closeSafe("client"); 业务标识能够填写任意字符串,不同业务标识之间的认证互不影响,比方:
// 关上了业务标识为 client 的二级认证
StpUtil.openSafe("client");
// 判断是否处于 shop 的二级认证,会返回 false
StpUtil.isSafe("shop"); // 返回 false
// 也不会通过校验,会抛出异样
StpUtil.checkSafe("shop"); 代码示例:
package com.pj.cases.up;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;
/**
* Sa-Token 二级认证示例
*
* @author kong
* @since 2022-10-16
*/
@RestController
@RequestMapping("/safe/")
public class SafeAuthController {
// ------------------ 指定业务类型进行二级认证
// 获取利用秘钥 ---- http://localhost:8081/safe/getClientSecret
@RequestMapping("getClientSecret")
public SaResult getClientSecret() {
// 第 1 步,先查看以后会话是否已实现 client 业务 的二级认证
StpUtil.checkSafe("client");
// 第 2 步,如果已实现二级认证,则返回数据
return SaResult.data("aaaa-bbbb-cccc-dddd-eeee");
}
// 提供手势明码进行二级认证 ---- http://localhost:8081/safe/openClientSafe?gesture=35789
@RequestMapping("openClientSafe")
public SaResult openClientSafe(String gesture) {
// 比对手势明码(此处只是举例,实在我的项目时可拿其它参数进行校验)if("35789".equals(gesture)) {
// 比对胜利,为以后会话关上二级认证:// 业务类型为:client
// 有效期为 600 秒 ==10 分钟,意为在 10 分钟内,调用 getClientSecret 时都无需再提供手势明码
StpUtil.openSafe("client", 600);
return SaResult.ok("二级认证胜利");
}
// 如果明码校验失败,则二级认证也会失败
return SaResult.error("二级认证失败");
}
// 查问以后会话是否已实现指定的二级认证 ---- http://localhost:8081/safe/isClientSafe
@RequestMapping("isClientSafe")
public SaResult isClientSafe() {return SaResult.ok("以后是否已实现 client 二级认证:" + StpUtil.isSafe("client"));
}
}五、应用注解进行二级认证
在一个办法上应用 @SaCheckSafe 注解,能够在代码进入此办法之前进行一次二级认证校验
// 二级认证:必须二级认证之后能力进入该办法
@SaCheckSafe
@RequestMapping("add")
public String add() {return "用户减少";}
// 指定业务类型,进行二级认证校验
@SaCheckSafe("art")
@RequestMapping("add2")
public String add2() {return "文章减少";}标注 @SaCheckSafe 的办法必须在二级认证后能力拜访胜利,其成果与代码 StpUtil.checkSafe() 等同。
参考资料
- Sa-Token 文档:https://sa-token.cc
- Gitee 仓库地址:https://gitee.com/dromara/sa-token
- GitHub 仓库地址:https://github.com/dromara/sa-token