OAuth 2.0第三方登錄

OAuth 2.0 是一種授權協議，允許第三方應用在不暴露用戶密碼的情況下訪問用戶的資源。它通常用于第三方登錄場景，例如使用GitHub、Google等社交平臺進行登錄。

在sa-token框架中，OAuth 2.0第三方登錄可以通過集成sa-token-oauth2模塊來實現，并且可以結合sa-token的安全特性來增強安全性。

導入依賴

首先，在你的pom.xml文件中添加必要的依賴，包括sa-token核心模塊、MyBatis、數據庫驅動等，特別是要導入sa-token-oauth2模塊。

<dependencies><!-- sa-token 核心模塊 -->//如果你使用的是 SpringBoot 3.x，只需要將 sa-token-spring-boot-starter 修改為 sa-token-spring-boot3-starter 即可。<dependency><groupId>cn.dev33</groupId><artifactId>sa-token-spring-boot-starter</artifactId><version>1.40.0</version></dependency><!-- Sa-Token OAuth2.0 模塊 --><dependency><groupId>cn.dev33</groupId><artifactId>sa-token-oauth2</artifactId><version>1.40.0</version></dependency><!-- MyBatis Spring Boot Starter --><dependency><groupId>org.mybatis.spring.boot</groupId><artifactId>mybatis-spring-boot-starter</artifactId><version>2.2.0</version></dependency><!-- MySQL Driver --><dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId><scope>runtime</scope></dependency><!-- Lombok  --><dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId><optional>true</optional></dependency><!-- JSON  --><dependency><groupId>com.fasterxml.jackson.core</groupId><artifactId>jackson-databind</artifactId></dependency><!-- Sa-Token SSO  --><dependency><groupId>cn.dev33</groupId><artifactId>sa-token-sso-spring-boot-starter</artifactId><version>1.40.0</version></dependency>
</dependencies>

配置?application.yml

在application.yml中配置sate-token、數據庫連接信息以及OAuth 2.0提供商的信息。

server:port: 8080 # 應用端口sa-token:token-name: satoken  # 指定token的名稱，默認是satokentimeout: 7200        # 超時時間 (單位秒)，這里是2小時is-read-body: true   # 是否讀取請求體，默認是trueis-concurrent: false # 是否允許多端登錄，默認是falseis-share: true       # 是否共享Session信息，默認是truetoken-style: uuid    # Token生成風格，默認是uuidsso:login-url: /sso/login # 單點登錄入口地址logout-url: /sso/logout # 單點注銷入口地址callback-url: /sso/callback # 單點登錄回調地址oauth2:client:github:client-id: your-client-id # 替換為你的GitHub Client IDclient-secret: your-client-secret # 替換為你的GitHub Client Secretredirect-uri: "{baseUrl}/oauth2/code/github" # 回調地址模板scope: read:user,user:email # 請求的范圍user-info-uri: https://api.github.com/user # 用戶信息獲取URLauthorization-uri: https://github.com/login/oauth/authorize # 授權URLtoken-uri: https://github.com/login/oauth/access_token # Token獲取URLspring:datasource:url: jdbc:mysql://localhost:3306/your_database?useSSL=false&serverTimezone=UTCusername: your_usernamepassword: your_passworddriver-class-name: com.mysql.cj.jdbc.Drivermybatis:mapper-locations: classpath:mapper/*.xml # MyBatis Mapper XML 文件位置type-aliases-package: com.example.demo.entity # 實體類包路徑

?初始化數據

你可以使用以下SQL語句初始化一些測試數據：

CREATE TABLE users (id BIGINT AUTO_INCREMENT PRIMARY KEY,username VARCHAR(255) NOT NULL UNIQUE,password VARCHAR(255) NOT NULL
);CREATE TABLE permissions (id BIGINT AUTO_INCREMENT PRIMARY KEY,name VARCHAR(255) NOT NULL
);CREATE TABLE user_permissions (user_id BIGINT NOT NULL,permission_id BIGINT NOT NULL,FOREIGN KEY (user_id) REFERENCES users(id),FOREIGN KEY (permission_id) REFERENCES permissions(id)
);INSERT INTO users (username, password) VALUES ('admin', 'password');
INSERT INTO permissions (name) VALUES ('admin:manage'), ('user:view');INSERT INTO user_permissions (user_id, permission_id) 
SELECT u.id, p.id FROM users u, permissions p WHERE u.username = 'admin' AND p.name IN ('admin:manage', 'user:view');

DTO類

創建一個簡單的DTO類用于接收登錄請求的數據。

UserLoginDTO.java

package com.example.demo.dto;public class UserLoginDTO {private String username;private String password;public String getUsername() {return username;}public void setUsername(String username) {this.username = username;}public String getPassword() {return password;}public void setPassword(String password) {this.password = password;}
}

創建實體類

創建User和Permission實體類，并映射到數據庫表。

User.java

package com.example.demo.entity;import lombok.Data;
import java.util.Set;@Data
public class User {private Long id; // 用戶IDprivate String username; // 用戶名private String password; // 密碼private Set<String> permissions; // 權限集合（簡化版，直接存儲權限字符串）
}

Permission.java

package com.example.demo.entity;import lombok.Data;@Data
public class Permission {private Long id;private String name; // 權限名稱
}

創建Mapper接口

創建UserMapper接口來訪問數據庫。

UserMapper.java

package com.example.demo.mapper;import com.example.demo.entity.User;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Param;
import org.apache.ibatis.annotations.Select;@Mapper
public interface UserMapper {/*** 根據用戶名查找用戶及其權限* @param username 用戶名* @return 用戶對象*/@Select("SELECT u.id, u.username, u.password FROM users u WHERE u.username = #{username}")User findByUsername(@Param("username") String username);/*** 查找用戶的權限列表* @param userId 用戶ID* @return 權限集合*/@Select("SELECT p.name FROM user_permissions up JOIN permissions p ON up.permission_id = p.id WHERE up.user_id = #{userId}")List<String> findPermissionsByUserId(@Param("userId") Long userId);
}

創建Service層

創建UserService接口及其實現類。

UserService.java

package com.example.demo.service;import com.example.demo.entity.User;public interface UserService {User findByUsername(String username); // 根據用戶名查找用戶
}

UserServiceImpl.java

package com.example.demo.service.impl;import com.example.demo.entity.User;
import com.example.demo.mapper.UserMapper;
import com.example.demo.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;import java.util.HashSet;
import java.util.List;
import java.util.Set;@Service
public class UserServiceImpl implements UserService {@Autowiredprivate UserMapper userMapper;@Overridepublic User findByUsername(String username) {// 查找用戶基本信息User user = userMapper.findByUsername(username);if (user != null) {// 查找用戶的權限列表List<String> permissionNames = userMapper.findPermissionsByUserId(user.getId());Set<String> permissions = new HashSet<>(permissionNames);user.setPermissions(permissions);}return user;}
}

創建Controller層

創建LoginController類來處理用戶的登錄請求。

LoginController.java

package com.example.demo.controller;import com.example.demo.dto.UserLoginDTO;
import com.example.demo.entity.User;
import com.example.demo.service.UserService;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.info.SaTokenInfo;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.*;@RestController
public class LoginController {@Autowiredprivate UserService userService; // 自動注入UserService/*** 處理用戶登錄請求* @param loginDTO 登錄信息* @return 登錄結果*/@PostMapping("/login") // 映射HTTP POST請求到/login路徑public ResponseEntity<String> login(@RequestBody UserLoginDTO loginDTO) { // 接收JSON格式的登錄信息String username = loginDTO.getUsername(); // 獲取用戶名String password = loginDTO.getPassword(); // 獲取密碼// 查找用戶User user = userService.findByUsername(username); // 從數據庫查找用戶if (user != null && password.equals(user.getPassword())) { // 驗證密碼StpUtil.login(user.getId()); // 登錄用戶，參數為用戶IDfor (String permission : user.getPermissions()) {StpUtil.setPermission(permission); // 設置用戶權限}SaTokenInfo tokenInfo = StpUtil.getTokenInfo(); // 獲取token信息return ResponseEntity.ok("登錄成功, Token: " + tokenInfo.getTokenValue()); // 返回登錄成功消息}return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("用戶名或密碼錯誤"); // 返回錯誤消息}
}

權限校驗

使用注解@SaCheckPermission對需要權限控制的方法進行保護。

AdminController.java

package com.example.demo.controller;import cn.dev33.satoken.annotation.SaCheckPermission;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;@RestController
@RequestMapping("/admin")
public class AdminController {/*** 管理后臺接口* @return 管理后臺頁面內容*/@SaCheckPermission(value = "admin:manage") // 檢查當前用戶是否有"admin:manage"權限@GetMapping("/manage") // 映射GET請求到/admin/manage路徑public String manage() {return "管理后臺"; // 如果權限檢查通過，則返回管理后臺頁面內容}
}

OAuth 2.0集成

對于OAuth 2.0第三方登錄，我們可以使用sa-token-oauth2模塊提供的功能來實現。

OAuth2Controller.java

package com.example.demo.controller;import cn.dev33.satoken.oauth2.logic.SaOAuth2Manager;
import cn.dev33.satoken.oauth2.config.SaOAuth2Config;
import cn.dev33.satoken.oauth2.logic.SaOAuth2Consts;
import cn.dev33.satoken.oauth2.model.AccessTokenModel;
import cn.dev33.satoken.oauth2.model.AuthTokenModel;
import cn.dev33.satoken.oauth2.model.UserInfoModel;
import cn.dev33.satoken.oauth2.model.CodeModel;
import cn.dev33.satoken.oauth2.logic.SaOAuth2Handle;
import cn.dev33.satoken.oauth2.model.SaClientModel;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;@RestController
@RequestMapping("/oauth2")
public class OAuth2Controller {@GetMapping("/login/github")public void loginGithub(HttpServletResponse response) throws IOException {// GitHub登錄SaOAuth2Config config = SaOAuth2Manager.getConfig(SaOAuth2Consts.GITHUB);SaOAuth2Handle.redirectTo(config);}@GetMapping("/code/github")public String callbackGithub(@RequestParam String code, @RequestParam String state) {// GitHub回調處理SaOAuth2Config config = SaOAuth2Manager.getConfig(SaOAuth2Consts.GITHUB);CodeModel codeModel = new CodeModel(code, state);AccessTokenModel accessTokenModel = SaOAuth2Handle.getAccessToken(config, codeModel);UserInfoModel userInfoModel = SaOAuth2Handle.getUserInfo(config, accessTokenModel);// 這里可以添加將用戶信息保存到數據庫的邏輯return "登錄成功，歡迎：" + userInfoModel.getUsername();}
}

總結

以上步驟詳細描述了如何在Spring Boot項目中集成sa-token實現認證授權和OAuth 2.0第三方登錄。