首页/资讯中心/详情

Sa-Token:48,800+ Star 的背后让鉴权变得简单优雅

Sa-Token:48,800+ Star 的背后让鉴权变得简单优雅
📅 发布时间:2026/7/1 3:21:54

1. 项目背景

根据 Statista 数据,2025 年全球身份认证市场规模已达 285 亿美元,预计 2027 年将突破 400 亿。在 Java 生态中,权限认证框架一直是企业级开发的核心基础设施。然而 Shiro 配置繁琐、Spring Security 学习曲线陡峭,让大量开发者望而却步。Sa-Token 以**"让鉴权变得简单、优雅"**为理念,七年迭代已成为 Gitee 最受欢迎的认证框架。

  • Gitee 地址:https://gitee.com/dromara/sa-token

  • Star 数:48,800+(Gitee 推荐项目排行榜第一)

  • 语言:Java

  • License:Apache-2.0

2. 目标用户

  • Java 后端开发者:需要在 SpringBoot/Solon 项目中快速集成权限认证

  • 中小企业技术团队:缺乏专业安全团队,需要开箱即用的认证方案

  • 微服务架构团队:需要网关鉴权、分布式会话、SSO 单点登录

  • 开源项目维护者:寻找轻量级、文档完善的权限框架

3. 平台定位

Sa-Token 定位为一站式 Java 权限认证框架,核心愿景是降低权限开发的门槛。它不是 Shiro 或 Spring Security 的封装套壳,而是从零自研的纯血框架,覆盖登录认证、权限认证、SSO 单点登录、OAuth2.0、微服务鉴权五大核心场景。

4. 平台技术

  • 核心框架:Java,零依赖设计(核心包无第三方依赖)

  • Web 框架适配:SpringBoot 2/3/4、Solon、JFinal、WebFlux

  • 持久层扩展:支持 Redis、内存、数据库等多种存储方式

  • Token 引擎:内置 6 种 Token 风格(简单式、UUID、Simple-UUID、随机数字、JWT 简单模式、JWT 模式)

  • 协议支持:OAuth2.0、JWT、Http Basic、API 参数签名

5. 核心功能

  • 🔐 登录认证:单端/多端登录、同端互斥、七天免登录、记住我模式

  • 🛡️ 权限认证:权限/角色认证、注解式鉴权、路由拦截式鉴权、二级认证

  • 🌐 SSO 单点登录:三种模式覆盖同域/跨域/不同 Redis 场景,参数精准不丢失

  • 🔑 OAuth2.0:授权码式、隐藏式、密码式、客户端凭证式四种模式

  • 🏗️ 微服务鉴权:适配 Gateway/ShenYu/Zuul 网关,支持 Dubbo/gRPC RPC 调用鉴权

  • 📝 实用插件:短 Token、API Key 授权、参数签名、自动续签、账号封禁

6. 独特优势

  • 极简 API:一行代码完成登录StpUtil.login(10001),一行代码完成鉴权StpUtil.checkLogin()

  • 完整文档:七年打磨的中文文档,几乎每句话经过反复修改,学习成本极低

  • 社区活跃:25+ 微信群(500 人)、8+ QQ 群(1000-2000 人),月 PV 20 万+

  • 永久免费:Apache-2.0 协议,框架和文档永久免费开放

  • 权威认证:Gitee GVP 项目、GitCode G-Star、OSCHINA 年度最火热开源社区之一

7. 安装使用

Maven 引入

<dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.45.0</version> </dependency>

Gradle 引入

implementation 'cn.dev33:sa-token-spring-boot-starter:1.45.0'

快速开始——登录认证

// 一行代码完成登录 StpUtil.login(10001); // 校验登录状态 StpUtil.checkLogin(); // 获取当前登录 ID long id = StpUtil.getLoginIdAsLong();

权限认证——注解方式

// 只有具备 user:add 权限才能访问 @SaCheckPermission("user:add") @PostMapping("/user/add") public String addUser(@RequestBody SysUser user) { return "用户添加成功"; }

路由拦截鉴权

@Configuration public class SaTokenConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new SaInterceptor(handle -> { SaRouter.match("/user/**", r -> StpUtil.checkPermission("user")); SaRouter.match("/admin/**", r -> StpUtil.checkPermission("admin")); })).addPathPatterns("/**"); } }

集成 Redis(持久化会话)

<!-- 引入 Sa-Token 整合 Redis --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-dao-redis-jackson</artifactId> <version>1.45.0</version> </dependency> <!-- 提供 Redis 连接池 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency>

8. 应用场景

  • 企业后台管理系统:快速搭建 RBAC 权限体系,支持多角色、多权限精细化管理

  • 多系统 SSO 统一登录:三种 SSO 模式覆盖各种部署架构,参数不丢失是独特优势

  • 微服务网关鉴权:在 Gateway 层统一拦截,后端服务无需重复实现认证逻辑

  • 前后端分离项目:支持 Token 模式,适配 APP、小程序等不支持 Cookie 的终端

  • 多账号体系:一个系统多套账号分开鉴权(如商城的 User 表和 Admin 表独立认证)

总结

Sa-Token 用七年时间证明了**"简单就是力量"。48,800+ Star 的背后,是大量开发者对 Shiro 和 Spring Security 复杂配置的共同反抗。如果你正在寻找一个一行代码就能用、文档写得比代码还详细、社区活跃到随时有人答疑**的认证框架,Sa-Token 值得作为首选。

项目地址:https://gitee.com/dromara/sa-token