对敏感操作的二次认证 —— 详解 Sa-Token 二级认证
在某些敏感操作下,我们需要对已登录的会话进行二次验证。
(相关资料图)
比如代码托管平台的仓库删除操作,尽管我们已经登录了账号,当我们点击 [删除]按钮时,还是需要再次输入一遍密码,这么做主要为了两点:
保证操作者是当前账号本人。增加操作步骤,防止误删除重要数据。这就是我们本篇要讲的 —— 二级认证,即:在已登录会话的基础上,进行再次验证,提高会话的安全性。
Sa-Token 是一个轻量级 java 权限认证框架,主要解决登录认证、权限认证、单点登录、OAuth2、微服务网关鉴权 等一系列权限相关问题。Gitee 开源地址:https://gitee.com/dromara/sa-token
本文将介绍在 SpringBoot 架构下,如何使用 Sa-Token 完成二级认证操作。
首先在项目中引入 Sa-Token 依赖:
cn.dev33 sa-token-spring-boot-starter 1.34.0
注:如果你使用的是 SpringBoot 3.x
,只需要将 sa-token-spring-boot-starter
修改为 sa-token-spring-boot3-starter
即可。
在Sa-Token
中进行二级认证非常简单,只需要使用以下API:
// 在当前会话 开启二级认证,时间为120秒StpUtil.openSafe(120); // 获取:当前会话是否处于二级认证时间内StpUtil.isSafe(); // 检查当前会话是否已通过二级认证,如未通过则抛出异常StpUtil.checkSafe(); // 获取当前会话的二级认证剩余有效时间 (单位: 秒, 返回-2代表尚未通过二级认证)StpUtil.getSafeTime(); // 在当前会话 结束二级认证StpUtil.closeSafe();
三、一个小示例一个完整的二级认证业务流程,应该大致如下:
package com.pj.cases.up;import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.RestController;import cn.dev33.satoken.stp.StpUtil;import cn.dev33.satoken.util.SaResult;/** * Sa-Token 二级认证示例 * * @author kong * @since 2022-10-16 */@RestController@RequestMapping("/safe/")public class SafeAuthController {// 删除仓库 ---- http://localhost:8081/safe/deleteProject@RequestMapping("deleteProject")public SaResult deleteProject(String projectId) { // 第1步,先检查当前会话是否已完成二级认证 // 这个地方既可以通过 StpUtil.isSafe() 手动判断,// 也可以通过 StpUtil.checkSafe() 或者 @SaCheckSafe 来校验(校验不通过时将抛出 NotSafeException 异常) if(!StpUtil.isSafe()) { return SaResult.error("仓库删除失败,请完成二级认证后再次访问接口"); } // 第2步,如果已完成二级认证,则开始执行业务逻辑 // ... // 第3步,返回结果 return SaResult.ok("仓库删除成功"); }// 提供密码进行二级认证 ---- http://localhost:8081/safe/openSafe?password=123456@RequestMapping("openSafe")public SaResult openSafe(String password) { // 比对密码(此处只是举例,真实项目时可拿其它参数进行校验) if("123456".equals(password)) { // 比对成功,为当前会话打开二级认证,有效期为120秒,意为在120秒内再调用 deleteProject 接口都无需提供密码 StpUtil.openSafe(120); return SaResult.ok("二级认证成功"); } // 如果密码校验失败,则二级认证也会失败 return SaResult.error("二级认证失败"); }// 手动关闭二级认证 ---- http://localhost:8081/safe/closeSafe@RequestMapping("closeSafe")public SaResult closeSafe() {StpUtil.closeSafe(); return SaResult.ok();}}
全局异常拦截器,统一返回给前端的格式,参考:
@RestControllerAdvicepublic class GlobalExceptionHandler { // 全局异常拦截 @ExceptionHandler public SaResult handlerException(Exception e) { e.printStackTrace(); return SaResult.error(e.getMessage()); }}
前提:二级认证时我们必须处于登录状态(可参考之前的登录认证章节代码),完成登录后,调用接口进行二级认证校验:
前端调用 deleteProject 接口,尝试删除仓库。 ----http://localhost:8081/safe/deleteProject
后端校验会话尚未完成二级认证,返回: 仓库删除失败,请完成二级认证后再次访问接口。前端将信息提示给用户,用户输入密码,调用 openSafe 接口。 ---- http://localhost:8081/safe/openSafe?password=123456
后端比对用户输入的密码,完成二级认证,有效期为:120秒。前端在 120 秒内再次调用 deleteProject 接口,尝试删除仓库。 ---- http://localhost:8081/safe/deleteProject
后端校验会话已完成二级认证,返回:仓库删除成功。四、指定业务标识进行二级认证如果项目有多条业务线都需要敏感操作验证,则 StpUtil.openSafe()
无法提供细粒度的认证操作,此时我们可以指定一个业务标识来分辨不同的业务线:
// 在当前会话 开启二级认证,业务标识为client,时间为600秒StpUtil.openSafe("client", 600); // 获取:当前会话是否已完成指定业务的二级认证 StpUtil.isSafe("client"); // 校验:当前会话是否已完成指定业务的二级认证 ,如未认证则抛出异常StpUtil.checkSafe("client"); // 获取当前会话指定业务二级认证剩余有效时间 (单位: 秒, 返回-2代表尚未通过二级认证)StpUtil.getSafeTime("client"); // 在当前会话 结束指定业务标识的二级认证StpUtil.closeSafe("client");
业务标识可以填写任意字符串,不同业务标识之间的认证互不影响,比如:
// 打开了业务标识为 client 的二级认证 StpUtil.openSafe("client"); // 判断是否处于 shop 的二级认证,会返回 false StpUtil.isSafe("shop"); // 返回 false // 也不会通过校验,会抛出异常 StpUtil.checkSafe("shop");
代码示例:
package com.pj.cases.up;import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.RestController;import cn.dev33.satoken.stp.StpUtil;import cn.dev33.satoken.util.SaResult;/** * Sa-Token 二级认证示例 * * @author kong * @since 2022-10-16 */@RestController@RequestMapping("/safe/")public class SafeAuthController {// ------------------ 指定业务类型进行二级认证 // 获取应用秘钥 ---- http://localhost:8081/safe/getClientSecret@RequestMapping("getClientSecret")public SaResult getClientSecret() { // 第1步,先检查当前会话是否已完成 client业务 的二级认证 StpUtil.checkSafe("client"); // 第2步,如果已完成二级认证,则返回数据 return SaResult.data("aaaa-bbbb-cccc-dddd-eeee");}// 提供手势密码进行二级认证 ---- http://localhost:8081/safe/openClientSafe?gesture=35789@RequestMapping("openClientSafe")public SaResult openClientSafe(String gesture) { // 比对手势密码(此处只是举例,真实项目时可拿其它参数进行校验) if("35789".equals(gesture)) { // 比对成功,为当前会话打开二级认证: // 业务类型为:client // 有效期为600秒==10分钟,意为在10分钟内,调用 getClientSecret 时都无需再提供手势密码 StpUtil.openSafe("client", 600); return SaResult.ok("二级认证成功"); } // 如果密码校验失败,则二级认证也会失败 return SaResult.error("二级认证失败"); }// 查询当前会话是否已完成指定的二级认证 ---- http://localhost:8081/safe/isClientSafe@RequestMapping("isClientSafe")public SaResult isClientSafe() { return SaResult.ok("当前是否已完成 client 二级认证:" + StpUtil.isSafe("client")); }}
五、使用注解进行二级认证在一个方法上使用 @SaCheckSafe
注解,可以在代码进入此方法之前进行一次二级认证校验
// 二级认证:必须二级认证之后才能进入该方法 @SaCheckSafe @RequestMapping("add")public String add() { return "用户增加";}// 指定业务类型,进行二级认证校验@SaCheckSafe("art")@RequestMapping("add2")public String add2() { return "文章增加";}
标注 @SaCheckSafe
的方法必须在二级认证后才能访问成功,其效果与代码 StpUtil.checkSafe()
等同。
关键词:
相关阅读
-
对敏感操作的二次认证 —— 详解 Sa-...
一、需求分析在某些敏感操作下,我们需要对已登录的会话进行二次验 -
AI换脸诈骗案件频发 安全治理亟需多方协力
证券时报记者郭博昊作为新一轮科技革命和产业变革的重要驱动力,近一段 -
要闻速递:实验时电源变压器副边输出被...
来为大家解答以上的问题。实验时电源变压器副边输出被短路会出现什么现 -
汽车启停按钮作用_汽车启停键是什么字母?
汽车启停键的字母是A,并且外面有个圈,一般启动汽车后自动启停功能都 -
lol末日人机攻略视频_LOL英雄联盟末日人...
想必现在有很多小伙伴对于LOL英雄联盟末日人机攻略方面的知识都比较想 -
当前头条:【装机帮扶站】第1067期:能...
Q:想给外公(75岁)配一台电脑,预算尽量控制在1000块以内。需求是能 -
从一个胜利走向下一个胜利,为什么是苹果?
6月底,关于“苹果成为史上首家市值突破3万亿美元的公司”的消息不胫而 -
梦一队有多强?11人入选名人堂,合计15...
接下来的4场小组赛,美国男篮分别赢了克罗地亚男篮33分、德国男篮43分 -
骑马与砍杀2巴丹尼亚步兵厉害吗 骑马与...
骑马与砍杀2巴丹尼亚步兵厉害吗?巴丹尼亚步兵是游戏中比较厉害的步兵 -
铭利达(301268):7月4日北向资金减持6.05万股
7月4日北向资金减持6 05万股铭利达。近5个交易日中,获北向资金减持的 -
当前资讯!广州快递新规落地 你遇到的难...
7月1日起,全国首个省会城市快递行业地方性法规正式在“快递大市”... -
德国投资外流趋势难遏 环球消息
2022年从德国净外流的外国直接投资创下“有史以来最高值”。专家认... -
修身打底衫测评_修身打底衫_全球新动态
1、打底衫+衬衫从各大街拍和时尚博主的照片中我们可以发现,今年好像非 -
论衡的作者_论衡的作者介绍
1、论衡作者:王冲。2、王充(公元27年-公元97年),本名钟仁,会稽上虞( -
环球今日报丨台湾累计确诊猴痘病例破200...
台湾累计确诊猴痘病例破200例将扩大疫苗接种范围 -
世界看热讯:碧桂园上半年权益销售额近1...
碧桂园上半年权益销售额近1288亿元,校对,碧桂园,合同销售面积 -
严重违纪违法的界定标准_严重违纪违法的...
1、严重违纪,从劳动法角度是指严重违反公司规章制度。2、在我国,企业 -
足球青训的体教融合特色——全国足球发...
新华社北京7月4日电(记者马邦杰)在体教融合的推动下,中国足球青训被 -
环球微速讯:汉王科技:2022年员工持股...
汉王科技7月4日晚间发布公告称,公司2022年员工持股计划(专项)第一个 -
每日热讯!榴莲偷吃事件惹争议
在超市偷吃榴莲,这行为也是引来网友的吐槽。近日,山西大同有网友发视