用戶登錄 -> 生成Token -> 存儲(chǔ)Token -> 返回給客戶端
客戶端攜帶Token -> 服務(wù)器驗(yàn)證Token -> 訪問受保護(hù)資源

<!-- Sa-Token 核心包 -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>最新版本</version>
</dependency>
<!-- 如果使用Redis持久化 -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-dao-redis</artifactId>
    <version>最新版本</version>
</dependency>
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-pool2</artifactId>
</dependency>

# application.yml
sa-token:
  # token名稱 (同時(shí)也是cookie名稱)
  token-name: satoken
  # token有效期，單位s 默認(rèn)30天
  timeout: 2592000
  # token臨時(shí)有效期 (指定時(shí)間內(nèi)無操作就視為token過期) 單位: 秒
  activity-timeout: -1
  # 是否允許同一賬號(hào)并發(fā)登錄 (為true時(shí)允許一起登錄, 為false時(shí)新登錄擠掉舊登錄)
  is-concurrent: true
  # 在多人登錄同一賬號(hào)時(shí)，是否共用一個(gè)token (為true時(shí)所有登錄共用一個(gè)token, 為false時(shí)每次登錄新建一個(gè)token)
  is-share: true
  # token風(fēng)格
  token-style: uuid
  # 是否輸出操作日志
  is-log: true

@RestController
@RequestMapping("/user/")
public class UserController {
    @PostMapping("doLogin")
    public SaResult doLogin(String username, String password) {
        // 模擬數(shù)據(jù)庫校驗(yàn)
        if("admin".equals(username) && "123456".equals(password)) {
            // 登錄成功，生成Token
            StpUtil.login(10001);
            return SaResult.ok("登錄成功").setData(StpUtil.getTokenInfo());
        }
        return SaResult.error("登錄失敗");
    }
    // 查詢登錄狀態(tài)
    @GetMapping("isLogin")
    public SaResult isLogin() {
        return SaResult.ok("是否登錄：" + StpUtil.isLogin());
    }
    // 退出登錄
    @GetMapping("logout")
    public SaResult logout() {
        StpUtil.logout();
        return SaResult.ok();
    }
}

@RestController
@RequestMapping("/admin/")
public class AdminController {
    // 權(quán)限校驗(yàn)：必須具有admin權(quán)限才能進(jìn)入
    @SaCheckPermission("admin")
    @GetMapping("menu")
    public SaResult menu() {
        return SaResult.data("管理員菜單");
    }
    // 角色校驗(yàn)：必須具有super-admin角色才能進(jìn)入
    @SaCheckRole("super-admin")
    @GetMapping("settings")
    public SaResult settings() {
        return SaResult.data("系統(tǒng)設(shè)置");
    }
    // 二級(jí)認(rèn)證：必須輸入密碼進(jìn)行二次驗(yàn)證后才能進(jìn)入
    @SaCheckSafe()
    @GetMapping("criticalOperation")
    public SaResult criticalOperation() {
        return SaResult.data("關(guān)鍵操作");
    }
}

@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {
    // 注冊(cè)Sa-Token的注解攔截器，打開注解式鑒權(quán)功能
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 注冊(cè)注解攔截器
        registry.addInterceptor(new SaInterceptor()).addPathPatterns("/**");
    }
}

# application.yml
spring:
  redis:
    host: 127.0.0.1
    port: 6379
    password: 
    database: 0
sa-token:
  # 配置Token持久化到Redis
  is-share: true
  is-read-body: false
  is-read-head: true
  is-v: false
  token-prefix: "satoken:"
  jwt-secret-key: null
  id-token-timeout: 86400
  dao: "redis"

@Component
public class CustomSaTokenDao extends SaTokenDaoDefaultImpl {
    // 重寫數(shù)據(jù)訪問層方法，例如使用MongoDB存儲(chǔ)
    @Override
    public String get(String key) {
        // 自定義實(shí)現(xiàn)
        return super.get(key);
    }
    @Override
    public void set(String key, String value, long timeout) {
        // 自定義實(shí)現(xiàn)
        super.set(key, value, timeout);
    }
}

@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new SaInterceptor(handler -> {
            // 登錄校驗(yàn) -- 攔截所有路由
            SaRouter.match("/**").check(r -> StpUtil.checkLogin());
            // 角色校驗(yàn) -- 攔截以 admin 開頭的路由
            SaRouter.match("/admin/**").check(r -> StpUtil.checkRole("admin"));
            // 權(quán)限校驗(yàn) -- 不同模塊校驗(yàn)不同權(quán)限
            SaRouter.match("/user/**", r -> StpUtil.checkPermission("user"));
            SaRouter.match("/order/**", r -> StpUtil.checkPermission("order"));
        })).addPathPatterns("/**");
    }
}