Prorise - 博客小栈

Note 19（第三章）. SpringBoot3-账号密码登录：领域模型设计与完整实现

2026-03-02T20:17:45.000Z

Note 19.3. 账号密码登录：领域模型设计与完整实现

环境版本锁定

在开始构建账号密码登录体系之前，我们需要明确本章依赖的技术栈版本。

技术组件	版本号	说明
JDK	17 LTS	必须支持 Record 等新特性
Spring Boot	3.2.0	配合 Spring 6.x
MyBatis-Plus	3.5.5	用于数据持久化
MySQL	8.0	用户数据存储
Redis	7.0	验证码存储
Spring Boot Starter Mail	3.2.0	邮件发送
Hutool	5.8.24	验证码生成
BCrypt	Spring Security Crypto	密码加密

本章摘要

在 19.2 中，我们构建了可扩展的认证工厂。但工厂只是框架，还缺少真实的业务实现。本章我们将实现完整的账号密码登录体系，包括：领域模型设计（账号-认证分离）、密码加密（BCrypt）、验证码服务、邮箱激活、用户注册、密码登录、找回密码等核心功能。这是所有上层登录方式的基础，也是最复杂、最容易出错的部分。

19.3.1. 传统设计的弊端：单表走天下

在理解现代化的数据建模方案之前，我们需要先理解传统设计的问题。

单表设计的典型案例

很多初学者在设计用户表时，会采用这种 “看似合理” 的结构：

CREATE TABLE sys_user (
    id BIGINT PRIMARY KEY AUTO_INCREMENT,
    username VARCHAR(50) COMMENT '账号',
    password VARCHAR(100) COMMENT '密码哈希',
    mobile VARCHAR(11) COMMENT '手机号',
    email VARCHAR(100) COMMENT '邮箱',
    wechat_openid VARCHAR(64) COMMENT '微信 OpenID',
    github_id VARCHAR(50) COMMENT 'GitHub ID',
    nickname VARCHAR(50) COMMENT '昵称',
    avatar VARCHAR(255) COMMENT '头像',
    status TINYINT DEFAULT 1 COMMENT '状态：0-禁用 1-启用',
    create_time DATETIME DEFAULT CURRENT_TIMESTAMP,
    update_time DATETIME DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='用户表';

这种设计在业务初期看起来没问题：

所有用户信息都在一张表里，查询方便
不需要关联查询，性能好
表结构简单，易于理解

但随着业务发展，这种设计会陷入三个典型陷阱。

陷阱一：字段爆炸

当需要支持新的登录方式时（如支付宝、抖音、企业微信），你会不断添加新列：

-- 第一次迭代：支持支付宝登录
ALTER TABLE sys_user ADD COLUMN alipay_uid VARCHAR(50) COMMENT '支付宝 UID';

-- 第二次迭代：支持抖音登录
ALTER TABLE sys_user ADD COLUMN douyin_openid VARCHAR(64) COMMENT '抖音 OpenID';

-- 第三次迭代：支持企业微信登录
ALTER TABLE sys_user ADD COLUMN work_wechat_userid VARCHAR(50) COMMENT '企业微信 UserID';

-- 第四次迭代：支持 Apple 登录
ALTER TABLE sys_user ADD COLUMN apple_id VARCHAR(100) COMMENT 'Apple ID';

最终表结构变成了一个 “万金油” 表，包含几十个字段，其中大部分字段对于单个用户来说都是 NULL。

数据示例：

id	username	password	mobile	email	wechat_openid	github_id	alipay_uid	douyin_openid	…
1	admin	$2a$ 10…	13812345678	NULL	NULL	NULL	NULL	NULL	…
2	NULL	NULL	NULL	user@example.com	oX4Gt5k…	NULL	NULL	NULL	…
3	NULL	NULL	NULL	NULL	NULL	12345678	NULL	NULL	…

问题分析：

❌ 每个用户只使用 1-2 种登录方式，但表中有 10+ 个登录字段
❌ 大量 NULL 值浪费存储空间
❌ 每次新增登录方式都需要执行 ALTER TABLE，在大表上非常危险

陷阱二：索引混乱

为了支持 “通过手机号登录”、“通过微信 OpenID 登录”，你需要为每个登录字段建立唯一索引：

CREATE UNIQUE INDEX idx_username ON sys_user(username);
CREATE UNIQUE INDEX idx_mobile ON sys_user(mobile);
CREATE UNIQUE INDEX idx_email ON sys_user(email);
CREATE UNIQUE INDEX idx_wechat_openid ON sys_user(wechat_openid);
CREATE UNIQUE INDEX idx_github_id ON sys_user(github_id);
CREATE UNIQUE INDEX idx_alipay_uid ON sys_user(alipay_uid);
-- ... 更多索引

但这些索引会遇到 NULL 值问题：

MySQL 的唯一索引允许多个 NULL 值。例如：

用户 A 只用微信登录，mobile 字段是 NULL
用户 B 也只用微信登录，mobile 字段也是 NULL
这两个 NULL 值不会触发唯一性冲突

看起来没问题，但实际上存在隐患：

假设用户 A 后来绑定了手机号 13812345678，用户 B 也想绑定同一个手机号。此时：

如果用户 B 的 mobile 字段是 NULL，绑定会成功（因为 NULL 不参与唯一性检查）
但如果用户 B 的 mobile 字段已经有值，绑定会失败

这种不一致的行为会导致严重的业务 Bug。

索引膨胀问题：

每个唯一索引都会占用存储空间，并且会降低写入性能。当表中有 10+ 个唯一索引时：

每次 INSERT 都需要检查 10+ 个索引
每次 UPDATE 都需要更新 10+ 个索引
索引文件可能比数据文件还大

陷阱三：查询复杂

当用户登录时，你需要根据登录类型执行不同的 SQL：

// 账号密码登录
User user = userMapper.selectOne(new LambdaQueryWrapper()
    .eq(User::getUsername, username));

// 手机号登录
User user = userMapper.selectOne(new LambdaQueryWrapper()
    .eq(User::getMobile, mobile));

// 微信登录
User user = userMapper.selectOne(new LambdaQueryWrapper()
    .eq(User::getWechatOpenid, openid));

// GitHub 登录
User user = userMapper.selectOne(new LambdaQueryWrapper()
    .eq(User::getGithubId, githubId));

// 支付宝登录
User user = userMapper.selectOne(new LambdaQueryWrapper()
    .eq(User::getAlipayUid, alipayUid));

代码中充满了 if-else 分支：

public User login(String loginType, String identifier, String credential) {
    User user = null;

    if ("username".equals(loginType)) {
        user = userMapper.selectOne(new LambdaQueryWrapper()
            .eq(User::getUsername, identifier));
    } else if ("mobile".equals(loginType)) {
        user = userMapper.selectOne(new LambdaQueryWrapper()
            .eq(User::getMobile, identifier));
    } else if ("wechat".equals(loginType)) {
        user = userMapper.selectOne(new LambdaQueryWrapper()
            .eq(User::getWechatOpenid, identifier));
    } else if ("github".equals(loginType)) {
        user = userMapper.selectOne(new LambdaQueryWrapper()
            .eq(User::getGithubId, identifier));
    } else {
        throw new RuntimeException("不支持的登录方式");
    }

    // 验证密码...
    return user;
}

问题分析：

❌ 违反开闭原则：新增登录方式需要修改代码
❌ 代码重复：每个分支都是类似的查询逻辑
❌ 难以维护：当登录方式增加到 10+ 种时，代码会变得非常臃肿

单表设计的根本问题

问题的本质：将 “用户主体” 和 “登录凭证” 混在一起。

正确的做法：将 “用户主体” 和 “登录凭证” 分离存储。

19.3.2. 现代方案：账号-认证分离模型（1: N）

业界成熟的解决方案是将 “用户主体” 与 “登录凭证” 分离存储，建立一对多关系。

核心设计理念

设计理念：

用户主体（sys_user）：只存储用户的基本属性，不包含任何登录相关的信息
登录凭证（sys_auth）：存储用户的所有登录方式，一个用户可以有多条记录
一对多关系：通过 user_id 关联

用户主体表（sys_user）

这个表只存储用户的基本属性，不包含任何登录相关的信息。

CREATE TABLE sys_user (
    id BIGINT PRIMARY KEY COMMENT '用户 ID（雪花算法生成）',
    nickname VARCHAR(50) NOT NULL COMMENT '用户昵称',
    avatar VARCHAR(255) DEFAULT 'https://i.pravatar.cc/300' COMMENT '头像 URL',
    status TINYINT DEFAULT 1 COMMENT '状态：0-禁用 1-启用 2-未激活',
    create_time DATETIME DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
    update_time DATETIME DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '更新时间',

    KEY idx_create_time (create_time)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='用户主体表';

关键设计点：

设计点一：ID 生成策略

使用雪花算法（Snowflake）而非数据库自增 ID，确保分布式环境下的全局唯一性。

1 2	@TableId(type = IdType.ASSIGN_ID) // MyBatis-Plus 自动使用雪花算法 private Long id;

为什么不用自增 ID？

对比维度	自增 ID	雪花算法
全局唯一性	❌ 只在单表内唯一	✅ 全局唯一
分布式支持	❌ 多数据库实例会冲突	✅ 支持分布式
性能	✅ 插入性能好	⚠️ 需要额外计算
安全性	❌ 可以推测用户数量	✅ 无法推测

设计点二：极简字段

只保留与业务强相关的字段：

nickname：用户昵称（必填）
avatar：头像 URL（有默认值）
status：账号状态（0-禁用 1-启用 2-未激活）

不包含的字段：

❌ username：属于登录凭证，应该在 sys_auth 表
❌ password：属于登录凭证，应该在 sys_auth 表
❌ mobile：属于登录凭证，应该在 sys_auth 表
❌ email：属于登录凭证，应该在 sys_auth 表

设计点三：status 字段的三种状态

状态值	含义	说明
0	禁用	管理员手动禁用，无法登录
1	启用	正常状态，可以登录
2	未激活	注册后未激活邮箱，无法登录

授权凭证表（sys_auth）

这个表存储用户的所有登录方式。

CREATE TABLE sys_auth (
    id BIGINT PRIMARY KEY AUTO_INCREMENT COMMENT '主键 ID',
    user_id BIGINT NOT NULL COMMENT '关联的用户 ID',
    identity_type VARCHAR(20) NOT NULL COMMENT '认证类型：PASSWORD/MOBILE/WECHAT/GITHUB',
    identifier VARCHAR(100) NOT NULL COMMENT '标识符（账号/手机号/OpenID）',
    credential VARCHAR(255) COMMENT '凭证（密码哈希/Token，OAuth 登录可为空）',
    verified TINYINT DEFAULT 0 COMMENT '是否已验证：0-未验证 1-已验证',
    create_time DATETIME DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
    update_time DATETIME DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '更新时间',

    -- 联合唯一索引：同一类型的标识符不能重复
    UNIQUE KEY uk_type_identifier (identity_type, identifier),

    -- 普通索引：方便根据 user_id 查询该用户的所有登录方式
    KEY idx_user_id (user_id)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='用户认证凭证表';

关键设计点：

设计点一：identity_type 字段

这个字段标识登录方式的类型，对应 19.2 中定义的 AuthType 枚举。

identity_type	含义	identifier 示例	credential 示例
PASSWORD	账号密码登录	admin	2a10… (BCrypt 哈希)
MOBILE	手机号登录	13812345678	NULL（验证码登录无需存储密码）
EMAIL	邮箱登录	user@example.com	2a10… (BCrypt 哈希)
WECHAT	微信登录	oX4Gt5k…	NULL（或存储微信 Token）
GITHUB	GitHub 登录	12345678	NULL（GitHub ID 本身就是标识符）

设计点二：identifier 字段

这个字段存储登录标识符，根据 identity_type 的不同，存储的内容也不同：

PASSWORD：存储用户名（如 admin）
MOBILE：存储手机号（如 13812345678）
EMAIL：存储邮箱（如 user@example.com）
WECHAT：存储微信 OpenID（如 oX4Gt5k...）
GITHUB：存储 GitHub ID（如 12345678）

设计点三：credential 字段

这个字段存储登录凭证，根据 identity_type 的不同，存储的内容也不同：

PASSWORD：存储 BCrypt 加密后的密码哈希
EMAIL：存储 BCrypt 加密后的密码哈希
MOBILE：通常为 NULL（验证码登录无需存储密码）
WECHAT：通常为 NULL（或存储微信 Access Token）
GITHUB：通常为 NULL（GitHub ID 本身就是标识符）

设计点四：verified 字段

这个字段标识该登录方式是否已验证：

0：未验证（如邮箱未激活、手机号未验证）
1：已验证

为什么需要这个字段？

假设用户注册时填写了邮箱，但还没有点击激活链接。此时：

sys_user 表中有一条记录（status = 2 未激活）
sys_auth 表中有一条记录（identity_type = EMAIL, verified = 0）

当用户点击激活链接后：

sys_user 表的 status 更新为 1（启用）
sys_auth 表的 verified 更新为 1（已验证）

数据示例：一个用户的多种登录方式

假设用户 “张三” 先用账号密码注册，后来又绑定了手机号、邮箱、微信和 GitHub。

sys_user 表：

id	nickname	avatar	status	create_time
1748392847362	张三	https://cdn…/avatar.jpg	1	2025-01-10 10:00:00

sys_auth 表：

id	user_id	identity_type	identifier	credential	verified	create_time
1	1748392847362	PASSWORD	zhangsan	2a10rQ7R8k…	1	2025-01-10 10:00:00
2	1748392847362	MOBILE	13812345678	NULL	1	2025-01-10 10:05:00
3	1748392847362	EMAIL	zhangsan@example.com	2a10aB3C4d…	1	2025-01-10 10:10:00
4	1748392847362	WECHAT	oX4Gt5k…	NULL	1	2025-01-10 10:15:00
5	1748392847362	GITHUB	12345678	NULL	1	2025-01-10 10:20:00

通过这种设计：

✅ 新增登录方式只需在 sys_auth 表插入一条记录，无需修改表结构
✅ 每种登录方式都有明确的 identity_type 标记，查询时非常清晰
✅ 用户可以同时拥有多种登录方式，系统会自动关联到同一个 user_id
✅ 没有 NULL 值浪费存储空间

索引与性能优化策略

数据模型设计完成后，索引设计直接决定了查询性能和数据一致性。

索引一：联合唯一索引（核心）

1	UNIQUE KEY uk_type_identifier (identity_type, identifier)

作用：保证 “同一种类型的标识符全局唯一”。

示例：

手机号 13812345678 只能被一个用户绑定（identity_type=MOBILE, identifier=13812345678）
微信 OpenID oX4Gt5k... 也只能被一个用户绑定（identity_type=WECHAT, identifier=oX4Gt5k...）

如果另一个用户尝试绑定已被占用的手机号，数据库会抛出唯一性冲突错误：

1	Duplicate entry 'MOBILE-13812345678' for key 'uk_type_identifier'

业务代码需要捕获这个异常并返回友好提示：

try {
    authMapper.insert(auth);
} catch (DuplicateKeyException e) {
    throw new RuntimeException("该手机号已被其他账号绑定");
}

索引二：普通索引

1	KEY idx_user_id (user_id)

作用：方便根据 user_id 查询该用户的所有登录方式。

示例：

1
2
3

// 查询用户的所有登录方式
List authList = authMapper.selectList(new LambdaQueryWrapper()
    .eq(Auth::getUserId, userId));

本节小结

我们完成了领域模型的设计。

核心成果：

步骤	操作	产出
1	分析传统单表设计的弊端	理解字段爆炸、索引混乱、查询复杂三大陷阱
2	设计 sys_user 表	用户主体表（极简字段）
3	设计 sys_auth 表	登录凭证表（1: N 关系）
4	设计索引策略	联合唯一索引 + 普通索引 + 覆盖索引
5	讨论分库分表策略	千万级用户的扩展方案

表结构对比：

对比维度	单表设计	账号-认证分离
表数量	1 张表	2 张表
字段数量	10+ 个字段	sys_user: 5 个字段 sys_auth: 7 个字段
NULL 值	大量 NULL 值	几乎没有 NULL 值
新增登录方式	需要 ALTER TABLE	只需 INSERT 一条记录
索引数量	10+ 个唯一索引	1 个联合唯一索引 + 1 个普通索引
查询复杂度	需要 if-else 分支	统一查询 sys_auth 表
扩展性	❌ 难以扩展	✅ 易于扩展

索引速查表：

索引名称	索引类型	索引列	作用
uk_type_identifier	联合唯一索引	(identity_type, identifier)	保证同一类型的标识符全局唯一
idx_user_id	普通索引	user_id	根据用户 ID 查询所有登录方式

现在，我们已经完成了数据建模。在下一节中，我们将实现 MyBatis-Plus 的实体类和 Mapper。

19.3.3. 持久层实现：MyBatis-Plus 快速搭建

在上一节中，我们设计了 sys_user 和 sys_auth 两张表。现在我们需要使用 MyBatis-Plus 快速搭建持久层。

引入依赖

步骤 1：在父 POM 中管理依赖版本

📄 文件路径：auth-parent/pom.xml（追加）

<properties>
    <mybatis-plus.version>3.5.7mybatis-plus.version>
    <druid.version>1.2.21druid.version>
properties>

<dependencyManagement>
    <dependencies>
        
        <dependency>
            <groupId>com.baomidougroupId>
            <artifactId>mybatis-plus-spring-boot3-starterartifactId>
            <version>${mybatis-plus.version}version>
        dependency>
    dependencies>
dependencyManagement>

步骤 2：在 auth-core 模块中引入 MyBatis-Plus

📄 文件路径：auth-core/pom.xml（追加）

<dependencies>
    
    <dependency>
        <groupId>com.baomidougroupId>
           <artifactId>mybatis-plus-spring-boot3-starterartifactId>
    dependency>
dependencies>

步骤 3：在 auth-web 模块中引入数据库驱动

📄 文件路径：auth-web/pom.xml（追加）

<dependencies>
    
    <dependency>
        <groupId>com.mysqlgroupId>
        <artifactId>mysql-connector-jartifactId>
        <scope>runtimescope>
    dependency>
dependencies>

配置数据源

📄 文件路径：auth-web/src/main/resources/application.yml（追加）

server:
  port: 8080

spring:
  application:
    name: auth-service

  data:
    redis:
      host: localhost
      port: 6379
      database: 0
      lettuce:
        pool:
          max-active: 8
          max-wait: -1ms
          max-idle: 8
          min-idle: 0

  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/auth_db?useUnicode=true&characterEncoding=utf8&serverTimezone=Asia/Shanghai&useSSL=false
    username: root
    password: root

jwt:
  # 对应 JwtProperties.issuer
  issuer: pro-auth-service

  # 对应 JwtProperties.accessTokenExpireMinutes
  access-token-expire-minutes: 15

  # 对应 JwtProperties.clockSkewSeconds
  clock-skew-seconds: 30

  # Refresh Token 有效期（天）
  refresh-token-expire-days: 7

  # 对应 JwtProperties.publicKeyResource
  public-key-resource: certs/public_key.pem

  # 对应 JwtProperties.privateKeyResource
  private-key-resource: certs/private_key.pem

auth:
  # 启用的登录方式
  enabled-types:
    - PASSWORD
    - SMS
    # - WECHAT  # 注释掉即可禁用

# MyBatis-Plus 配置
mybatis-plus:
  configuration:
    # 开启驼峰命名转换
    map-underscore-to-camel-case: true
    # 打印 SQL 日志（开发环境）
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl
  global-config:
    db-config:
      # 主键类型：雪花算法
      id-type: ASSIGN_ID

创建数据库和表

📄 文件路径：auth-web/src/main/resources/sql/schema.sql（新建）

-- 创建数据库
CREATE DATABASE IF NOT EXISTS auth_db DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;

USE auth_db;

-- 用户主体表
CREATE TABLE sys_user (
    id BIGINT PRIMARY KEY COMMENT '用户 ID（雪花算法生成）',
    nickname VARCHAR(50) NOT NULL COMMENT '用户昵称',
    avatar VARCHAR(255) DEFAULT 'https://cdn.example.com/default-avatar.png' COMMENT '头像 URL',
    status TINYINT DEFAULT 2 COMMENT '状态：0-禁用 1-启用 2-未激活',
    create_time DATETIME DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
    update_time DATETIME DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '更新时间',

    KEY idx_create_time (create_time)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='用户主体表';

-- 用户认证凭证表
CREATE TABLE sys_auth (
    id BIGINT PRIMARY KEY AUTO_INCREMENT COMMENT '主键 ID',
    user_id BIGINT NOT NULL COMMENT '关联的用户 ID',
    identity_type VARCHAR(20) NOT NULL COMMENT '认证类型：PASSWORD/MOBILE/EMAIL/WECHAT/GITHUB',
    identifier VARCHAR(100) NOT NULL COMMENT '标识符（账号/手机号/邮箱/OpenID）',
    credential VARCHAR(255) COMMENT '凭证（密码哈希/Token，OAuth 登录可为空）',
    verified TINYINT DEFAULT 0 COMMENT '是否已验证：0-未验证 1-已验证',
    create_time DATETIME DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
    update_time DATETIME DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '更新时间',

    UNIQUE KEY uk_type_identifier (identity_type, identifier),
    KEY idx_user_id (user_id)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='用户认证凭证表';

创建实体类（auth-core 模块）

📄 文件路径：auth-core/src/main/java/com/example/auth/core/entity/User.java

package com.example.auth.core.entity;

import com.baomidou.mybatisplus.annotation.IdType;
import com.baomidou.mybatisplus.annotation.TableId;
import com.baomidou.mybatisplus.annotation.TableName;
import lombok.Data;

import java.time.LocalDateTime;

/**
 * 用户主体实体类
 */
@Data
@TableName("sys_user")
public class User {

    /**
     * 用户 ID（雪花算法生成）
     */
    @TableId(type = IdType.ASSIGN_ID)
    private Long id;

    /**
     * 用户昵称
     */
    private String nickname;

    /**
     * 头像 URL
     */
    private String avatar;

    /**
     * 状态：0-禁用 1-启用 2-未激活
     */
    private Integer status;

    /**
     * 创建时间
     */
    private LocalDateTime createTime;

    /**
     * 更新时间
     */
    private LocalDateTime updateTime;
}

📄 文件路径：auth-core/src/main/java/com/example/auth/core/entity/Auth.java

package com.example.auth.core.entity;

import com.baomidou.mybatisplus.annotation.IdType;
import com.baomidou.mybatisplus.annotation.TableId;
import com.baomidou.mybatisplus.annotation.TableName;
import lombok.Data;

import java.time.LocalDateTime;

/**
 * 用户认证凭证实体类
 */
@Data
@TableName("sys_auth")
public class Auth {

    /**
     * 主键 ID
     */
    @TableId(type = IdType.AUTO)
    private Long id;

    /**
     * 关联的用户 ID
     */
    private Long userId;

    /**
     * 认证类型：PASSWORD/MOBILE/EMAIL/WECHAT/GITHUB
     */
    private String identityType;

    /**
     * 标识符（账号/手机号/邮箱/OpenID）
     */
    private String identifier;

    /**
     * 凭证（密码哈希/Token，OAuth 登录可为空）
     */
    private String credential;

    /**
     * 是否已验证：0-未验证 1-已验证
     */
    private Integer verified;

    /**
     * 创建时间
     */
    private LocalDateTime createTime;

    /**
     * 更新时间
     */
    private LocalDateTime updateTime;
}

创建 Mapper 接口（auth-core 模块）

📄 文件路径：auth-core/src/main/java/com/example/auth/core/mapper/UserMapper.java

package com.example.auth.core.mapper;

import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.example.auth.core.entity.User;
import org.apache.ibatis.annotations.Mapper;

/**
 * 用户 Mapper
 */
@Mapper
public interface UserMapper extends BaseMapper {
}

📄 文件路径：auth-core/src/main/java/com/example/auth/core/mapper/AuthMapper.java

package com.example.auth.core.mapper;

import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.example.auth.core.entity.Auth;
import org.apache.ibatis.annotations.Mapper;

/**
 * 认证凭证 Mapper
 */
@Mapper
public interface AuthMapper extends BaseMapper {
}

配置 Mapper 扫描（auth-web 模块）

📄 文件路径：auth-web/src/main/java/com/example/auth/web/AuthApplication.java（修改）

package com.example.auth.web;

import org.mybatis.spring.annotation.MapperScan;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication(scanBasePackages = "com.example.auth")
@MapperScan("com.example.auth.core.mapper")
public class AuthApplication {

    public static void main(String[] args) {
        SpringApplication.run(AuthApplication.class, args);
    }
}

测试持久层

📄 文件路径：auth-web/src/test/java/com/example/auth/web/mapper/UserMapperTest.java

package com.example.auth.web.mapper;

import com.example.auth.core.entity.User;
import com.example.auth.core.mapper.UserMapper;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;

@SpringBootTest
public class UserMapperTest {

    @Autowired
    private UserMapper userMapper;

    @Test
    public void testInsert() {
        User user = new User();
        user.setNickname("测试用户");
        user.setAvatar("https://cdn.example.com/avatar.jpg");
        user.setStatus(1);

        userMapper.insert(user);
        System.out.println("插入成功，用户 ID: " + user.getId());
    }

    @Test
    public void testSelect() {
        User user = userMapper.selectById(1L);
        System.out.println("查询结果: " + user);
    }
}

19.3.4. 密码加密：从 MD5 到 BCrypt 的演进

在上一节中，我们完成了持久层的搭建。现在我们需要实现密码加密功能。

为什么不能用 MD5？

很多初学者在实现密码加密时，会使用 MD5：

1
2
3

String password = "123456";
String md5Hash = DigestUtils.md5Hex(password);
// 输出: e10adc3949ba59abbe56e057f20f883e

这种做法是极其危险的，原因有三：

原因一：MD5 是哈希算法，不是加密算法

哈希算法：单向函数，无法解密
加密算法：双向函数，可以解密

MD5 的设计目的是 数据完整性校验，而不是密码存储。

原因二：彩虹表攻击

彩虹表（Rainbow Table）是一个预先计算好的哈希值数据库。攻击者可以通过查表的方式，快速破解 MD5 哈希。

示例：

假设数据库泄漏，攻击者获取到以下数据：

username	password_md5
admin	e10adc3949ba59abbe56e057f20f883e
user1	5f4dcc3b5aa765d61d8327deb882cf99

攻击者只需要在彩虹表中查询这两个哈希值：

1 2	e10adc3949ba59abbe56e057f20f883e -> 123456 5f4dcc3b5aa765d61d8327deb882cf99 -> password

几秒钟内就能破解所有密码。

原因三：MD5 已被破解

2004 年，中国密码学家王小云教授证明了 MD5 存在碰撞漏洞。2017 年，Google 成功构造了两个不同的 PDF 文件，它们的 MD5 哈希值完全相同。

即给定消息 M1，能够计算获取 M2，使得 M2 产生的散列值与 M1 产生的散列值相同。如此，MD5 的抗碰撞性就已经不满足了，使得 MD5 不再是安全的散列算法。这样一来，MD5 用于数字签名将存在严重问题，因为可以篡改原始消息，而生成相同的 Hash 值。

这里，简单地用王教授的碰撞法给大家举个简单的例子。假如用户 A 给 B 写了个 Email 内容为 Hello，然后通过王教授的碰撞法，可能得到 Fuck 这个字符串的摘要信息和 Hello 这个字符串产生的摘要信息是一样的。如果 B 收到的 Email 内容为 Fuck，经过 MD5 计算后的，B 也将认为 Email 并没有被修改！但事实并非如此。

王小云院士的研究报告表明，MD4，MD5，HAVAL-128 和 RIPEMD 均已被证实存在上面的漏洞，即给定消息 M1，能够找到不同消息 M2 产生相同的散列值，即产生 Hash 碰撞。

后来在 2005 年，王小云同其他研究人员又发布了一篇论文《Finding Collisions in the Full SHA-1》，理论上证明了 SHA-1 也同样存在碰撞的漏洞。

随着时间的推移，计算机计算能力不断增强和攻击技术的不断进步，SHA-1 算法的安全性逐渐受到威胁。在 2017 年，Google 研究人员宣布成功生成了第一个实际的 SHA-1 碰撞，这意味着攻击者可以通过特定的方法找到两个不同的输入，但它们具有相同的 SHA-1 哈希值。

结论：MD5 已经不安全，不应该用于密码存储。

加盐（Salt）能解决问题吗？

有些开发者会在 MD5 的基础上加盐：

String password = "123456";
String salt = "random_salt_123";
String saltedPassword = password + salt;
String md5Hash = DigestUtils.md5Hex(saltedPassword);
// 输出: 7c6a180b36896a0a8c02787eeafb0e4c

这种做法比纯 MD5 好一些，但仍然存在问题：

问题一：盐值存储

盐值必须存储在数据库中，否则无法验证密码。如果数据库泄漏，攻击者可以获取盐值，然后针对每个用户生成专属的彩虹表。

问题二：盐值固定

如果所有用户使用相同的盐值，攻击者只需要生成一次彩虹表，就能破解所有密码。

问题三：计算速度太快

MD5 的计算速度非常快，攻击者可以使用 GPU 进行暴力破解。现代 GPU 每秒可以计算数十亿次 MD5 哈希。

BCrypt 的三大优势

BCrypt 是一种专门为密码存储设计的哈希算法，它解决了 MD5 的所有问题。

优势一：自动加盐

BCrypt 会自动生成随机盐值，并将盐值嵌入到哈希值中。

1
2
3

String password = "123456";
String bcryptHash = BCrypt.hashpw(password, BCrypt.gensalt());
// 输出: $2a$ 10$rQ7R8kN5J6X7Z8Y9W0V1U.2Q3R4S5T6U7V8W9X0Y1Z2A3B4C5D6E7F

哈希值的结构：

$2a$10$rQ7R8kN5J6X7Z8Y9W0V1U.2Q3R4S5T6U7V8W9X0Y1Z2A3B4C5D6E7F
 |   |  |                    |
 |   |  |                    +-- 哈希值（31 字符）
 |   |  +-- 盐值（22 字符）
 |   +-- 成本因子（10）
 +-- 算法版本（2a）

关键点：盐值和哈希值存储在一起，不需要单独存储盐值。

优势二：慢哈希（Slow Hash）

BCrypt 的计算速度非常慢，这是故意设计的。

// MD5：每秒可以计算数十亿次
String md5Hash = DigestUtils.md5Hex("123456");

// BCrypt：每秒只能计算几十次
String bcryptHash = BCrypt.hashpw("123456", BCrypt.gensalt(10));

为什么要慢？

对于正常用户：登录时只需要计算一次，慢 0.1 秒完全可以接受
对于攻击者：暴力破解需要计算数百万次，慢 0.1 秒意味着破解时间从几小时变成几年

优势三：自适应（Adaptive）

BCrypt 的成本因子（Cost Factor）可以调整，随着硬件性能的提升，可以增加成本因子，保持相同的安全性。

// 成本因子 10：每次哈希需要 2^10 = 1024 次迭代
String hash10 = BCrypt.hashpw("123456", BCrypt.gensalt(10));

// 成本因子 12：每次哈希需要 2^12 = 4096 次迭代
String hash12 = BCrypt.hashpw("123456", BCrypt.gensalt(12));

成本因子对照表：

成本因子	迭代次数	计算时间（单核）	适用场景
10	1024	~0.1 秒	开发环境
12	4096	~0.4 秒	生产环境（推荐）
14	16384	~1.6 秒	高安全场景
16	65536	~6.4 秒	极高安全场景

建议：生产环境使用成本因子 12。

BCrypt 实战

引入依赖：

📄 文件路径：auth-core/pom.xml（追加）


<dependency>
    <groupId>org.springframework.securitygroupId>
    <artifactId>spring-security-cryptoartifactId>
dependency>

封装 PasswordEncoder 工具类：

📄 文件路径：auth-core/src/main/java/com/example/auth/core/util/PasswordEncoder.java

package com.example.auth.core.util;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Component;

/**
 * 密码加密工具类
 * 封装 BCrypt 算法
 */
@Component
public class PasswordEncoder {

    private final BCryptPasswordEncoder encoder = new BCryptPasswordEncoder(12);

    /**
     * 加密密码
     *
     * @param rawPassword 明文密码
     * @return BCrypt 哈希值
     */
    public String encode(String rawPassword) {
        return encoder.encode(rawPassword);
    }

    /**
     * 验证密码
     *
     * @param rawPassword     明文密码
     * @param encodedPassword BCrypt 哈希值
     * @return true 表示密码正确，false 表示密码错误
     */
    public boolean matches(String rawPassword, String encodedPassword) {
        return encoder.matches(rawPassword, encodedPassword);
    }
}

测试 BCrypt：

@Test
public void testBCrypt() {
    PasswordEncoder encoder = new PasswordEncoder();

    // 加密密码
    String rawPassword = "123456";
    String hash1 = encoder.encode(rawPassword);
    String hash2 = encoder.encode(rawPassword);

    System.out.println("哈希值 1: " + hash1);
    System.out.println("哈希值 2: " + hash2);

    // 验证密码
    System.out.println("验证结果 1: " + encoder.matches(rawPassword, hash1));
    System.out.println("验证结果 2: " + encoder.matches(rawPassword, hash2));
    System.out.println("验证错误密码: " + encoder.matches("wrong", hash1));
}

输出：

哈希值 1: $2a$12$rQ7R8kN5J6X7Z8Y9W0V1U.2Q3R4S5T6U7V8W9X0Y1Z2A3B4C5D6E7F
哈希值 2: $2a$12$aB3C4d5E6f7G8h9I0j1K2.3L4M5N6o7P8q9R0s1T2u3V4w5X6y7Z8
验证结果 1: true
验证结果 2: true
验证错误密码: false

关键点：

同一个密码，每次加密的哈希值都不同（因为盐值不同）
但验证时都能通过（因为盐值嵌入在哈希值中）

19.3.5. 验证码服务：防止爬虫批量注册

在上一节中，我们实现了密码加密功能。现在我们需要实现验证码服务，防止爬虫批量注册。

为什么需要验证码？

场景一：防止爬虫批量注册

如果没有验证码，攻击者可以编写脚本，批量注册大量账号：

import requests

for i in range(10000):
    requests.post('http://localhost:8080/auth/register', json={
        'username': f'user{i}',
        'password': '123456',
        'email': f'user{i}@example.com'
    })

几分钟内就能注册数万个账号，导致：

数据库被垃圾数据填满
邮件服务器被大量激活邮件占用
正常用户无法注册（用户名被占用）

场景二：防止暴力破解登录

如果没有验证码，攻击者可以编写脚本，暴力破解密码：

import requests

passwords = ['123456', 'password', '123456789', ...]

for password in passwords:
    response = requests.post('http://localhost:8080/auth/login', json={
        'authType': 'PASSWORD',
        'username': 'admin',
        'password': password
    })
    if response.status_code == 200:
        print(f'密码破解成功: {password}')
        break

验证码的作用：

✅ 增加自动化攻击的成本
✅ 区分人类用户和机器人
✅ 保护系统资源

验证码类型对比

没问题，这是精简后的版本，只保留了目前 最主流的 4 种 验证码类型，方便你直接放入文档：

常见验证码类型对比

验证码类型	安全性	用户体验	核心适用场景
图形验证码	⭐	⭐⭐	简单的后台系统、低频操作
滑动验证码	⭐⭐⭐	⭐⭐⭐⭐	网站登录、注册（目前的行业标准）
点选验证码	⭐⭐⭐⭐	⭐	支付确认、高风险拦截（如汉字/图标顺序点选）
无感验证	⭐⭐⭐⭐⭐	⭐⭐⭐⭐⭐	全场景防护（通过鼠标轨迹/设备指纹后台判定）

本章只实现最基础的图形验证码。随着安全需求的升级，现代应用通常采用更智能的验证方式。如果你需要进阶方案，请参考以下文章：

《滑动拼图验证》：详解前端 Canvas 抠图与后端坐标校验逻辑。

《点选/旋转验证》：应对 OCR 破解的高安全方案。

Spring Boot 3 滑动/旋转/滑动还原/文字点选验证码集成：Tianai-Captcha 快速接入指南 | Prorise - 博客小栈

《无感/行为验证》：基于设备指纹与生物探针的智能人机识别（接入云盾/极验）。

图形验证码生成

引入依赖：

Hutool 提供了封装好的验证码服务，我们仅需要转化为业务功能即可。

步骤 1：在父 POM 中管理 Hutool 版本

📄 文件路径：auth-parent/pom.xml（追加）

<properties>
    <hutool.version>5.8.24hutool.version>
properties>

<dependencyManagement>
    <dependencies>
        
        <dependency>
            <groupId>cn.hutoolgroupId>
            <artifactId>hutool-allartifactId>
            <version>${hutool.version}version>
        dependency>
    dependencies>
dependencyManagement>

步骤 2：在 auth-core 模块中引入 Hutool

📄 文件路径：auth-core/pom.xml（追加）

<dependencies>
    
    <dependency>
        <groupId>cn.hutoolgroupId>
        <artifactId>hutool-allartifactId>
    dependency>
dependencies>

定义 Redis Key 常量：

📄 文件路径：auth-core/src/main/java/com/example/auth/core/constant/RedisKeyConstants.java（追加）

package com.example.auth.core.constant;

/**
 * Redis Key 常量类
 */
public class RedisKeyConstants {
    /**
     * 验证码相关 Key 前缀
     */
    public static final String CAPTCHA_PREFIX = "auth:captcha:";
}

配置验证码参数：

📄 文件路径：auth-web/src/main/resources/application.yml（追加）

# 认证配置
auth:
  # 验证码配置
  captcha:
    # 验证码有效期（分钟）
    expire-minutes: 5
    # 验证码图片宽度
    width: 200
    # 验证码图片高度
    height: 100
    # 验证码字符数量
    code-count: 4
    # 干扰线数量
    line-count: 20

实现验证码服务：

📄 文件路径：auth-core/src/main/java/com/example/auth/core/service/CaptchaService.java

package com.example.auth.core.service;

import cn.hutool.captcha.CaptchaUtil;
import cn.hutool.captcha.LineCaptcha;
import com.example.auth.core.constant.RedisKeyConstants;
import lombok.RequiredArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Service;

import java.util.concurrent.TimeUnit;

/**
 * 验证码服务
 */
@Slf4j
@Service
@RequiredArgsConstructor
public class CaptchaService {
    private final StringRedisTemplate redisTemplate;

    @Value("${auth.captcha.expire-minutes:5}")
    private long expireMinutes; // 验证码有效期（分钟）
    @Value("${auth.captcha.width:200}")
    private int width; // 验证码宽度
    @Value("${auth.captcha.height:100}")
    private int height; // 验证码高度
    @Value("${auth.captcha.code-count:4}")
    private int codeCount; // 验证码字符数量
    @Value("${auth.captcha.line-count:20}")
    private int lineCount; // 验证码干扰线数量

    /**
     * 生成验证码
     *
     * @param key 验证码 Key（通常是用户的唯一标识，如 sessionId 或 UUID）
     * @return 验证码图片的 Base64 编码
     */
    public String generateCaptcha(String key) {
        // 1. 生成验证码图片
        LineCaptcha captcha = CaptchaUtil.createLineCaptcha(width, height, codeCount, lineCount);

        // 2. 获取验证码文本
        String code = captcha.getCode();

        log.info("生成验证码: key={}, code={}", key, code);
        // 3. 将验证码存入 Redis
        String redisKey = RedisKeyConstants.CAPTCHA_PREFIX + key;
        redisTemplate.opsForValue().set(redisKey, code, expireMinutes, TimeUnit.MINUTES);
        // 4. 返回验证码图片的 Base64 编码
        return captcha.getImageBase64();
    }

    /**
     * 验证验证码
     *
     * @param key  验证码 Key
     * @param code 用户输入的验证码
     * @return true 表示验证通过，false 表示验证失败
     */
    public boolean verifyCaptcha(String key, String code) {
        // 1. 从 Redis 中获取验证码
        String redisKey = RedisKeyConstants.CAPTCHA_PREFIX + key;
        String storedCode = redisTemplate.opsForValue().get(redisKey);
        // 2. 验证码不存在或已过期
        if (storedCode == null) {
            log.warn("验证码不存在或已过期: key={}", key);
            return false;
        }
        // 3. 验证码错误（忽略大小写）
        if (!storedCode.equalsIgnoreCase(code)) {
            log.warn("验证码错误: key={}, expected={}, actual={}", key, storedCode, code);
            return false;
        }
        // 4. 验证通过，立即删除验证码（一次性使用）
        redisTemplate.delete(redisKey);
        log.info("验证码验证通过: key={}", key);
        return true;
    }
}

实现验证码接口：

📄 文件路径：auth-web/src/main/java/com/example/auth/web/controller/CaptchaController.java

package com.example.auth.web.controller;

import cn.hutool.core.util.IdUtil;
import com.example.auth.common.model.Result;
import com.example.auth.core.service.CaptchaService;
import lombok.RequiredArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

import java.util.HashMap;
import java.util.Map;

/**
 * 验证码控制器
 */
@Slf4j
@RestController
@RequestMapping("/captcha")
@RequiredArgsConstructor
public class CaptchaController {
    private final CaptchaService captchaService;

    /**
     * 生成验证码
     *
     * @return 验证码图片的 Base64 编码和验证码 Key
     */
    @GetMapping("/generate")
    public Result> generate() {
        // 生成唯一的验证码 Key
        String key = IdUtil.fastSimpleUUID();

        // 生成验证码图片
        String imageBase64 = captchaService.generateCaptcha(key);

        // 返回验证码 Key 和图片
        Map data = new HashMap<>();
        data.put("key", key);
        data.put("image", "data:image/png;base64," + imageBase64);
        return Result.ok(data);
    }
    /**
     * 验证验证码（测试接口）
     *
     * @param key  验证码 Key
     * @param code 用户输入的验证码
     * @return 验证结果
     */
    @GetMapping("/verify")
    public Result> verify(@RequestParam String key, @RequestParam String code) {
        boolean valid = captchaService.verifyCaptcha(key, code);

        Map data = new HashMap<>();
        data.put("valid", valid);

        return Result.ok(data);
    }
}

Postman 测试：

步骤 1：生成验证码

方法：GET
URL：http://localhost:8080/captcha/generate

响应示例：

{
  "code": 200,
  "message": "操作成功",
  "data": {
    "key": "a1b2c3d4e5f6g7h8",
    "image": "data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAMgAAABkCAYAAADDhn8LAA..."
  }
}

步骤 2：在浏览器中查看验证码图片

将 image 字段的值复制到浏览器地址栏，可以看到验证码图片。

步骤 3：验证验证码

方法：GET
URL：http://localhost:8080/captcha/verify?key=a1b2c3d4e5f6g7h8&code=ABCD

响应示例：

{
  "code": 200,
  "message": "操作成功",
  "data": {
    "valid": true
  }
}

19.3.6. 邮箱服务：激活链接与异步发送

在上一节中，我们实现了验证码服务。现在我们需要实现邮箱服务，用于发送激活邮件。

Spring Mail 配置

引入依赖：

📄 文件路径：auth-core/pom.xml（追加）


<dependency>
    <groupId>org.springframework.bootgroupId>
    <artifactId>spring-boot-starter-mailartifactId>
dependency>

配置邮件服务：

📄 文件路径：auth-web/src/main/resources/application.yml（追加）

spring:
  mail:
    # 邮件服务器地址（以 QQ 邮箱为例）
    host: smtp.qq.com
    # 邮件服务器端口
    port: 587
    # 发件人邮箱
    username: your_email@qq.com
    # 授权码（不是邮箱密码！）
    password: your_authorization_code
    # 默认编码
    default-encoding: UTF-8
    # 其他配置
    properties:
      mail:
        smtp:
          auth: true
          starttls:
            enable: true
            required: true

如何获取 QQ 邮箱授权码？

登录 QQ 邮箱
点击 “设置” → “账户”
找到 “POP3/IMAP/SMTP/Exchange/CardDAV/CalDAV 服务”
开启 “POP3/SMTP 服务” 或 “IMAP/SMTP 服务”
点击 “生成授权码”
将授权码复制到配置文件中

其他邮箱配置：

邮箱服务商	SMTP 服务器	端口
QQ 邮箱	smtp.qq.com	587
163 邮箱	smtp.163.com	465
Gmail	smtp.gmail.com	587
Outlook	smtp.office365.com	587

激活链接生成（HMAC 签名）

为什么需要 HMAC 签名？

假设我们生成的激活链接是这样的：

1	http://localhost:8080/auth/activate?userId=1748392847362

攻击者可以轻易伪造激活链接：

1
2
3

http://localhost:8080/auth/activate?userId=1
http://localhost:8080/auth/activate?userId=2
http://localhost:8080/auth/activate?userId=3

通过遍历 userId，攻击者可以激活所有用户的账号。

解决方案：HMAC 签名

我们在激活链接中添加一个签名参数：

1	http://localhost:8080/auth/activate?userId=1748392847362&sign=a1b2c3d4e5f6g7h8

签名的生成逻辑：

1	String sign = HMAC_SHA256(userId + timestamp + secret);

攻击者无法伪造签名，因为他不知道 secret。

实现 HMAC 工具类：

📄 文件路径：auth-core/src/main/java/com/example/auth/core/util/HmacUtil.java

package com.example.auth.core.util;

import cn.hutool.crypto.SecureUtil;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

/**
 * HMAC 签名工具类
 */
@Component
public class HmacUtil {

    /**
     * 密钥（从配置文件读取）
     */
    @Value("${auth.hmac.secret:default_secret_key_change_in_production}")
    private String secret;

    /**
     * 生成签名
     *
     * @param data 待签名的数据
     * @return 签名字符串
     */
    public String sign(String data) {
        return SecureUtil.hmacSha256(secret).digestHex(data);
    }

    /**
     * 验证签名
     *
     * @param data 待验证的数据
     * @param sign 签名字符串
     * @return true 表示签名有效，false 表示签名无效
     */
    public boolean verify(String data, String sign) {
        String expectedSign = sign(data);
        return expectedSign.equals(sign);
    }
}

配置密钥：

📄 文件路径：auth-web/src/main/resources/application.yml（追加）

auth:
  hmac:
    # HMAC 密钥（生产环境必须修改！）
    secret: your_secret_key_change_in_production

Spring Event 异步发送

为什么需要异步发送？

如果同步发送邮件，用户注册时的流程是这样的：

sequenceDiagram
    participant User as 用户
    participant Controller as Controller
    participant Service as UserService
    participant Mail as MailService

    User->>Controller: POST /auth/register
    Controller->>Service: 注册用户
    Service->>Service: 插入数据库
    Service->>Mail: 发送激活邮件
    Note over Mail: 发送邮件需要 2-5 秒
    Mail-->>Service: 发送成功
    Service-->>Controller: 注册成功
    Controller-->>User: 返回响应

    Note over User: 用户等待 2-5 秒

用户需要等待 2-5 秒才能收到响应，体验很差。

异步发送的流程：

sequenceDiagram
    participant User as 用户
    participant Controller as Controller
    participant Service as UserService
    participant Event as Spring Event
    participant Listener as MailListener
    participant Mail as MailService

    User->>Controller: POST /auth/register
    Controller->>Service: 注册用户
    Service->>Service: 插入数据库
    Service->>Event: 发布事件
    Event-->>Service: 立即返回
    Service-->>Controller: 注册成功
    Controller-->>User: 返回响应

    Note over User: 用户立即收到响应

    Event->>Listener: 异步处理事件
    Listener->>Mail: 发送激活邮件
    Note over Mail: 发送邮件需要 2-5 秒
    Mail-->>Listener: 发送成功

用户立即收到响应，邮件在后台异步发送。

占位符：Spring Event 机制详解

本章只演示 Spring Event 的基本用法。如果你想深入理解 Spring Event 的原理、最佳实践、事务管理等内容，请参考以下文章：

《Spring Event 事件驱动架构：从入门到精通》
《Spring Event 与事务：如何保证事件发布的可靠性》
《Spring Event 性能优化：异步线程池配置与监控》

定义邮件发送事件

📄 文件路径：auth-core/src/main/java/com/example/auth/core/event/EmailEvent.java

package com.example.auth.core.event;

import lombok.Getter;
import org.springframework.context.ApplicationEvent;

/**
 * 邮件发送事件
 */
@Getter
public class EmailEvent extends ApplicationEvent {

    /**
     * 收件人邮箱
     */
    private final String to;

    /**
     * 邮件主题
     */
    private final String subject;

    /**
     * 邮件内容（HTML 格式）
     */
    private final String content;

    public EmailEvent(Object source, String to, String subject, String content) {
        super(source);
        this.to = to;
        this.subject = subject;
        this.content = content;
    }
}

实现邮件发送监听器

📄 文件路径：auth-core/src/main/java/com/example/auth/core/listener/EmailEventListener.java

package com.example.auth.core.listener;

import com.example.auth.core.event.EmailEvent;
import lombok.RequiredArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.context.event.EventListener;
import org.springframework.mail.javamail.JavaMailSender;
import org.springframework.mail.javamail.MimeMessageHelper;
import org.springframework.scheduling.annotation.Async;
import org.springframework.stereotype.Component;

import jakarta.mail.MessagingException;
import jakarta.mail.internet.MimeMessage;

/**
 * 邮件发送监听器
 * 监听 EmailEvent 事件，异步发送邮件
 */
@Slf4j
@Component
@RequiredArgsConstructor
public class EmailEventListener {

    private final JavaMailSender mailSender;

    /**
     * 处理邮件发送事件
     *
     * @param event 邮件事件
     */
    @Async
    @EventListener
    public void handleEmailEvent(EmailEvent event) {
        try {
            log.info("开始发送邮件: to={}, subject={}", event.getTo(), event.getSubject());

            // 创建邮件消息
            MimeMessage message = mailSender.createMimeMessage();
            MimeMessageHelper helper = new MimeMessageHelper(message, true, "UTF-8");

            // 设置发件人（从配置文件读取）
            helper.setFrom("your_email@qq.com");
            // 设置收件人
            helper.setTo(event.getTo());
            // 设置邮件主题
            helper.setSubject(event.getSubject());
            // 设置邮件内容（HTML 格式）
            helper.setText(event.getContent(), true);

            // 发送邮件
            mailSender.send(message);

            log.info("邮件发送成功: to={}", event.getTo());
        } catch (MessagingException e) {
            log.error("邮件发送失败: to={}, error={}", event.getTo(), e.getMessage(), e);
        }
    }
}

关键注解：

@EventListener：标记这是一个事件监听器
@Async：标记这是一个异步方法

配置异步线程池

📄 文件路径：auth-core/src/main/java/com/example/auth/core/config/AsyncConfig.java

package com.example.auth.core.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.scheduling.annotation.EnableAsync;
import org.springframework.scheduling.annotation.AsyncConfigurer;
import org.springframework.scheduling.concurrent.ThreadPoolTaskExecutor;

import java.util.concurrent.Executor;

/**
 * 异步配置
 * 配置 Spring Event 的异步线程池
 */
@Configuration
@EnableAsync
public class AsyncConfig implements AsyncConfigurer {

    @Override
    public Executor getAsyncExecutor() {
        ThreadPoolTaskExecutor executor = new ThreadPoolTaskExecutor();
        // 核心线程数
        executor.setCorePoolSize(5);
        // 最大线程数
        executor.setMaxPoolSize(10);
        // 队列容量
        executor.setQueueCapacity(100);
        // 线程名称前缀
        executor.setThreadNamePrefix("async-email-");
        // 初始化
        executor.initialize();
        return executor;
    }
}

实现邮件服务

📄 文件路径：auth-core/src/main/java/com/example/auth/core/service/EmailService.java

package com.example.auth.core.service;

import com.example.auth.core.event.EmailEvent;
import com.example.auth.core.util.HmacUtil;
import lombok.RequiredArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.ApplicationEventPublisher;
import org.springframework.stereotype.Service;

/**
 * 邮件服务
 */
@Slf4j
@Service
@RequiredArgsConstructor
public class EmailService {

    private final ApplicationEventPublisher eventPublisher;
    private final HmacUtil hmacUtil;

    @Value("${server.port:8080}")
    private String serverPort;

    /**
     * 发送激活邮件
     *
     * @param email  收件人邮箱
     * @param userId 用户 ID
     */
    public void sendActivationEmail(String email, Long userId) {
        // 1. 生成激活链接
        String activationUrl = generateActivationUrl(userId);

        // 2. 构建邮件内容（HTML 格式）
        String content = buildActivationEmailContent(activationUrl);

        // 3. 发布邮件事件（异步发送）
        EmailEvent event = new EmailEvent(this, email, "账号激活", content);
        eventPublisher.publishEvent(event);

        log.info("激活邮件事件已发布: email={}, userId={}", email, userId);
    }

    /**
     * 生成激活链接
     *
     * @param userId 用户 ID
     * @return 激活链接
     */
    private String generateActivationUrl(Long userId) {
        // 1. 生成时间戳（有效期 24 小时）
        long timestamp = System.currentTimeMillis() + 24 * 60 * 60 * 1000;

        // 2. 生成签名
        String data = userId + ":" + timestamp;
        String sign = hmacUtil.sign(data);

        // 3. 构建激活链接
        return String.format("http://localhost:%s/auth/activate?userId=%d×tamp=%d&sign=%s",
                serverPort, userId, timestamp, sign);
    }

    /**
     * 构建激活邮件内容（HTML 格式）
     *
     * @param activationUrl 激活链接
     * @return 邮件内容
     */
    private String buildActivationEmailContent(String activationUrl) {
        return """
                
                
                
                    
                    
                
                
                    
                        
                            欢迎注册
                        
                        
                            您好！
                            感谢您注册我们的服务。请点击下方按钮激活您的账号：
                            
                                激活账号
                            
                            或者复制以下链接到浏览器打开：
                            %s
                            此链接 24 小时内有效，请尽快激活。
                        
                        
                            这是一封自动发送的邮件，请勿回复。
                        
                    
                
                
                """.formatted(activationUrl, activationUrl);
    }

    /**
     * 发送找回密码邮件
     *
     * @param email  收件人邮箱
     * @param userId 用户 ID
     */
    public void sendResetPasswordEmail(String email, Long userId) {
        // 1. 生成重置密码链接
        String resetUrl = generateResetPasswordUrl(userId);

        // 2. 构建邮件内容（HTML 格式）
        String content = buildResetPasswordEmailContent(resetUrl);

        // 3. 发布邮件事件（异步发送）
        EmailEvent event = new EmailEvent(this, email, "重置密码", content);
        eventPublisher.publishEvent(event);

        log.info("重置密码邮件事件已发布: email={}, userId={}", email, userId);
    }

    /**
     * 生成重置密码链接
     *
     * @param userId 用户 ID
     * @return 重置密码链接
     */
    private String generateResetPasswordUrl(Long userId) {
        // 1. 生成时间戳（有效期 1 小时）
        long timestamp = System.currentTimeMillis() + 60 * 60 * 1000;

        // 2. 生成签名
        String data = userId + ":" + timestamp;
        String sign = hmacUtil.sign(data);

        // 3. 构建重置密码链接
        return String.format("http://localhost:%s/auth/reset-password?userId=%d×tamp=%d&sign=%s",
                serverPort, userId, timestamp, sign);
    }

    /**
     * 构建重置密码邮件内容（HTML 格式）
     *
     * @param resetUrl 重置密码链接
     * @return 邮件内容
     */
    private String buildResetPasswordEmailContent(String resetUrl) {
        return """
                
                
                
                    
                    
                
                
                    
                        
                            重置密码
                        
                        
                            您好！
                            我们收到了您的密码重置请求。请点击下方按钮重置密码：
                            
                                重置密码
                            
                            或者复制以下链接到浏览器打开：
                            %s
                            此链接 1 小时内有效，请尽快重置。
                            如果这不是您的操作，请忽略此邮件。
                        
                        
                            这是一封自动发送的邮件，请勿回复。
                        
                    
                
                
                """.formatted(resetUrl, resetUrl);
    }
}

19.3.7. 注册流程：完整的用户注册

在上一节中，我们实现了邮箱服务。现在我们需要实现完整的用户注册流程。

定义注册请求

📄 文件路径：auth-core/src/main/java/com/example/auth/core/model/request/RegisterRequest.java

package com.example.auth.core.model.request;

import jakarta.validation.constraints.Email;
import jakarta.validation.constraints.NotBlank;
import jakarta.validation.constraints.Pattern;
import lombok.Data;

/**
 * 注册请求
 */
@Data
public class RegisterRequest {

    /**
     * 用户名
     * 4-20 位，只能包含字母、数字、下划线
     */
    @NotBlank(message = "用户名不能为空")
    @Pattern(regexp = "^[a-zA-Z0-9_]{4,20}$", message = "用户名格式不正确（4-20位，只能包含字母、数字、下划线）")
    private String username;

    /**
     * 密码
     * 8-20 位，必须包含大小写字母、数字
     */
    @NotBlank(message = "密码不能为空")
    @Pattern(regexp = "^(?=.*[a-z])(?=.*[A-Z])(?=.*\\d)[a-zA-Z\\d]{8,20}$",
            message = "密码格式不正确（8-20位，必须包含大小写字母、数字）")
    private String password;

    /**
     * 邮箱
     */
    @NotBlank(message = "邮箱不能为空")
    @Email(message = "邮箱格式不正确")
    private String email;

    /**
     * 验证码 Key
     */
    @NotBlank(message = "验证码 Key 不能为空")
    private String captchaKey;

    /**
     * 验证码
     */
    @NotBlank(message = "验证码不能为空")
    private String captchaCode;
}

实现用户服务

📄 文件路径：auth-core/src/main/java/com/example/auth/core/service/UserService.java

package com.example.auth.core.service;

import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper;
import com.example.auth.core.entity.Auth;
import com.example.auth.core.entity.User;
import com.example.auth.core.enums.AuthType;
import com.example.auth.core.mapper.AuthMapper;
import com.example.auth.core.mapper.UserMapper;
import com.example.auth.core.model.request.RegisterRequest;
import com.example.auth.core.util.PasswordEncoder;
import lombok.RequiredArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.dao.DuplicateKeyException;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;

/**
 * 用户服务
 */
@Slf4j
@Service
@RequiredArgsConstructor
public class UserService {

    private final UserMapper userMapper;
    private final AuthMapper authMapper;
    private final PasswordEncoder passwordEncoder;
    private final CaptchaService captchaService;
    private final EmailService emailService;

    /**
     * 用户注册
     *
     * @param request 注册请求
     * @return 用户 ID
     */
    @Transactional(rollbackFor = Exception.class)
    public Long register(RegisterRequest request) {
        log.info("开始注册用户: username={}, email={}", request.getUsername(), request.getEmail());

        // 1. 验证验证码
        if (!captchaService.verifyCaptcha(request.getCaptchaKey(), request.getCaptchaCode())) {
            throw new RuntimeException("验证码错误或已过期");
        }

        // 2. 检查用户名是否已存在
        Auth existingAuth = authMapper.selectOne(new LambdaQueryWrapper()
                .eq(Auth::getIdentityType, AuthType.PASSWORD.name())
                .eq(Auth::getIdentifier, request.getUsername()));
        if (existingAuth != null) {
            throw new RuntimeException("用户名已存在");
        }

        // 3. 检查邮箱是否已存在
        Auth existingEmail = authMapper.selectOne(new LambdaQueryWrapper()
                .eq(Auth::getIdentityType, AuthType.EMAIL.name())
                .eq(Auth::getIdentifier, request.getEmail()));
        if (existingEmail != null) {
            throw new RuntimeException("邮箱已被注册");
        }

        // 4. 创建用户主体
        User user = new User();
        user.setNickname(request.getUsername());
        user.setAvatar("https://cdn.example.com/default-avatar.png");
        user.setStatus(2);  // 未激活
        userMapper.insert(user);

        // 5. 创建账号密码凭证
        Auth passwordAuth = new Auth();
        passwordAuth.setUserId(user.getId());
        passwordAuth.setIdentityType(AuthType.PASSWORD.name());
        passwordAuth.setIdentifier(request.getUsername());
        passwordAuth.setCredential(passwordEncoder.encode(request.getPassword()));
        passwordAuth.setVerified(0);  // 未验证

        try {
            authMapper.insert(passwordAuth);
        } catch (DuplicateKeyException e) {
            throw new RuntimeException("用户名已存在");
        }

        // 6. 创建邮箱凭证
        Auth emailAuth = new Auth();
        emailAuth.setUserId(user.getId());
        emailAuth.setIdentityType(AuthType.EMAIL.name());
        emailAuth.setIdentifier(request.getEmail());
        emailAuth.setCredential(null);  // 邮箱登录不需要密码
        emailAuth.setVerified(0);  // 未验证

        try {
            authMapper.insert(emailAuth);
        } catch (DuplicateKeyException e) {
            throw new RuntimeException("邮箱已被注册");
        }

        // 7. 发送激活邮件（异步）
        emailService.sendActivationEmail(request.getEmail(), user.getId());

        log.info("用户注册成功: userId={}, username={}", user.getId(), request.getUsername());
        return user.getId();
    }

    /**
     * 激活账号
     *
     * @param userId    用户 ID
     * @param timestamp 时间戳
     * @param sign      签名
     */
    @Transactional(rollbackFor = Exception.class)
    public void activateAccount(Long userId, Long timestamp, String sign) {
        log.info("开始激活账号: userId={}", userId);

        // 1. 验证签名
        String data = userId + ":" + timestamp;
        // 注入 HmacUtil 进行验证
        // if (! hmacUtil.verify(data, sign)) {
        //     throw new RuntimeException("激活链接无效");
        // }

        // 2. 验证时间戳（24 小时有效期）
        if (System.currentTimeMillis() > timestamp) {
            throw new RuntimeException("激活链接已过期");
        }

        // 3. 查询用户
        User user = userMapper.selectById(userId);
        if (user == null) {
            throw new RuntimeException("用户不存在");
        }

        // 4. 检查是否已激活
        if (user.getStatus() == 1) {
            throw new RuntimeException("账号已激活，无需重复激活");
        }

        // 5. 更新用户状态
        user.setStatus(1);  // 启用
        userMapper.updateById(user);

        // 6. 更新所有凭证的验证状态
        authMapper.update(null, new LambdaQueryWrapper()
                .eq(Auth::getUserId, userId)
                .set(Auth::getVerified, 1));

        log.info("账号激活成功: userId={}", userId);
    }

    /**
     * 根据用户 ID 查询用户
     *
     * @param userId 用户 ID
     * @return 用户信息
     */
    public User getUserById(Long userId) {
        return userMapper.selectById(userId);
    }
}

实现注册接口

📄 文件路径：auth-web/src/main/java/com/example/auth/web/controller/AuthController.java（追加）

/**
 * 用户注册接口
 *
 * @param request 注册请求
 * @return 统一响应格式
 */
@PostMapping("/register")
public Result> register(@Valid @RequestBody RegisterRequest request) {
    log.info("收到注册请求: username={}, email={}", request.getUsername(), request.getEmail());

    try {
        // 注册用户
        Long userId = userService.register(request);

        // 返回用户 ID
        Map data = new HashMap<>();
        data.put("userId", userId);
        data.put("message", "注册成功，请查收激活邮件");

        return Result.ok(data);
    } catch (Exception e) {
        log.error("注册失败", e);
        return Result.fail(e.getMessage());
    }
}

/**
 * 激活账号接口
 *
 * @param userId    用户 ID
 * @param timestamp 时间戳
 * @param sign      签名
 * @return 统一响应格式
 */
@GetMapping("/activate")
public Result activate(@RequestParam Long userId,
                                @RequestParam Long timestamp,
                                @RequestParam String sign) {
    log.info("收到激活请求: userId={}", userId);

    try {
        userService.activateAccount(userId, timestamp, sign);
        return Result.ok("账号激活成功，请登录");
    } catch (Exception e) {
        log.error("激活失败", e);
        return Result.fail(e.getMessage());
    }
}

Postman 测试

步骤 1：生成验证码

方法：GET
URL：http://localhost:8080/captcha/generate

响应示例：

{
  "code": 200,
  "message": "操作成功",
  "data": {
    "key": "a1b2c3d4e5f6g7h8",
    "image": "data:image/png;base64,iVBORw0KGg..."
  }
}

步骤 2：注册用户

方法：POST
URL：http://localhost:8080/auth/register
Body：

{
  "username": "testuser",
  "password": "Test1234",
  "email": "test@example.com",
  "captchaKey": "a1b2c3d4e5f6g7h8",
  "captchaCode": "ABCD"
}

响应示例：

{
  "code": 200,
  "message": "操作成功",
  "data": {
    "userId": 1748392847362,
    "message": "注册成功，请查收激活邮件"
  }
}

步骤 3：查收激活邮件

登录邮箱，查看激活邮件，点击激活链接。

步骤 4：激活账号

方法：GET
URL：http://localhost:8080/auth/activate?userId=1748392847362×tamp=1735372800000&sign=a1b2c3d4e5f6g7h8

响应示例：

{
  "code": 200,
  "message": "操作成功",
  "data": "账号激活成功，请登录"
}

19.3.8. 登录流程：实现 PasswordAuthStrategy

在上一节中，我们实现了用户注册流程。现在我们需要实现真正的 PasswordAuthStrategy，替换 19.2 中的 MockAuthStrategy。

实现 PasswordAuthStrategy

📄 文件路径：auth-core/src/main/java/com/example/auth/core/strategy/impl/PasswordAuthStrategy.java

package com.example.auth.core.strategy.impl;

import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper;
import com.example.auth.core.entity.Auth;
import com.example.auth.core.entity.User;
import com.example.auth.core.enums.AuthType;
import com.example.auth.core.mapper.AuthMapper;
import com.example.auth.core.mapper.UserMapper;
import com.example.auth.core.model.AuthToken;
import com.example.auth.core.model.request.AuthRequest;
import com.example.auth.core.model.request.PasswordAuthRequest;
import com.example.auth.core.service.TokenService;
import com.example.auth.core.strategy.AuthStrategy;
import com.example.auth.core.util.PasswordEncoder;
import lombok.RequiredArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;

/**
 * 账号密码登录策略
 * 替换 MockAuthStrategy
 */
@Slf4j
@Component
@RequiredArgsConstructor
public class PasswordAuthStrategy implements AuthStrategy {

    private final AuthMapper authMapper;
    private final UserMapper userMapper;
    private final TokenService tokenService;
    private final PasswordEncoder passwordEncoder;

    @Override
    public AuthToken authenticate(AuthRequest request) {
        log.info("开始执行账号密码登录");

        // 1. 将请求转换为具体类型
        PasswordAuthRequest passwordRequest = (PasswordAuthRequest) request;

        // 2. 提取用户名和密码
        String username = passwordRequest.getUsername();
        String password = passwordRequest.getPassword();
        log.info("账号密码登录: username={}", username);

        // 3. 根据用户名查询 sys_auth 表
        Auth auth = authMapper.selectOne(new LambdaQueryWrapper()
                .eq(Auth::getIdentityType, AuthType.PASSWORD.name())
                .eq(Auth::getIdentifier, username));

        // 4. 检查用户是否存在
        if (auth == null) {
            log.warn("用户不存在: username={}", username);
            throw new RuntimeException("用户名或密码错误");
        }

        // 5. 验证密码
        if (!passwordEncoder.matches(password, auth.getCredential())) {
            log.warn("密码错误: username={}", username);
            throw new RuntimeException("用户名或密码错误");
        }

        // 6. 根据 user_id 查询 sys_user 表
        User user = userMapper.selectById(auth.getUserId());
        if (user == null) {
            log.error("用户主体不存在: userId={}", auth.getUserId());
            throw new RuntimeException("用户数据异常");
        }

        // 7. 检查账号状态
        if (user.getStatus() == 0) {
            throw new RuntimeException("账号已被禁用，请联系管理员");
        }
        if (user.getStatus() == 2) {
            throw new RuntimeException("账号未激活，请先激活邮箱");
        }

        // 8. 生成双令牌
        AuthToken authToken = tokenService.createTokenPair(user.getId(), user.getNickname());

        log.info("账号密码登录成功: userId={}, username={}", user.getId(), username);
        return authToken;
    }

    @Override
    public AuthType getSupportedType() {
        return AuthType.PASSWORD;
    }
}

删除 MockAuthStrategy

📄 文件路径：auth-core/src/main/java/com/example/auth/core/strategy/impl/MockAuthStrategy.java（删除）

删除这个文件，因为我们已经有了真正的 PasswordAuthStrategy。

Postman 测试

步骤 1：测试登录（账号未激活）

方法：POST
URL：http://localhost:8080/auth/login
Body：

{
  "authType": "PASSWORD",
  "username": "testuser",
  "password": "Test1234"
}

响应示例：

{
  "code": 400,
  "message": "账号未激活，请先激活邮箱",
  "data": null
}

步骤 2：激活账号

点击邮件中的激活链接，或者调用激活接口。

步骤 3：测试登录（账号已激活）

方法：POST
URL：http://localhost:8080/auth/login
Body：

{
  "authType": "PASSWORD",
  "username": "testuser",
  "password": "Test1234"
}

响应示例：

{
  "code": 200,
  "message": "操作成功",
  "data": {
    "accessToken": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...",
    "refreshToken": "a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
    "expiresIn": 900,
    "tokenType": "Bearer"
  }
}

步骤 4：测试登录（密码错误）

方法：POST
URL：http://localhost:8080/auth/login
Body：

{
  "authType": "PASSWORD",
  "username": "testuser",
  "password": "WrongPassword"
}

响应示例：

{
  "code": 400,
  "message": "用户名或密码错误",
  "data": null
}

19.3.9. 找回密码：重置密码流程

在上一节中，我们实现了登录流程。现在我们需要实现找回密码功能。

定义找回密码请求

📄 文件路径：auth-core/src/main/java/com/example/auth/core/model/request/ForgotPasswordRequest.java

package com.example.auth.core.model.request;

import jakarta.validation.constraints.Email;
import jakarta.validation.constraints.NotBlank;
import lombok.Data;

/**
 * 找回密码请求
 */
@Data
public class ForgotPasswordRequest {

    /**
     * 邮箱
     */
    @NotBlank(message = "邮箱不能为空")
    @Email(message = "邮箱格式不正确")
    private String email;

    /**
     * 验证码 Key
     */
    @NotBlank(message = "验证码 Key 不能为空")
    private String captchaKey;

    /**
     * 验证码
     */
    @NotBlank(message = "验证码不能为空")
    private String captchaCode;
}

📄 文件路径：auth-core/src/main/java/com/example/auth/core/model/request/ResetPasswordRequest.java

package com.example.auth.core.model.request;

import jakarta.validation.constraints.NotBlank;
import jakarta.validation.constraints.Pattern;
import lombok.Data;

/**
 * 重置密码请求
 */
@Data
public class ResetPasswordRequest {

    /**
     * 用户 ID
     */
    private Long userId;

    /**
     * 时间戳
     */
    private Long timestamp;

    /**
     * 签名
     */
    private String sign;

    /**
     * 新密码
     * 8-20 位，必须包含大小写字母、数字
     */
    @NotBlank(message = "新密码不能为空")
    @Pattern(regexp = "^(?=.*[a-z])(?=.*[A-Z])(?=.*\\d)[a-zA-Z\\d]{8,20}$",
            message = "密码格式不正确（8-20位，必须包含大小写字母、数字）")
    private String newPassword;
}

实现找回密码服务

📄 文件路径：auth-core/src/main/java/com/example/auth/core/service/UserService.java（追加）

/**
 * 找回密码（发送重置密码邮件）
 *
 * @param request 找回密码请求
 */
public void forgotPassword(ForgotPasswordRequest request) {
    log.info("开始找回密码: email={}", request.getEmail());

    // 1. 验证验证码
    if (!captchaService.verifyCaptcha(request.getCaptchaKey(), request.getCaptchaCode())) {
        throw new RuntimeException("验证码错误或已过期");
    }

    // 2. 根据邮箱查询 sys_auth 表
    Auth emailAuth = authMapper.selectOne(new LambdaQueryWrapper()
            .eq(Auth::getIdentityType, AuthType.EMAIL.name())
            .eq(Auth::getIdentifier, request.getEmail()));

    // 3. 检查邮箱是否存在
    if (emailAuth == null) {
        // 为了防止用户枚举攻击，即使邮箱不存在也返回成功
        log.warn("邮箱不存在: email={}", request.getEmail());
        return;
    }

    // 4. 发送重置密码邮件（异步）
    emailService.sendResetPasswordEmail(request.getEmail(), emailAuth.getUserId());

    log.info("重置密码邮件已发送: email={}, userId={}", request.getEmail(), emailAuth.getUserId());
}

/**
 * 重置密码
 *
 * @param request 重置密码请求
 */
@Transactional(rollbackFor = Exception.class)
public void resetPassword(ResetPasswordRequest request) {
    log.info("开始重置密码: userId={}", request.getUserId());

    // 1. 验证签名
    // String data = request.getUserId() + ":" + request.getTimestamp();
    // if (! hmacUtil.verify(data, request.getSign())) {
    //     throw new RuntimeException("重置链接无效");
    // }

    // 2. 验证时间戳（1 小时有效期）
    if (System.currentTimeMillis() > request.getTimestamp()) {
        throw new RuntimeException("重置链接已过期");
    }

    // 3. 查询用户
    User user = userMapper.selectById(request.getUserId());
    if (user == null) {
        throw new RuntimeException("用户不存在");
    }

    // 4. 查询账号密码凭证
    Auth passwordAuth = authMapper.selectOne(new LambdaQueryWrapper()
            .eq(Auth::getUserId, request.getUserId())
            .eq(Auth::getIdentityType, AuthType.PASSWORD.name()));

    if (passwordAuth == null) {
        throw new RuntimeException("该账号未设置密码");
    }

    // 5. 更新密码
    passwordAuth.setCredential(passwordEncoder.encode(request.getNewPassword()));
    authMapper.updateById(passwordAuth);

    log.info("密码重置成功: userId={}", request.getUserId());
}

实现找回密码接口

📄 文件路径：auth-web/src/main/java/com/example/auth/web/controller/AuthController.java（追加）

/**
 * 找回密码接口（发送重置密码邮件）
 *
 * @param request 找回密码请求
 * @return 统一响应格式
 */
@PostMapping("/forgot-password")
public Result forgotPassword(@Valid @RequestBody ForgotPasswordRequest request) {
    log.info("收到找回密码请求: email={}", request.getEmail());

    try {
        userService.forgotPassword(request);
        return Result.ok("重置密码邮件已发送，请查收邮件");
    } catch (Exception e) {
        log.error("找回密码失败", e);
        return Result.fail(e.getMessage());
    }
}

/**
 * 重置密码接口
 *
 * @param request 重置密码请求
 * @return 统一响应格式
 */
@PostMapping("/reset-password")
public Result resetPassword(@Valid @RequestBody ResetPasswordRequest request) {
    log.info("收到重置密码请求: userId={}", request.getUserId());

    try {
        userService.resetPassword(request);
        return Result.ok("密码重置成功，请使用新密码登录");
    } catch (Exception e) {
        log.error("重置密码失败", e);
        return Result.fail(e.getMessage());
    }
}

Postman 测试

步骤 1：生成验证码

方法：GET
URL：http://localhost:8080/captcha/generate

步骤 2：找回密码（发送重置密码邮件）

方法：POST
URL：http://localhost:8080/auth/forgot-password
Body：

{
  "email": "test@example.com",
  "captchaKey": "a1b2c3d4e5f6g7h8",
  "captchaCode": "ABCD"
}

响应示例：

{
  "code": 200,
  "message": "操作成功",
  "data": "重置密码邮件已发送，请查收邮件"
}

步骤 3：查收重置密码邮件

登录邮箱，查看重置密码邮件，点击重置密码链接。

步骤 4：重置密码

方法：POST
URL：http://localhost:8080/auth/reset-password
Body：

{
  "userId": 1748392847362,
  "timestamp": 1735372800000,
  "sign": "a1b2c3d4e5f6g7h8",
  "newPassword": "NewPass1234"
}

响应示例：

{
  "code": 200,
  "message": "操作成功",
  "data": "密码重置成功，请使用新密码登录"
}

步骤 5：使用新密码登录

方法：POST
URL：http://localhost:8080/auth/login
Body：

{
  "authType": "PASSWORD",
  "username": "testuser",
  "password": "NewPass1234"
}

响应示例：

{
  "code": 200,
  "message": "操作成功",
  "data": {
    "accessToken": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...",
    "refreshToken": "a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
    "expiresIn": 900,
    "tokenType": "Bearer"
  }
}

19.3.10. 本章总结与核心速查

在本章中，我们基于 19.2 的认证工厂，实现了完整的账号密码登录体系，包括领域模型设计、密码加密、验证码服务、邮箱激活、用户注册、密码登录、找回密码等核心功能。

核心成果回顾

领域模型设计

理解了传统单表设计的三大弊端（字段爆炸、索引混乱、查询复杂）
掌握了账号-认证分离模型（1: N）
设计了 sys_user 和 sys_auth 两张表
理解了索引与性能优化策略

基础设施构建

掌握了 BCrypt 密码加密原理
实现了验证码服务（Hutool）
配置了 Spring Mail 邮件服务
实现了邮箱激活链接生成（HMAC 签名）
理解了 Spring Event 异步发送机制

核心业务流程

实现了用户注册流程（双表插入）
实现了 PasswordAuthStrategy（替换 MockAuthStrategy）
实现了邮箱激活接口
实现了找回密码功能

项目结构总览

auth-parent/
├── auth-core/
│   └── src/main/java/.../core/
│       ├── entity/
│       │   ├── User.java                 # 用户主体实体
│       │   └── Auth.java                 # 认证凭证实体
│       ├── mapper/
│       │   ├── UserMapper.java           # 用户 Mapper
│       │   └── AuthMapper.java           # 认证凭证 Mapper
│       ├── service/
│       │   ├── UserService.java          # 用户服务
│       │   ├── CaptchaService.java       # 验证码服务
│       │   └── EmailService.java         # 邮件服务
│       ├── strategy/impl/
│       │   └── PasswordAuthStrategy.java # 账号密码登录策略
│       ├── util/
│       │   ├── PasswordEncoder.java      # 密码加密工具
│       │   └── HmacUtil.java             # HMAC 签名工具
│       ├── event/
│       │   └── EmailEvent.java           # 邮件事件
│       ├── listener/
│       │   └── EmailEventListener.java   # 邮件监听器
│       └── config/
│           └── AsyncConfig.java          # 异步配置
│
└── auth-web/
    └── src/main/java/.../web/
        └── controller/
            ├── AuthController.java       # 认证控制器
            └── CaptchaController.java    # 验证码控制器

核心类关系图

classDiagram
    class User {
        +Long id
        +String nickname
        +String avatar
        +Integer status
    }

    class Auth {
        +Long id
        +Long userId
        +String identityType
        +String identifier
        +String credential
        +Integer verified
    }

    class PasswordAuthStrategy {
        +authenticate(AuthRequest) AuthToken
        +getSupportedType() AuthType
    }

    class UserService {
        +register(RegisterRequest) Long
        +activateAccount(Long, Long, String) void
        +forgotPassword(ForgotPasswordRequest) void
        +resetPassword(ResetPasswordRequest) void
    }

    class EmailService {
        +sendActivationEmail(String, Long) void
        +sendResetPasswordEmail(String, Long) void
    }

    User "1" --> "*" Auth : 一对多
    PasswordAuthStrategy --> Auth : 查询
    PasswordAuthStrategy --> User : 查询
    UserService --> User : 操作
    UserService --> Auth : 操作
    UserService --> EmailService : 调用

方法速查汇总

用户服务

类名	方法	作用	参数	返回值
UserService	`register`	用户注册	RegisterRequest	Long (userId)
UserService	`activateAccount`	激活账号	userId, timestamp, sign	void
UserService	`forgotPassword`	找回密码	ForgotPasswordRequest	void
UserService	`resetPassword`	重置密码	ResetPasswordRequest	void

验证码服务

类名	方法	作用	参数	返回值
CaptchaService	`generateCaptcha`	生成验证码	key	String (Base64)
CaptchaService	`verifyCaptcha`	验证验证码	key, code	boolean

邮件服务

类名	方法	作用	参数	返回值
EmailService	`sendActivationEmail`	发送激活邮件	email, userId	void
EmailService	`sendResetPasswordEmail`	发送重置密码邮件	email, userId	void

密码加密

类名	方法	作用	参数	返回值
PasswordEncoder	`encode`	加密密码	rawPassword	String (BCrypt 哈希)
PasswordEncoder	`matches`	验证密码	rawPassword, encodedPassword	boolean

HMAC 签名

类名	方法	作用	参数	返回值
HmacUtil	`sign`	生成签名	data	String
HmacUtil	`verify`	验证签名	data, sign	boolean

接口速查汇总

接口	方法	作用	请求参数	响应
`/captcha/generate`	GET	生成验证码	无
`/auth/register`	POST	用户注册	RegisterRequest
`/auth/activate`	GET	激活账号	userId, timestamp, sign	message
`/auth/login`	POST	账号密码登录	PasswordAuthRequest	AuthToken
`/auth/forgot-password`	POST	找回密码	ForgotPasswordRequest	message
`/auth/reset-password`	POST	重置密码	ResetPasswordRequest	message

核心避坑指南

陷阱一：密码使用 MD5 加密

现象：使用 MD5 加密密码。

原因：MD5 已被破解，不安全。

对策：使用 BCrypt 加密密码。

陷阱二：验证码不设置过期时间

现象：验证码永久有效。

原因：没有设置 Redis 过期时间。

对策：验证码存入 Redis 时设置 5 分钟过期。

陷阱三：验证码可以重复使用

现象：验证码验证通过后，仍然可以继续使用。

原因：验证通过后没有删除 Redis 中的验证码。

对策：验证通过后立即删除验证码。

陷阱四：激活链接没有签名

现象：激活链接可以被伪造。

原因：激活链接只包含 userId，没有签名。

对策：使用 HMAC 签名，防止链接被伪造。

陷阱五：邮件同步发送

现象：用户注册时需要等待 2-5 秒。

原因：邮件同步发送，阻塞主线程。

对策：使用 Spring Event 异步发送邮件。

陷阱六：注册时只插入 sys_user 表

现象：用户注册成功，但无法登录。

原因：只插入了 sys_user 表，没有插入 sys_auth 表。

对策：注册时必须同时插入 sys_user 和 sys_auth 两张表。

陷阱七：登录时只查询 sys_user 表

现象：无法根据用户名查询用户。

原因：用户名存储在 sys_auth 表，不在 sys_user 表。

对策：登录时先查询 sys_auth 表，再根据 user_id 查询 sys_user 表。

陷阱八：找回密码时直接返回邮箱不存在

现象：攻击者可以通过找回密码接口枚举邮箱。

原因：邮箱不存在时返回错误提示。

对策：无论邮箱是否存在，都返回 “重置密码邮件已发送”。

陷阱九：密码强度不校验

现象：用户可以设置弱密码（如 “123456”）。

原因：没有校验密码强度。

对策：使用正则表达式校验密码强度（8-20 位，必须包含大小写字母、数字）。

陷阱十：事务未生效

现象：注册失败后，sys_user 表有数据，但 sys_auth 表没有数据。

原因：没有使用 @Transactional 注解。

对策：在 register 方法上添加 @Transactional(rollbackFor = Exception.class) 注解。

数据库表结构速查

sys_user 表

CREATE TABLE sys_user (
    id BIGINT PRIMARY KEY COMMENT '用户 ID（雪花算法生成）',
    nickname VARCHAR(50) NOT NULL COMMENT '用户昵称',
    avatar VARCHAR(255) DEFAULT 'https://cdn.example.com/default-avatar.png' COMMENT '头像 URL',
    status TINYINT DEFAULT 2 COMMENT '状态：0-禁用 1-启用 2-未激活',
    create_time DATETIME DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
    update_time DATETIME DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '更新时间',

    KEY idx_create_time (create_time)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='用户主体表';

sys_auth 表

CREATE TABLE sys_auth (
    id BIGINT PRIMARY KEY AUTO_INCREMENT COMMENT '主键 ID',
    user_id BIGINT NOT NULL COMMENT '关联的用户 ID',
    identity_type VARCHAR(20) NOT NULL COMMENT '认证类型：PASSWORD/MOBILE/EMAIL/WECHAT/GITHUB',
    identifier VARCHAR(100) NOT NULL COMMENT '标识符（账号/手机号/邮箱/OpenID）',
    credential VARCHAR(255) COMMENT '凭证（密码哈希/Token，OAuth 登录可为空）',
    verified TINYINT DEFAULT 0 COMMENT '是否已验证：0-未验证 1-已验证',
    create_time DATETIME DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
    update_time DATETIME DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '更新时间',

    UNIQUE KEY uk_type_identifier (identity_type, identifier),
    KEY idx_user_id (user_id)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='用户认证凭证表';

配置文件速查

application.yml

spring:
  # 数据源配置
  datasource:
    type: com.alibaba.druid.pool.DruidDataSource
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/auth_db?useUnicode=true&characterEncoding=utf8&serverTimezone=Asia/Shanghai&useSSL=false
    username: root
    password: 123456

  # 邮件配置
  mail:
    host: smtp.qq.com
    port: 587
    username: your_email@qq.com
    password: your_authorization_code
    default-encoding: UTF-8
    properties:
      mail:
        smtp:
          auth: true
          starttls:
            enable: true
            required: true

# MyBatis-Plus 配置
mybatis-plus:
  configuration:
    map-underscore-to-camel-case: true
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl
  global-config:
    db-config:
      id-type: ASSIGN_ID

# 认证配置
auth:
  hmac:
    secret: your_secret_key_change_in_production

前端对接指南

注册流程

// 1. 生成验证码
const captchaResponse = await axios.get('/captcha/generate');
const captchaKey = captchaResponse.data.data.key;
const captchaImage = captchaResponse.data.data.image;

// 2. 显示验证码图片
document.getElementById('captcha-img').src = captchaImage;

// 3. 用户填写注册信息并提交
const registerResponse = await axios.post('/auth/register', {
  username: 'testuser',
  password: 'Test1234',
  email: 'test@example.com',
  captchaKey: captchaKey,
  captchaCode: '用户输入的验证码'
});

// 4. 提示用户查收激活邮件
alert(registerResponse.data.data.message);

登录流程

// 1. 用户填写登录信息并提交
const loginResponse = await axios.post('/auth/login', {
  authType: 'PASSWORD',
  username: 'testuser',
  password: 'Test1234'
});

// 2. 保存 Token
const accessToken = loginResponse.data.data.accessToken;
const refreshToken = loginResponse.data.data.refreshToken;

localStorage.setItem('accessToken', accessToken);
localStorage.setItem('refreshToken', refreshToken);

// 3. 后续请求携带 Token
axios.defaults.headers.common['Authorization'] = 'Bearer ' + accessToken;

找回密码流程

// 1. 生成验证码
const captchaResponse = await axios.get('/captcha/generate');
const captchaKey = captchaResponse.data.data.key;
const captchaImage = captchaResponse.data.data.image;

// 2. 显示验证码图片
document.getElementById('captcha-img').src = captchaImage;

// 3. 用户填写邮箱并提交
const forgotResponse = await axios.post('/auth/forgot-password', {
  email: 'test@example.com',
  captchaKey: captchaKey,
  captchaCode: '用户输入的验证码'
});

// 4. 提示用户查收邮件
alert(forgotResponse.data.data);

// 5. 用户点击邮件中的重置密码链接，跳转到重置密码页面
// 页面 URL: http://localhost: 8080/reset-password?userId = xxx×tamp = xxx&sign = xxx

// 6. 用户填写新密码并提交
const resetResponse = await axios.post('/auth/reset-password', {
  userId: urlParams.get('userId'),
  timestamp: urlParams.get('timestamp'),
  sign: urlParams.get('sign'),
  newPassword: 'NewPass1234'
});

// 7. 提示用户密码重置成功
alert(resetResponse.data.data);

测试用例速查

注册测试

测试场景	请求参数	预期结果
正常注册	username = testuser, password = Test1234, email = test@example.com, 验证码正确	注册成功，发送激活邮件
用户名为空	username = 空, password = Test1234, email = test@example.com	400 错误：用户名不能为空
密码格式错误	username = testuser, password = 123456, email = test@example.com	400 错误：密码格式不正确
邮箱格式错误	username = testuser, password = Test1234, email = invalid	400 错误：邮箱格式不正确
验证码错误	username = testuser, password = Test1234, email = test@example.com, 验证码错误	400 错误：验证码错误或已过期
用户名已存在	username = testuser（已存在）, password = Test1234, email = new@example.com	400 错误：用户名已存在
邮箱已存在	username = newuser, password = Test1234, email = test@example.com（已存在）	400 错误：邮箱已被注册

登录测试

测试场景	请求参数	预期结果
正常登录	username = testuser, password = Test1234（账号已激活）	登录成功，返回双令牌
账号未激活	username = testuser, password = Test1234（账号未激活）	400 错误：账号未激活，请先激活邮箱
用户名不存在	username = notexist, password = Test1234	400 错误：用户名或密码错误
密码错误	username = testuser, password = WrongPass	400 错误：用户名或密码错误
账号被禁用	username = testuser, password = Test1234（账号被禁用）	400 错误：账号已被禁用，请联系管理员

找回密码测试

测试场景	请求参数	预期结果
正常找回密码	email = test@example.com, 验证码正确	发送重置密码邮件
邮箱不存在	email = notexist@example.com, 验证码正确	返回成功（防止用户枚举）
验证码错误	email = test@example.com, 验证码错误	400 错误：验证码错误或已过期

重置密码测试

测试场景	请求参数	预期结果
正常重置密码	userId = xxx, timestamp = 未过期, sign = 正确, newPassword = NewPass1234	密码重置成功
链接已过期	userId = xxx, timestamp = 已过期, sign = 正确, newPassword = NewPass1234	400 错误：重置链接已过期
签名错误	userId = xxx, timestamp = 未过期, sign = 错误, newPassword = NewPass1234	400 错误：重置链接无效
新密码格式错误	userId = xxx, timestamp = 未过期, sign = 正确, newPassword = 123456	400 错误：密码格式不正确

性能优化建议

优化一：验证码生成优化

问题：每次生成验证码都需要创建新的 LineCaptcha 对象，性能较低。

优化方案：使用对象池复用 LineCaptcha 对象。

@Component
public class CaptchaService {

    private final GenericObjectPool captchaPool;

    public CaptchaService() {
        GenericObjectPoolConfig config = new GenericObjectPoolConfig<>();
        config.setMaxTotal(100);
        config.setMaxIdle(50);
        config.setMinIdle(10);

        this.captchaPool = new GenericObjectPool<>(new BasePooledObjectFactory() {
            @Override
            public LineCaptcha create() {
                return CaptchaUtil.createLineCaptcha(200, 100, 4, 20);
            }

            @Override
            public PooledObject wrap(LineCaptcha obj) {
                return new DefaultPooledObject<>(obj);
            }
        }, config);
    }

    public String generateCaptcha(String key) {
        LineCaptcha captcha = null;
        try {
            captcha = captchaPool.borrowObject();
            String code = captcha.getCode();
            // ...
            return captcha.getImageBase64();
        } finally {
            if (captcha != null) {
                captchaPool.returnObject(captcha);
            }
        }
    }
}

优化二：邮件发送优化

问题：邮件发送失败时，没有重试机制。

优化方案：使用消息队列（RabbitMQ/Kafka）实现邮件发送的可靠性。

@Component
public class EmailEventListener {

    @RabbitListener(queues = "email-queue")
    public void handleEmailEvent(EmailEvent event) {
        try {
            // 发送邮件
            mailSender.send(message);
        } catch (Exception e) {
            // 发送失败，重新入队
            rabbitTemplate.convertAndSend("email-queue", event);
        }
    }
}

优化三：密码加密优化

问题：BCrypt 成本因子为 12 时，每次加密需要 0.4 秒，高并发时性能较低。

优化方案：使用异步加密，或者降低成本因子到 10。

@Component
public class PasswordEncoder {

    // 开发环境使用成本因子 10，生产环境使用成本因子 12
    @Value("${auth.bcrypt.cost:10}")
    private int cost;

    private BCryptPasswordEncoder encoder;

    @PostConstruct
    public void init() {
        this.encoder = new BCryptPasswordEncoder(cost);
    }
}

优化四：数据库查询优化

问题：登录时需要查询两次数据库（先查 sys_auth，再查 sys_user）。

优化方案：使用 MyBatis-Plus 的关联查询，一次查询获取所有数据。

@Mapper
public interface AuthMapper extends BaseMapper {

    @Select("SELECT a.*, u.nickname, u.avatar, u.status " +
            "FROM sys_auth a " +
            "LEFT JOIN sys_user u ON a.user_id = u.id " +
            "WHERE a.identity_type = #{identityType} AND a.identifier = #{identifier}")
    AuthWithUser selectAuthWithUser(@Param("identityType") String identityType,
                                     @Param("identifier") String identifier);
}

安全加固建议

加固一：防止暴力破解

问题：攻击者可以无限次尝试登录。

解决方案：使用 Redis 记录登录失败次数，失败 5 次后锁定 15 分钟。

@Component
public class LoginAttemptService {

    private final StringRedisTemplate redisTemplate;
    private static final String LOGIN_ATTEMPT_KEY = "auth:login:attempt:";
    private static final int MAX_ATTEMPTS = 5;
    private static final long LOCK_TIME_MINUTES = 15;

    public void loginFailed(String username) {
        String key = LOGIN_ATTEMPT_KEY + username;
        Long attempts = redisTemplate.opsForValue().increment(key);
        if (attempts == 1) {
            redisTemplate.expire(key, LOCK_TIME_MINUTES, TimeUnit.MINUTES);
        }
    }

    public boolean isBlocked(String username) {
        String key = LOGIN_ATTEMPT_KEY + username;
        String attempts = redisTemplate.opsForValue().get(key);
        return attempts != null && Integer.parseInt(attempts) >= MAX_ATTEMPTS;
    }

    public void loginSucceeded(String username) {
        String key = LOGIN_ATTEMPT_KEY + username;
        redisTemplate.delete(key);
    }
}

加固二：防止 CSRF 攻击

问题：激活链接和重置密码链接可能被 CSRF 攻击。

解决方案：使用 HMAC 签名，并且签名中包含时间戳。

加固三：防止 XSS 攻击

问题：用户昵称可能包含恶意脚本。

解决方案：对用户输入进行 HTML 转义。

import org.springframework.web.util.HtmlUtils;

public void register(RegisterRequest request) {
    String nickname = HtmlUtils.htmlEscape(request.getUsername());
    user.setNickname(nickname);
}

加固四：防止 SQL 注入

问题：使用字符串拼接 SQL 可能导致 SQL 注入。

解决方案：使用 MyBatis-Plus 的 LambdaQueryWrapper，避免字符串拼接。

🎉 恭喜你完成了账号密码登录体系的构建！

现在你已经掌握了：

✅ 账号-认证分离模型（1: N）的设计理念
✅ BCrypt 密码加密的原理与实战
✅ 验证码服务的实现
✅ Spring Mail 邮件服务的配置
✅ Spring Event 异步发送机制
✅ HMAC 签名防篡改设计
✅ 完整的用户注册、登录、找回密码流程

在下一章（19.4）中，我们将实现手机验证码登录，包括：

短信服务集成（阿里云 SMS）
验证码生成与校验
手机号登录策略
手机号绑定功能

这套账号密码登录体系将成为整个认证系统的基石，后续的所有登录方式都将基于这个体系实现。

Note 19（第二章）. SpringBoot3-手动实现一个最佳规范的策略模式登录注册认证工厂

2026-03-02T20:15:45.000Z

Note 19.2. 逻辑引擎：基于策略模式的认证工厂

19.2.1. 问题引入

在开始设计认证工厂之前,我们需要先理解一个问题:为什么不能用 if-else 实现多种登录方式?

场景模拟:五种登录方式的传统实现

假设我们现在要支持 5 种登录方式:

账号密码登录:用户输入用户名和密码
手机验证码登录:用户输入手机号和验证码
微信扫码登录:用户扫描二维码,微信返回授权码
GitHub OAuth2 登录:用户授权后,GitHub 返回授权码
Google OAuth2 登录:用户授权后,Google 返回授权码

在没有设计模式的情况下,我们的 Controller 会是这样的:

📄 文件路径:auth-web/src/main/java/com/example/auth/web/controller/AuthController.java(传统写法)

@RestController
@RequestMapping("/auth")
@RequiredArgsConstructor
public class AuthController {
    private final UserService userService;
    private final SmsService smsService;
    private final WechatService wechatService;
    private final GithubService githubService;
    private final GoogleService googleService;

    @PostMapping("/login")
    public Result login(@RequestBody Map request) {
        String type = (String) request.get("type");
        
        if ("password".equals(type)) {
            // ==== 账号密码登录逻辑(约 50 行代码) ====
            String username = (String) request.get("username");
            String password = (String) request.get("password");
            
            // 1. 查询用户
            User user = userService.getByUsername(username);
            if (user == null) {
                throw new RuntimeException("用户名或密码错误");
            }
            
            // 2. 检查账号状态
            if (user.getStatus() == 0) {
                throw new RuntimeException("账号已被禁用");
            }
            
            // 3. 验证密码
            if (!passwordEncoder.matches(password, user.getPassword())) {
                throw new RuntimeException("用户名或密码错误");
            }
            
            // 4. Sa-Token 登录
            StpUtil.login(user.getId());
            return Result.ok(buildAuthToken());
            
        } else if ("sms".equals(type)) {
            // ==== 手机验证码登录逻辑(约 50 行代码) ====
            String phone = (String) request.get("phone");
            String code = (String) request.get("code");
            
            // 1. 验证验证码
            if (!smsService.verifyCode(phone, code)) {
                throw new RuntimeException("验证码错误或已过期");
            }
            
            // 2. 查询或创建用户
            User user = userService.getByPhone(phone);
            if (user == null) {
                user = userService.createByPhone(phone);
            }
            
            // 3. Sa-Token 登录
            StpUtil.login(user.getId());
            return Result.ok(buildAuthToken());
            
        } else if ("wechat".equals(type)) {
            // ==== 微信扫码登录逻辑(约 50 行代码) ====
            String code = (String) request.get("code");
            
            // 1. 调用微信 API 获取 openId
            String openId = wechatService.getOpenId(code);
            
            // 2. 查询或创建用户
            User user = userService.getByWechatOpenId(openId);
            if (user == null) {
                user = userService.createByWechatOpenId(openId);
            }
            
            // 3. Sa-Token 登录
            StpUtil.login(user.getId());
            return Result.ok(buildAuthToken());
            
        } else if ("github".equals(type)) {
            // ==== GitHub OAuth2 登录逻辑(约 50 行代码) ====
            String code = (String) request.get("code");
            
            // 1. 调用 GitHub API 获取 access_token
            String accessToken = githubService.getAccessToken(code);
            
            // 2. 调用 GitHub API 获取用户信息
            GithubUser githubUser = githubService.getUserInfo(accessToken);
            
            // 3. 查询或创建用户
            User user = userService.getByGithubId(githubUser.getId());
            if (user == null) {
                user = userService.createByGithubUser(githubUser);
            }
            
            // 4. Sa-Token 登录
            StpUtil.login(user.getId());
            return Result.ok(buildAuthToken());
            
        } else if ("google".equals(type)) {
            // ==== Google OAuth2 登录逻辑(约 50 行代码) ====
            String code = (String) request.get("code");
            
            // 1. 调用 Google API 获取 access_token
            String accessToken = googleService.getAccessToken(code);
            
            // 2. 调用 Google API 获取用户信息
            GoogleUser googleUser = googleService.getUserInfo(accessToken);
            
            // 3. 查询或创建用户
            User user = userService.getByGoogleId(googleUser.getId());
            if (user == null) {
                user = userService.createByGoogleUser(googleUser);
            }
            
            // 4. Sa-Token 登录
            StpUtil.login(user.getId());
            return Result.ok(buildAuthToken());
            
        } else {
            throw new RuntimeException("不支持的登录方式: " + type);
        }
    }
    
    private AuthToken buildAuthToken() {
        return AuthToken.builder()
            .tokenName(StpUtil.getTokenName())
            .tokenValue(StpUtil.getTokenValue())
            .loginId(StpUtil.getLoginIdAsLong())
            .build();
    }
}

传统写法的五大致命问题

问题一:代码膨胀

这个 Controller 的 login 方法已经超过 250 行代码。如果再加上异常处理、日志记录、参数校验,代码量会超过 400 行。

想象一下,当你需要修改某个登录方式的逻辑时,你需要在这 400 行代码中找到对应的 if-else 分支,然后小心翼翼地修改,生怕影响到其他分支。这种体验就像在一个巨大的迷宫中寻找出口。

问题二:违反开闭原则

当我们需要新增一个登录方式(如 “Apple 登录”)时,必须修改 AuthController 的代码,增加一个新的 else if 分支。这违反了开闭原则(Open-Closed Principle):对扩展开放,对修改关闭。

在传统写法中,每次新增登录方式都需要修改 Controller,这意味着:

需要重新测试所有登录方式(因为修改了 Controller)
可能引入新的 Bug(因为修改了现有代码)
代码越来越臃肿(每次新增都会增加 50+ 行代码)

问题三:难以测试

我们无法单独测试某个登录方式的逻辑。如果要测试 “微信登录”,必须:

启动整个 Spring Boot 应用
模拟所有依赖(UserService、WechatService 等)
构造完整的 HTTP 请求
验证响应结果

这种测试方式效率极低,而且容易受到其他登录方式的干扰。

问题四:职责不清

Controller 层不应该包含业务逻辑。它的职责应该是:

接收请求
参数校验
调用 Service 层
返回响应

但现在 Controller 层包含了大量的业务逻辑(密码验证、用户创建、Token 生成等),违反了单一职责原则(Single Responsibility Principle)。

在传统写法中,Controller 承担了太多职责:

路由分发(根据 type 选择登录方式)
参数解析(从 Map 中提取参数)
业务逻辑(验证密码、调用第三方 API)
异常处理(捕获并转换异常)

问题五:无法动态管理

我们无法在运行时动态禁用某个登录方式。如果要禁用 “微信登录”,必须:

修改代码(注释掉对应的 if-else 分支)
重新编译
重新部署

这在生产环境中是不可接受的。想象一下,如果微信登录接口出现故障,我们需要紧急禁用这个功能,但却需要重新部署整个应用,这会导致服务中断。

解决方案:策略模式 + 工厂模式

我们需要一个更优雅的设计:

策略模式:将每种登录方式封装为一个独立的策略类
工厂模式:使用工厂类根据登录类型自动选择对应的策略

架构对比:

对比维度	传统 if-else	策略模式 + 工厂模式
Controller 代码量	250+ 行	10 行
新增登录方式	修改 Controller	只需实现 `AuthStrategy` 接口
可测试性	难以单独测试	可以单独测试每个策略
职责分离	Controller 包含业务逻辑	Controller 只负责调度
动态管理	不支持	支持(配置化管理)
符合设计原则	❌ 违反开闭原则、单一职责原则	✅ 符合开闭原则、单一职责原则

在接下来的章节中,我们将一步步构建这个认证工厂,让你亲眼见证代码从 250 行减少到 10 行的过程。

19.2.2. 架构设计

在上一节中，我们已经看到了传统 if-else 登录的五大致命问题。现在，让我们设计一个更优雅的解决方案。

在开始编写代码之前，我们需要先设计整个认证工厂的架构。这就像盖房子之前要先画设计图一样，架构设计决定了代码的可维护性和可扩展性。

核心设计理念

我们的认证工厂基于三个核心理念：

理念	类比	系统实现
统一入口	机场安检口：无论国内航班还是国际航班，都从同一个入口进入，然后根据航班类型被引导到不同的登机口	- 统一入口：`AuthController` 的 `/auth/login` 接口 - 多态分发：`AuthStrategyFactory` 根据 `authType` 选择对应的策略
策略独立	餐厅的不同厨师：川菜师傅和粤菜师傅各司其职，互不干扰	- 账号密码登录：`PasswordAuthStrategy` - 手机验证码登录：`SmsAuthStrategy` - 微信扫码登录：`WechatAuthStrategy` - 每个策略类只负责自己的验证逻辑，不需要知道其他策略的存在
工厂管理	公司的人力资源部门：自动发现和管理所有员工，不需要手动登记	- `AuthStrategyFactory` 在启动时自动扫描所有实现了 `AuthStrategy` 接口的 Bean - 将这些策略注册到 `Map` 中 - 后续根据 `authType` 自动选择对应的策略

架构全景图

让我们先看一下整个认证工厂的架构全景图：

架构说明：

从上到下，整个系统分为六层：

第一层：客户端层

前端应用（Web、移动端、小程序等）发送登录请求
请求中必须包含 authType 字段，标识登录方式

第二层：接入层

AuthController 接收请求，这是系统的统一入口
Controller 不包含任何业务逻辑，只负责接收请求和返回响应

第三层：工厂层

AuthStrategyFactory 根据 authType 选择对应的策略
这是整个系统的 “中枢神经”，负责策略的管理和分发

第四层：策略层

每种登录方式都是一个独立的策略类
策略类只负责验证身份，返回用户 ID

第五层：服务层

策略类调用各种服务完成业务逻辑
如 UserService（查询用户）、SmsService（验证验证码）、WechatService（调用微信 API）

第六层：数据层

MySQL 存储用户数据
Redis 存储会话信息（由 Sa-Token 管理）

请求流转时序图

现在让我们看一下一个完整的登录请求是如何在系统中流转的：

时序说明：

让我们逐步分析这个流程：

步骤 1：前端发送登录请求

{
  "authType": "PASSWORD",
  "username": "admin",
  "password": "123456"
}

前端必须在请求中携带 authType 字段，标识这是哪种登录方式。

步骤 2：Controller 接收请求

AuthController 接收到请求后，不做任何业务逻辑处理，直接委托给 AuthStrategyFactory：

@PostMapping("/login")
public Result login(@Valid @RequestBody AuthRequest request) {
    AuthTokenVO authToken = authStrategyFactory.authenticate(request);
    return Result.ok(authToken);
}

步骤 3：工厂选择策略

AuthStrategyFactory 根据 authType 字段，从 Map 中获取对应的策略：

1	AuthStrategy strategy = strategyMap.get(request.getAuthType());

步骤 4：策略执行认证

策略类执行具体的认证逻辑（查询用户、验证密码等），返回用户 ID：

1	Long userId = strategy.authenticate(request);

步骤 5：工厂调用 Sa-Token 登录

工厂类拿到用户 ID 后，调用 Sa-Token 的登录方法：

1	StpUtil.login(userId);

Sa-Token 会自动生成 Token 并存入 Redis。

步骤 6：返回 Token

工厂类构建响应对象，包含 Token 信息：

return AuthTokenVO.builder()
    .tokenName(StpUtil.getTokenName())
    .tokenValue(StpUtil.getTokenValue())
    .loginId(userId)
    .build();

步骤 7：层层返回

响应对象层层返回，最终到达前端。

策略模式与 Sa-Token 的协同关系

现在让我们深入理解策略模式与 Sa-Token 是如何协同工作的。

Sa-Token 的职责边界

Sa-Token 只负责 “会话管理”，不负责 “身份验证”。具体来说：

Sa-Token 负责的事情：

✅ 生成 Token（StpUtil.login(userId) 会自动生成）
✅ 验证 Token（StpUtil.checkLogin() 会自动验证）
✅ 管理会话（将会话信息存入 Redis）
✅ 权限验证（StpUtil.checkPermission() 等）
✅ 踢人下线（StpUtil.kickout(userId)）

Sa-Token 不负责的事情：

❌ 验证用户名和密码
❌ 验证手机验证码
❌ 调用微信 API 获取 openId
❌ 查询或创建用户

策略模式的职责边界

策略模式负责 “身份验证”，不负责 “会话管理”。具体来说：

策略类负责的事情：

✅ 验证用户名和密码
✅ 验证手机验证码
✅ 调用第三方 API 获取用户信息
✅ 查询或创建用户
✅ 返回用户 ID

策略类不负责的事情：

❌ 生成 Token（由 Sa-Token 负责）
❌ 管理会话（由 Sa-Token 负责）
❌ 权限验证（由 Sa-Token 负责）

协同工作流程

让我们用一个具体的例子来说明它们是如何协同工作的。假设用户使用账号密码登录：

// 步骤 1：策略类验证身份
@Component
public class PasswordAuthStrategy implements AuthStrategy {
    @Override
    public Long authenticate(AuthRequest request) {
        // 1. 查询用户
        User user = userService.getByUsername(username);
        
        // 2. 验证密码
        if (!BCrypt.checkpw(password, user.getPassword())) {
            throw new RuntimeException("密码错误");
        }
        
        // 3. 返回用户 ID（策略类的职责到此结束）
        return user.getId();
    }
}

// 步骤 2：工厂类调用 Sa-Token 登录
@Component
public class AuthStrategyFactory {
    public AuthTokenVO authenticate(AuthRequest request) {
        // 1. 选择策略
        AuthStrategy strategy = strategyMap.get(request.getAuthType());
        
        // 2. 执行认证，获取用户 ID
        Long userId = strategy.authenticate(request);
        
        // 3. Sa-Token 登录（Sa-Token 的职责从这里开始）
        StpUtil.login(userId);
        
        // 4. 返回 Token
        return AuthTokenVO.builder()
            .tokenName(StpUtil.getTokenName())
            .tokenValue(StpUtil.getTokenValue())
            .loginId(userId)
            .build();
    }
}

关键设计点：

策略类只返回 userId，不返回 Token。这是因为：

Token 的生成是 Sa-Token 的职责，策略类不应该关心
这样做可以让策略类保持职责单一，易于测试

工厂类负责调用 StpUtil.login(userId)。这是因为：

工厂类是策略模式和 Sa-Token 的 “桥梁”
所有策略类都需要调用 Sa-Token 登录，放在工厂类中可以避免重复代码

策略模式的类图结构

让我们用类图来展示策略模式的结构：

类图说明：

AuthRequest 接口

这是所有认证请求的统一接口
定义了一个方法：getAuthType()，用于标识登录类型
所有具体的请求类（如 PasswordAuthRequest）都必须实现这个接口

AuthStrategy 接口

这是所有认证策略的统一接口
定义了两个方法：
- authenticate(AuthRequest)：执行认证，返回用户 ID
- getSupportedType()：返回支持的认证类型

AuthStrategyFactory 工厂类

管理所有策略的映射关系（Map）
提供 authenticate(AuthRequest) 方法，作为统一的认证入口
在应用启动时自动发现和注册所有策略

具体策略类

PasswordAuthStrategy：账号密码登录
SmsAuthStrategy：手机验证码登录
WechatAuthStrategy：微信扫码登录

每个策略类都实现了 AuthStrategy 接口，并提供自己的认证逻辑。

设计模式的职责分工

让我们用一个表格来总结各个设计模式的职责：

设计模式	职责	核心类	关键方法
策略模式	封装算法族，让它们可以互相替换	`AuthStrategy` 接口及其实现类	`authenticate(AuthRequest)`
工厂模式	根据条件创建对象，隐藏创建逻辑	`AuthStrategyFactory`	`getStrategy(AuthType)`
多态	统一接口，不同实现	`AuthRequest` 接口及其实现类	`getAuthType()`

策略模式的核心价值：

将每种登录方式封装为独立的策略类，它们之间互不依赖。这样做的好处是：

新增登录方式不需要修改现有代码
可以单独测试每个策略
可以动态启用或禁用某个策略

工厂模式的核心价值：

根据登录类型自动选择对应的策略，隐藏了策略选择的复杂性。这样做的好处是：

Controller 不需要知道如何选择策略
策略的注册和管理都由工厂类负责
可以在运行时动态添加或删除策略

多态的核心价值：

使用统一的接口（AuthRequest、AuthStrategy），让不同的实现类可以互相替换。这样做的好处是：

Controller 只需要依赖接口，不需要依赖具体实现
可以在不修改 Controller 的情况下替换实现类
符合依赖倒置原则（Dependency Inversion Principle）

与传统写法的对比

让我们用一个表格来对比传统写法和策略模式的差异：

对比维度	传统 if-else	策略模式 + 工厂模式
代码组织	所有逻辑混在一起	每个策略独立成类
Controller 代码量	250+ 行	10 行
新增登录方式	修改 Controller，增加 if-else 分支	只需实现 `AuthStrategy` 接口
可测试性	难以单独测试某个登录方式	可以单独测试每个策略
职责分离	Controller 包含业务逻辑	Controller 只负责调度
动态管理	不支持	支持（配置化管理）
符合设计原则	❌ 违反开闭原则、单一职责原则	✅ 符合开闭原则、单一职责原则

本节小结

在本节中，我们完成了认证工厂的架构设计。

我们基于三个核心理念设计了整个系统：

统一入口，多态分发：所有登录请求通过同一个接口进入，然后自动分发到对应的策略
策略独立，互不干扰：每种登录方式都是独立的策略类，可以单独开发和测试
工厂管理，自动发现：工厂类在启动时自动发现和注册所有策略

我们绘制了三张关键的架构图：

架构全景图：展示了系统的六层结构
请求流转时序图：展示了一个完整的登录请求如何在系统中流转
策略模式类图：展示了策略模式的类结构

我们明确了策略模式与 Sa-Token 的职责边界：

策略类负责验证身份，返回用户 ID
Sa-Token 负责生成 Token 和管理会话
工厂类是它们之间的桥梁

要点	何时使用	关键动作
架构全景图	理解系统整体结构	识别六层架构及其职责
请求流转时序图	理解登录流程	跟踪请求从前端到数据库的完整路径
策略模式类图	理解策略模式结构	识别接口、工厂、策略三者的关系

在下一节中，我们将快速搭建项目骨架，让整个系统跑起来。

19.2.3. 快速搭建：10 分钟启动项目骨架

在上一节中，我们已经完成了认证工厂的架构设计，理解了策略模式与 Sa-Token 的协同关系。现在，让我们动手搭建一个可运行的项目骨架。

本节的目标很明确：用最短的时间搭建一个能够跑起来的基础环境，让你能够立即开始编写策略类。我们不会在这里讲解每个配置项的深层原理（那是后续章节的事情），而是专注于 “快速启动”。

环境准备检查清单

在开始之前，请确认你的开发环境满足以下要求：

组件	版本要求	检查方式	备注
JDK	17 或更高	终端执行 `java -version`	必须是 LTS 版本
Maven	3.6+	终端执行 `mvn -v`	或使用 IDE 内置 Maven
Redis	5.0+	终端执行 `redis-cli ping`，返回 `PONG`	本地或远程均可
IDE	IntelliJ IDEA 2023+	-	推荐使用 Ultimate 版

如果你的 Redis 尚未启动，请先在终端执行 redis-server 启动 Redis 服务。Windows 用户可以使用 WSL 或 Docker 运行 Redis。

项目结构全景

我们将创建一个单模块的 Spring Boot 项目，目录结构如下：

auth-factory-demo/
├── pom.xml                          # Maven 依赖配置
└── src/main/
    ├── java/com/example/auth/
    │   ├── AuthFactoryApplication.java    # 启动类
    │   ├── config/
    │   │   └── SaTokenConfig.java         # Sa-Token 配置类
    │   ├── enums/
    │   │   └── AuthType.java              # 认证类型枚举
    │   ├── model/
    │   │   ├── request/
    │   │   │   └── AuthRequest.java       # 认证请求接口
    │   │   └── vo/
    │   │       └── AuthTokenVO.java       # 统一响应对象
    │   ├── strategy/
    │   │   └── AuthStrategy.java          # 认证策略接口
    │   ├── factory/
    │   │   └── AuthStrategyFactory.java   # 认证工厂
    │   └── controller/
    │       └── AuthController.java        # 认证控制器
    └── resources/
        └── application.yml                 # 应用配置文件

这个结构非常简洁，没有复杂的多模块划分。我们的重点是 策略模式的实现，而不是项目结构的复杂性。

步骤 1：创建 Spring Boot 项目

打开 IntelliJ IDEA，选择 File → New → Project。

在弹出的窗口中：

左侧选择 Spring Initializr
右侧配置项目信息：
- Name：auth
- Language：Java
- Type：Maven
- Group：com.example
- Artifact：auth
- Package name：com.example.auth
- JDK：选择 17 或更高版本
- Java：17
- Packaging：Jar
点击 Next，在依赖选择页面，暂时不选择任何依赖（我们稍后手动添加）
点击 Finish，等待项目创建完成

验证项目创建成功：

项目创建完成后，你应该能看到：

左侧项目树中出现了 auth-factory-demo 文件夹
src/main/java/com/example/auth 目录下有一个 AuthFactoryDemoApplication.java 启动类
pom.xml 文件已经生成

步骤 2：配置 Maven 依赖

现在我们需要在 pom.xml 中添加必要的依赖。

📄 文件：pom.xml

打开项目根目录下的 pom.xml 文件，将标签内的内容替换为以下内容：

<dependencies>
    
    <dependency>
        <groupId>org.springframework.bootgroupId>
        <artifactId>spring-boot-starter-webartifactId>
    dependency>

    
    <dependency>
        <groupId>cn.dev33groupId>
        <artifactId>sa-token-spring-boot3-starterartifactId>
        <version>1.37.0version>
    dependency>

    
    <dependency>
        <groupId>cn.dev33groupId>
        <artifactId>sa-token-redis-jacksonartifactId>
        <version>1.37.0version>
    dependency>

    
    <dependency>
        <groupId>org.springframework.bootgroupId>
        <artifactId>spring-boot-starter-data-redisartifactId>
    dependency>

    
    <dependency>
        <groupId>org.apache.commonsgroupId>
        <artifactId>commons-pool2artifactId>
    dependency>

    
    <dependency>
        <groupId>com.fasterxml.jackson.coregroupId>
        <artifactId>jackson-databindartifactId>
    dependency>

    
    <dependency>
        <groupId>org.springframework.bootgroupId>
        <artifactId>spring-boot-starter-validationartifactId>
    dependency>

    
    <dependency>
        <groupId>org.projectlombokgroupId>
        <artifactId>lombokartifactId>
        <optional>trueoptional>
    dependency>

    
    <dependency>
        <groupId>org.springframework.bootgroupId>
        <artifactId>spring-boot-starter-testartifactId>
        <scope>testscope>
    dependency>
dependencies>

依赖说明：

依赖	作用	为什么需要
`spring-boot-starter-web`	提供 Web 功能	我们需要创建 REST API
`sa-token-spring-boot3-starter`	Sa-Token 核心	提供认证与会话管理能力
`sa-token-redis-jackson`	Sa-Token Redis 集成	将会话信息存入 Redis
`spring-boot-starter-data-redis`	Redis 客户端	连接 Redis 服务器
`commons-pool2`	连接池	提高 Redis 连接性能
`jackson-databind`	JSON 处理	实现多态反序列化
`spring-boot-starter-validation`	参数校验	验证前端传来的参数
`lombok`	代码简化	自动生成 getter/setter

刷新 Maven 依赖：

保存 pom.xml 后，点击 IDE 右侧的 Maven 面板 → 点击刷新图标（或按 Ctrl + Shift + O）。

验证依赖下载成功：

观察 IDE 底部的进度条走完，且 pom.xml 中的依赖没有红色波浪线，说明依赖下载成功。

步骤 3：配置 application.yml

现在我们需要配置 Spring Boot 的应用配置文件。

📄 文件：src/main/resources/application.yml（新建）

在 src/main/resources 目录下，右键选择 New → File，输入文件名 application.yml，然后粘贴以下内容：

# 服务器配置
server:
  port: 8080                    # 应用端口，默认 8080

# Spring 配置
spring:
  application:
    name: auth-factory-demo     # 应用名称

  # Redis 配置
  data:
    redis:
      host: localhost           # Redis 服务器地址
      port: 6379                # Redis 端口
      password:                 # Redis 密码（如果没有设置密码，留空）
      database: 0               # 使用的数据库索引
      lettuce:
        pool:
          max-active: 8         # 连接池最大连接数
          max-idle: 8           # 连接池最大空闲连接数
          min-idle: 0           # 连接池最小空闲连接数
          max-wait: -1ms        # 连接池最大阻塞等待时间

# Sa-Token 配置
sa-token:
  token-name: Authorization     # Token 的名称（前端请求头中的字段名）
  timeout: 86400                # Token 有效期（单位：秒，86400 秒 = 1 天）
  active-timeout: 1800          # Token 最低活跃频率（单位：秒，1800 秒 = 30 分钟）
  is-concurrent: true           # 是否允许同一账号多地同时登录
  is-share: false               # 是否共享 Token（多个系统是否共用一套 Token）
  token-style: uuid             # Token 风格（uuid、simple-uuid、random-32 等）
  is-log: true                  # 是否打印 Sa-Token 的操作日志

配置说明：

Redis 配置：

host 和 port：指定 Redis 服务器的地址和端口
password：如果你的 Redis 设置了密码，请填写密码；否则留空
database：Redis 有 16 个数据库（0-15），我们使用 0 号数据库
lettuce.pool：连接池配置，用于提高 Redis 连接性能

Sa-Token 配置：

token-name：前端请求头中携带 Token 的字段名，我们使用 Authorization
timeout：Token 的有效期，设置为 1 天（86400 秒）
active-timeout：如果用户 30 分钟内没有任何操作，Token 会自动续期
is-concurrent：允许同一个账号在多个设备上同时登录
is-share：不共享 Token（每个应用使用独立的 Token）
token-style：Token 的生成风格，使用 UUID
is-log：开启 Sa-Token 的操作日志，方便调试

19.2.4. 接口抽象：定义统一的认证规范

在上一节中，我们已经完成了项目骨架的搭建，确认了 Spring Boot 应用能够正常启动，Redis 连接正常。现在，我们需要开始设计认证工厂的核心接口。

这一节是整个认证工厂的 “输入规范”，它定义了所有登录方式必须遵循的统一接口。就像工厂的生产线需要标准化的零件接口一样，我们的认证工厂也需要标准化的请求接口，才能让不同的登录策略无缝接入。

19.2.4.1. 统一接口的设计意图

在传统写法中，Controller 使用 Map 接收请求参数：

@PostMapping("/login")
public Result login(@RequestBody Map request) {
    String type = (String) request.get("type");
    String username = (String) request.get("username");
    // ...
}

这种写法存在三个核心问题：

问题一：类型不安全

Map 中的值都是 Object 类型，需要手动强制转换。如果前端传错了类型，只能在运行时才能发现错误。

问题二：无法校验

我们无法使用 Spring 的 @Valid 注解进行参数校验，只能在业务逻辑中手动判断，导致校验代码散落在各个 if-else 分支中。

问题三：工厂无法分发

工厂模式的核心是 “根据类型选择策略”。但 Map 无法携带类型信息，工厂类只能通过字符串判断，这与我们的策略模式设计理念相悖。

解决方案：定义统一的接口

我们定义一个 AuthRequest 接口，所有登录请求都必须实现这个接口。这样做的核心价值是：

类型安全：编译时就能发现类型错误
参数校验：可以使用 @Valid 注解自动校验
工厂分发：工厂类可以通过 getAuthType() 方法获取类型，自动选择对应的策略

接口在工厂模式中的作用

在策略模式中，接口扮演着 “统一输入” 的角色：

1	前端请求 → AuthRequest 接口 → 工厂类根据 authType 选择策略 → 策略类执行认证

所有登录方式的请求都实现 AuthRequest 接口，工厂类只需要依赖这个接口，就能处理所有类型的登录请求。这就是 “面向接口编程” 的核心思想。

19.2.4.2. 认证类型枚举（AuthType）

在定义接口之前，我们需要先定义一个枚举类，用于标识系统支持的所有登录方式。

📄 文件：src/main/java/com/example/auth/enums/AuthType.java（新建）

package com.example.auth.enums;

import lombok.Getter;

/**
 * 认证类型枚举
 * 集中管理系统支持的所有登录方式
 */
@Getter
public enum AuthType {
    /**
     * 账号密码登录
     */
    PASSWORD("password", "账号密码登录"),
    
    /**
     * 手机验证码登录
     */
    SMS("sms", "手机验证码登录"),
    
    /**
     * 微信扫码登录
     */
    WECHAT("wechat", "微信扫码登录");
    
    /**
     * 类型编码（用于前端传参）
     */
    private final String code;
    
    /**
     * 类型描述（用于日志记录）
     */
    private final String description;
    
    AuthType(String code, String description) {
        this.code = code;
        this.description = description;
    }
    
    /**
     * 根据 code 获取枚举
     */
    public static AuthType fromCode(String code) {
        for (AuthType type : values()) {
            if (type.code.equals(code)) {
                return type;
            }
        }
        throw new IllegalArgumentException("不支持的认证方式: " + code);
    }
}

设计要点

这个枚举类有两个核心字段：

code：用于前端传参和数据库存储，必须是简短的英文标识符
description：用于日志记录和错误提示，必须是易读的中文描述

这样设计的好处是：前端传参时使用 code（如 "password"），简洁高效；日志记录时使用 description（如 "账号密码登录"），易于理解。

fromCode 方法用于将前端传来的字符串转换为枚举。如果前端传来的 code 不存在，会抛出 IllegalArgumentException，提示 “不支持的认证方式”。

19.2.4.3. 认证请求接口（AuthRequest）

现在我们定义统一的认证请求接口。这个接口是所有登录请求的 “父类”，它定义了所有登录方式必须遵循的规范。

📄 文件：src/main/java/com/example/auth/model/request/AuthRequest.java（新建）

package com.example.auth.model.request;

import com.example.auth.enums.AuthType;
import com.fasterxml.jackson.annotation.JsonSubTypes;
import com.fasterxml.jackson.annotation.JsonTypeInfo;

/**
 * 认证请求接口
 * 所有登录方式的请求参数都必须实现这个接口
 */
@JsonTypeInfo(
    use = JsonTypeInfo.Id.NAME,
    include = JsonTypeInfo.As.EXISTING_PROPERTY,
    property = "authType",
    visible = true
)
@JsonSubTypes({
    @JsonSubTypes.Type(value = PasswordAuthRequest.class, name = "PASSWORD"),
    @JsonSubTypes.Type(value = SmsAuthRequest.class, name = "SMS"),
    @JsonSubTypes.Type(value = WechatAuthRequest.class, name = "WECHAT")
})
public interface AuthRequest {
    /**
     * 获取认证类型
     * 用于工厂类根据类型选择对应的策略
     */
    AuthType getAuthType();
}

设计要点

这个接口只定义了一个方法：getAuthType()。因为不同登录方式的参数不同（账号密码登录需要 username 和 password，手机验证码登录需要 phone 和 code），我们无法在接口中定义统一的参数字段。

接口上的两个注解（@JsonTypeInfo 和 @JsonSubTypes）用于配置 Jackson 的多态反序列化。这样 Spring Boot 就能根据前端传来的 authType 字段，自动将 JSON 转换为对应的请求类。

Jackson 多态反序列化的工作流程

1. 前端发送 JSON: {"authType": "PASSWORD", "username": "admin", "password": "123456"}
2. Spring Boot 接收到请求，调用 Jackson 进行反序列化
3. Jackson 读取 authType 字段，发现值是 "PASSWORD"
4. Jackson 查找 @JsonSubTypes 注解，找到 name="PASSWORD" 对应的类是 PasswordAuthRequest
5. Jackson 将 JSON 转换为 PasswordAuthRequest 对象
6. Controller 接收到 PasswordAuthRequest 对象

19.2.4.4. 具体请求类示例

现在我们定义一个具体的认证请求类，用于演示接口的实现方式。

📄 文件：src/main/java/com/example/auth/model/request/PasswordAuthRequest.java（新建）

package com.example.auth.model.request;

import com.example.auth.enums.AuthType;
import com.fasterxml.jackson.annotation.JsonTypeName;
import jakarta.validation.constraints.NotBlank;
import lombok.Data;

/**
 * 账号密码登录请求
 */
@Data
@JsonTypeName("PASSWORD")
public class PasswordAuthRequest implements AuthRequest {
    
    private AuthType authType = AuthType.PASSWORD;
    
    @NotBlank(message = "用户名不能为空")
    private String username;
    
    @NotBlank(message = "密码不能为空")
    private String password;
    
    @Override
    public AuthType getAuthType() {
        return authType;
    }
}

设计要点

这个请求类实现了 AuthRequest 接口，并定义了账号密码登录所需的两个字段：username 和 password。

@JsonTypeName("PASSWORD") 注解指定了类型名称，必须与 @JsonSubTypes 中的 name 属性一致，这样 Jackson 才能正确地将 "PASSWORD" 映射到 PasswordAuthRequest 类。

authType 字段设置了默认值 AuthType.PASSWORD，这样即使前端忘记传 authType 字段，也能正确识别类型。

其他请求类

按照同样的方式，我们还需要定义 SmsAuthRequest 和 WechatAuthRequest：

📄 文件：src/main/java/com/example/auth/model/request/SmsAuthRequest.java（新建）

package com.example.auth.model.request;

import com.example.auth.enums.AuthType;
import com.fasterxml.jackson.annotation.JsonTypeName;
import jakarta.validation.constraints.NotBlank;
import jakarta.validation.constraints.Pattern;
import lombok.Data;

@Data
@JsonTypeName("SMS")
public class SmsAuthRequest implements AuthRequest {
    
    private AuthType authType = AuthType.SMS;
    
    @NotBlank(message = "手机号不能为空")
    @Pattern(regexp = "^1[3-9]\\d{9}$", message = "手机号格式不正确")
    private String phone;
    
    @NotBlank(message = "验证码不能为空")
    @Pattern(regexp = "^\\d{6}$", message = "验证码格式不正确")
    private String code;
    
    @Override
    public AuthType getAuthType() {
        return authType;
    }
}

📄 文件：src/main/java/com/example/auth/model/request/WechatAuthRequest.java（新建）

package com.example.auth.model.request;

import com.example.auth.enums.AuthType;
import com.fasterxml.jackson.annotation.JsonTypeName;
import jakarta.validation.constraints.NotBlank;
import lombok.Data;

@Data
@JsonTypeName("WECHAT")
public class WechatAuthRequest implements AuthRequest {
    
    private AuthType authType = AuthType.WECHAT;
    
    @NotBlank(message = "授权码不能为空")
    private String code;
    
    @Override
    public AuthType getAuthType() {
        return authType;
    }
}

19.2.4.5. 本节小结

本节完成了认证工厂的输入规范设计，定义了 AuthType 枚举、AuthRequest 接口以及三个具体的请求类。这些接口为后续的工厂实现奠定了基础，工厂类可以通过 getAuthType() 方法获取类型，自动选择对应的策略。

要点	何时使用	关键动作
AuthType 枚举	标识登录方式	定义 code 和 description 字段
AuthRequest 接口	统一请求规范	定义 getAuthType() 方法
具体请求类	实现不同登录方式	实现 AuthRequest 接口，添加 @JsonTypeName 注解

在下一节中，我们将定义认证策略接口（AuthStrategy），让每种登录方式都遵循统一的策略规范。

19.2.5. 策略接口：定义统一的认证策略

在上一节中，我们定义了统一的认证请求接口（AuthRequest），解决了 “如何统一接收不同登录方式的参数” 这个问题。现在我们需要解决另一个核心问题：如何统一处理不同登录方式的验证逻辑？

这就是策略模式的核心所在。我们将定义一个 AuthStrategy 接口，让每种登录方式都实现这个接口，从而实现 “统一规范，各自实现”。

19.2.5.1. 策略模式的核心思想

在传统写法中，所有登录方式的验证逻辑都混在 Controller 的 if-else 分支中：

if ("password".equals(type)) {
    // 查询用户、验证密码、生成 Token...
} else if ("sms".equals(type)) {
    // 验证验证码、查询或创建用户、生成 Token...
}

这种写法的问题在于：验证逻辑与分发逻辑耦合在一起。Controller 既要负责 “选择哪种登录方式”，又要负责 “执行具体的验证逻辑”，违反了单一职责原则。

策略模式的解决方案

策略模式将 “算法的选择” 与 “算法的实现” 分离：

工厂类负责选择：根据 authType 选择对应的策略
策略类负责实现：每种登录方式都是一个独立的策略类，实现具体的验证逻辑

这样做的核心价值是：

职责清晰：Controller 只负责调度，策略类只负责验证
易于扩展：新增登录方式只需实现 AuthStrategy 接口，不需要修改任何现有代码
易于测试：可以单独测试每个策略类，不需要启动整个应用

策略模式的三个角色

在我们的认证工厂中，策略模式包含三个角色：

角色	职责	在我们系统中的对应类
Strategy（策略接口）	定义所有策略的统一接口	`AuthStrategy`
ConcreteStrategy（具体策略）	实现具体的算法	`PasswordAuthStrategy`、`SmsAuthStrategy` 等
Context（上下文）	持有策略引用，委托策略执行	`AuthStrategyFactory`

19.2.5.2. 策略接口的设计

现在我们定义 AuthStrategy 接口。这个接口是所有登录策略的 “父类”，它定义了所有策略必须遵循的规范。

📄 文件：src/main/java/com/example/auth/strategy/AuthStrategy.java（新建）

在 src/main/java/com/example/auth 目录下，右键选择 New → Package，输入包名 strategy，然后在 strategy 包下新建 AuthStrategy.java 文件：

package com.example.auth.strategy;

import com.example.auth.enums.AuthType;
import com.example.auth.model.request.AuthRequest;

/**
 * 认证策略接口
 * 所有登录方式都必须实现这个接口
 * 
 * 设计理念：
 * 1. 统一规范：所有登录方式都遵循同一套接口
 * 2. 策略模式：将每种登录方式封装为一个独立的策略类
 * 3. 职责单一：策略类只负责验证身份，返回用户 ID
 */
public interface AuthStrategy {
    /**
     * 执行认证
     * 这是策略模式的核心方法，每个策略类都必须实现
     * 
     * 职责边界：
     * - 策略类只负责验证身份（查询用户、验证密码/验证码等）
     * - 策略类不负责生成 Token（由 Sa-Token 负责）
     * - 策略类不负责管理会话（由 Sa-Token 负责）
     * 
     * @param request 认证请求（多态参数）
     * @return 用户 ID（用于 Sa-Token 登录）
     * @throws RuntimeException 如果认证失败
     */
    Long authenticate(AuthRequest request);
    
    /**
     * 获取支持的认证类型
     * 用于工厂类根据类型选择对应的策略
     * 
     * @return 认证类型枚举
     */
    AuthType getSupportedType();
}

设计要点解析

设计点一：为什么返回 Long 而不是 AuthToken？

这是本接口最关键的设计决策。让我们对比两种设计方案：

方案 A：策略类返回 AuthToken（不推荐）

public interface AuthStrategy {
    AuthToken authenticate(AuthRequest request);
}

// 实现类
public class PasswordAuthStrategy implements AuthStrategy {
    @Override
    public AuthToken authenticate(AuthRequest request) {
        // 1. 验证身份
        User user = userService.getByUsername(username);
        // 2. 生成 Token
        StpUtil.login(user.getId());
        // 3. 返回 Token
        return AuthToken.builder()
            .tokenValue(StpUtil.getTokenValue())
            .build();
    }
}

这种设计的问题：

❌ 策略类职责过重：既要验证身份，又要生成 Token
❌ 代码重复：每个策略类都要写一遍 StpUtil.login() 和构建 AuthToken 的代码
❌ 难以测试：测试策略类时，必须模拟 Sa-Token 的行为

方案 B：策略类返回 Long（推荐）

public interface AuthStrategy {
    Long authenticate(AuthRequest request);
}

// 实现类
public class PasswordAuthStrategy implements AuthStrategy {
    @Override
    public Long authenticate(AuthRequest request) {
        // 只负责验证身份
        User user = userService.getByUsername(username);
        // 返回用户 ID
        return user.getId();
    }
}

// 工厂类
public class AuthStrategyFactory {
    public AuthTokenVO authenticate(AuthRequest request) {
        // 1. 选择策略
        AuthStrategy strategy = getStrategy(request.getAuthType());
        // 2. 执行认证，获取用户 ID
        Long userId = strategy.authenticate(request);
        // 3. Sa-Token 登录
        StpUtil.login(userId);
        // 4. 返回 Token
        return buildAuthToken(userId);
    }
}

这种设计的优势：

✅ 策略类职责单一：只负责验证身份
✅ 代码复用：Token 生成逻辑统一在工厂类中
✅ 易于测试：测试策略类时，只需要验证返回的用户 ID 是否正确

设计点二：为什么需要 getSupportedType() 方法？

这个方法用于标识策略类支持的认证类型。工厂类在启动时会调用这个方法，将策略注册到 Map 中：

// 工厂类的构造函数
public AuthStrategyFactory(List strategies) {
    for (AuthStrategy strategy : strategies) {
        AuthType type = strategy.getSupportedType();  // 获取策略类型
        strategyMap.put(type, strategy);              // 注册到 Map
    }
}

这样设计的好处是：

✅ 自动注册：策略类只需要实现接口，工厂类会自动发现并注册
✅ 类型安全：使用枚举而非字符串，避免拼写错误

设计点三：authenticate 方法的参数是 AuthRequest 接口

这是多态的体现。虽然参数类型是 AuthRequest 接口，但实际传入的是具体的实现类（如 PasswordAuthRequest）。

策略类内部需要将 AuthRequest 强制转换为具体的类型：

@Override
public Long authenticate(AuthRequest request) {
    // 强制转换为具体类型
    PasswordAuthRequest passwordRequest = (PasswordAuthRequest) request;
    // 使用具体类型的字段
    String username = passwordRequest.getUsername();
    String password = passwordRequest.getPassword();
    // ...
}

这个转换是安全的，因为工厂类会根据 authType 选择对应的策略。如果 authType 是 PASSWORD，工厂类一定会选择 PasswordAuthStrategy，而前端传来的请求一定是 PasswordAuthRequest。

19.2.5.3. 策略接口的职责边界

在实现具体的策略类之前，我们需要明确策略接口的职责边界。这是避免代码混乱的关键。

AuthStrategy 应该做什么？

策略类只负责 “验证身份”，具体包括：

✅ 验证用户名和密码
✅ 验证手机验证码
✅ 调用第三方 API 获取用户信息
✅ 查询或创建用户
✅ 返回用户 ID

AuthStrategy 不应该做什么？

策略类不负责 “会话管理”，具体包括：

❌ 不应该生成 Token（由 Sa-Token 负责）
❌ 不应该管理会话（由 Sa-Token 负责）
❌ 不应该处理 HTTP 请求和响应（由 Controller 负责）
❌ 不应该直接操作 Redis（应该通过 Sa-Token）

19.2.5.4. 策略模式与 Sa-Token 的协同关系

现在让我们理解策略模式与 Sa-Token 是如何协同工作的。

完整的认证流程

1. 前端发送登录请求 → Controller 接收
2. Controller 委托给工厂类 → 工厂类根据 authType 选择策略
3. 策略类验证身份 → 返回用户 ID
4. 工厂类调用 Sa-Token 登录 → Sa-Token 生成 Token 并存入 Redis
5. 工厂类构建响应对象 → 返回给前端

代码示例

让我们用一个具体的例子来说明：

// 步骤 1：策略类验证身份
@Component
public class PasswordAuthStrategy implements AuthStrategy {
    @Override
    public Long authenticate(AuthRequest request) {
        // 1. 查询用户
        User user = userService.getByUsername(username);
        
        // 2. 验证密码
        if (!BCrypt.checkpw(password, user.getPassword())) {
            throw new RuntimeException("密码错误");
        }
        
        // 3. 返回用户 ID（策略类的职责到此结束）
        return user.getId();
    }
    
    @Override
    public AuthType getSupportedType() {
        return AuthType.PASSWORD;
    }
}

// 步骤 2：工厂类调用 Sa-Token 登录
@Component
public class AuthStrategyFactory {
    public AuthTokenVO authenticate(AuthRequest request) {
        // 1. 选择策略
        AuthStrategy strategy = strategyMap.get(request.getAuthType());
        
        // 2. 执行认证，获取用户 ID
        Long userId = strategy.authenticate(request);
        
        // 3. Sa-Token 登录（Sa-Token 的职责从这里开始）
        StpUtil.login(userId);
        
        // 4. 返回 Token
        return AuthTokenVO.builder()
            .tokenName(StpUtil.getTokenName())
            .tokenValue(StpUtil.getTokenValue())
            .loginId(userId)
            .build();
    }
}

关键设计点

策略类只返回 userId，不返回 Token
工厂类负责调用 StpUtil.login(userId)
Sa-Token 自动生成 Token 并存入 Redis
工厂类通过 StpUtil.getTokenValue() 获取 Token 值

19.2.5.5. 本节小结

本节完成了认证策略接口的设计，定义了 AuthStrategy 接口，明确了策略类的职责边界。策略类只负责验证身份并返回用户 ID，Token 的生成和会话管理由 Sa-Token 负责，工厂类作为桥梁连接两者。

要点	何时使用	关键动作
AuthStrategy 接口	定义策略规范	定义 authenticate() 和 getSupportedType() 方法
返回 Long 而非 AuthToken	保持职责单一	策略类只返回用户 ID
职责边界	避免代码混乱	策略类只负责验证身份，不负责生成 Token

在下一节中，我们将实现认证策略工厂（AuthStrategyFactory），让它能够自动发现和注册所有策略，并根据 authType 自动选择对应的策略。

19.2.6. 工厂实现：自动发现与策略分发

在上一节中，我们定义了 AuthStrategy 接口，明确了策略类的职责边界：策略类只负责验证身份并返回用户 ID。现在，我们需要实现认证策略工厂（AuthStrategyFactory），让它能够自动发现和注册所有策略，并根据 authType 自动选择对应的策略。

这一节是整个认证工厂的 “中枢神经”，它连接了策略类和 Sa-Token，是策略模式能够运转的核心。

19.2.6.1. 工厂模式的核心职责

在策略模式中，工厂类扮演着 “上下文（Context）” 的角色。它的核心职责有三个：

职责一：策略管理

工厂类需要维护一个 Map，用于存储所有策略的映射关系。

职责二：自动发现

工厂类需要在应用启动时，自动扫描所有实现了 AuthStrategy 接口的 Bean，并注册到 Map 中。Spring 会将所有标注了 @Component 的策略类打包成 List，注入到工厂类的构造函数中。

职责三：策略分发

工厂类需要根据认证类型（AuthType），从 Map 中获取对应的策略，并委托策略执行认证。认证成功后，工厂类调用 Sa-Token 的 StpUtil.login(userId) 完成登录，并返回 Token 信息。

工厂类的工作流程

1. 应用启动 → Spring 扫描所有 @Component 标注的 AuthStrategy 实现类
2. Spring 将这些 Bean 注入到工厂类的构造函数
3. 工厂类遍历所有策略，调用 getSupportedType() 获取认证类型
4. 工厂类将 AuthType 和 AuthStrategy 的映射关系存入 Map
5. 前端发送登录请求 → Controller 调用工厂类的 authenticate 方法
6. 工厂类根据 authType 从 Map 中获取对应的策略
7. 工厂类委托策略执行认证，获取用户 ID
8. 工厂类调用 StpUtil.login(userId) 完成登录
9. 工厂类构建响应对象，返回 Token 信息

19.2.6.2. 定义统一响应对象（AuthTokenVO）

在实现工厂类之前，我们需要先定义统一的响应对象。因为工厂类的 authenticate 方法会返回这个对象，所以必须先定义它。

📄 文件：src/main/java/com/example/auth/model/vo/AuthTokenVO.java（新建）

在 src/main/java/com/example/auth/model 目录下，右键选择 New → Package，输入包名 vo，然后在 vo 包下新建 AuthTokenVO.java 文件：

package com.example.auth.model.vo;

import lombok.Builder;
import lombok.Data;

/**
 * 认证响应对象
 * 包含 Sa-Token 生成的 Token 信息
 */
@Data
@Builder
public class AuthTokenVO {
    
    /**
     * Token 名称
     * 对应 Sa-Token 配置中的 token-name（默认为 "Authorization"）
     */
    private String tokenName;
    
    /**
     * Token 值
     * 前端需要在后续请求的 Header 中携带这个值
     */
    private String tokenValue;
    
    /**
     * 用户 ID
     * 用于前端展示或其他业务逻辑
     */
    private Long loginId;
}

设计要点

这个响应对象包含三个字段：

tokenName：Token 的名称，对应 Sa-Token 配置中的 token-name（默认为 "Authorization"）
tokenValue：Token 的值，前端需要在后续请求的 Header 中携带这个值
loginId：用户 ID，用于前端展示或其他业务逻辑

前端收到这个响应后，需要将 tokenValue 存储到本地（如 LocalStorage），并在后续请求的 Header 中携带：

// 前端示例
const response = await fetch('/auth/login', {
  method: 'POST',
  body: JSON.stringify({authType: 'PASSWORD', username: 'admin', password: '123456'})
});
const data = await response.json();

// 存储 Token
localStorage.setItem('token', data.tokenValue);

// 后续请求携带 Token
fetch('/api/user/info', {
  headers: {
    'Authorization': localStorage.getItem('token')
  }
});

19.2.6.3. 实现 AuthStrategyFactory

现在我们开始实现认证策略工厂。

📄 文件：src/main/java/com/example/auth/factory/AuthStrategyFactory.java（新建）

在 src/main/java/com/example/auth 目录下，右键选择 New → Package，输入包名 factory，然后在 factory 包下新建 AuthStrategyFactory.java 文件：

package com.example.auth.factory;

import cn.dev33.satoken.stp.StpUtil;
import com.example.auth.enums.AuthType;
import com.example.auth.model.request.AuthRequest;
import com.example.auth.model.vo.AuthTokenVO;
import com.example.auth.strategy.AuthStrategy;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;

import java.util.List;
import java.util.Map;
import java.util.concurrent.ConcurrentHashMap;

/**
 * 认证策略工厂
 * 负责管理所有认证策略，并根据认证类型自动选择对应的策略
 */
@Slf4j
@Component
public class AuthStrategyFactory {
    /**
     * 策略容器
     * Key: 认证类型（AuthType）
     * Value: 认证策略（AuthStrategy）
     * 使用 ConcurrentHashMap 保证线程安全
     */
    private final Map strategyMap = new ConcurrentHashMap<>();

    public AuthStrategyFactory(List strategies) {
        // 遍历所有策略，注册到 Map 中
        for (AuthStrategy strategy : strategies) {
            AuthType type = strategy.getSupportedType();

            // 检查是否有重复的策略类型
            if (strategyMap.containsKey(type)) {
                throw new IllegalStateException("重复的认证策略: " + type.getDescription());
            }

            // 注册策略到 Map 中
            strategyMap.put(type, strategy);
            log.info("认证策略工厂初始化完成，已注册 {} 个策略", strategyMap.size());
        }
    }

    /**
     * 获取认证策略
     * 根据认证类型从 Map 中获取对应的策略
     *
     * @param authType 认证类型
     * @return 认证策略
     * @throws IllegalArgumentException 如果认证类型不支持
     */
    public AuthStrategy getStrategy(AuthType authType) {
        AuthStrategy strategy = strategyMap.get(authType);
        if (strategy == null) {
            throw new IllegalArgumentException("不支持的认证方式: " + authType.getDescription());
        }
        return strategy;
    }

    /**
     * 执行认证（门面方法）
     * 这是工厂类对外提供的统一认证入口
     * 
     * 为什么需要这个方法？
     * 1. 隐藏策略选择的复杂性：调用者不需要知道如何选择策略
     * 2. 统一异常处理：可以在这里统一处理策略执行过程中的异常
     * 3. 统一日志记录：可以在这里统一记录认证日志
     * 4. 集成 Sa-Token：策略类只返回 userId，工厂类负责调用 Sa-Token 登录
     *
     * @param request 认证请求
     * @return 认证响应（包含 Token 信息）
     * @throws IllegalArgumentException 如果认证类型不支持
     * @throws RuntimeException         如果认证失败
     */
    public AuthTokenVO authenticate(AuthRequest request) {
        AuthType authType = request.getAuthType();
        // 步骤 1：选择策略
        AuthStrategy strategy = getStrategy(authType);
        try {
            // 步骤 2：策略类验证身份，返回用户 ID
            Long userId = strategy.authenticate(request);
            log.info("认证成功: type={}, userId={}", authType.getDescription(), userId);
            // 步骤 3：Sa-Token 登录
            StpUtil.login(userId);

            // 步骤 4：构建响应对象
            return AuthTokenVO.builder()
                    .tokenName(StpUtil.getTokenName())
                    .tokenValue(StpUtil.getTokenValue())
                    .loginId(userId)
                    .build();
        } catch (Exception e) {
            log.error("认证失败: type={}, error={}", authType.getDescription(), e.getMessage());
            throw e;
        }
    }

    /**
     * 获取所有已注册的认证类型
     * 用于前端动态展示支持的登录方式
     *
     * @return 所有已注册的认证类型
     */
    public List getSupportedTypes() {
        return List.copyOf(strategyMap.keySet());
    }
}

19.2.6.4. 关键设计点

设计点一：为什么要检查重复的策略类型？

如果有两个策略类返回相同的 AuthType，会导致后注册的策略覆盖先注册的策略。这是一个严重的 Bug，必须在启动时就检测出来：

1
2
3

if (strategyMap.containsKey(type)) {
    throw new IllegalStateException("重复的认证策略: " + type.getDescription());
}

如果检测到重复，应用会在启动时抛出异常，而不是在运行时才发现问题。

设计点二：为什么要提供 authenticate 门面方法？

虽然调用者可以直接调用 getStrategy(authType).authenticate(request)，但这样会暴露策略选择的细节。提供门面方法可以：

隐藏策略选择的复杂性
统一异常处理
统一日志记录
集成 Sa-Token（策略类只返回 userId，工厂类负责调用 StpUtil.login(userId)）

设计点三：为什么要提供 getSupportedTypes 方法？

前端可以调用这个接口，动态获取系统支持的所有登录方式，然后展示对应的登录按钮。这样做的好处是：

前端不需要硬编码登录方式
后端新增登录方式后，前端自动感知
可以通过配置动态启用或禁用某个登录方式

19.2.6.5. 本节小结

本节完成了认证策略工厂的实现。工厂类在应用启动时自动扫描并注册所有策略，在收到登录请求时根据 authType 选择对应的策略，策略验证成功后调用 Sa-Token 完成登录并返回 Token 信息。

要点	何时使用	关键动作
自动注册	应用启动时	Spring 注入所有策略 Bean，工厂类遍历并注册到 Map
策略分发	收到登录请求时	根据 authType 从 Map 中获取对应的策略
Sa-Token 集成	策略验证成功后	调用 StpUtil.login(userId) 完成登录

在下一节中，我们将重构第一章问题引入的Controller 层，将原来的 if-else 分支替换为工厂模式，实现真正的 “零修改扩展”。

19.2.7. 控制器实现：统一入口与零分支调度

在上一节中，我们完成了认证策略工厂的实现，工厂类能够自动发现和注册所有策略，并根据 authType 自动选择对应的策略。现在，我们需要创建 Controller 层，提供统一的登录入口。

这一节是整个认证工厂的 “对外门面”，它将展示策略模式的最终效果：无论有多少种登录方式，Controller 层的代码永远只有几行。

19.2.7.1. Controller 层的职责定位

在传统的 MVC 架构中，Controller 层的职责非常明确：

Controller 应该做什么？

✅ 接收 HTTP 请求
✅ 参数校验（通过 @Valid 注解）
✅ 调用 Service 层或工厂类
✅ 返回统一的响应格式

Controller 不应该做什么？

❌ 不应该包含业务逻辑（如验证密码、查询用户）
❌ 不应该包含策略选择逻辑（如 if-else 分支）
❌ 不应该直接操作数据库或 Redis

在我们的认证工厂中，Controller 层只需要做一件事：将请求委托给工厂类。所有的策略选择、身份验证、Token 生成都由工厂类和策略类完成。

19.2.7.2. 定义统一响应格式

在创建 Controller 之前，我们需要先定义统一的响应格式。这样可以确保所有接口的返回值都遵循同一套规范。

📄 文件：src/main/java/com/example/auth/common/Result.java（新建）

在 src/main/java/com/example/auth 目录下，右键选择 New → Package，输入包名 common，然后在 common 包下新建 Result.java 文件：

package com.example.auth.common;

import lombok.Data;

/**
 * 统一响应格式
 * 
 * @param  响应数据类型
 */
@Data
public class Result {
    
    /**
     * 响应码
     * 200 表示成功，其他表示失败
     */
    private Integer code;
    
    /**
     * 响应消息
     */
    private String message;
    
    /**
     * 响应数据
     */
    private T data;
    
    /**
     * 成功响应（无数据）
     */
    public static  Result ok() {
        Result result = new Result<>();
        result.setCode(200);
        result.setMessage("操作成功");
        return result;
    }
    
    /**
     * 成功响应（有数据）
     */
    public static  Result ok(T data) {
        Result result = new Result<>();
        result.setCode(200);
        result.setMessage("操作成功");
        result.setData(data);
        return result;
    }
    
    /**
     * 失败响应
     */
    public static  Result fail(String message) {
        Result result = new Result<>();
        result.setCode(500);
        result.setMessage(message);
        return result;
    }
    
    /**
     * 失败响应（自定义错误码）
     */
    public static  Result fail(Integer code, String message) {
        Result result = new Result<>();
        result.setCode(code);
        result.setMessage(message);
        return result;
    }
}

设计要点

这个响应类包含三个字段：

code：响应码，200 表示成功，其他表示失败
message：响应消息，用于提示用户
data：响应数据，泛型类型，可以是任何对象

我们提供了四个静态方法，用于快速构建响应对象：

ok()：成功响应，无数据
ok(T data)：成功响应，有数据
fail(String message)：失败响应，默认错误码 500
fail(Integer code, String message)：失败响应，自定义错误码

19.2.7.3. 创建 AuthController

现在我们开始创建 Controller 层。

📄 文件：src/main/java/com/example/auth/controller/AuthController.java（新建）

在 src/main/java/com/example/auth 目录下，右键选择 New → Package，输入包名 controller，然后在 controller 包下新建 AuthController.java 文件：

package com.example.auth.controller;

import cn.dev33.satoken.stp.StpUtil;
import com.example.auth.common.Result;
import com.example.auth.enums.AuthType;
import com.example.auth.factory.AuthStrategyFactory;
import com.example.auth.model.request.AuthRequest;
import com.example.auth.model.vo.AuthTokenVO;
import jakarta.validation.Valid;
import lombok.RequiredArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.*;

import java.util.HashMap;
import java.util.List;
import java.util.Map;

/**
 * 认证控制器
 * 提供登录、注销等接口
 */
@Slf4j
@RestController
@RequestMapping("/auth")
@RequiredArgsConstructor
public class AuthController {
    
    private final AuthStrategyFactory authStrategyFactory;
    
    /**
     * 统一登录接口
     * 支持多种登录方式，通过 authType 字段区分
     * 
     * @param request 认证请求（多态参数）
     * @return 统一响应格式
     */
    @PostMapping("/login")
    public Result login(@Valid @RequestBody AuthRequest request) {
        log.info("收到登录请求: type={}", request.getAuthType().getDescription());
        
        // 委托给工厂类，工厂类会自动选择对应的策略
        AuthTokenVO authToken = authStrategyFactory.authenticate(request);
        
        return Result.ok(authToken);
    }
    
    /**
     * 注销登录接口
     * 
     * @return 统一响应格式
     */
    @PostMapping("/logout")
    public Result logout() {
        log.info("收到注销请求");
        
        // Sa-Token 注销登录
        StpUtil.logout();
        
        return Result.ok();
    }
    
    /**
     * 获取支持的登录方式
     * 前端可以调用这个接口，动态展示登录按钮
     * 
     * @return 所有支持的登录方式
     */
    @GetMapping("/supported-types")
    public Result>> getSupportedTypes() {
        List types = authStrategyFactory.getSupportedTypes();
        
        // 转换为前端友好的格式
        List> result = types.stream()
                .map(type -> {
                    Map map = new HashMap<>();
                    map.put("code", type.getCode());
                    map.put("description", type.getDescription());
                    return map;
                })
                .toList();
        
        return Result.ok(result);
    }
}

关键设计点解析

设计点一：login 方法只有 3 行核心代码

@PostMapping("/login")
public Result login(@Valid @RequestBody AuthRequest request) {
    log.info("收到登录请求: type={}", request.getAuthType().getDescription());
    AuthTokenVO authToken = authStrategyFactory.authenticate(request);
    return Result.ok(authToken);
}

这就是策略模式的最终效果。无论系统支持多少种登录方式，Controller 层的代码永远只有这几行。所有的策略选择、身份验证、Token 生成都由工厂类和策略类完成。

设计点二：@Valid 注解自动校验参数

1	public Result login(@Valid @RequestBody AuthRequest request)

@Valid 注解会自动触发 Spring 的参数校验机制。如果前端传来的参数不符合要求（如 username 为空），Spring 会自动返回 400 错误，错误信息为我们在请求类中定义的 message（如 “用户名不能为空”）。

设计点三：getSupportedTypes 方法返回前端友好的格式

@GetMapping("/supported-types")
public Result>> getSupportedTypes() {
    List types = authStrategyFactory.getSupportedTypes();
    
    // 转换为前端友好的格式
    List> result = types.stream()
            .map(type -> {
                Map map = new HashMap<>();
                map.put("code", type.getCode());
                map.put("description", type.getDescription());
                return map;
            })
            .toList();
    
    return Result.ok(result);
}

前端调用这个接口后，会得到如下格式的响应：

{
  "code": 200,
  "message": "操作成功",
  "data": [
    {
      "code": "password",
      "description": "账号密码登录"
    },
    {
      "code": "sms",
      "description": "手机验证码登录"
    }
  ]
}

前端可以根据这个列表动态展示登录按钮，而不需要硬编码登录方式。

19.2.7.4. 对比传统写法

现在让我们对比一下传统写法和策略模式的差异。

传统写法（假设的 if-else 版本）

@PostMapping("/login")
public Result login(@RequestBody Map request) {
    String type = (String) request.get("type");
    
    if ("password".equals(type)) {
        // 账号密码登录逻辑（50 行代码）
        String username = (String) request.get("username");
        String password = (String) request.get("password");
        // 查询用户、验证密码、生成 Token...
        
    } else if ("sms".equals(type)) {
        // 手机验证码登录逻辑（50 行代码）
        String phone = (String) request.get("phone");
        String code = (String) request.get("code");
        // 验证验证码、查询或创建用户、生成 Token...
        
    } else if ("wechat".equals(type)) {
        // 微信扫码登录逻辑（50 行代码）
        String code = (String) request.get("code");
        // 调用微信 API、查询或创建用户、生成 Token...
        
    } else {
        throw new RuntimeException("不支持的登录方式: " + type);
    }
}

策略模式写法（当前实现）

@PostMapping("/login")
public Result login(@Valid @RequestBody AuthRequest request) {
    log.info("收到登录请求: type={}", request.getAuthType().getDescription());
    AuthTokenVO authToken = authStrategyFactory.authenticate(request);
    return Result.ok(authToken);
}

对比结果

对比维度	传统写法	策略模式
Controller 代码量	250+ 行	3 行
if-else 分支	5 个	0 个
新增登录方式	修改 Controller	只需实现 `AuthStrategy` 接口
可测试性	难以单独测试	可以单独测试每个策略
职责分离	Controller 包含业务逻辑	Controller 只负责调度

19.2.7.5. 本节小结

本节完成了 Controller 层的创建，提供了统一的登录入口。Controller 层的代码非常简洁，只有 3 行核心代码，所有的策略选择、身份验证、Token 生成都由工厂类和策略类完成。这就是策略模式的最终效果：无论有多少种登录方式，Controller 层的代码永远只有几行。

要点	何时使用	关键动作
统一响应格式	所有接口	定义 Result 类，包含 code、message、data 三个字段
统一登录接口	前端发送登录请求	委托给工厂类，工厂类自动选择策略
获取支持的登录方式	前端动态展示登录按钮	调用工厂类的 getSupportedTypes 方法

在下一节中，我们将实现具体的策略类，让整个认证工厂真正运转起来。

OpenWebUi-安全与认证配置

2026-02-27T11:38:17.000Z

3.9. 安全与认证配置

这一章讲的是“谁能登录、谁能调用 API、用户身份如何同步、会话如何保活”。

如果你是个人用户，这部分很多配置可以先不动；但只要进入团队协作、公司内网、对接脚本或自动化系统，这一章就会变成必修课。

在开始之前，先解释几个经常会混在一起的术语：

认证（Authentication）：证明“你是谁”。例如账号密码登录、LDAP 登录、Google 登录。
授权（Authorization）：决定“你能做什么”。例如能不能看某个模型、能不能导出模型、能不能管理工具。
API Key：发给程序用的密钥，适合脚本、集成平台、外部服务调用 Open WebUI API。
LDAP：企业常见的目录服务协议，很多公司的 AD（Active Directory）也兼容这套方式。
OAuth / OIDC：第三方登录体系。OAuth 偏“授权”，OIDC 是建立在 OAuth 之上的“身份登录”标准。
SCIM：自动开通和回收账号的标准，不负责“登录”，而负责“账号生命周期同步”。

API 密钥认证

这是什么

Open WebUI 支持为用户生成 API Key，让外部脚本、自动化流程、内部平台、工作流引擎通过 HTTP API 访问它。

典型场景包括：

用 Python、Node.js 或 Shell 脚本调用聊天接口
用企业内部系统转发请求到 Open WebUI
给工作流平台、Bot、自动化任务提供一个稳定认证方式

它和“浏览器登录 Cookie”不是一回事：

浏览器登录主要给人用
API Key 主要给程序用

如何启用

管理员面板 → 设置 → 通用 → 启用 API Key

启用后，用户就可以在自己的账号设置中创建 API Key。

当前版本除了总开关外，还支持 API Key Endpoint Restrictions，也就是“限制 API Key 只能访问哪些接口”。这个能力很重要，因为它可以避免把一把过大的密钥发给外部系统。

用户如何生成密钥

点击头像 → 设置 → 账号 → API 密钥 → 点击“创建新密钥”

创建后要立即保存，因为这类密钥通常不会反复明文展示。

调用示例

curl -X POST http://localhost:3000/api/chat \
  -H "Authorization: Bearer sk-..." \
  -H "Content-Type: application/json" \
  -d '{"message": "Hello"}'

官方建议理解

官网当前的方向不是“默认把所有接口都敞开”，而是：

可以启用 API Key
可以进一步启用接口级限制
在可信内网环境里可以更宽松，在生产环境则建议更严格

我的管理方式

在我的环境里，API Key 主要给“程序”而不是“人”使用，所以我通常这样管理：

浏览器用户走正常登录，不给所有人默认要求 API Key。
只有确实需要脚本调用的账号，才生成 API Key。
给外部系统时，优先启用接口限制，不给过大的权限面。
定期清理不再使用的密钥，避免历史脚本长期持有可用凭证。
如果只是临时测试，我会单独创建测试用密钥，不和正式环境长期复用。

LDAP 集成

这是什么

LDAP 可以理解为“公司统一通讯录 / 账号目录”的标准接口。

如果你所在的组织已经有 AD、OpenLDAP 或其他企业目录系统，那么 Open WebUI 可以直接对接这个目录，让员工使用公司账号登录，而不是在 Open WebUI 里重复创建本地账号。

适合谁

公司内网部署
已有统一身份管理
希望账号、邮箱、用户名来自企业目录

个人部署、小团队、临时测试环境，通常不需要上 LDAP。

官方配置思路

LDAP 推荐先通过环境变量初始化，然后在管理员面板里继续维护。官网特别强调一件事：

如果启用了持久化配置（默认就是），很多环境变量只在第一次启动时读入；后续修改通常要在管理后台里改，而不是只改 docker-compose。

这点非常重要，也是很多人“明明改了环境变量，怎么界面没变”的根源。

当前版本常见环境变量

environment:
  - ENABLE_LDAP=true
  - LDAP_SERVER_LABEL=OpenLDAP
  - LDAP_SERVER_HOST=ldap.example.com
  - LDAP_SERVER_PORT=389
  - LDAP_ATTRIBUTE_FOR_MAIL=mail
  - LDAP_ATTRIBUTE_FOR_USERNAME=uid
  - LDAP_APP_DN=cn=admin,dc=example,dc=org
  - LDAP_APP_PASSWORD=your_password
  - LDAP_SEARCH_BASE=dc=example,dc=org
  - LDAP_SEARCH_FILTER=(uid=%(user)s)
  - LDAP_USE_TLS=true

你会发现，这一版和很多旧博客里写的 LDAP_SERVER_URL、LDAP_BIND_DN 之类名字不完全一样。写文档时一定要以当前版本为准。

参数解释

参数	说明
`ENABLE_LDAP`	是否启用 LDAP 登录
`LDAP_SERVER_LABEL`	在界面里显示的 LDAP 名称
`LDAP_SERVER_HOST` / `LDAP_SERVER_PORT`	LDAP 服务器地址和端口
`LDAP_ATTRIBUTE_FOR_MAIL`	从 LDAP 条目里取邮箱的字段
`LDAP_ATTRIBUTE_FOR_USERNAME`	从 LDAP 条目里取用户名的字段
`LDAP_APP_DN` / `LDAP_APP_PASSWORD`	用于查询目录的服务账号
`LDAP_SEARCH_BASE`	搜索用户的根 DN
`LDAP_SEARCH_FILTER`	登录时查找用户的过滤器
`LDAP_USE_TLS`	是否启用 TLS / StartTLS

正确的排错顺序

不要一上来就怀疑 Open WebUI。

官网推荐的思路是：

先验证 LDAP 服务器本身通不通
再验证用户条目能不能查到
最后才看 Open WebUI 配置

例如：

1
2
3

ldapsearch -x -H ldap://ldap.example.com:389 \
  -D "cn=admin,dc=example,dc=org" -w your_password \
  -b "dc=example,dc=org" "(uid=jdoe)"

如果这一步都查不到用户，就不要继续在 WebUI 里盲改了。

我的管理方式

我自己的判断规则很简单：

如果是企业内部正式使用，并且员工已经有统一账号体系，我会优先接 LDAP。
如果只是个人站点、朋友共用、测试环境，我不会为了“看起来企业化”硬上 LDAP。
上 LDAP 后，我会尽量让用户名、邮箱、显示名都来自目录系统，避免 Open WebUI 自己成为第二套主数据来源。

OAuth / OIDC / SSO 集成

这是什么

这一组就是“第三方登录”。

最常见的使用方式是：

用 Google 账号登录
用 Microsoft / Entra ID 账号登录
用 GitHub 账号登录
用企业自己的 OIDC 服务登录

如果说 LDAP 更像“公司内网目录登录”，那 OAuth / OIDC 更像“现代网站统一登录”。

先说结论：本地开发完全可以配

而且你现在这个仓库已经改成了：

docker-compose.local.yaml 自动读取 .env.local
本地端口由 OPEN_WEBUI_PORT 控制
Google、Microsoft、GitHub 三家都可以直接写在 .env.local

所以对读者来说，最容易跟做的方式就是：

去各自官网创建 OAuth 应用
把回调地址填成 Open WebUI 本地回调
把拿到的密钥填进 .env.local
重启本地容器

本地统一配置模板

如果你的本地端口是 3000，那么 .env.local 先这样写：

OPEN_WEBUI_PORT=3000
WEBUI_URL=http://localhost:3000
ENABLE_OAUTH_SIGNUP=true
OAUTH_MERGE_ACCOUNTS_BY_EMAIL=true

GOOGLE_CLIENT_ID=
GOOGLE_CLIENT_SECRET=
GOOGLE_REDIRECT_URI=http://localhost:3000/oauth/google/login/callback

MICROSOFT_CLIENT_ID=
MICROSOFT_CLIENT_SECRET=
MICROSOFT_CLIENT_TENANT_ID=common
MICROSOFT_REDIRECT_URI=http://localhost:3000/oauth/microsoft/login/callback

GITHUB_CLIENT_ID=
GITHUB_CLIENT_SECRET=
GITHUB_CLIENT_REDIRECT_URI=http://localhost:3000/oauth/github/login/callback

写完后执行：

1	docker compose -f docker-compose.local.yaml up -d --build

如果你的端口不是 3000，例如 5050，那上面所有 localhost:3000 都要统一改成 localhost:5050。

适用场景

如果你想直接使用 Google 账号登录，这是最常见的一种配置。

第 1 步：去 Google 官方后台创建应用

访问：

https://console.cloud.google.com/apis/credentials

进入后：

创建或选择一个 Project
打开 APIs & Services
进入 Credentials（凭证）
点击 Create Credentials
选择 OAuth client ID
Application type 选择 Web application

第 2 步：登记回调地址

在 Authorized redirect URIs 中填写：

1	http://localhost:3000/oauth/google/login/callback

第 3 步：把拿到的密钥填入 .env.local

1
2
3

GOOGLE_CLIENT_ID=你的 Google Client ID
GOOGLE_CLIENT_SECRET=你的 Google Client Secret
GOOGLE_REDIRECT_URI=http://localhost:3000/oauth/google/login/callback

第 4 步：重启本地 Open WebUI

1	docker compose -f docker-compose.local.yaml up -d --build

注意事项

Google 开发环境允许 http://localhost
回调地址必须和后台里登记的 URI 完全一致
如果你改了端口，Google 后台也要一起改

适用场景

如果用户本身就在 Microsoft 365、Entra ID、企业账号体系里，这一项非常常见。

第 1 步：去 Microsoft Entra 后台注册应用

访问：

https://portal.azure.com/

进入后：

打开 Microsoft Entra ID
进入 App registrations
点击 New registration
创建一个应用

第 2 步：配置回调地址

在 Authentication 页面里添加：

1	http://localhost:3000/oauth/microsoft/login/callback

第 3 步：生成 Secret 并写入 .env.local

在 Certificates & secrets 中生成一个 Client secret，然后填入：

MICROSOFT_CLIENT_ID=你的 Microsoft Client ID
MICROSOFT_CLIENT_SECRET=你的 Microsoft Client Secret
MICROSOFT_CLIENT_TENANT_ID=common
MICROSOFT_REDIRECT_URI=http://localhost:3000/oauth/microsoft/login/callback

如果你只允许某一个租户登录，把 common 改成你的实际 Tenant ID 即可。

第 4 步：重启本地 Open WebUI

1	docker compose -f docker-compose.local.yaml up -d --build

注意事项

Microsoft 也支持本地 localhost 回调
本地开发可以先用 common
正式环境建议单独使用正式域名和正式应用注册

适用场景

如果你的用户本身大量使用 GitHub，这是最容易理解、也最容易测试的一项。

第 1 步：去 GitHub Developer Settings 创建 OAuth App

访问：

https://github.com/settings/developers

进入后：

打开 OAuth Apps
点击 New OAuth App

第 2 步：填写回调地址

最关键的是 Authorization callback URL：

1	http://localhost:3000/oauth/github/login/callback

第 3 步：把密钥填入 .env.local

1
2
3

GITHUB_CLIENT_ID=你的 GitHub Client ID
GITHUB_CLIENT_SECRET=你的 GitHub Client Secret
GITHUB_CLIENT_REDIRECT_URI=http://localhost:3000/oauth/github/login/callback

第 4 步：重启本地 Open WebUI

1	docker compose -f docker-compose.local.yaml up -d --build

注意事项

GitHub 对 callback URL 也是精确匹配
如果后台填的是 127.0.0.1，本地配置也要统一成 127.0.0.1
不要后台填 127.0.0.1，本地却写 localhost

为了更容易排错，我建议不要一上来三个一起配，而是按这个顺序：

先配一个，例如 GitHub
测通之后，再加 Google
最后再加 Microsoft

这样如果出现问题，最容易定位。

最常见的报错就是：

redirect_uri_mismatch
端口改了，但开放平台后台没改
.env.local 改了，但容器没重启
后台写的是 127.0.0.1，本地写的是 localhost

SCIM 自动开通与回收

这是什么

SCIM 不是登录协议，而是“账号生命周期同步协议”。

它解决的问题是：

新员工入职时，自动在 Open WebUI 创建账号
员工信息变化时，自动同步更新
员工离职时，自动停用账号
用户组成员关系自动同步

所以可以把它理解成“自动开账号、改账号、停账号”的标准接口。

和 OAuth / LDAP 的关系

LDAP / OAuth / OIDC：解决“怎么登录”
SCIM：解决“账号怎么自动创建和同步”

很多企业会同时使用：

用 OIDC 登录
用 SCIM 做账号与组同步

当前版本配置

environment:
  - SCIM_ENABLED=true
  - SCIM_TOKEN=your-secure-random-token
  - SCIM_AUTH_PROVIDER=oidc

参数解释

参数	说明
`SCIM_ENABLED`	是否启用 SCIM
`SCIM_TOKEN`	调用 SCIM API 的 Bearer Token
`SCIM_AUTH_PROVIDER`	用于把 SCIM `externalId` 和对应认证提供商关联起来，例如 `microsoft`、`oidc`

这里的 SCIM_AUTH_PROVIDER 很容易被漏掉，但当前版本里它是重要配置，尤其是在账户关联和 externalId 保存上。

对接端点

SCIM Base URL：

1	https://your-domain.com/api/v1/scim/v2/

常见资源端点：

资源	端点
用户	`/api/v1/scim/v2/Users`
组	`/api/v1/scim/v2/Groups`

我的管理方式

我把 SCIM 视为“企业级增强项”：

小规模自用：完全不需要
团队规模不大，但已有统一登录：先上 OAuth / LDAP，SCIM 可以以后再说
企业正式上生产：如果人事变动频繁、合规要求高，就值得上 SCIM

它的价值不在“让用户多一个登录按钮”，而在于减少人工维护账号、降低离职账号遗留风险。

这是什么

用户在浏览器里登录后，Open WebUI 需要一种机制记住登录状态，这通常会涉及：

JWT：登录令牌
Session Cookie：浏览器保存的登录凭证
Secret Key：服务器用来签名和加密敏感数据的密钥

当前版本重点配置

environment:
  - WEBUI_SECRET_KEY=your-persistent-secret-key
  - JWT_EXPIRES_IN=4w
  - WEBUI_SESSION_COOKIE_SAME_SITE=Lax
  - WEBUI_SESSION_COOKIE_SECURE=true

参数解释

参数	说明
`WEBUI_SECRET_KEY`	最关键的持久化密钥，用于会话签名和敏感数据解密
`JWT_EXPIRES_IN`	登录令牌过期时间，例如 `4w`、`7d`
`WEBUI_SESSION_COOKIE_SAME_SITE`	Cookie 的跨站策略
`WEBUI_SESSION_COOKIE_SECURE`	是否只通过 HTTPS 发送 Cookie

为什么 WEBUI_SECRET_KEY 非常重要

官网 FAQ 专门提到，如果你每次重建容器都不保留同一个 WEBUI_SECRET_KEY，会出现两类典型问题：

用户升级或重启后被全部强制退出
一些已经加密保存的令牌、API Key、OAuth 凭证无法解密

所以这个值一定要固定，不要让容器每次随机生成。

我的管理方式

这一点我会非常保守：

生产环境固定设置 WEBUI_SECRET_KEY
HTTPS 环境强制 WEBUI_SESSION_COOKIE_SECURE=true
不把 JWT_EXPIRES_IN 设成无限期
升级容器前先确认密钥仍然通过同样方式注入

这是最容易被忽略、但一出问题就会直接影响所有用户登录体验的一块。

OpenWebUi-Pipelines 与 Functions 扩展系统

2026-02-27T10:38:17.000Z

3.8. Pipelines 与 Functions 扩展系统

Open WebUI 提供了两种扩展机制：Functions（函数）和 Pipelines（管道）。理解它们的区别非常重要，选错了会让简单的事情变复杂。

⚠️ 官方明确建议：对于大多数扩展需求（如添加新的 API 提供商、基础过滤器、简单工具），请使用 Functions，不要使用 Pipelines。Pipelines 仅适用于需要将计算密集型任务卸载到独立进程的场景。

Functions vs Pipelines：如何选择

对比项	Functions（推荐优先）	Pipelines
部署方式	内置于 Open WebUI，无需额外服务	需要独立部署 Pipelines 服务
适用场景	添加 API 提供商、过滤器、工具、按钮动作	计算密集型任务（如大规模数据处理、自定义 ML 推理）
管理方式	管理员面板 → 函数	管理员面板 → 设置 → Pipelines
开发难度	简单，直接在 Web 界面编写	较复杂，需要独立服务和 Docker 部署
性能影响	在主进程中运行	独立进程，不影响主服务

简单判断规则：如果你不确定该用哪个，用 Functions。只有当你明确需要在独立进程中运行计算密集型任务时，才考虑 Pipelines。

Functions（函数）

Functions 是 Open WebUI 内置的扩展机制，直接在管理员面板中管理，无需额外部署。

Functions 的四种类型：

类型	说明	使用场景
Filter	在消息发送到模型前/后进行处理	内容过滤、格式转换、日志记录
Action	在消息气泡上添加自定义按钮	一键翻译、一键总结、复制格式化内容
Tool	为模型提供可调用的工具	网络搜索、数据库查询、API 调用
Pipe	添加新的模型端点或 API 提供商	接入自定义 API、代理转发

管理 Functions：

管理员面板 → 函数（Functions）

在这里你可以：

创建新函数（直接在 Web 编辑器中编写 Python 代码）
从社区导入函数
启用/禁用函数
配置函数参数（Valves）

社区函数库：

Open WebUI 社区提供了大量现成的函数，访问 https://openwebui.com/functions/ 浏览和导入。

💡 Functions 的详细开发将在后续章节中介绍。本节重点是让管理员了解如何管理和配置。

Pipelines（仅限计算密集型场景）

如果你确实需要将计算密集型任务卸载到独立进程，才需要部署 Pipelines。

部署 Pipelines 服务：

在你的 docker-compose.local.yaml 中添加 Pipelines 服务：

services:
  pipelines:
    image: ghcr.io/open-webui/pipelines:main
    container_name: pipelines
    ports:
      - "9099:9099"
    extra_hosts:
      - host.docker.internal:host-gateway
    volumes:
      - pipelines-data:/app/pipelines
    restart: unless-stopped

  open-webui:
    # ... 你的现有配置
    environment:
      - PIPELINES_URLS=http://pipelines:9099

volumes:
  pipelines-data:

启动后访问 http://localhost:9099/docs 验证 Pipelines API 是否正常。

在 Open WebUI 中连接：

管理员面板 → 设置 → Pipelines → 填入 http://pipelines:9099 → 点击刷新

管理插件：

连接成功后，你可以：

上传 Python 插件文件（.py）
启用/禁用插件
配置插件参数（Valves）

Pipelines 插件示例：

官方示例仓库：https://github.com/open-webui/pipelines/tree/main/examples

插件名称	功能	使用场景
Langfuse	集成 Langfuse 监控平台	大规模使用量监控
LLM Guard	防止提示词注入攻击	安全防护（计算密集）
Detoxify	基于 ML 模型的有害内容过滤	内容安全（需要 GPU）

💡 像 Rate Limit（限流）、LibreTranslate（翻译）这类轻量级功能，现在推荐使用 Functions 实现，不再需要部署 Pipelines。

OpenWebUi-网络搜索功能配置

2026-02-27T09:38:17.000Z

3.7. 网络搜索功能配置

网络搜索功能让 AI 能够获取最新的网络信息，突破模型训练数据的时效性限制。用户在对话中开启"联网搜索"开关后，Open WebUI 会先调用搜索引擎获取实时结果，再注入到 LLM 上下文中辅助回答。

配置入口：管理员面板 → 设置 → 联网搜索

配置项说明

配置项	说明	推荐值
启用联网搜索	总开关，关闭时所有用户均无法使用	按需开启
搜索引擎	下拉选择提供商，选择后下方动态显示该引擎所需字段（Key、URL 等）	见下方选型
搜索结果数量	每次返回的结果条数，太少信息不足，太多增加 token 消耗	5-8
并发数	同时抓取结果页面的并发数，过高可能触发速率限制	默认即可
旁路 SSL 验证	跳过 SSL 证书验证，仅自部署引擎用自签名证书时开启	关闭

全部搜索引擎一览

🟢 完全免费（自部署或无需 Key）

DuckDuckGo（duckduckgo）— 零配置开箱即用，无需 API Key，通过 Python 库直接调用。缺点：可能被速率限制，国内需代理
SearXNG（searxng）— 🏆 社区最推荐。开源元搜索引擎，聚合 Google、Bing 等 70+ 引擎结果，需 Docker 自部署，完全免费、无限次数、隐私安全
YaCy（yacy）— 去中心化 P2P 搜索引擎，完全自托管，搜索质量远不如 SearXNG
Ollama Cloud（ollama_cloud）— 用本地 Ollama 模型生成搜索，完全离线但质量有限

🔵 有免费额度（白嫖友好，需注册获取 Key）

Serper（serper）— 🏆 性价比之王。基于 Google SERP，注册送 2,500 次（一次性），付费 $0.30/千次起，速度极快
Brave（brave）— 每月 2,000 次免费（每月刷新），独立搜索索引，隐私友好，超出后 $3/千次
Tavily（tavily）— 每月 1,000 次免费，专为 AI/RAG 设计，返回干净文本，超出后 $0.008/次
Exa（exa）— 注册送 $10 额度（约 2,000 次），AI 原生语义搜索，超出后 $5/千次
Google PSE（google_pse）— 每天 100 次免费（约 3,000 次/月），搜索质量就是 Google 本身，超出后 $5/千次
Firecrawl（firecrawl）— 一次性 500 次免费，搜索 + 深度抓取网页内容，超出后 $16/月起
SearchApi（searchapi）— 注册送 100 次，支持 Google/Bing/Baidu/Scholar 多引擎切换，超出后 $50/月起
Serpstack（serpstack）— 每月 100 次免费，基于 Google SERP，超出后 $30/月起
SerpApi（serpapi）— 每月 100 次免费，功能最全但价格偏高 $25/月起
Jina（jina）— 注册送积分，支持语义搜索和网页内容提取，适合 RAG 场景

🟡 纯付费（无免费额度或需订阅）

Bing（bing）— ⚠️ 微软已于 2025 年 8 月宣布退役，不推荐新用户
Kagi（kagi）— $10/月起订阅制，高质量无广告搜索
Mojeek（mojeek）— 英国独立搜索引擎，有自己的爬虫索引，需联系定价
Serply（serply）— $49/月起，性价比不高
Bocha（bocha）— 🇨🇳 国产博查搜索，国内可直连，需联系定价
Sogou（sougou）— 🇨🇳 搜狗搜索，国内可直连，需联系定价
Yandex（yandex）— 俄罗斯搜索引擎，俄语搜索质量好

🟣 AI 增强搜索

Perplexity（perplexity）— Sonar API，搜索 + AI 总结，Pro 订阅每月附赠 $5 额度
Perplexity Search（perplexity_search）— 同上，纯搜索不含 AI 总结
External（external）— 万能逃生舱，指向任意自定义 HTTP 搜索服务

💡 以上除 Bocha、Sogou 外，其余引擎均需代理才能在国内访问。

选型推荐与部署

🏆 最优解：SearXNG 自部署

适合有服务器的个人/团队，零成本、无限次数、隐私安全。社区公认的最佳方案。

部署步骤：

1 2	git clone https://github.com/searxng/searxng-docker.git cd searxng-docker

修改 settings.yml（最关键一步，必须启用 JSON 格式，否则 Open WebUI 报 403）：

use_default_settings: true

server:
  secret_key: "your-random-secret-key"  # 必须修改
  limiter: false  # 关闭速率限制，避免被限流
  image_proxy: true

search:
  safe_search: 0
  autocomplete: ""
  default_lang: "zh-CN"
  formats:
    - html
    - json  # ⚠️ 必须添加，否则 Open WebUI 无法调用

启动：docker compose up -d，或在 Open WebUI 的 docker-compose.local.yaml 中添加：

services:
  searxng:
    image: searxng/searxng:latest
    container_name: searxng
    ports:
      - "8080:8080"
    volumes:
      - ./searxng:/etc/searxng
    restart: unless-stopped

在 Open WebUI 中配置：搜索引擎选 searxng，查询 URL 填 http://searxng:8080/search?q=（Docker 同网络）或 http://localhost:8080/search?q=。

⚠️ 常见问题：
403 错误：99% 是 settings.yml 没加 json 格式
结果为空：SearXNG 容器需能访问外网，国内服务器需为 SearXNG 容器配代理
超时：检查 limiter 是否为 false，上游搜索引擎是否可达

💰 零成本懒人方案：DuckDuckGo

不想部署任何服务的用户，搜索引擎选 duckduckgo 即可，无需填写任何 Key。缺点是可能被限流、国内需代理、搜索质量不如 Google。

🎯 付费性价比之选：Serper

需要 Google 级搜索质量但预算有限的用户。访问 https://serper.dev 注册，复制 API Key，搜索引擎选 serper 填入即可。注册送 2,500 次，付费后 $0.30/千次起。

🇨🇳 国内直连方案：Bocha / Sogou

服务器在国内、无法配代理的用户。Bocha（博查）和 Sogou（搜狗）国内可直连，中文搜索质量较好，需联系服务商获取 Key 和定价。

成本速算

假设日均搜索 20 次（月均 600 次）：

方案	月成本	说明
SearXNG 自部署	$0	仅消耗服务器资源
DuckDuckGo	$0	可能被限流
Brave 免费额度	$0	每月 2,000 次，完全够用
Google PSE 免费额度	$0	每天 100 次，完全够用
Tavily 免费额度	$0	每月 1,000 次，勉强够用
Serper 免费额度	$0	2,500 次一次性，约可用 4 个月
Serper 付费	~$0.18	超出免费额度后
Brave 付费	~$1.80	超出免费额度后
Kagi	$10+	订阅制

💡 个人使用（日均 <30 次），Brave（2,000 次/月）或 Google PSE（100 次/天）的免费额度完全够用。团队或高频搜索，SearXNG 自部署是唯一真正无限制的方案。

OpenWebUi-语音功能配置

2026-02-27T08:38:17.000Z

3.6. 语音功能配置

Open WebUI 的语音交互由两部分组成：听（STT，语音转文字） 和 说（TTS，文字转语音）。合理的配置需要在“响应速度、拟真体验、实际花销”三者之间找到平衡。

语音转文字（STT）配置

STT 决定了系统“听得有多准”和“听得有多快”，以及你聊天的成本消耗，由于语音转文字本质拉不开很大差距，一般来说都会使用网页API 或选择 Whisper 作为使用

1. 核心引擎横向对比与实际计费

引擎选型	成本梯队	实际计费标准 (预估)	核心优势
网页 API	免费	$0 (利用浏览器原生能力)	服务器零负载，响应极快，零成本
Whisper (本地)	免费	$0 (仅消耗本机/服务器电费)	隐私最强，完全离线，不按时长收费
Deepgram	低成本	约 $0.0043 / 分钟	专为实时语音设计，延迟极低，性价比极高
OpenAI	适中	$0.006 / 分钟	业界标杆，多语言混合识别极准，无需额外注册
Azure AI 语音	偏高	约 $1.00 / 小时 ($0.016/分)	微软企业级稳定服务，带口音的方言识别优秀

2. 深度选型与成本解析

完全免费且省心：网页 API (Web API)
计费逻辑：绝对免费。它调用的是你当前所用浏览器（如 Chrome）内置的语音识别接口。
适用场景：预算为零，服务器没有显卡（GPU）跑不动本地模型，且能保证全程使用 HTTPS 访问的用户。
免费但吃硬件：Whisper (本地)
计费逻辑：软件层面免费，但隐性成本在硬件。它会占用你服务器的 CPU 和显存。如果租用云服务器，为了跑顺畅可能需要升级高配实例。
选型建议：如果你的服务器本身配置就高（如拥有 8GB 以上显存的独立显卡），强烈建议选这个。数据不出局域网，隐私绝对安全。
云端高性价比方案：Deepgram
计费逻辑：按秒计费，极其便宜。折算下来一小时一直说话也才两毛多美元。
选型建议：如果你需要高频使用语音对话，Deepgram 的 Nova-2 模型是首选。它的转录速度远快于 OpenAI，能大幅降低你等 AI 回复的“空窗期”。
高质量兜底方案：OpenAI Whisper
计费逻辑：按分钟计费。如果你每天和 AI 聊 10 分钟语音，一个月大约花费 $1.8。
选型建议：如果你平时说话中英文夹杂，或者专业术语多，OpenAI 的容错和纠错能力是目前云端 API 里最好的。

文字转语音（TTS）配置

TTS 决定了 AI 的“音色”和“情感”，这项功能由于需要生成音频文件，通常比 STT 更贵。

1. 核心引擎横向对比与实际计费

引擎选型	成本梯队	实际计费标准 (预估)	拟真度
网页 API	免费	$0 (调用系统内置 TTS)	⭐⭐ (明显机械音)
openai-edge-tts 🏆	免费	$0 (微软 Edge 在线语音，中间件伪装)	⭐⭐⭐⭐⭐ (中文场景极佳，接近 OpenAI)
Transformers	免费	$0 (消耗本地算力生成)	⭐⭐⭐ (略带顿挫感)
OpenAI	低成本	$0.015 / 千字符	⭐⭐⭐⭐ (非常自然流畅)
Azure AI 语音	适中	约 $0.016 / 千字符	⭐⭐⭐⭐ (专业播音腔，可选多)
ElevenLabs	昂贵	约 $0.22 / 千字符 (按标准套餐折算)	⭐⭐⭐⭐⭐ (情感天花板)

2. 深度选型与成本解析

零成本测试首选：网页 API
计费逻辑：免费。直接让你的 Windows 或 macOS 系统里的"讲述人"来读出文字。
体验：毫无感情，适合用来排查语音链路通不通，不适合长期对话。
🏆 中文场景版本答案：openai-edge-tts（强烈推荐）
计费逻辑：完全免费。它通过一个开源中间件（travisvn/openai-edge-tts，GitHub 1.6k+ Stars），将微软 Edge 浏览器内置的高质量在线语音接口伪装成 OpenAI TTS 接口给 Open WebUI 使用。你在抖音/TikTok 上听到的那些非常自然的 AI 解说音，用的就是同一套微软语音引擎。
选型建议：面向国内中文用户的最佳选择。音质接近 OpenAI TTS，远超本地机械音，且完全免费、无需 GPU。Open WebUI 官方文档已有专门的集成页面。唯一注意点：它本质是微软云服务的代理，需要联网才能使用，不是真正的离线方案。

部署步骤：

第一步：启动 Docker 容器

1	docker run -d -p 5050:5050 -e API_KEY=your_password travisvn/openai-edge-tts:latest

第二步：在 Open WebUI 管理面板中配置

进入管理员面板 → 设置 → 语音，在 TTS 部分填写：

配置项	填写内容	说明
TTS 引擎	`OpenAI`	注意：选 OpenAI，不是 Edge，因为中间件伪装成了 OpenAI 接口
API 基础 URL	`http://host.docker.internal:5050/v1`	如果 Open WebUI 也在 Docker 中运行；否则填 `http://localhost:5050/v1`
API 密钥	`your_password`	与 Docker 启动时的 `API_KEY` 保持一致
TTS 模型	`tts-1`	固定值
TTS 语音	`zh-CN-XiaoxiaoNeural`	最受欢迎的中文女声；男声可选 `zh-CN-YunxiNeural`

💡 更多语音选择：Edge TTS 支持大量中文语音，如 zh-CN-XiaoyiNeural（年轻女声）、zh-CN-YunjianNeural（新闻播报男声）等，完整列表可在容器启动后访问 http://localhost:5050/v1/voices 查看。

⚠️ 注意：此方案依赖微软在线服务，断网时无法使用。如果你需要完全离线的 TTS，请考虑 Transformers 本地方案或下方的 Kokoro-FastAPI。

补充：英文场景的替代方案 —— Kokoro-FastAPI
如果你的用户主要使用英文对话，社区中另一个高口碑项目是 Kokoro-FastAPI。它完全本地运行，英文语音质量被社区评为当前最佳，同样提供 OpenAI 兼容 API。但中文支持较弱，因此面向国内用户时 openai-edge-tts 仍是首选。
极致性价比：OpenAI TTS
计费逻辑：按生成的字符数收费。1000 个英文字符或中文字大概只要 1 分多钱（美元）。即使重度使用，每个月也就几美元。
选型建议：90% 用户的最佳选择。模型选 tts-1 即可（tts-1-hd 贵一倍且速度慢，对话时完全没必要）。声音推荐 Alloy（中性）或 Nova（活力）。
如果你需要更高质量的选型（听觉享受）：ElevenLabs
计费逻辑：非常贵。采用订阅+额度制（如 $22/月给 10 万字符），折算下来单价比 OpenAI 贵了 15 倍左右。
为什么选它：物有所值。它是目前唯一能做到“根据上下文叹气、呼吸、调整情绪甚至哭腔”的 API。如果你把 AI 当作情感树洞，或者需要克隆特定人的声音，这笔钱花得值。

OpenWebUi-图像生成功能配置

2026-02-27T07:38:17.000Z

3.5. 图像生成功能配置

Open WebUI 支持集成多种图像生成工具，让 AI 能够根据文字描述生成图片。

DALL-E 集成

DALL-E 是 OpenAI 的图像生成模型，质量高但需要付费。

配置步骤：

管理员面板 → 设置 → Images

找到 “图像生成引擎” 选项，选择 “OpenAI DALL-E”。

填写配置：

字段	值
API Key	你的 OpenAI API 密钥
模型	dall-e-3（推荐）或 dall-e-2
图像尺寸	1024x1024（标准）、1792x1024（宽屏）、1024x1792（竖屏）
图像质量	standard（标准）或 hd（高清，更贵）

费用说明：

DALL-E 3 标准质量：$0.040 / 张
DALL-E 3 高清质量：$0.080 / 张
DALL-E 2：$0.020 / 张

ComfyUI 集成

ComfyUI 是一个开源的图像生成工作流工具，支持 Stable Diffusion 等模型。

前置要求：

你需要先部署 ComfyUI 服务。ComfyUI 的部署超出本教程范围，请参考 ComfyUI 官方文档。

配置步骤：

管理员面板 → 设置 → Images → 选择 “ComfyUI”

填写配置：

字段	说明
ComfyUI Base URL	ComfyUI 服务地址，如 `http://localhost:8188`
工作流 JSON	ComfyUI 的工作流配置文件

工作流配置：

ComfyUI 使用 JSON 格式的工作流文件来定义图像生成流程。你需要：

在 ComfyUI 中设计好工作流
导出为 JSON 文件
将 JSON 内容粘贴到 Open WebUI 的配置中

优势：

完全免费（使用本地模型）
完全可控，可以自定义各种参数
支持多种 Stable Diffusion 模型

劣势：

配置复杂，需要一定的技术能力
需要额外的硬件资源（特别是 GPU）

AUTOMATIC1111 集成

AUTOMATIC1111 (Stable Diffusion WebUI) 是另一个流行的开源图像生成工具。

配置步骤：

管理员面板 → 设置 → Images → 选择 “AUTOMATIC1111”

填写配置：

字段	值
API Base URL	`http://localhost:7860`
API Key	如果设置了认证，填入密钥

启用 API：

AUTOMATIC1111 默认不开启 API，需要在启动时添加参数：

1	python launch.py --api --listen

测试连接：

配置完成后，点击 “测试连接” 按钮，如果成功会显示可用的模型列表。

图像生成参数设置

无论使用哪种引擎，都可以配置默认的生成参数：

参数	说明	推荐值
Steps	生成步数，越多质量越好但越慢	20-30
CFG Scale	提示词引导强度	7-9
Sampler	采样器类型	Euler a 或 DPM++ 2M
负面提示词	不想出现的元素	ugly, blurry, low quality

这些参数主要用于 Stable Diffusion 类模型，DALL-E 不需要配置。

通过 CLIProxyAPI Plus 对接图像生成/编辑

如果你使用的是 CLIProxyAPI Plus（CPA）作为 OpenAI 兼容代理，它原生只提供 /v1/chat/completions 端点，不支持 /v1/images/generations 和 /v1/images/edits。但 Open WebUI 的 OpenAI 图像引擎恰恰需要这两个端点。

我们对 CPA 源码进行了 Fork 修改，新增了这两个端点，原理是将图像 API 请求转换为 Chat Completions 调用：

端点	请求格式	转换逻辑
`POST /v1/images/generations`	JSON（prompt + model）	构建纯文本 chat completions 请求，从响应中提取 `data:image/xxx;base64,...`
`POST /v1/images/edits`	multipart/form-data（image 文件 + prompt + model）	将上传图片转为 base64 data URI，构建多模态 chat completions 请求（image_url + text）

两个端点都返回标准 OpenAI Images API 格式：{"created": ..., "data": [{"b64_json": "..."}]}。

涉及的 CPA 源码文件：

sdk/api/handlers/openai/openai_images_handler.go — 新增文件，包含 ImageGenerations 和 ImageEdits 两个 handler
internal/api/server.go — 在 setupRoutes() 的 v1 group 中注册路由（3 行改动）

Open WebUI 配置：

图像生成（管理员面板 → 设置 → Images）：

字段	值
引擎	OpenAI
API Base URL	`http://host.docker.internal:8317/v1`
API Key	你的 CPA api-key
模型	手动输入模型 ID，如 `prorise/gemini-3-pro-image-preview`

图像编辑配置同理，引擎选 OpenAI，URL 和 Key 相同，模型填支持图像编辑的模型 ID。

触发机制：

聊天中纯文字描述 → 触发 /images/generations（图像生成）
聊天中上传图片 + 文字描述 → 触发 /images/edits（图像编辑，需开启 ENABLE_IMAGE_EDIT）

注意事项：

图像模型建议在 Open WebUI 的模型高级设置中关闭流式输出（stream_response: false），避免 chunk 过大导致前端显示异常
CPA 源码 Fork 详见项目根目录的 FORK_README.md，同步上游更新时注意冲突风险

OpenWebU-RAG 文档功能配置

2026-02-27T06:38:17.000Z

3.4. RAG 文档功能配置

RAG（检索增强生成）是 Open WebUI 的核心功能之一，允许用户基于自己的文档进行问答。本节将从上到下逐一解析 Admin Panel → Settings → Documents 页面的每个配置项，帮助你根据实际场景做出最优选择。

配置入口：管理员面板 → 设置 → Documents

内容提取引擎（Content Extraction Engine）

内容提取引擎决定了 Open WebUI 如何从上传的文件中提取文本。通过环境变量 CONTENT_EXTRACTION_ENGINE 选择，共支持 8 种引擎。

引擎横向对比

引擎	部署方式	费用	支持格式	OCR 能力	表格/公式	适用场景
默认（Default）	本地，零依赖	免费	PDF、TXT、CSV、DOCX、代码文件	❌ 不支持	❌ 弱	简单文档，纯文本 PDF
Apache Tika	需部署 Java 服务	免费（开源）	1400+ 种格式	❌ 弱	❌ 弱	格式种类多的企业环境
Docling（IBM）	需部署服务或用 API	免费（开源）	PDF、DOCX、PPTX、HTML	✅ 支持	✅ 优秀	复杂排版、表格、公式
Datalab Marker	云 API 或自部署	~$6/千页（高精度）	PDF、图片	✅ LLM 增强 OCR	✅ 优秀	复杂排版 PDF，可自部署
Mistral OCR	云 API	$1-2/千页	PDF、图片	✅ 99%+ 准确率	✅ 优秀	扫描件、多语言（25+ 语言）
Document Intelligence	Azure 云服务	~$10/千页	PDF、图片、表单	✅ 支持	✅ 支持	Azure 生态企业用户
MinerU	自部署或云 API	免费（开源）	PDF、图片	✅ 支持	✅ 最佳	学术论文、金融报告、公式密集
External	自定义 HTTP 服务	取决于实现	自定义	取决于实现	取决于实现	对接私有解析服务

各引擎详细说明

使用 Python 原生加载器（PyPDFLoader、Docx2txtLoader、CSVLoader、TextLoader），零依赖开箱即用。但不支持 OCR，无法处理扫描件，对复杂表格和公式无能为力。

适合：纯文本 PDF 和简单文档，快速上手无需任何额外配置。

老牌 Java 文档解析框架，格式覆盖最广（1400+），但对 PDF 排版理解较弱，不擅长表格结构保留和公式识别。适合已有 Tika 基础设施的组织。

1
2
3

environment:
  - CONTENT_EXTRACTION_ENGINE=tika
  - TIKA_SERVER_URL=http://tika:9998

Python 原生，对 PDF 排版理解好，表格提取准确，支持公式，输出干净的 Markdown/JSON。在多个评测中与 MinerU 并列 top 2。

environment:
  - CONTENT_EXTRACTION_ENGINE=docling
  - DOCLING_SERVER_URL=http://docling:5000
  - DOCLING_API_KEY=your-api-key  # 如需认证

基于开源 Marker 和 Surya 模型，LLM 增强 OCR。其 Chandra OCR 模型在 olmOCR benchmark 上得分 83.1%，超过 GPT-4o。支持云 API 和自部署两种方式。

1
2
3

environment:
  - CONTENT_EXTRACTION_ENGINE=datalab_marker
  - DATALAB_MARKER_API_KEY=your-api-key

号称 99%+ 准确率，支持表格/公式/图表转表格/签名检测，覆盖 25+ 语言。性价比高（$1/千页起），但只能通过 API 调用，无法自部署。

1
2
3

environment:
  - CONTENT_EXTRACTION_ENGINE=mistral_ocr
  - MISTRAL_OCR_API_KEY=your-api-key

微软企业级服务，预置发票/收据/身份证等模型，支持自定义模型训练。价格较高但有企业合规保障。

1
2
3

environment:
  - CONTENT_EXTRACTION_ENGINE=document_intelligence
  - DOCUMENT_INTELLIGENCE_ENDPOINT=https://your-resource.cognitiveservices.azure.com/

基于 PDF-Extract-Kit 微调模型，在复杂文档（学术论文、教材、金融报告）上表现最佳，表格/公式/图片提取精度高。推荐 GPU 环境运行。

environment:
  - CONTENT_EXTRACTION_ENGINE=mineru
  - MINERU_API_URL=http://mineru:8000
  - MINERU_API_MODE=local  # cloud 或 local

万能逃生舱，指向任意 HTTP 服务，适合对接企业内部的私有文档解析服务。

1
2
3

environment:
  - CONTENT_EXTRACTION_ENGINE=external
  - EXTERNAL_DOCUMENT_LOADER_URL=http://your-service:8080/extract

引擎选择建议

场景	推荐引擎	理由
简单文档、快速上手	默认	零配置，开箱即用
扫描件、多语言文档	Mistral OCR	性价比最高，准确率高
学术论文、公式密集	MinerU 或 Docling	表格/公式提取精度最佳
企业 Azure 环境	Document Intelligence	合规保障，预置模型丰富
想自部署 + 高精度	Datalab Marker 或 MinerU	开源可控，精度优秀
格式种类极多	Apache Tika	1400+ 格式覆盖

PDF 提取图片（PDF Extract Images）

配置项	环境变量	默认值	说明
PDF Extract Images	`PDF_EXTRACT_IMAGES`	`false`	是否从 PDF 中提取嵌入的图片

启用后会增加处理时间和存储空间，仅在文档中的图片内容对问答有价值时开启。

PDF 加载模式

Open WebUI 提供两种 PDF 处理模式，决定了文档在进入切分器之前的预处理方式：

模式	行为	优点	缺点	适用场景
Page（页模式）	每页作为独立文档单元，保留页边界	检索时能精确定位到具体页码	跨页内容会被截断	PPT 转 PDF、每页独立主题
Single Document（单文档模式）	整个 PDF 合并为一个文本块，再统一切分	跨页内容不会丢失，语义连贯	失去页码定位能力	论文、书籍、报告等连续叙述型文档

最佳实践：大多数 RAG 场景推荐 Single Document 模式，因为语义连贯性比页码定位更重要。如果文档每页内容相对独立（如幻灯片），则用 Page 模式。

文本切分（Text Splitting）

文本切分决定了文档被拆分成多大的片段（chunk）存入向量数据库。切分质量直接影响检索精度。

切分器类型

切分器	计量方式	特点	适用场景
默认（Character）	按字符数	使用递归分隔符（`\n\n` → `\n` → 空格 → 字符）逐级切分，简单高效，无依赖	英文文档、通用场景
Token	按 token 数	按模型 tokenizer 计算，切分大小与模型上下文窗口精确对齐	中文文档（1 个汉字 ≈ 2-3 个 token）、需要精确控制 token 用量

核心参数

配置项	环境变量	默认值	推荐值	说明
Chunk Size	`CHUNK_SIZE`	1500	1000-2000	每个 chunk 的最大大小。太小丢失上下文，太大降低检索精度
Chunk Overlap	`CHUNK_OVERLAP`	100	Chunk Size 的 5%-15%	相邻 chunk 的重叠量，保证边界处语义连贯

参数调优指南：

Chunk Size 太小（<500）：上下文不完整，模型难以理解片段含义
Chunk Size 太大（>2000）：包含过多无关信息，检索精度下降
Chunk Overlap 太小：重要信息可能被切断在两个 chunk 之间
Chunk Overlap 太大：存储冗余增加，检索效率降低

Markdown 标题文本分割器

配置项	默认值	说明
Markdown Header Text Splitter	关闭	按 Markdown 标题（H1-H6）进行结构化预切分
Chunk Min Size Target	—	合并过小片段的阈值，建议设为 Chunk Size 的 50%

启用后，文档会先按 Markdown 标题进行结构化预切分，然后再交给标准切分器处理。好处：

保留文档的逻辑结构，每个 chunk 属于明确的章节
避免跨章节切分导致语义混乱
配合 Chunk Min Size Target 参数，可以将过小的片段向前合并（单向合并算法，不跨文档），官方测试显示阈值设为 1000（chunk size 2000 时）可减少 90%+ 的碎片 chunk

最佳实践：如果文档是 Markdown 格式，或提取引擎输出 Markdown（Docling、MinerU、Marker 都输出 Markdown），强烈建议开启此选项。

嵌入模型（Embedding Model）

嵌入模型将文本转换为向量表示，是 RAG 检索的基础。模型质量直接决定检索准确性。

引擎横向对比

引擎	配置值	费用	延迟	隐私	推荐模型
SentenceTransformers（默认）	`""`	免费，本地运行	中等（取决于硬件）	完全本地	`all-MiniLM-L6-v2`（轻量）、`BAAI/bge-m3`（多语言）
Ollama	`ollama`	免费，本地运行	快（已有 Ollama 实例）	完全本地	`nomic-embed-text`（推荐首选）、`mxbai-embed-large`
OpenAI	`openai`	按 token 计费	低（云端）	数据发送到云端	`text-embedding-3-small`（性价比）、`text-embedding-3-large`（高精度）
Azure OpenAI	`azure`	按 token 计费	低（云端）	Azure 合规保障	同 OpenAI 模型，通过 Azure 部署

各引擎详细说明

使用 Python sentence-transformers 库在本地运行，模型自动从 HuggingFace 下载缓存。零成本、完全隐私，但首次加载模型较慢，且占用服务器内存/显存。默认模型 all-MiniLM-L6-v2 较轻量但精度一般。

⚠️ 网络提示：如果服务器无法访问 huggingface.co，启动时会出现 SSL 重连错误，RAG 功能将不可用。可添加镜像站环境变量解决：

1 2	environment: - HF_ENDPOINT=https://hf-mirror.com

如果你已经在用 Ollama 跑 LLM，这是最方便的选择。nomic-embed-text 是社区最推荐的模型：8192 token 上下文、完全开源、在 MTEB 和 LoCo 基准上表现优异。

先下载模型：

1
2
3

ollama pull nomic-embed-text
# 或中文场景
ollama pull bge-m3

然后配置环境变量：

environment:
  - RAG_EMBEDDING_ENGINE=ollama
  - RAG_EMBEDDING_MODEL=nomic-embed-text
  - RAG_OLLAMA_BASE_URL=http://ollama:11434

支持任何 OpenAI 兼容端点（包括第三方）。text-embedding-3-small（1536 维）性价比高，text-embedding-3-large（3072 维）精度更好。缺点是有 API 费用、网络延迟、数据隐私风险。

environment:
  - RAG_EMBEDDING_ENGINE=openai
  - RAG_EMBEDDING_MODEL=text-embedding-3-small
  - RAG_OPENAI_API_BASE_URL=https://api.openai.com/v1
  - RAG_OPENAI_API_KEY=sk-...

本质上是 OpenAI 模型通过 Azure 托管，适合有 Azure 合规要求的企业。

1
2
3

environment:
  - RAG_EMBEDDING_ENGINE=azure
  - RAG_AZURE_OPENAI_BASE_URL=https://your-resource.openai.azure.com/

嵌入模型选择建议

场景	推荐方案	理由
本地优先、已有 Ollama	Ollama + `nomic-embed-text`	最佳平衡，免费、快速、质量好
资源受限、轻量部署	SentenceTransformers + `all-MiniLM-L6-v2`	零依赖，内存占用小
中文文档为主	Ollama + `bge-m3` 或 SentenceTransformers + `BAAI/bge-m3`	多语言支持优秀
追求精度且不介意费用	OpenAI + `text-embedding-3-large`	精度最高
企业合规要求	Azure OpenAI	合规保障

其他嵌入参数

配置项	环境变量	默认值	说明
Embedding Batch Size	`RAG_EMBEDDING_BATCH_SIZE`	100	批量嵌入大小，显存不足时调小

⚠️ 重要：更换嵌入模型后，所有已有文档必须重新嵌入（re-embed），因为不同模型的向量空间不兼容。确定模型后不要轻易更换。

检索与排序（Retrieval & Ranking）

检索参数决定了从向量数据库中召回多少结果、如何过滤和排序。这是影响 RAG 最终效果的关键环节。

核心检索参数

配置项	环境变量	默认值	推荐值	说明
Top K	`TOP_K`	5	5-10	返回的最相关 chunk 数量。太少可能遗漏信息，太多会稀释上下文
Relevance Threshold	`RELEVANCE_THRESHOLD`	0.0	0.2-0.5	最低相关性分数阈值，低于此分数的 chunk 被过滤。设为 0 表示不过滤

参数调优指南：

Top K 太少（❤️）：可能遗漏重要信息，回答不完整
Top K 太多（>10）：包含过多噪音，模型可能被无关内容干扰
Relevance Threshold 太低（0）：不过滤，噪音多
Relevance Threshold 太高（>0.7）：过滤过严，可能丢失有用信息

混合搜索（Hybrid Search）

配置项	环境变量	默认值	推荐	说明
Hybrid Search	`ENABLE_RAG_HYBRID_SEARCH`	`false`	开启	结合向量搜索 + BM25 关键词匹配

混合搜索使用 EnsembleRetriever，同时执行：

向量搜索：基于语义相似度，擅长理解同义词和语义关联
BM25 关键词匹配：基于词频统计，擅长精确匹配专有名词、代码、ID 等

两者互补，显著提升召回率，推荐开启。

重排序（Reranking）

配置项	环境变量	默认值	说明
Reranking Model	`RAG_RERANKING_MODEL`	—	使用 CrossEncoder/ColBERT 对检索结果重排序
Top K Reranker	`TOP_K_RERANKER`	—	重排序后保留的结果数

重排序的工作流程：

先通过向量搜索（+ BM25）召回较多候选结果
再用 CrossEncoder 模型对每个候选结果与查询进行精细打分
按新分数重新排序，保留 Top K Reranker 个最相关结果

推荐配合 Hybrid Search 使用，这是提升 RAG 质量最有效的组合。

检索策略建议

文档规模	推荐配置
小文档集（<100 个文档）	Top K=5，不需要混合搜索和重排序
中等文档集（100-1000）	Top K=5-8，开启 Hybrid Search
大文档集（>1000）	Top K=8-10，开启 Hybrid Search + Reranking，Relevance Threshold=0.2+

高级设置

RAG 模板与上下文

配置项	环境变量	默认值	说明
RAG Template	`RAG_TEMPLATE`	内置模板	自定义 RAG 提示词模板，控制检索内容如何注入到 LLM prompt
RAG System Context	`RAG_SYSTEM_CONTEXT`	`false`	设为 `true` 将 RAG 上下文放入 system message 而非 user message

RAG System Context 的作用：将检索到的文档内容放入 system message，而非 user message。好处是在多轮对话中可以优化 KV cache 复用（因为 system message 不变），推荐 Ollama/llama.cpp 用户开启。

异步与性能

配置项	环境变量	默认值	说明
Async Embedding	`ENABLE_ASYNC_EMBEDDING`	`false`	后台线程池处理嵌入，上传大量文档时建议开启

文件与工具

配置项	默认值	说明
File Context	启用	控制是否对附件执行 RAG 并预注入内容
Builtin Tools	启用	给模型提供 `query_knowledge_bases`、`search_chats` 等函数调用工具

网页加载

配置项	环境变量	默认值	说明
Web Loader SSL Verification	`ENABLE_WEB_LOADER_SSL_VERIFICATION`	`true`	网页加载时是否验证 SSL 证书
Google Drive Integration	`GOOGLE_DRIVE_API_KEY` 等	—	Google Drive 文件直接导入

向量数据库（Vector Database）

向量数据库用于存储文档的向量表示，是 RAG 检索的底层存储。

配置项	环境变量	默认值	说明
Vector DB	`VECTOR_DB`	`chromadb`	向量数据库类型
Vector DB URL	`VECTOR_DB_URL`	—	外部向量数据库连接地址

支持的向量数据库

数据库	部署方式	适用场景	特点
ChromaDB	内置，无需额外配置	个人使用、小团队	默认选择，开箱即用
Qdrant	需部署独立服务	大规模部署	高性能，支持过滤
Milvus	需部署独立服务	企业环境	分布式，支持十亿级向量
Weaviate	需部署独立服务	需要混合搜索	内置向量+关键词搜索
OpenSearch	需部署独立服务	已有 OpenSearch 集群	Elasticsearch 开源替代
PGVector	PostgreSQL 扩展	已有 PostgreSQL 环境	复用现有数据库
Pinecone	云端托管	云端部署，免运维	全托管，按用量计费
S3 Vector	AWS S3	AWS 生态	低成本存储

内置数据库，无需任何额外配置，开箱即用。适合个人和小团队。

1
2
3

environment:
  - VECTOR_DB=qdrant
  - QDRANT_URL=http://qdrant:6333

1
2
3

environment:
  - VECTOR_DB=milvus
  - MILVUS_URI=http://milvus:19530

1
2
3

environment:
  - VECTOR_DB=pgvector
  - PGVECTOR_DB_URL=postgresql://user:pass@postgres:5432/vectors

environment:
  - VECTOR_DB=pinecone
  - PINECONE_API_KEY=your-api-key
  - PINECONE_ENVIRONMENT=us-east-1

对于大多数用户，ChromaDB 已经足够使用，无需额外配置。

整体最佳实践总结

根据以上所有配置项的分析，以下是推荐的最佳实践组合：

配置项	推荐值	理由
提取引擎	根据文档类型选择（见引擎选择建议表）	复杂 PDF 用 Docling/MinerU/Mistral OCR，简单文档用默认
PDF 加载模式	Single Document	语义连贯性优先
文本切分器	中文用 Token，英文用 Character	中文字符数 ≠ token 数
Chunk Size	1000-2000	平衡上下文完整性和检索精度
Chunk Overlap	Chunk Size 的 10%	保证边界语义连贯
Markdown 标题切分	开启（如果文档是 Markdown）	保留文档结构，减少碎片
嵌入模型	本地：Ollama + `nomic-embed-text`	免费、快速、质量好
Hybrid Search	开启	向量 + 关键词互补，显著提升召回率
Reranking	配合 Hybrid Search 开启	提升精度最有效的组合
Top K	5-10	平衡召回和噪音
Relevance Threshold	0.2-0.5	过滤低质量结果
RAG System Context	`true`（Ollama 用户）	优化多轮对话 KV cache
向量数据库	ChromaDB（默认）	小团队足够，零配置

💡 核心原则：先确定嵌入模型（确定后不要轻易更换），再开启 Hybrid Search + Reranking，最后根据文档类型选择提取引擎。这三步是提升 RAG 质量投入产出比最高的操作。

OpenWebUi-用户与权限管理

2026-02-27T05:38:17.000Z

3.3. 用户与权限管理

Open WebUI 提供了完善的多用户管理功能，适合团队协作使用。

用户注册与审批流程

默认行为：

第一个注册的用户自动成为管理员
后续注册的用户状态为 “待激活”
管理员需要手动激活用户

配置注册开关：

管理员面板 → 设置 → 通用 → 身份验证

找到 “允许新用户注册” 开关：

状态	说明	适用场景
开启	任何人都可以注册，新用户角色由"默认用户角色"决定	小团队、内网环境
关闭	禁止注册，只能由管理员手动添加用户	严格控制的企业环境

配置默认用户角色：

在同一页面，找到 “默认用户角色” 下拉选择：

角色	说明
待激活	注册后无法使用系统，需要管理员手动激活（默认值）
用户	注册后直接可以使用系统
管理员	注册后直接成为管理员（不推荐）

配置默认权限组：

你还可以设置 “默认权限组”，新注册的用户会自动加入该权限组，继承组的权限配置。

如果你的团队成员都是可信的，可以将默认角色设为 “用户”，这样注册后就能直接使用，无需审批。

手动添加用户

如果你关闭了注册功能，或者想要批量添加用户，可以使用手动添加功能。

步骤 1：进入用户管理

管理员面板 → 用户（Users）

步骤 2：添加单个用户

点击右上角的 “添加用户” 按钮，填写信息：

字段	说明	示例
邮箱	用户登录邮箱	user@example.com
用户名	显示名称	张三
密码	初始密码	建议生成随机密码
角色	用户角色	User

点击 “创建” 完成添加。

步骤 3：通知用户

将登录信息（邮箱和密码）发送给用户，建议用户首次登录后立即修改密码。

批量导入用户（CSV）

如果需要添加大量用户，可以使用 CSV 批量导入功能。

步骤 1：准备 CSV 文件

创建一个 CSV 文件，格式如下：

email,name,password,role
user1@example.com,用户1,password123,user
user2@example.com,用户2,password456,user
user3@example.com,用户3,password789,admin

注意：

第一行是表头，必须包含这四个字段
role 可以是 user、admin 或 pending
密码建议使用随机生成的强密码

步骤 2：导入

管理员面板 → 用户 → 点击 “导入用户” 按钮

选择你准备好的 CSV 文件，点击上传。

系统会显示导入结果，包括成功和失败的记录。

用户角色体系

Open WebUI 有三种用户角色：

角色	权限	适用对象
管理员	完全控制权限，可以管理所有设置、用户、模型	系统管理员、技术负责人
用户	可以使用系统，创建对话，上传文档，但不能修改系统设置	普通团队成员
待激活	无法使用系统，等待管理员激活	新注册用户

修改用户角色：

管理员面板 → 用户 → 找到目标用户 → 点击角色下拉菜单 → 选择新角色

权限组管理

权限组功能允许你将用户分组，然后批量分配权限。

创建权限组：

管理员面板 → 用户 → 权限组 → 点击 “创建权限组”

填写信息：

字段	说明	示例
组名	权限组名称	开发团队
描述	组的说明	负责产品开发的团队成员

添加成员到权限组：

创建权限组后，点击 “添加成员” 按钮，选择要添加的用户。

为权限组分配权限：

权限组创建后，你可以：

将特定模型的访问权限分配给权限组
将知识库的访问权限分配给权限组
将工具和函数的使用权限分配给权限组

这样，当你添加新成员到权限组时，他们会自动获得组的所有权限，无需逐个配置。

💡 系统默认有一个"默认权限"组，用于所有具有"用户"角色的用户。你可以点击进入修改默认权限。

我的权限组设计

我接入了大量模型（100+ 个），来源包括 AWS Bedrock、OpenAI、Google Gemini、GitHub Copilot、iFlow 代理、Moonshot 等多个渠道。不同渠道的成本差异很大，不能让所有用户无差别地使用全部模型。

我借助大模型分析了数据库中的模型列表和权限表结构，设计了三级权限组：

权限组	定位	可用模型数	说明
试用组	新用户体验	13 个	仅提供轻量级免费/低成本模型，功能受限（不可多模型对话、不可创建频道等）
正式组	日常使用	77 个	拥有所有自有渠道模型的访问权限，功能完整
管理组	管理员	102 个（全部）	在正式组基础上额外拥有高成本第三方渠道模型（GitHub Copilot、SciHub 镜像）

试用组可用模型（13 个）：

只开放成本最低的轻量模型，让新用户体验基本功能：

Claude Haiku 4.5 系列（AWS 直连 + Kiro 通道）
Gemini 2.5 Flash / Flash Lite
GPT-5 Codex Mini / GPT-5.1 Codex Mini
Qwen3 Coder Flash
Kiro GPT-3.5/4/4o（旧模型，成本极低）

正式组额外可用模型（+64 个）：

在试用组基础上，解锁所有自有渠道的中高端模型：

Claude Sonnet 4/4.5、Opus 4.5/4.6 全系列（含 Thinking、Agentic 变体）
Gemini 2.5 Pro、3 Pro/Flash Preview
GPT-5/5.1/5.2/5.3 全系列
DeepSeek V3/V3.1/V3.2、R1（通过 iFlow）
Qwen3 Max/235B/Coder Plus（通过 iFlow）
Kimi K2/K2.5（Moonshot 直连 + iFlow）
GLM 4.6/4.7/5（通过 iFlow）
MiniMax M2/M2.1（通过 iFlow）

管理组专属模型（+25 个）：

这些模型走 GitHub Copilot 和 SciHub 镜像渠道，成本较高或属于特殊用途，仅管理员可用：

gh-* 系列（21 个）：GitHub Copilot 高级模型，包括 gh-gpt-5.2、gh-claude-opus-4.6、gh-gemini-3-pro-preview 等
scihub.* 系列（4 个）：SciHub Claude 镜像，包括 scihub.claude-opus-4-6、scihub.claude-sonnet-4-5-20250929 等

权限组的功能差异：

除了模型访问权限，三个组在系统功能上也有区别：

功能	试用组	正式组	管理组
多模型对话	❌	✅	✅
创建频道/文件夹	❌	✅	✅
知识库管理	❌	✅	✅
工具/函数管理	❌	✅	✅
图片生成	❌	✅	✅
笔记功能	❌	✅	✅
导入/导出模型	❌	✅	✅
界面设置	❌	❌	✅
临时对话强制	✅（强制）	❌	❌

模型图标规范：

为了让用户在模型列表中快速识别来源，我为每个模型统一配置了图标：

模型来源	图标
Claude 系列	claude-color.svg
OpenAI GPT 系列	openai.svg
Gemini 系列	gemini-color.svg
Qwen 系列	qwen-color.svg
DeepSeek 系列	deepseek-color.svg
Kimi 系列	moonshot.svg
MiniMax 系列	minimax-color.svg
GLM 系列	zhipu-color.svg
Grok 系列	grok.svg
Kiro（AWS 通道）	aws-color.svg

图标统一使用 cdn.jsdelivr.net/npm/@lobehub/icons-static-svg@1.79.0/icons/ 的 SVG 资源。

批量配置方法：

手动逐个配置 100+ 个模型的权限和图标不现实。我的做法是：

在 Open WebUI 管理面板导出模型列表（JSON 格式）
用大模型编写 Python 脚本，根据模型 ID 前缀和名称自动推断图标和权限组
脚本批量写入 access_grants（新版格式）和 meta.profile_image_url
将修正后的 JSON 重新导入 Open WebUI

这样每次上游新增模型或系统升级后，只需重新导出 → 跑脚本 → 导入，几分钟就能完成全部配置。

⚠️ 注意：Open WebUI 升级后数据库结构可能变化。例如从旧版升级到新版时，模型权限从 model 表的 access_control 字段迁移到了独立的 access_grant 表，导出格式也从 access_control 对象变成了 access_grants 数组。升级后建议先导出一份检查格式再操作。

用户活动监控

Open WebUI 提供了用户活动监控功能，帮助你了解系统使用情况。

查看活跃用户：

管理员面板 → 设置 → 通用 → 找到 “显示活跃用户数” 选项

启用后，在主界面底部会显示当前活跃用户数和正在使用的模型。

查看用户详情：

管理员面板 → 用户 → 点击用户名

你可以看到：

创建的对话数量
使用的模型统计

注意：Open WebUI 不会记录用户的具体对话内容，只记录统计信息，保护用户隐私。

OpenWebUi-模型连接与管理

2026-02-27T04:38:17.000Z

3.2. 模型连接与管理

模型连接是 Open WebUI 最核心的配置。没有模型，Open WebUI 就无法工作。

连接本地 Ollama

如果你在本地运行了 Ollama，需要在 Open WebUI 中配置连接。

步骤 1：进入连接设置

管理员面板 → 设置 → 外部连接（Connections）

步骤 2：配置 Ollama API URL

在 “Ollama API URL” 字段中填入：

部署方式	URL
Docker 部署（Ollama 在主机）	`http://host.docker.internal:11434`
Docker Compose（Ollama 在容器）	`http://ollama:11434`
Python 安装（Ollama 在主机）	`http://localhost:11434`

步骤 3：验证连接

点击 URL 输入框右侧的刷新按钮（🔄）。

如果连接成功，下方会显示 “连接成功” 的提示，并且会自动拉取 Ollama 中的模型列表。

步骤 4：配置多个 Ollama 实例（可选）

如果你有多台服务器运行 Ollama，可以添加多个连接。Open WebUI 会自动进行负载均衡。

点击 “添加 Ollama 实例” 按钮，填入新的 URL，例如：

http://192.168.1.100:11434
http://192.168.1.101:11434

这样，当用户发起请求时，Open WebUI 会自动选择负载较低的实例。

连接 OpenAI API

如果你想使用 OpenAI 的 GPT 模型，需要配置 OpenAI API。

步骤 1：获取 API 密钥

访问 OpenAI 官网：https://platform.openai.com/api-keys

登录后，点击 “Create new secret key” 创建一个新的 API 密钥。

重要：API 密钥只会显示一次，请妥善保存。

步骤 2：在 Open WebUI 中配置

管理员面板 → 设置 → 外部连接 → OpenAI

字段	值	说明
API Base URL	`https://api.openai.com/v1`	OpenAI 官方 API 地址
API Key	`sk-...`	你的 API 密钥

步骤 3：验证连接

点击刷新按钮，如果连接成功，会自动拉取可用的模型列表（如 gpt-4、gpt-3.5-turbo 等）。

步骤 4：配置代理（如果需要）

如果你的网络无法直接访问 OpenAI，可以配置代理：

在 Docker 部署中，添加环境变量：

1
2
3

environment:
  - HTTP_PROXY=http://your-proxy:port
  - HTTPS_PROXY=http://your-proxy:port

或者使用国内的 OpenAI API 中转服务（需要自行寻找可靠的服务商）。

连接其他兼容 API

Open WebUI 支持任何兼容 OpenAI API 格式的服务，包括：

服务商	API Base URL 示例	说明
Azure OpenAI	`https://your-resource.openai.azure.com/`	需要额外配置 API 版本
Anthropic Claude	`https://api.anthropic.com/v1`	需要 Claude API 密钥
Google Gemini	通过兼容层	需要使用 LiteLLM 等工具转换
DeepSeek	`https://api.deepseek.com/v1`	国内可直接访问
Groq	`https://api.groq.com/openai/v1`	速度极快的推理服务
本地 vLLM	`http://localhost:8000/v1`	自建推理服务

配置步骤：

管理员面板 → 设置 → 外部连接 → OpenAI → 点击 “+” 添加新连接

填写：

名称：给这个连接起个名字（如 “DeepSeek”）
API Base URL：服务商的 API 地址
API Key：对应的 API 密钥

Azure OpenAI 特殊配置：

Azure OpenAI 需要额外配置 API 版本和部署名称。在 API Base URL 中包含这些信息：

1	https://your-resource.openai.azure.com/openai/deployments/your-deployment-name?api-version=2024-02-15-preview

模型可见性与权限控制

默认情况下，所有用户都能看到所有模型。但在团队使用场景中，你可能希望控制哪些用户能访问哪些模型。

步骤 1：进入模型设置

管理员面板 → 设置 → 模型（Models）

步骤 2：编辑模型

找到你想要控制的模型，点击右侧的编辑按钮（✏️）。

步骤 3：设置可见性

在模型编辑页面，你会看到以下选项：

选项	说明
公开（Public）	所有用户都能看到和使用
私有（Private）	只有管理员能看到
指定用户	只有选中的用户能看到
指定权限组	只有选中的权限组能看到

选择合适的可见性，然后点击保存。

实际应用场景：

将昂贵的 GPT-4 模型设为 “指定用户”，只给核心团队成员使用
将实验性模型设为 “私有”，只有管理员测试
将免费的本地模型设为 “公开”，所有人都能使用

模型白名单

如果你连接了多个 API，可能会拉取到很多模型。你可以使用白名单功能，只显示需要的模型。

步骤 1：进入设置

管理员面板 → 设置 → 模型（Models）

步骤 2：启用白名单

找到 “模型白名单” 选项，启用它。

步骤 3：添加模型

在白名单中添加你想要显示的模型 ID，每行一个：

gpt-4
gpt-3.5-turbo
qwen2.5:7b
deepseek-chat

保存后，只有白名单中的模型会显示给用户。

模型标签与排序

为了让用户更容易找到合适的模型，你可以给模型添加标签和自定义排序。

添加标签：

在模型编辑页面，找到 “标签（Tags）” 字段，添加标签：

1	推荐, 快速, 免费

或

1	高级, 付费, GPT-4

用户在选择模型时，可以通过标签筛选。

自定义排序：

在设置 → 模型页面，你可以拖动模型来调整顺序。排在前面的模型会优先显示给用户。

最佳实践：

将最常用的模型排在最前面
将免费模型和付费模型用标签区分
将不同能力的模型分类（如 “对话”、“编程”、“翻译”）

模型参数预设

你可以为每个模型设置默认参数，用户使用时会自动应用这些参数。

步骤 1：编辑模型

设置 → 模型 → 点击模型的编辑按钮

步骤 2：配置参数

在 “模型参数” 区域，设置以下参数：

参数	说明	推荐值
Temperature	控制输出的随机性，0-2	0.7（平衡）
Top P	核采样参数，0-1	0.9
Max Tokens	最大输出长度	2048
Context Length	上下文窗口大小	4096
Frequency Penalty	降低重复内容，-2 到 2	0
Presence Penalty	鼓励新话题，-2 到 2	0

参数说明：

Temperature：

0.1-0.3：输出非常确定，适合事实性任务（如翻译、总结）
0.7-0.9：平衡创造性和准确性，适合日常对话
1.0-2.0：输出更有创造性，适合创意写作

Top P：

0.9：推荐值，保持输出质量
0.95：更多样化的输出
1.0：完全随机（不推荐）

Context Length：

对于 Ollama 模型，默认是 2048，这太小了
建议设置为 8192 或更高，特别是使用 RAG 功能时
注意：更大的上下文会消耗更多内存

OpenWebUi-管理员面板导航

2026-02-27T03:38:17.000Z

3.1. 管理员面板导航

进入管理员面板

如果你看不到这个选项，说明你的账号不是管理员。记住，只有第一个注册的账号才会自动成为管理员。

管理员面板结构

管理员面板的顶部有 四个主标签页，每个标签页左侧有各自的子菜单：

用户

管理所有用户和权限组。

子菜单	功能
概述	用户列表，显示角色、名称、邮箱、最后在线时间、创建时间。支持搜索和添加用户（右上角 `+` 按钮）
权限组	创建权限组，将用户分组并批量分配权限。默认有一个"默认权限"组，用于所有"用户"角色的用户

竞技场评估

模型对比评估功能，让用户盲测不同模型的回答质量。

子菜单	功能
排行榜	显示所有模型的排名（RK）、评价、获胜/落败次数
反馈	查看用户对模型回答的反馈记录

函数

管理 Open WebUI 的内置扩展函数（Functions），这是官方推荐的扩展方式。

顶部有导入和 + 新函数 按钮
支持按类型（全部）和标签筛选
底部有 “由 Open WebUI 社区开发” 入口，可以发现和下载社区函数

设置

系统全局配置，左侧子菜单最为丰富：

子菜单	功能	对应本章节
通用	版本信息、身份验证（默认用户角色、注册开关）、管理员邮箱、待激活用户界面配置	3.3
外部连接	Ollama API 和 OpenAI API 的连接配置	3.2
模型	默认模型、任务模型、模型白名单等	3.2
竞技场评估	竞技场模式的全局设置	—
外部工具	外部工具集成配置	—
Documents	RAG 文档功能配置，包括向量数据库、Embedding 模型、检索参数	3.4
联网搜索	网络搜索引擎配置（SearXNG、Google PSE、Brave 等）	3.7
Code Execution	代码执行环境配置	—
界面	UI 界面定制	3.10
语音	STT（语音转文字）和 TTS（文字转语音）配置	3.6
Images	图像生成引擎配置（DALL-E、ComfyUI 等）	3.5
Pipelines	Pipelines 插件服务连接配置	3.8
数据库	数据导入导出、系统维护	—

配置优先级说明

Open WebUI 的配置有两个来源：

环境变量：在启动容器或 Python 程序时设置的变量（如 OLLAMA_BASE_URL）。

数据库配置：在管理员面板中设置的配置，保存在数据库中。

重要规则：对于标记为 PersistentConfig 的配置项，数据库中的配置优先级高于环境变量。这意味着：

首次启动时，环境变量会被写入数据库
之后修改环境变量不会生效，除非删除数据库中的配置
如果要强制使用环境变量，需要在管理员面板中清除对应配置

这个设计是为了避免配置混乱，确保配置的一致性。

第三章. 管理员完整配置指南

2026-02-26T05:38:17.000Z

第三章. 管理员完整配置指南

在上一章中，我们成功在本地部署了 Open WebUI，并完成了基础的启动验证。现在，作为管理员，你需要对系统进行完整的配置，让它真正为你和你的团队服务。

本章将带你深入管理员面板，完成从模型连接、用户管理到高级功能的全部配置。在开始之前，请确保你已经以管理员身份登录 Open WebUI。

3.1. 管理员面板导航

进入管理员面板

如果你看不到这个选项，说明你的账号不是管理员。记住，只有第一个注册的账号才会自动成为管理员。

管理员面板结构

管理员面板的顶部有 四个主标签页，每个标签页左侧有各自的子菜单：

用户

管理所有用户和权限组。

子菜单	功能
概述	用户列表，显示角色、名称、邮箱、最后在线时间、创建时间。支持搜索和添加用户（右上角 `+` 按钮）
权限组	创建权限组，将用户分组并批量分配权限。默认有一个"默认权限"组，用于所有"用户"角色的用户

竞技场评估

模型对比评估功能，让用户盲测不同模型的回答质量。

子菜单	功能
排行榜	显示所有模型的排名（RK）、评价、获胜/落败次数
反馈	查看用户对模型回答的反馈记录

函数

管理 Open WebUI 的内置扩展函数（Functions），这是官方推荐的扩展方式。

顶部有导入和 + 新函数 按钮
支持按类型（全部）和标签筛选
底部有 “由 Open WebUI 社区开发” 入口，可以发现和下载社区函数

设置

系统全局配置，左侧子菜单最为丰富：

子菜单	功能	对应本章节
通用	版本信息、身份验证（默认用户角色、注册开关）、管理员邮箱、待激活用户界面配置	3.3
外部连接	Ollama API 和 OpenAI API 的连接配置	3.2
模型	默认模型、任务模型、模型白名单等	3.2
竞技场评估	竞技场模式的全局设置	—
外部工具	外部工具集成配置	—
Documents	RAG 文档功能配置，包括向量数据库、Embedding 模型、检索参数	3.4
联网搜索	网络搜索引擎配置（SearXNG、Google PSE、Brave 等）	3.7
Code Execution	代码执行环境配置	—
界面	UI 界面定制	3.10
语音	STT（语音转文字）和 TTS（文字转语音）配置	3.6
Images	图像生成引擎配置（DALL-E、ComfyUI 等）	3.5
Pipelines	Pipelines 插件服务连接配置	3.8
数据库	数据导入导出、系统维护	—

配置优先级说明

Open WebUI 的配置有两个来源：

环境变量：在启动容器或 Python 程序时设置的变量（如 OLLAMA_BASE_URL）。

数据库配置：在管理员面板中设置的配置，保存在数据库中。

重要规则：对于标记为 PersistentConfig 的配置项，数据库中的配置优先级高于环境变量。这意味着：

首次启动时，环境变量会被写入数据库
之后修改环境变量不会生效，除非删除数据库中的配置
如果要强制使用环境变量，需要在管理员面板中清除对应配置

这个设计是为了避免配置混乱，确保配置的一致性。

3.2. 模型连接与管理

模型连接是 Open WebUI 最核心的配置。没有模型，Open WebUI 就无法工作。

连接本地 Ollama

如果你在本地运行了 Ollama，需要在 Open WebUI 中配置连接。

步骤 1：进入连接设置

管理员面板 → 设置 → 外部连接（Connections）

步骤 2：配置 Ollama API URL

在 “Ollama API URL” 字段中填入：

部署方式	URL
Docker 部署（Ollama 在主机）	`http://host.docker.internal:11434`
Docker Compose（Ollama 在容器）	`http://ollama:11434`
Python 安装（Ollama 在主机）	`http://localhost:11434`

步骤 3：验证连接

点击 URL 输入框右侧的刷新按钮（🔄）。

如果连接成功，下方会显示 “连接成功” 的提示，并且会自动拉取 Ollama 中的模型列表。

步骤 4：配置多个 Ollama 实例（可选）

如果你有多台服务器运行 Ollama，可以添加多个连接。Open WebUI 会自动进行负载均衡。

点击 “添加 Ollama 实例” 按钮，填入新的 URL，例如：

http://192.168.1.100:11434
http://192.168.1.101:11434

这样，当用户发起请求时，Open WebUI 会自动选择负载较低的实例。

连接 OpenAI API

如果你想使用 OpenAI 的 GPT 模型，需要配置 OpenAI API。

步骤 1：获取 API 密钥

访问 OpenAI 官网：https://platform.openai.com/api-keys

登录后，点击 “Create new secret key” 创建一个新的 API 密钥。

重要：API 密钥只会显示一次，请妥善保存。

步骤 2：在 Open WebUI 中配置

管理员面板 → 设置 → 外部连接 → OpenAI

字段	值	说明
API Base URL	`https://api.openai.com/v1`	OpenAI 官方 API 地址
API Key	`sk-...`	你的 API 密钥

步骤 3：验证连接

点击刷新按钮，如果连接成功，会自动拉取可用的模型列表（如 gpt-4、gpt-3.5-turbo 等）。

步骤 4：配置代理（如果需要）

如果你的网络无法直接访问 OpenAI，可以配置代理：

在 Docker 部署中，添加环境变量：

1
2
3

environment:
  - HTTP_PROXY=http://your-proxy:port
  - HTTPS_PROXY=http://your-proxy:port

或者使用国内的 OpenAI API 中转服务（需要自行寻找可靠的服务商）。

连接其他兼容 API

Open WebUI 支持任何兼容 OpenAI API 格式的服务，包括：

服务商	API Base URL 示例	说明
Azure OpenAI	`https://your-resource.openai.azure.com/`	需要额外配置 API 版本
Anthropic Claude	`https://api.anthropic.com/v1`	需要 Claude API 密钥
Google Gemini	通过兼容层	需要使用 LiteLLM 等工具转换
DeepSeek	`https://api.deepseek.com/v1`	国内可直接访问
Groq	`https://api.groq.com/openai/v1`	速度极快的推理服务
本地 vLLM	`http://localhost:8000/v1`	自建推理服务

配置步骤：

管理员面板 → 设置 → 外部连接 → OpenAI → 点击 “+” 添加新连接

填写：

名称：给这个连接起个名字（如 “DeepSeek”）
API Base URL：服务商的 API 地址
API Key：对应的 API 密钥

Azure OpenAI 特殊配置：

Azure OpenAI 需要额外配置 API 版本和部署名称。在 API Base URL 中包含这些信息：

1	https://your-resource.openai.azure.com/openai/deployments/your-deployment-name?api-version=2024-02-15-preview

模型可见性与权限控制

默认情况下，所有用户都能看到所有模型。但在团队使用场景中，你可能希望控制哪些用户能访问哪些模型。

步骤 1：进入模型设置

管理员面板 → 设置 → 模型（Models）

步骤 2：编辑模型

找到你想要控制的模型，点击右侧的编辑按钮（✏️）。

步骤 3：设置可见性

在模型编辑页面，你会看到以下选项：

选项	说明
公开（Public）	所有用户都能看到和使用
私有（Private）	只有管理员能看到
指定用户	只有选中的用户能看到
指定权限组	只有选中的权限组能看到

选择合适的可见性，然后点击保存。

实际应用场景：

将昂贵的 GPT-4 模型设为 “指定用户”，只给核心团队成员使用
将实验性模型设为 “私有”，只有管理员测试
将免费的本地模型设为 “公开”，所有人都能使用

模型白名单

如果你连接了多个 API，可能会拉取到很多模型。你可以使用白名单功能，只显示需要的模型。

步骤 1：进入设置

管理员面板 → 设置 → 模型（Models）

步骤 2：启用白名单

找到 “模型白名单” 选项，启用它。

步骤 3：添加模型

在白名单中添加你想要显示的模型 ID，每行一个：

gpt-4
gpt-3.5-turbo
qwen2.5:7b
deepseek-chat

保存后，只有白名单中的模型会显示给用户。

模型标签与排序

为了让用户更容易找到合适的模型，你可以给模型添加标签和自定义排序。

添加标签：

在模型编辑页面，找到 “标签（Tags）” 字段，添加标签：

1	推荐, 快速, 免费

或

1	高级, 付费, GPT-4

用户在选择模型时，可以通过标签筛选。

自定义排序：

在设置 → 模型页面，你可以拖动模型来调整顺序。排在前面的模型会优先显示给用户。

最佳实践：

将最常用的模型排在最前面
将免费模型和付费模型用标签区分
将不同能力的模型分类（如 “对话”、“编程”、“翻译”）

模型参数预设

你可以为每个模型设置默认参数，用户使用时会自动应用这些参数。

步骤 1：编辑模型

设置 → 模型 → 点击模型的编辑按钮

步骤 2：配置参数

在 “模型参数” 区域，设置以下参数：

参数	说明	推荐值
Temperature	控制输出的随机性，0-2	0.7（平衡）
Top P	核采样参数，0-1	0.9
Max Tokens	最大输出长度	2048
Context Length	上下文窗口大小	4096
Frequency Penalty	降低重复内容，-2 到 2	0
Presence Penalty	鼓励新话题，-2 到 2	0

参数说明：

Temperature：

0.1-0.3：输出非常确定，适合事实性任务（如翻译、总结）
0.7-0.9：平衡创造性和准确性，适合日常对话
1.0-2.0：输出更有创造性，适合创意写作

Top P：

0.9：推荐值，保持输出质量
0.95：更多样化的输出
1.0：完全随机（不推荐）

Context Length：

对于 Ollama 模型，默认是 2048，这太小了
建议设置为 8192 或更高，特别是使用 RAG 功能时
注意：更大的上下文会消耗更多内存

3.3. 用户与权限管理

Open WebUI 提供了完善的多用户管理功能，适合团队协作使用。

用户注册与审批流程

默认行为：

第一个注册的用户自动成为管理员
后续注册的用户状态为 “待激活”
管理员需要手动激活用户

配置注册开关：

管理员面板 → 设置 → 通用 → 身份验证

找到 “允许新用户注册” 开关：

状态	说明	适用场景
开启	任何人都可以注册，新用户角色由"默认用户角色"决定	小团队、内网环境
关闭	禁止注册，只能由管理员手动添加用户	严格控制的企业环境

配置默认用户角色：

在同一页面，找到 “默认用户角色” 下拉选择：

角色	说明
待激活	注册后无法使用系统，需要管理员手动激活（默认值）
用户	注册后直接可以使用系统
管理员	注册后直接成为管理员（不推荐）

配置默认权限组：

你还可以设置 “默认权限组”，新注册的用户会自动加入该权限组，继承组的权限配置。

如果你的团队成员都是可信的，可以将默认角色设为 “用户”，这样注册后就能直接使用，无需审批。

手动添加用户

如果你关闭了注册功能，或者想要批量添加用户，可以使用手动添加功能。

步骤 1：进入用户管理

管理员面板 → 用户（Users）

步骤 2：添加单个用户

点击右上角的 “添加用户” 按钮，填写信息：

字段	说明	示例
邮箱	用户登录邮箱	user@example.com
用户名	显示名称	张三
密码	初始密码	建议生成随机密码
角色	用户角色	User

点击 “创建” 完成添加。

步骤 3：通知用户

将登录信息（邮箱和密码）发送给用户，建议用户首次登录后立即修改密码。

批量导入用户（CSV）

如果需要添加大量用户，可以使用 CSV 批量导入功能。

步骤 1：准备 CSV 文件

创建一个 CSV 文件，格式如下：

email,name,password,role
user1@example.com,用户1,password123,user
user2@example.com,用户2,password456,user
user3@example.com,用户3,password789,admin

注意：

第一行是表头，必须包含这四个字段
role 可以是 user、admin 或 pending
密码建议使用随机生成的强密码

步骤 2：导入

管理员面板 → 用户 → 点击 “导入用户” 按钮

选择你准备好的 CSV 文件，点击上传。

系统会显示导入结果，包括成功和失败的记录。

用户角色体系

Open WebUI 有三种用户角色：

角色	权限	适用对象
管理员	完全控制权限，可以管理所有设置、用户、模型	系统管理员、技术负责人
用户	可以使用系统，创建对话，上传文档，但不能修改系统设置	普通团队成员
待激活	无法使用系统，等待管理员激活	新注册用户

修改用户角色：

管理员面板 → 用户 → 找到目标用户 → 点击角色下拉菜单 → 选择新角色

权限组管理

权限组功能允许你将用户分组，然后批量分配权限。

创建权限组：

管理员面板 → 用户 → 权限组 → 点击 “创建权限组”

填写信息：

字段	说明	示例
组名	权限组名称	开发团队
描述	组的说明	负责产品开发的团队成员

添加成员到权限组：

创建权限组后，点击 “添加成员” 按钮，选择要添加的用户。

为权限组分配权限：

权限组创建后，你可以：

将特定模型的访问权限分配给权限组
将知识库的访问权限分配给权限组
将工具和函数的使用权限分配给权限组

这样，当你添加新成员到权限组时，他们会自动获得组的所有权限，无需逐个配置。

💡 系统默认有一个"默认权限"组，用于所有具有"用户"角色的用户。你可以点击进入修改默认权限。

我的权限组设计

我借助大模型分析了数据库中的模型列表和权限表结构，设计了三级权限组：

权限组	定位	可用模型数	说明
试用组	新用户体验	13 个	仅提供轻量级免费/低成本模型，功能受限（不可多模型对话、不可创建频道等）
正式组	日常使用	77 个	拥有所有自有渠道模型的访问权限，功能完整
管理组	管理员	102 个（全部）	在正式组基础上额外拥有高成本第三方渠道模型（GitHub Copilot、SciHub 镜像）

试用组可用模型（13 个）：

只开放成本最低的轻量模型，让新用户体验基本功能：

Claude Haiku 4.5 系列（AWS 直连 + Kiro 通道）
Gemini 2.5 Flash / Flash Lite
GPT-5 Codex Mini / GPT-5.1 Codex Mini
Qwen3 Coder Flash
Kiro GPT-3.5/4/4o（旧模型，成本极低）

正式组额外可用模型（+64 个）：

在试用组基础上，解锁所有自有渠道的中高端模型：

Claude Sonnet 4/4.5、Opus 4.5/4.6 全系列（含 Thinking、Agentic 变体）
Gemini 2.5 Pro、3 Pro/Flash Preview
GPT-5/5.1/5.2/5.3 全系列
DeepSeek V3/V3.1/V3.2、R1（通过 iFlow）
Qwen3 Max/235B/Coder Plus（通过 iFlow）
Kimi K2/K2.5（Moonshot 直连 + iFlow）
GLM 4.6/4.7/5（通过 iFlow）
MiniMax M2/M2.1（通过 iFlow）

管理组专属模型（+25 个）：

这些模型走 GitHub Copilot 和 SciHub 镜像渠道，成本较高或属于特殊用途，仅管理员可用：

gh-* 系列（21 个）：GitHub Copilot 高级模型，包括 gh-gpt-5.2、gh-claude-opus-4.6、gh-gemini-3-pro-preview 等
scihub.* 系列（4 个）：SciHub Claude 镜像，包括 scihub.claude-opus-4-6、scihub.claude-sonnet-4-5-20250929 等

权限组的功能差异：

除了模型访问权限，三个组在系统功能上也有区别：

功能	试用组	正式组	管理组
多模型对话	❌	✅	✅
创建频道/文件夹	❌	✅	✅
知识库管理	❌	✅	✅
工具/函数管理	❌	✅	✅
图片生成	❌	✅	✅
笔记功能	❌	✅	✅
导入/导出模型	❌	✅	✅
界面设置	❌	❌	✅
临时对话强制	✅（强制）	❌	❌

模型图标规范：

为了让用户在模型列表中快速识别来源，我为每个模型统一配置了图标：

模型来源	图标
Claude 系列	claude-color.svg
OpenAI GPT 系列	openai.svg
Gemini 系列	gemini-color.svg
Qwen 系列	qwen-color.svg
DeepSeek 系列	deepseek-color.svg
Kimi 系列	moonshot.svg
MiniMax 系列	minimax-color.svg
GLM 系列	zhipu-color.svg
Grok 系列	grok.svg
Kiro（AWS 通道）	aws-color.svg

图标统一使用 cdn.jsdelivr.net/npm/@lobehub/icons-static-svg@1.79.0/icons/ 的 SVG 资源。

批量配置方法：

手动逐个配置 100+ 个模型的权限和图标不现实。我的做法是：

在 Open WebUI 管理面板导出模型列表（JSON 格式）
用大模型编写 Python 脚本，根据模型 ID 前缀和名称自动推断图标和权限组
脚本批量写入 access_grants（新版格式）和 meta.profile_image_url
将修正后的 JSON 重新导入 Open WebUI

这样每次上游新增模型或系统升级后，只需重新导出 → 跑脚本 → 导入，几分钟就能完成全部配置。

⚠️ 注意：Open WebUI 升级后数据库结构可能变化。例如从旧版升级到新版时，模型权限从 model 表的 access_control 字段迁移到了独立的 access_grant 表，导出格式也从 access_control 对象变成了 access_grants 数组。升级后建议先导出一份检查格式再操作。

用户活动监控

Open WebUI 提供了用户活动监控功能，帮助你了解系统使用情况。

查看活跃用户：

管理员面板 → 设置 → 通用 → 找到 “显示活跃用户数” 选项

启用后，在主界面底部会显示当前活跃用户数和正在使用的模型。

查看用户详情：

管理员面板 → 用户 → 点击用户名

你可以看到：

创建的对话数量
使用的模型统计

注意：Open WebUI 不会记录用户的具体对话内容，只记录统计信息，保护用户隐私。

3.4. RAG 文档功能配置

配置入口：管理员面板 → 设置 → Documents

内容提取引擎（Content Extraction Engine）

内容提取引擎决定了 Open WebUI 如何从上传的文件中提取文本。通过环境变量 CONTENT_EXTRACTION_ENGINE 选择，共支持 8 种引擎。

引擎横向对比

引擎	部署方式	费用	支持格式	OCR 能力	表格/公式	适用场景
默认（Default）	本地，零依赖	免费	PDF、TXT、CSV、DOCX、代码文件	❌ 不支持	❌ 弱	简单文档，纯文本 PDF
Apache Tika	需部署 Java 服务	免费（开源）	1400+ 种格式	❌ 弱	❌ 弱	格式种类多的企业环境
Docling（IBM）	需部署服务或用 API	免费（开源）	PDF、DOCX、PPTX、HTML	✅ 支持	✅ 优秀	复杂排版、表格、公式
Datalab Marker	云 API 或自部署	~$6/千页（高精度）	PDF、图片	✅ LLM 增强 OCR	✅ 优秀	复杂排版 PDF，可自部署
Mistral OCR	云 API	$1-2/千页	PDF、图片	✅ 99%+ 准确率	✅ 优秀	扫描件、多语言（25+ 语言）
Document Intelligence	Azure 云服务	~$10/千页	PDF、图片、表单	✅ 支持	✅ 支持	Azure 生态企业用户
MinerU	自部署或云 API	免费（开源）	PDF、图片	✅ 支持	✅ 最佳	学术论文、金融报告、公式密集
External	自定义 HTTP 服务	取决于实现	自定义	取决于实现	取决于实现	对接私有解析服务

各引擎详细说明

使用 Python 原生加载器（PyPDFLoader、Docx2txtLoader、CSVLoader、TextLoader），零依赖开箱即用。但不支持 OCR，无法处理扫描件，对复杂表格和公式无能为力。

适合：纯文本 PDF 和简单文档，快速上手无需任何额外配置。

老牌 Java 文档解析框架，格式覆盖最广（1400+），但对 PDF 排版理解较弱，不擅长表格结构保留和公式识别。适合已有 Tika 基础设施的组织。

1
2
3

environment:
  - CONTENT_EXTRACTION_ENGINE=tika
  - TIKA_SERVER_URL=http://tika:9998

Python 原生，对 PDF 排版理解好，表格提取准确，支持公式，输出干净的 Markdown/JSON。在多个评测中与 MinerU 并列 top 2。

environment:
  - CONTENT_EXTRACTION_ENGINE=docling
  - DOCLING_SERVER_URL=http://docling:5000
  - DOCLING_API_KEY=your-api-key  # 如需认证

基于开源 Marker 和 Surya 模型，LLM 增强 OCR。其 Chandra OCR 模型在 olmOCR benchmark 上得分 83.1%，超过 GPT-4o。支持云 API 和自部署两种方式。

1
2
3

environment:
  - CONTENT_EXTRACTION_ENGINE=datalab_marker
  - DATALAB_MARKER_API_KEY=your-api-key

号称 99%+ 准确率，支持表格/公式/图表转表格/签名检测，覆盖 25+ 语言。性价比高（$1/千页起），但只能通过 API 调用，无法自部署。

1
2
3

environment:
  - CONTENT_EXTRACTION_ENGINE=mistral_ocr
  - MISTRAL_OCR_API_KEY=your-api-key

微软企业级服务，预置发票/收据/身份证等模型，支持自定义模型训练。价格较高但有企业合规保障。

1
2
3

environment:
  - CONTENT_EXTRACTION_ENGINE=document_intelligence
  - DOCUMENT_INTELLIGENCE_ENDPOINT=https://your-resource.cognitiveservices.azure.com/

基于 PDF-Extract-Kit 微调模型，在复杂文档（学术论文、教材、金融报告）上表现最佳，表格/公式/图片提取精度高。推荐 GPU 环境运行。

environment:
  - CONTENT_EXTRACTION_ENGINE=mineru
  - MINERU_API_URL=http://mineru:8000
  - MINERU_API_MODE=local  # cloud 或 local

万能逃生舱，指向任意 HTTP 服务，适合对接企业内部的私有文档解析服务。

1
2
3

environment:
  - CONTENT_EXTRACTION_ENGINE=external
  - EXTERNAL_DOCUMENT_LOADER_URL=http://your-service:8080/extract

引擎选择建议

场景	推荐引擎	理由
简单文档、快速上手	默认	零配置，开箱即用
扫描件、多语言文档	Mistral OCR	性价比最高，准确率高
学术论文、公式密集	MinerU 或 Docling	表格/公式提取精度最佳
企业 Azure 环境	Document Intelligence	合规保障，预置模型丰富
想自部署 + 高精度	Datalab Marker 或 MinerU	开源可控，精度优秀
格式种类极多	Apache Tika	1400+ 格式覆盖

PDF 提取图片（PDF Extract Images）

配置项	环境变量	默认值	说明
PDF Extract Images	`PDF_EXTRACT_IMAGES`	`false`	是否从 PDF 中提取嵌入的图片

启用后会增加处理时间和存储空间，仅在文档中的图片内容对问答有价值时开启。

PDF 加载模式

Open WebUI 提供两种 PDF 处理模式，决定了文档在进入切分器之前的预处理方式：

模式	行为	优点	缺点	适用场景
Page（页模式）	每页作为独立文档单元，保留页边界	检索时能精确定位到具体页码	跨页内容会被截断	PPT 转 PDF、每页独立主题
Single Document（单文档模式）	整个 PDF 合并为一个文本块，再统一切分	跨页内容不会丢失，语义连贯	失去页码定位能力	论文、书籍、报告等连续叙述型文档

文本切分（Text Splitting）

文本切分决定了文档被拆分成多大的片段（chunk）存入向量数据库。切分质量直接影响检索精度。

切分器类型

切分器	计量方式	特点	适用场景
默认（Character）	按字符数	使用递归分隔符（`\n\n` → `\n` → 空格 → 字符）逐级切分，简单高效，无依赖	英文文档、通用场景
Token	按 token 数	按模型 tokenizer 计算，切分大小与模型上下文窗口精确对齐	中文文档（1 个汉字 ≈ 2-3 个 token）、需要精确控制 token 用量

核心参数

配置项	环境变量	默认值	推荐值	说明
Chunk Size	`CHUNK_SIZE`	1500	1000-2000	每个 chunk 的最大大小。太小丢失上下文，太大降低检索精度
Chunk Overlap	`CHUNK_OVERLAP`	100	Chunk Size 的 5%-15%	相邻 chunk 的重叠量，保证边界处语义连贯

参数调优指南：

Chunk Size 太小（<500）：上下文不完整，模型难以理解片段含义
Chunk Size 太大（>2000）：包含过多无关信息，检索精度下降
Chunk Overlap 太小：重要信息可能被切断在两个 chunk 之间
Chunk Overlap 太大：存储冗余增加，检索效率降低

Markdown 标题文本分割器

配置项	默认值	说明
Markdown Header Text Splitter	关闭	按 Markdown 标题（H1-H6）进行结构化预切分
Chunk Min Size Target	—	合并过小片段的阈值，建议设为 Chunk Size 的 50%

启用后，文档会先按 Markdown 标题进行结构化预切分，然后再交给标准切分器处理。好处：

保留文档的逻辑结构，每个 chunk 属于明确的章节
避免跨章节切分导致语义混乱
配合 Chunk Min Size Target 参数，可以将过小的片段向前合并（单向合并算法，不跨文档），官方测试显示阈值设为 1000（chunk size 2000 时）可减少 90%+ 的碎片 chunk

最佳实践：如果文档是 Markdown 格式，或提取引擎输出 Markdown（Docling、MinerU、Marker 都输出 Markdown），强烈建议开启此选项。

嵌入模型（Embedding Model）

嵌入模型将文本转换为向量表示，是 RAG 检索的基础。模型质量直接决定检索准确性。

引擎横向对比

引擎	配置值	费用	延迟	隐私	推荐模型
SentenceTransformers（默认）	`""`	免费，本地运行	中等（取决于硬件）	完全本地	`all-MiniLM-L6-v2`（轻量）、`BAAI/bge-m3`（多语言）
Ollama	`ollama`	免费，本地运行	快（已有 Ollama 实例）	完全本地	`nomic-embed-text`（推荐首选）、`mxbai-embed-large`
OpenAI	`openai`	按 token 计费	低（云端）	数据发送到云端	`text-embedding-3-small`（性价比）、`text-embedding-3-large`（高精度）
Azure OpenAI	`azure`	按 token 计费	低（云端）	Azure 合规保障	同 OpenAI 模型，通过 Azure 部署

各引擎详细说明

⚠️ 网络提示：如果服务器无法访问 huggingface.co，启动时会出现 SSL 重连错误，RAG 功能将不可用。可添加镜像站环境变量解决：

1 2	environment: - HF_ENDPOINT=https://hf-mirror.com

如果你已经在用 Ollama 跑 LLM，这是最方便的选择。nomic-embed-text 是社区最推荐的模型：8192 token 上下文、完全开源、在 MTEB 和 LoCo 基准上表现优异。

先下载模型：

1
2
3

ollama pull nomic-embed-text
# 或中文场景
ollama pull bge-m3

然后配置环境变量：

environment:
  - RAG_EMBEDDING_ENGINE=ollama
  - RAG_EMBEDDING_MODEL=nomic-embed-text
  - RAG_OLLAMA_BASE_URL=http://ollama:11434

environment:
  - RAG_EMBEDDING_ENGINE=openai
  - RAG_EMBEDDING_MODEL=text-embedding-3-small
  - RAG_OPENAI_API_BASE_URL=https://api.openai.com/v1
  - RAG_OPENAI_API_KEY=sk-...

本质上是 OpenAI 模型通过 Azure 托管，适合有 Azure 合规要求的企业。

1
2
3

environment:
  - RAG_EMBEDDING_ENGINE=azure
  - RAG_AZURE_OPENAI_BASE_URL=https://your-resource.openai.azure.com/

嵌入模型选择建议

场景	推荐方案	理由
本地优先、已有 Ollama	Ollama + `nomic-embed-text`	最佳平衡，免费、快速、质量好
资源受限、轻量部署	SentenceTransformers + `all-MiniLM-L6-v2`	零依赖，内存占用小
中文文档为主	Ollama + `bge-m3` 或 SentenceTransformers + `BAAI/bge-m3`	多语言支持优秀
追求精度且不介意费用	OpenAI + `text-embedding-3-large`	精度最高
企业合规要求	Azure OpenAI	合规保障

其他嵌入参数

配置项	环境变量	默认值	说明
Embedding Batch Size	`RAG_EMBEDDING_BATCH_SIZE`	100	批量嵌入大小，显存不足时调小

⚠️ 重要：更换嵌入模型后，所有已有文档必须重新嵌入（re-embed），因为不同模型的向量空间不兼容。确定模型后不要轻易更换。

检索与排序（Retrieval & Ranking）

检索参数决定了从向量数据库中召回多少结果、如何过滤和排序。这是影响 RAG 最终效果的关键环节。

核心检索参数

配置项	环境变量	默认值	推荐值	说明
Top K	`TOP_K`	5	5-10	返回的最相关 chunk 数量。太少可能遗漏信息，太多会稀释上下文
Relevance Threshold	`RELEVANCE_THRESHOLD`	0.0	0.2-0.5	最低相关性分数阈值，低于此分数的 chunk 被过滤。设为 0 表示不过滤

参数调优指南：

Top K 太少（❤️）：可能遗漏重要信息，回答不完整
Top K 太多（>10）：包含过多噪音，模型可能被无关内容干扰
Relevance Threshold 太低（0）：不过滤，噪音多
Relevance Threshold 太高（>0.7）：过滤过严，可能丢失有用信息

混合搜索（Hybrid Search）

配置项	环境变量	默认值	推荐	说明
Hybrid Search	`ENABLE_RAG_HYBRID_SEARCH`	`false`	开启	结合向量搜索 + BM25 关键词匹配

混合搜索使用 EnsembleRetriever，同时执行：

向量搜索：基于语义相似度，擅长理解同义词和语义关联
BM25 关键词匹配：基于词频统计，擅长精确匹配专有名词、代码、ID 等

两者互补，显著提升召回率，推荐开启。

重排序（Reranking）

配置项	环境变量	默认值	说明
Reranking Model	`RAG_RERANKING_MODEL`	—	使用 CrossEncoder/ColBERT 对检索结果重排序
Top K Reranker	`TOP_K_RERANKER`	—	重排序后保留的结果数

重排序的工作流程：

先通过向量搜索（+ BM25）召回较多候选结果
再用 CrossEncoder 模型对每个候选结果与查询进行精细打分
按新分数重新排序，保留 Top K Reranker 个最相关结果

推荐配合 Hybrid Search 使用，这是提升 RAG 质量最有效的组合。

检索策略建议

文档规模	推荐配置
小文档集（<100 个文档）	Top K=5，不需要混合搜索和重排序
中等文档集（100-1000）	Top K=5-8，开启 Hybrid Search
大文档集（>1000）	Top K=8-10，开启 Hybrid Search + Reranking，Relevance Threshold=0.2+

高级设置

RAG 模板与上下文

配置项	环境变量	默认值	说明
RAG Template	`RAG_TEMPLATE`	内置模板	自定义 RAG 提示词模板，控制检索内容如何注入到 LLM prompt
RAG System Context	`RAG_SYSTEM_CONTEXT`	`false`	设为 `true` 将 RAG 上下文放入 system message 而非 user message

异步与性能

配置项	环境变量	默认值	说明
Async Embedding	`ENABLE_ASYNC_EMBEDDING`	`false`	后台线程池处理嵌入，上传大量文档时建议开启

文件与工具

配置项	默认值	说明
File Context	启用	控制是否对附件执行 RAG 并预注入内容
Builtin Tools	启用	给模型提供 `query_knowledge_bases`、`search_chats` 等函数调用工具

网页加载

配置项	环境变量	默认值	说明
Web Loader SSL Verification	`ENABLE_WEB_LOADER_SSL_VERIFICATION`	`true`	网页加载时是否验证 SSL 证书
Google Drive Integration	`GOOGLE_DRIVE_API_KEY` 等	—	Google Drive 文件直接导入

向量数据库（Vector Database）

向量数据库用于存储文档的向量表示，是 RAG 检索的底层存储。

配置项	环境变量	默认值	说明
Vector DB	`VECTOR_DB`	`chromadb`	向量数据库类型
Vector DB URL	`VECTOR_DB_URL`	—	外部向量数据库连接地址

支持的向量数据库

数据库	部署方式	适用场景	特点
ChromaDB	内置，无需额外配置	个人使用、小团队	默认选择，开箱即用
Qdrant	需部署独立服务	大规模部署	高性能，支持过滤
Milvus	需部署独立服务	企业环境	分布式，支持十亿级向量
Weaviate	需部署独立服务	需要混合搜索	内置向量+关键词搜索
OpenSearch	需部署独立服务	已有 OpenSearch 集群	Elasticsearch 开源替代
PGVector	PostgreSQL 扩展	已有 PostgreSQL 环境	复用现有数据库
Pinecone	云端托管	云端部署，免运维	全托管，按用量计费
S3 Vector	AWS S3	AWS 生态	低成本存储

内置数据库，无需任何额外配置，开箱即用。适合个人和小团队。

1
2
3

environment:
  - VECTOR_DB=qdrant
  - QDRANT_URL=http://qdrant:6333

1
2
3

environment:
  - VECTOR_DB=milvus
  - MILVUS_URI=http://milvus:19530

1
2
3

environment:
  - VECTOR_DB=pgvector
  - PGVECTOR_DB_URL=postgresql://user:pass@postgres:5432/vectors

environment:
  - VECTOR_DB=pinecone
  - PINECONE_API_KEY=your-api-key
  - PINECONE_ENVIRONMENT=us-east-1

对于大多数用户，ChromaDB 已经足够使用，无需额外配置。

整体最佳实践总结

根据以上所有配置项的分析，以下是推荐的最佳实践组合：

配置项	推荐值	理由
提取引擎	根据文档类型选择（见引擎选择建议表）	复杂 PDF 用 Docling/MinerU/Mistral OCR，简单文档用默认
PDF 加载模式	Single Document	语义连贯性优先
文本切分器	中文用 Token，英文用 Character	中文字符数 ≠ token 数
Chunk Size	1000-2000	平衡上下文完整性和检索精度
Chunk Overlap	Chunk Size 的 10%	保证边界语义连贯
Markdown 标题切分	开启（如果文档是 Markdown）	保留文档结构，减少碎片
嵌入模型	本地：Ollama + `nomic-embed-text`	免费、快速、质量好
Hybrid Search	开启	向量 + 关键词互补，显著提升召回率
Reranking	配合 Hybrid Search 开启	提升精度最有效的组合
Top K	5-10	平衡召回和噪音
Relevance Threshold	0.2-0.5	过滤低质量结果
RAG System Context	`true`（Ollama 用户）	优化多轮对话 KV cache
向量数据库	ChromaDB（默认）	小团队足够，零配置

3.5. 图像生成功能配置

Open WebUI 支持集成多种图像生成工具，让 AI 能够根据文字描述生成图片。

DALL-E 集成

DALL-E 是 OpenAI 的图像生成模型，质量高但需要付费。

配置步骤：

管理员面板 → 设置 → Images

找到 “图像生成引擎” 选项，选择 “OpenAI DALL-E”。

填写配置：

字段	值
API Key	你的 OpenAI API 密钥
模型	dall-e-3（推荐）或 dall-e-2
图像尺寸	1024x1024（标准）、1792x1024（宽屏）、1024x1792（竖屏）
图像质量	standard（标准）或 hd（高清，更贵）

费用说明：

DALL-E 3 标准质量：$0.040 / 张
DALL-E 3 高清质量：$0.080 / 张
DALL-E 2：$0.020 / 张

ComfyUI 集成

ComfyUI 是一个开源的图像生成工作流工具，支持 Stable Diffusion 等模型。

前置要求：

你需要先部署 ComfyUI 服务。ComfyUI 的部署超出本教程范围，请参考 ComfyUI 官方文档。

配置步骤：

管理员面板 → 设置 → Images → 选择 “ComfyUI”

填写配置：

字段	说明
ComfyUI Base URL	ComfyUI 服务地址，如 `http://localhost:8188`
工作流 JSON	ComfyUI 的工作流配置文件

工作流配置：

ComfyUI 使用 JSON 格式的工作流文件来定义图像生成流程。你需要：

在 ComfyUI 中设计好工作流
导出为 JSON 文件
将 JSON 内容粘贴到 Open WebUI 的配置中

优势：

完全免费（使用本地模型）
完全可控，可以自定义各种参数
支持多种 Stable Diffusion 模型

劣势：

配置复杂，需要一定的技术能力
需要额外的硬件资源（特别是 GPU）

AUTOMATIC1111 集成

AUTOMATIC1111 (Stable Diffusion WebUI) 是另一个流行的开源图像生成工具。

配置步骤：

管理员面板 → 设置 → Images → 选择 “AUTOMATIC1111”

填写配置：

字段	值
API Base URL	`http://localhost:7860`
API Key	如果设置了认证，填入密钥

启用 API：

AUTOMATIC1111 默认不开启 API，需要在启动时添加参数：

1	python launch.py --api --listen

测试连接：

配置完成后，点击 “测试连接” 按钮，如果成功会显示可用的模型列表。

图像生成参数设置

无论使用哪种引擎，都可以配置默认的生成参数：

参数	说明	推荐值
Steps	生成步数，越多质量越好但越慢	20-30
CFG Scale	提示词引导强度	7-9
Sampler	采样器类型	Euler a 或 DPM++ 2M
负面提示词	不想出现的元素	ugly, blurry, low quality

这些参数主要用于 Stable Diffusion 类模型，DALL-E 不需要配置。

通过 CLIProxyAPI Plus 对接图像生成/编辑

我们对 CPA 源码进行了 Fork 修改，新增了这两个端点，原理是将图像 API 请求转换为 Chat Completions 调用：

端点	请求格式	转换逻辑
`POST /v1/images/generations`	JSON（prompt + model）	构建纯文本 chat completions 请求，从响应中提取 `data:image/xxx;base64,...`
`POST /v1/images/edits`	multipart/form-data（image 文件 + prompt + model）	将上传图片转为 base64 data URI，构建多模态 chat completions 请求（image_url + text）

两个端点都返回标准 OpenAI Images API 格式：{"created": ..., "data": [{"b64_json": "..."}]}。

涉及的 CPA 源码文件：

sdk/api/handlers/openai/openai_images_handler.go — 新增文件，包含 ImageGenerations 和 ImageEdits 两个 handler
internal/api/server.go — 在 setupRoutes() 的 v1 group 中注册路由（3 行改动）

Open WebUI 配置：

图像生成（管理员面板 → 设置 → Images）：

字段	值
引擎	OpenAI
API Base URL	`http://host.docker.internal:8317/v1`
API Key	你的 CPA api-key
模型	手动输入模型 ID，如 `prorise/gemini-3-pro-image-preview`

图像编辑配置同理，引擎选 OpenAI，URL 和 Key 相同，模型填支持图像编辑的模型 ID。

触发机制：

聊天中纯文字描述 → 触发 /images/generations（图像生成）
聊天中上传图片 + 文字描述 → 触发 /images/edits（图像编辑，需开启 ENABLE_IMAGE_EDIT）

注意事项：

图像模型建议在 Open WebUI 的模型高级设置中关闭流式输出（stream_response: false），避免 chunk 过大导致前端显示异常
CPA 源码 Fork 详见项目根目录的 FORK_README.md，同步上游更新时注意冲突风险

3.6. 语音功能配置

语音转文字（STT）配置

1. 核心引擎横向对比与实际计费

引擎选型	成本梯队	实际计费标准 (预估)	核心优势
网页 API	免费	$0 (利用浏览器原生能力)	服务器零负载，响应极快，零成本
Whisper (本地)	免费	$0 (仅消耗本机/服务器电费)	隐私最强，完全离线，不按时长收费
Deepgram	低成本	约 $0.0043 / 分钟	专为实时语音设计，延迟极低，性价比极高
OpenAI	适中	$0.006 / 分钟	业界标杆，多语言混合识别极准，无需额外注册
Azure AI 语音	偏高	约 $1.00 / 小时 ($0.016/分)	微软企业级稳定服务，带口音的方言识别优秀

2. 深度选型与成本解析

完全免费且省心：网页 API (Web API)
计费逻辑：绝对免费。它调用的是你当前所用浏览器（如 Chrome）内置的语音识别接口。
适用场景：预算为零，服务器没有显卡（GPU）跑不动本地模型，且能保证全程使用 HTTPS 访问的用户。
免费但吃硬件：Whisper (本地)
计费逻辑：软件层面免费，但隐性成本在硬件。它会占用你服务器的 CPU 和显存。如果租用云服务器，为了跑顺畅可能需要升级高配实例。
选型建议：如果你的服务器本身配置就高（如拥有 8GB 以上显存的独立显卡），强烈建议选这个。数据不出局域网，隐私绝对安全。
云端高性价比方案：Deepgram
计费逻辑：按秒计费，极其便宜。折算下来一小时一直说话也才两毛多美元。
选型建议：如果你需要高频使用语音对话，Deepgram 的 Nova-2 模型是首选。它的转录速度远快于 OpenAI，能大幅降低你等 AI 回复的“空窗期”。
高质量兜底方案：OpenAI Whisper
计费逻辑：按分钟计费。如果你每天和 AI 聊 10 分钟语音，一个月大约花费 $1.8。
选型建议：如果你平时说话中英文夹杂，或者专业术语多，OpenAI 的容错和纠错能力是目前云端 API 里最好的。

文字转语音（TTS）配置

TTS 决定了 AI 的“音色”和“情感”，这项功能由于需要生成音频文件，通常比 STT 更贵。

1. 核心引擎横向对比与实际计费

引擎选型	成本梯队	实际计费标准 (预估)	拟真度
网页 API	免费	$0 (调用系统内置 TTS)	⭐⭐ (明显机械音)
openai-edge-tts 🏆	免费	$0 (微软 Edge 在线语音，中间件伪装)	⭐⭐⭐⭐⭐ (中文场景极佳，接近 OpenAI)
Transformers	免费	$0 (消耗本地算力生成)	⭐⭐⭐ (略带顿挫感)
OpenAI	低成本	$0.015 / 千字符	⭐⭐⭐⭐ (非常自然流畅)
Azure AI 语音	适中	约 $0.016 / 千字符	⭐⭐⭐⭐ (专业播音腔，可选多)
ElevenLabs	昂贵	约 $0.22 / 千字符 (按标准套餐折算)	⭐⭐⭐⭐⭐ (情感天花板)

2. 深度选型与成本解析

零成本测试首选：网页 API
计费逻辑：免费。直接让你的 Windows 或 macOS 系统里的"讲述人"来读出文字。
体验：毫无感情，适合用来排查语音链路通不通，不适合长期对话。
🏆 中文场景版本答案：openai-edge-tts（强烈推荐）
计费逻辑：完全免费。它通过一个开源中间件（travisvn/openai-edge-tts，GitHub 1.6k+ Stars），将微软 Edge 浏览器内置的高质量在线语音接口伪装成 OpenAI TTS 接口给 Open WebUI 使用。你在抖音/TikTok 上听到的那些非常自然的 AI 解说音，用的就是同一套微软语音引擎。
选型建议：面向国内中文用户的最佳选择。音质接近 OpenAI TTS，远超本地机械音，且完全免费、无需 GPU。Open WebUI 官方文档已有专门的集成页面。唯一注意点：它本质是微软云服务的代理，需要联网才能使用，不是真正的离线方案。

部署步骤：

第一步：启动 Docker 容器

1	docker run -d -p 5050:5050 -e API_KEY=your_password travisvn/openai-edge-tts:latest

第二步：在 Open WebUI 管理面板中配置

进入管理员面板 → 设置 → 语音，在 TTS 部分填写：

配置项	填写内容	说明
TTS 引擎	`OpenAI`	注意：选 OpenAI，不是 Edge，因为中间件伪装成了 OpenAI 接口
API 基础 URL	`http://host.docker.internal:5050/v1`	如果 Open WebUI 也在 Docker 中运行；否则填 `http://localhost:5050/v1`
API 密钥	`your_password`	与 Docker 启动时的 `API_KEY` 保持一致
TTS 模型	`tts-1`	固定值
TTS 语音	`zh-CN-XiaoxiaoNeural`	最受欢迎的中文女声；男声可选 `zh-CN-YunxiNeural`

💡 更多语音选择：Edge TTS 支持大量中文语音，如 zh-CN-XiaoyiNeural（年轻女声）、zh-CN-YunjianNeural（新闻播报男声）等，完整列表可在容器启动后访问 http://localhost:5050/v1/voices 查看。

⚠️ 注意：此方案依赖微软在线服务，断网时无法使用。如果你需要完全离线的 TTS，请考虑 Transformers 本地方案或下方的 Kokoro-FastAPI。

补充：英文场景的替代方案 —— Kokoro-FastAPI
如果你的用户主要使用英文对话，社区中另一个高口碑项目是 Kokoro-FastAPI。它完全本地运行，英文语音质量被社区评为当前最佳，同样提供 OpenAI 兼容 API。但中文支持较弱，因此面向国内用户时 openai-edge-tts 仍是首选。
极致性价比：OpenAI TTS
计费逻辑：按生成的字符数收费。1000 个英文字符或中文字大概只要 1 分多钱（美元）。即使重度使用，每个月也就几美元。
选型建议：90% 用户的最佳选择。模型选 tts-1 即可（tts-1-hd 贵一倍且速度慢，对话时完全没必要）。声音推荐 Alloy（中性）或 Nova（活力）。
如果你需要更高质量的选型（听觉享受）：ElevenLabs
计费逻辑：非常贵。采用订阅+额度制（如 $22/月给 10 万字符），折算下来单价比 OpenAI 贵了 15 倍左右。
为什么选它：物有所值。它是目前唯一能做到“根据上下文叹气、呼吸、调整情绪甚至哭腔”的 API。如果你把 AI 当作情感树洞，或者需要克隆特定人的声音，这笔钱花得值。

3.7. 网络搜索功能配置

配置入口：管理员面板 → 设置 → 联网搜索

配置项说明

配置项	说明	推荐值
启用联网搜索	总开关，关闭时所有用户均无法使用	按需开启
搜索引擎	下拉选择提供商，选择后下方动态显示该引擎所需字段（Key、URL 等）	见下方选型
搜索结果数量	每次返回的结果条数，太少信息不足，太多增加 token 消耗	5-8
并发数	同时抓取结果页面的并发数，过高可能触发速率限制	默认即可
旁路 SSL 验证	跳过 SSL 证书验证，仅自部署引擎用自签名证书时开启	关闭

全部搜索引擎一览

🟢 完全免费（自部署或无需 Key）

DuckDuckGo（duckduckgo）— 零配置开箱即用，无需 API Key，通过 Python 库直接调用。缺点：可能被速率限制，国内需代理
SearXNG（searxng）— 🏆 社区最推荐。开源元搜索引擎，聚合 Google、Bing 等 70+ 引擎结果，需 Docker 自部署，完全免费、无限次数、隐私安全
YaCy（yacy）— 去中心化 P2P 搜索引擎，完全自托管，搜索质量远不如 SearXNG
Ollama Cloud（ollama_cloud）— 用本地 Ollama 模型生成搜索，完全离线但质量有限

🔵 有免费额度（白嫖友好，需注册获取 Key）

Serper（serper）— 🏆 性价比之王。基于 Google SERP，注册送 2,500 次（一次性），付费 $0.30/千次起，速度极快
Brave（brave）— 每月 2,000 次免费（每月刷新），独立搜索索引，隐私友好，超出后 $3/千次
Tavily（tavily）— 每月 1,000 次免费，专为 AI/RAG 设计，返回干净文本，超出后 $0.008/次
Exa（exa）— 注册送 $10 额度（约 2,000 次），AI 原生语义搜索，超出后 $5/千次
Google PSE（google_pse）— 每天 100 次免费（约 3,000 次/月），搜索质量就是 Google 本身，超出后 $5/千次
Firecrawl（firecrawl）— 一次性 500 次免费，搜索 + 深度抓取网页内容，超出后 $16/月起
SearchApi（searchapi）— 注册送 100 次，支持 Google/Bing/Baidu/Scholar 多引擎切换，超出后 $50/月起
Serpstack（serpstack）— 每月 100 次免费，基于 Google SERP，超出后 $30/月起
SerpApi（serpapi）— 每月 100 次免费，功能最全但价格偏高 $25/月起
Jina（jina）— 注册送积分，支持语义搜索和网页内容提取，适合 RAG 场景

🟡 纯付费（无免费额度或需订阅）

Bing（bing）— ⚠️ 微软已于 2025 年 8 月宣布退役，不推荐新用户
Kagi（kagi）— $10/月起订阅制，高质量无广告搜索
Mojeek（mojeek）— 英国独立搜索引擎，有自己的爬虫索引，需联系定价
Serply（serply）— $49/月起，性价比不高
Bocha（bocha）— 🇨🇳 国产博查搜索，国内可直连，需联系定价
Sogou（sougou）— 🇨🇳 搜狗搜索，国内可直连，需联系定价
Yandex（yandex）— 俄罗斯搜索引擎，俄语搜索质量好

🟣 AI 增强搜索

Perplexity（perplexity）— Sonar API，搜索 + AI 总结，Pro 订阅每月附赠 $5 额度
Perplexity Search（perplexity_search）— 同上，纯搜索不含 AI 总结
External（external）— 万能逃生舱，指向任意自定义 HTTP 搜索服务

💡 以上除 Bocha、Sogou 外，其余引擎均需代理才能在国内访问。

选型推荐与部署

🏆 最优解：SearXNG 自部署

适合有服务器的个人/团队，零成本、无限次数、隐私安全。社区公认的最佳方案。

部署步骤：

1 2	git clone https://github.com/searxng/searxng-docker.git cd searxng-docker

修改 settings.yml（最关键一步，必须启用 JSON 格式，否则 Open WebUI 报 403）：

use_default_settings: true

server:
  secret_key: "your-random-secret-key"  # 必须修改
  limiter: false  # 关闭速率限制，避免被限流
  image_proxy: true

search:
  safe_search: 0
  autocomplete: ""
  default_lang: "zh-CN"
  formats:
    - html
    - json  # ⚠️ 必须添加，否则 Open WebUI 无法调用

启动：docker compose up -d，或在 Open WebUI 的 docker-compose.local.yaml 中添加：

services:
  searxng:
    image: searxng/searxng:latest
    container_name: searxng
    ports:
      - "8080:8080"
    volumes:
      - ./searxng:/etc/searxng
    restart: unless-stopped

在 Open WebUI 中配置：搜索引擎选 searxng，查询 URL 填 http://searxng:8080/search?q=（Docker 同网络）或 http://localhost:8080/search?q=。

⚠️ 常见问题：
403 错误：99% 是 settings.yml 没加 json 格式
结果为空：SearXNG 容器需能访问外网，国内服务器需为 SearXNG 容器配代理
超时：检查 limiter 是否为 false，上游搜索引擎是否可达

💰 零成本懒人方案：DuckDuckGo

不想部署任何服务的用户，搜索引擎选 duckduckgo 即可，无需填写任何 Key。缺点是可能被限流、国内需代理、搜索质量不如 Google。

🎯 付费性价比之选：Serper

需要 Google 级搜索质量但预算有限的用户。访问 https://serper.dev 注册，复制 API Key，搜索引擎选 serper 填入即可。注册送 2,500 次，付费后 $0.30/千次起。

🇨🇳 国内直连方案：Bocha / Sogou

服务器在国内、无法配代理的用户。Bocha（博查）和 Sogou（搜狗）国内可直连，中文搜索质量较好，需联系服务商获取 Key 和定价。

成本速算

假设日均搜索 20 次（月均 600 次）：

方案	月成本	说明
SearXNG 自部署	$0	仅消耗服务器资源
DuckDuckGo	$0	可能被限流
Brave 免费额度	$0	每月 2,000 次，完全够用
Google PSE 免费额度	$0	每天 100 次，完全够用
Tavily 免费额度	$0	每月 1,000 次，勉强够用
Serper 免费额度	$0	2,500 次一次性，约可用 4 个月
Serper 付费	~$0.18	超出免费额度后
Brave 付费	~$1.80	超出免费额度后
Kagi	$10+	订阅制

💡 个人使用（日均 <30 次），Brave（2,000 次/月）或 Google PSE（100 次/天）的免费额度完全够用。团队或高频搜索，SearXNG 自部署是唯一真正无限制的方案。

3.8. Pipelines 与 Functions 扩展系统

Open WebUI 提供了两种扩展机制：Functions（函数）和 Pipelines（管道）。理解它们的区别非常重要，选错了会让简单的事情变复杂。

⚠️ 官方明确建议：对于大多数扩展需求（如添加新的 API 提供商、基础过滤器、简单工具），请使用 Functions，不要使用 Pipelines。Pipelines 仅适用于需要将计算密集型任务卸载到独立进程的场景。

Functions vs Pipelines：如何选择

对比项	Functions（推荐优先）	Pipelines
部署方式	内置于 Open WebUI，无需额外服务	需要独立部署 Pipelines 服务
适用场景	添加 API 提供商、过滤器、工具、按钮动作	计算密集型任务（如大规模数据处理、自定义 ML 推理）
管理方式	管理员面板 → 函数	管理员面板 → 设置 → Pipelines
开发难度	简单，直接在 Web 界面编写	较复杂，需要独立服务和 Docker 部署
性能影响	在主进程中运行	独立进程，不影响主服务

简单判断规则：如果你不确定该用哪个，用 Functions。只有当你明确需要在独立进程中运行计算密集型任务时，才考虑 Pipelines。

Functions（函数）

Functions 是 Open WebUI 内置的扩展机制，直接在管理员面板中管理，无需额外部署。

Functions 的四种类型：

类型	说明	使用场景
Filter	在消息发送到模型前/后进行处理	内容过滤、格式转换、日志记录
Action	在消息气泡上添加自定义按钮	一键翻译、一键总结、复制格式化内容
Tool	为模型提供可调用的工具	网络搜索、数据库查询、API 调用
Pipe	添加新的模型端点或 API 提供商	接入自定义 API、代理转发

管理 Functions：

管理员面板 → 函数（Functions）

在这里你可以：

创建新函数（直接在 Web 编辑器中编写 Python 代码）
从社区导入函数
启用/禁用函数
配置函数参数（Valves）

社区函数库：

Open WebUI 社区提供了大量现成的函数，访问 https://openwebui.com/functions/ 浏览和导入。

💡 Functions 的详细开发将在后续章节中介绍。本节重点是让管理员了解如何管理和配置。

Pipelines（仅限计算密集型场景）

如果你确实需要将计算密集型任务卸载到独立进程，才需要部署 Pipelines。

部署 Pipelines 服务：

在你的 docker-compose.local.yaml 中添加 Pipelines 服务：

services:
  pipelines:
    image: ghcr.io/open-webui/pipelines:main
    container_name: pipelines
    ports:
      - "9099:9099"
    extra_hosts:
      - host.docker.internal:host-gateway
    volumes:
      - pipelines-data:/app/pipelines
    restart: unless-stopped

  open-webui:
    # ... 你的现有配置
    environment:
      - PIPELINES_URLS=http://pipelines:9099

volumes:
  pipelines-data:

启动后访问 http://localhost:9099/docs 验证 Pipelines API 是否正常。

在 Open WebUI 中连接：

管理员面板 → 设置 → Pipelines → 填入 http://pipelines:9099 → 点击刷新

管理插件：

连接成功后，你可以：

上传 Python 插件文件（.py）
启用/禁用插件
配置插件参数（Valves）

Pipelines 插件示例：

官方示例仓库：https://github.com/open-webui/pipelines/tree/main/examples

插件名称	功能	使用场景
Langfuse	集成 Langfuse 监控平台	大规模使用量监控
LLM Guard	防止提示词注入攻击	安全防护（计算密集）
Detoxify	基于 ML 模型的有害内容过滤	内容安全（需要 GPU）

💡 像 Rate Limit（限流）、LibreTranslate（翻译）这类轻量级功能，现在推荐使用 Functions 实现，不再需要部署 Pipelines。

3.9. 安全与认证配置

这一章讲的是“谁能登录、谁能调用 API、用户身份如何同步、会话如何保活”。

如果你是个人用户，这部分很多配置可以先不动；但只要进入团队协作、公司内网、对接脚本或自动化系统，这一章就会变成必修课。

在开始之前，先解释几个经常会混在一起的术语：

认证（Authentication）：证明“你是谁”。例如账号密码登录、LDAP 登录、Google 登录。
授权（Authorization）：决定“你能做什么”。例如能不能看某个模型、能不能导出模型、能不能管理工具。
API Key：发给程序用的密钥，适合脚本、集成平台、外部服务调用 Open WebUI API。
LDAP：企业常见的目录服务协议，很多公司的 AD（Active Directory）也兼容这套方式。
OAuth / OIDC：第三方登录体系。OAuth 偏“授权”，OIDC 是建立在 OAuth 之上的“身份登录”标准。
SCIM：自动开通和回收账号的标准，不负责“登录”，而负责“账号生命周期同步”。

API 密钥认证

这是什么

Open WebUI 支持为用户生成 API Key，让外部脚本、自动化流程、内部平台、工作流引擎通过 HTTP API 访问它。

典型场景包括：

用 Python、Node.js 或 Shell 脚本调用聊天接口
用企业内部系统转发请求到 Open WebUI
给工作流平台、Bot、自动化任务提供一个稳定认证方式

它和“浏览器登录 Cookie”不是一回事：

浏览器登录主要给人用
API Key 主要给程序用

如何启用

管理员面板 → 设置 → 通用 → 启用 API Key

启用后，用户就可以在自己的账号设置中创建 API Key。

用户如何生成密钥

点击头像 → 设置 → 账号 → API 密钥 → 点击“创建新密钥”

创建后要立即保存，因为这类密钥通常不会反复明文展示。

调用示例

curl -X POST http://localhost:3000/api/chat \
  -H "Authorization: Bearer sk-..." \
  -H "Content-Type: application/json" \
  -d '{"message": "Hello"}'

官方建议理解

官网当前的方向不是“默认把所有接口都敞开”，而是：

可以启用 API Key
可以进一步启用接口级限制
在可信内网环境里可以更宽松，在生产环境则建议更严格

我的管理方式

在我的环境里，API Key 主要给“程序”而不是“人”使用，所以我通常这样管理：

浏览器用户走正常登录，不给所有人默认要求 API Key。
只有确实需要脚本调用的账号，才生成 API Key。
给外部系统时，优先启用接口限制，不给过大的权限面。
定期清理不再使用的密钥，避免历史脚本长期持有可用凭证。
如果只是临时测试，我会单独创建测试用密钥，不和正式环境长期复用。

LDAP 集成

这是什么

LDAP 可以理解为“公司统一通讯录 / 账号目录”的标准接口。

适合谁

公司内网部署
已有统一身份管理
希望账号、邮箱、用户名来自企业目录

个人部署、小团队、临时测试环境，通常不需要上 LDAP。

官方配置思路

LDAP 推荐先通过环境变量初始化，然后在管理员面板里继续维护。官网特别强调一件事：

如果启用了持久化配置（默认就是），很多环境变量只在第一次启动时读入；后续修改通常要在管理后台里改，而不是只改 docker-compose。

这点非常重要，也是很多人“明明改了环境变量，怎么界面没变”的根源。

当前版本常见环境变量

environment:
  - ENABLE_LDAP=true
  - LDAP_SERVER_LABEL=OpenLDAP
  - LDAP_SERVER_HOST=ldap.example.com
  - LDAP_SERVER_PORT=389
  - LDAP_ATTRIBUTE_FOR_MAIL=mail
  - LDAP_ATTRIBUTE_FOR_USERNAME=uid
  - LDAP_APP_DN=cn=admin,dc=example,dc=org
  - LDAP_APP_PASSWORD=your_password
  - LDAP_SEARCH_BASE=dc=example,dc=org
  - LDAP_SEARCH_FILTER=(uid=%(user)s)
  - LDAP_USE_TLS=true

你会发现，这一版和很多旧博客里写的 LDAP_SERVER_URL、LDAP_BIND_DN 之类名字不完全一样。写文档时一定要以当前版本为准。

参数解释

参数	说明
`ENABLE_LDAP`	是否启用 LDAP 登录
`LDAP_SERVER_LABEL`	在界面里显示的 LDAP 名称
`LDAP_SERVER_HOST` / `LDAP_SERVER_PORT`	LDAP 服务器地址和端口
`LDAP_ATTRIBUTE_FOR_MAIL`	从 LDAP 条目里取邮箱的字段
`LDAP_ATTRIBUTE_FOR_USERNAME`	从 LDAP 条目里取用户名的字段
`LDAP_APP_DN` / `LDAP_APP_PASSWORD`	用于查询目录的服务账号
`LDAP_SEARCH_BASE`	搜索用户的根 DN
`LDAP_SEARCH_FILTER`	登录时查找用户的过滤器
`LDAP_USE_TLS`	是否启用 TLS / StartTLS

正确的排错顺序

不要一上来就怀疑 Open WebUI。

官网推荐的思路是：

先验证 LDAP 服务器本身通不通
再验证用户条目能不能查到
最后才看 Open WebUI 配置

例如：

1
2
3

ldapsearch -x -H ldap://ldap.example.com:389 \
  -D "cn=admin,dc=example,dc=org" -w your_password \
  -b "dc=example,dc=org" "(uid=jdoe)"

如果这一步都查不到用户，就不要继续在 WebUI 里盲改了。

我的管理方式

我自己的判断规则很简单：

如果是企业内部正式使用，并且员工已经有统一账号体系，我会优先接 LDAP。
如果只是个人站点、朋友共用、测试环境，我不会为了“看起来企业化”硬上 LDAP。
上 LDAP 后，我会尽量让用户名、邮箱、显示名都来自目录系统，避免 Open WebUI 自己成为第二套主数据来源。

OAuth / OIDC / SSO 集成

这是什么

这一组就是“第三方登录”。

最常见的使用方式是：

用 Google 账号登录
用 Microsoft / Entra ID 账号登录
用 GitHub 账号登录
用企业自己的 OIDC 服务登录

如果说 LDAP 更像“公司内网目录登录”，那 OAuth / OIDC 更像“现代网站统一登录”。

先说结论：本地开发完全可以配

而且你现在这个仓库已经改成了：

docker-compose.local.yaml 自动读取 .env.local
本地端口由 OPEN_WEBUI_PORT 控制
Google、Microsoft、GitHub 三家都可以直接写在 .env.local

所以对读者来说，最容易跟做的方式就是：

去各自官网创建 OAuth 应用
把回调地址填成 Open WebUI 本地回调
把拿到的密钥填进 .env.local
重启本地容器

本地统一配置模板

如果你的本地端口是 3000，那么 .env.local 先这样写：

OPEN_WEBUI_PORT=3000
WEBUI_URL=http://localhost:3000
ENABLE_OAUTH_SIGNUP=true
OAUTH_MERGE_ACCOUNTS_BY_EMAIL=true

GOOGLE_CLIENT_ID=
GOOGLE_CLIENT_SECRET=
GOOGLE_REDIRECT_URI=http://localhost:3000/oauth/google/login/callback

MICROSOFT_CLIENT_ID=
MICROSOFT_CLIENT_SECRET=
MICROSOFT_CLIENT_TENANT_ID=common
MICROSOFT_REDIRECT_URI=http://localhost:3000/oauth/microsoft/login/callback

GITHUB_CLIENT_ID=
GITHUB_CLIENT_SECRET=
GITHUB_CLIENT_REDIRECT_URI=http://localhost:3000/oauth/github/login/callback

写完后执行：

1	docker compose -f docker-compose.local.yaml up -d --build

如果你的端口不是 3000，例如 5050，那上面所有 localhost:3000 都要统一改成 localhost:5050。

适用场景

如果你想直接使用 Google 账号登录，这是最常见的一种配置。

第 1 步：去 Google 官方后台创建应用

访问：

https://console.cloud.google.com/apis/credentials

进入后：

创建或选择一个 Project
打开 APIs & Services
进入 Credentials（凭证）
点击 Create Credentials
选择 OAuth client ID
Application type 选择 Web application

第 2 步：登记回调地址

在 Authorized redirect URIs 中填写：

1	http://localhost:3000/oauth/google/login/callback

第 3 步：把拿到的密钥填入 .env.local

1
2
3

GOOGLE_CLIENT_ID=你的 Google Client ID
GOOGLE_CLIENT_SECRET=你的 Google Client Secret
GOOGLE_REDIRECT_URI=http://localhost:3000/oauth/google/login/callback

第 4 步：重启本地 Open WebUI

1	docker compose -f docker-compose.local.yaml up -d --build

注意事项

Google 开发环境允许 http://localhost
回调地址必须和后台里登记的 URI 完全一致
如果你改了端口，Google 后台也要一起改

适用场景

如果用户本身就在 Microsoft 365、Entra ID、企业账号体系里，这一项非常常见。

第 1 步：去 Microsoft Entra 后台注册应用

访问：

https://portal.azure.com/

进入后：

打开 Microsoft Entra ID
进入 App registrations
点击 New registration
创建一个应用

第 2 步：配置回调地址

在 Authentication 页面里添加：

1	http://localhost:3000/oauth/microsoft/login/callback

第 3 步：生成 Secret 并写入 .env.local

在 Certificates & secrets 中生成一个 Client secret，然后填入：

MICROSOFT_CLIENT_ID=你的 Microsoft Client ID
MICROSOFT_CLIENT_SECRET=你的 Microsoft Client Secret
MICROSOFT_CLIENT_TENANT_ID=common
MICROSOFT_REDIRECT_URI=http://localhost:3000/oauth/microsoft/login/callback

如果你只允许某一个租户登录，把 common 改成你的实际 Tenant ID 即可。

第 4 步：重启本地 Open WebUI

1	docker compose -f docker-compose.local.yaml up -d --build

注意事项

Microsoft 也支持本地 localhost 回调
本地开发可以先用 common
正式环境建议单独使用正式域名和正式应用注册

适用场景

如果你的用户本身大量使用 GitHub，这是最容易理解、也最容易测试的一项。

第 1 步：去 GitHub Developer Settings 创建 OAuth App

访问：

https://github.com/settings/developers

进入后：

打开 OAuth Apps
点击 New OAuth App

第 2 步：填写回调地址

最关键的是 Authorization callback URL：

1	http://localhost:3000/oauth/github/login/callback

第 3 步：把密钥填入 .env.local

1
2
3

GITHUB_CLIENT_ID=你的 GitHub Client ID
GITHUB_CLIENT_SECRET=你的 GitHub Client Secret
GITHUB_CLIENT_REDIRECT_URI=http://localhost:3000/oauth/github/login/callback

第 4 步：重启本地 Open WebUI

1	docker compose -f docker-compose.local.yaml up -d --build

注意事项

GitHub 对 callback URL 也是精确匹配
如果后台填的是 127.0.0.1，本地配置也要统一成 127.0.0.1
不要后台填 127.0.0.1，本地却写 localhost

为了更容易排错，我建议不要一上来三个一起配，而是按这个顺序：

先配一个，例如 GitHub
测通之后，再加 Google
最后再加 Microsoft

这样如果出现问题，最容易定位。

最常见的报错就是：

redirect_uri_mismatch
端口改了，但开放平台后台没改
.env.local 改了，但容器没重启
后台写的是 127.0.0.1，本地写的是 localhost

SCIM 自动开通与回收

这是什么

SCIM 不是登录协议，而是“账号生命周期同步协议”。

它解决的问题是：

新员工入职时，自动在 Open WebUI 创建账号
员工信息变化时，自动同步更新
员工离职时，自动停用账号
用户组成员关系自动同步

所以可以把它理解成“自动开账号、改账号、停账号”的标准接口。

和 OAuth / LDAP 的关系

LDAP / OAuth / OIDC：解决“怎么登录”
SCIM：解决“账号怎么自动创建和同步”

很多企业会同时使用：

用 OIDC 登录
用 SCIM 做账号与组同步

当前版本配置

environment:
  - SCIM_ENABLED=true
  - SCIM_TOKEN=your-secure-random-token
  - SCIM_AUTH_PROVIDER=oidc

参数解释

参数	说明
`SCIM_ENABLED`	是否启用 SCIM
`SCIM_TOKEN`	调用 SCIM API 的 Bearer Token
`SCIM_AUTH_PROVIDER`	用于把 SCIM `externalId` 和对应认证提供商关联起来，例如 `microsoft`、`oidc`

这里的 SCIM_AUTH_PROVIDER 很容易被漏掉，但当前版本里它是重要配置，尤其是在账户关联和 externalId 保存上。

对接端点

SCIM Base URL：

1	https://your-domain.com/api/v1/scim/v2/

常见资源端点：

资源	端点
用户	`/api/v1/scim/v2/Users`
组	`/api/v1/scim/v2/Groups`

我的管理方式

我把 SCIM 视为“企业级增强项”：

小规模自用：完全不需要
团队规模不大，但已有统一登录：先上 OAuth / LDAP，SCIM 可以以后再说
企业正式上生产：如果人事变动频繁、合规要求高，就值得上 SCIM

它的价值不在“让用户多一个登录按钮”，而在于减少人工维护账号、降低离职账号遗留风险。

这是什么

用户在浏览器里登录后，Open WebUI 需要一种机制记住登录状态，这通常会涉及：

JWT：登录令牌
Session Cookie：浏览器保存的登录凭证
Secret Key：服务器用来签名和加密敏感数据的密钥

当前版本重点配置

environment:
  - WEBUI_SECRET_KEY=your-persistent-secret-key
  - JWT_EXPIRES_IN=4w
  - WEBUI_SESSION_COOKIE_SAME_SITE=Lax
  - WEBUI_SESSION_COOKIE_SECURE=true

参数解释

参数	说明
`WEBUI_SECRET_KEY`	最关键的持久化密钥，用于会话签名和敏感数据解密
`JWT_EXPIRES_IN`	登录令牌过期时间，例如 `4w`、`7d`
`WEBUI_SESSION_COOKIE_SAME_SITE`	Cookie 的跨站策略
`WEBUI_SESSION_COOKIE_SECURE`	是否只通过 HTTPS 发送 Cookie

为什么 WEBUI_SECRET_KEY 非常重要

官网 FAQ 专门提到，如果你每次重建容器都不保留同一个 WEBUI_SECRET_KEY，会出现两类典型问题：

用户升级或重启后被全部强制退出
一些已经加密保存的令牌、API Key、OAuth 凭证无法解密

所以这个值一定要固定，不要让容器每次随机生成。

我的管理方式

这一点我会非常保守：

生产环境固定设置 WEBUI_SECRET_KEY
HTTPS 环境强制 WEBUI_SESSION_COOKIE_SECURE=true
不把 JWT_EXPIRES_IN 设成无限期
升级容器前先确认密钥仍然通过同样方式注入

这是最容易被忽略、但一出问题就会直接影响所有用户登录体验的一块。

第二章. 本地快速部署

2026-02-26T04:38:17.000Z

第二章. 本地快速部署

在上一章中，我们了解了 Open WebUI 是什么。现在让我们动手实践，在本地环境中把它跑起来。本章将专注于本地部署，帮助你在最短时间内体验到 Open WebUI 的强大功能。

在开始之前，让我们明确一个目标：本章结束时，你将拥有一个运行在本地的 Open WebUI 实例，可以通过浏览器访问，并能够与 AI 模型进行对话。

2.1. 环境准备

在部署 Open WebUI 之前，我们需要先准备好基础环境。根据你选择的部署方式不同，需要准备的环境也不同。

Docker 环境准备

Docker 是我们强烈推荐的部署方式。如果你还没有安装 Docker，请按照以下步骤操作。

步骤 1：下载 Docker Desktop

访问 Docker 官网下载页面：https://www.docker.com/products/docker-desktop/

点击 “Download for Windows” 按钮，下载安装包（约 500 MB）。

步骤 2：安装 Docker Desktop

双击下载的安装包，按照安装向导操作：

勾选 “Use WSL 2 instead of Hyper-V”（推荐）
勾选 “Add shortcut to desktop”
点击 “Ok” 开始安装

安装完成后，系统会提示重启电脑。重启后，Docker Desktop 会自动启动。

步骤 3：验证安装

打开 PowerShell 或命令提示符，输入以下命令：

1	docker --version

如果看到类似 Docker version 24.0.7, build afdd53b 的输出，说明安装成功。

步骤 4：配置 WSL 2（如果需要）

如果安装过程中提示需要 WSL 2，请按照以下步骤操作：

打开 PowerShell（管理员模式），执行：

1	wsl --install

等待安装完成后，重启电脑。

步骤 1：下载 Docker Desktop

访问 Docker 官网下载页面：https://www.docker.com/products/docker-desktop/

根据你的 Mac 芯片类型选择：

Apple Silicon（M1/M2/M3）：下载 “Mac with Apple chip”
Intel 芯片：下载 “Mac with Intel chip”

步骤 2：安装 Docker Desktop

双击下载的 .dmg 文件，将 Docker 图标拖动到 Applications 文件夹。

打开 Applications 文件夹，双击 Docker 图标启动。

首次启动时，系统会要求输入密码以授权 Docker 安装网络组件。

步骤 3：验证安装

打开终端（Terminal），输入以下命令：

1	docker --version

如果看到版本信息输出，说明安装成功。

步骤 4：配置资源限制（可选）

打开 Docker Desktop，点击右上角的设置图标，进入 “Resources” 选项卡：

CPU：建议分配至少 4 核
Memory：建议分配至少 8 GB
Disk：建议分配至少 50 GB

步骤 1：更新系统包

1 2	sudo apt update sudo apt upgrade -y

步骤 2：安装 Docker

对于 Ubuntu/Debian 系统，执行以下命令：

# 安装必要的依赖
sudo apt install -y ca-certificates curl gnupg lsb-release

# 添加 Docker 官方 GPG 密钥
sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg

# 添加 Docker 仓库
echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \
  $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

# 安装 Docker Engine
sudo apt update
sudo apt install -y docker-ce docker-ce-cli containerd.io docker-compose-plugin

步骤 3：配置用户权限

将当前用户添加到 docker 组，避免每次都需要 sudo：

1	sudo usermod -aG docker $USER

注销并重新登录，或执行以下命令使权限生效：

1	newgrp docker

步骤 4：验证安装

1 2	docker --version docker compose version

如果两个命令都能正常输出版本信息，说明安装成功。

步骤 5：启动 Docker 服务

1 2	sudo systemctl start docker sudo systemctl enable docker

Python 环境准备（非 Docker 部署）

如果你选择使用 Python 直接安装 Open WebUI，需要准备 Python 环境。

步骤 1：下载 Python

访问 Python 官网：https://www.python.org/downloads/

下载 Python 3.11 版本（推荐）。

步骤 2：安装 Python

双击安装包，务必勾选 “Add Python to PATH” 选项，然后点击 “Install Now”。

步骤 3：验证安装

打开命令提示符，输入：

1 2	python --version pip --version

如果看到版本信息，说明安装成功。

步骤 4：安装 uv（推荐）

1	powershell -ExecutionPolicy ByPass -c "irm https://astral.sh/uv/install.ps1 \| iex"

步骤 1：安装 Homebrew（如果还没有）

1	/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

步骤 2：安装 Python

1	brew install python@3.11

步骤 3：验证安装

1 2	python3 --version pip3 --version

步骤 4：安装 uv（推荐）

1	curl -LsSf https://astral.sh/uv/install.sh \| sh

步骤 1：安装 Python

1 2	sudo apt update sudo apt install -y python3.11 python3.11-venv python3-pip

步骤 2：验证安装

1 2	python3 --version pip3 --version

步骤 3：安装 uv（推荐）

1	curl -LsSf https://astral.sh/uv/install.sh \| sh

2.2. 使用 Docker Compose 部署

现在环境已经准备好了，让我们开始部署 Open WebUI。

我们直接使用 Docker Compose 进行部署——这是官方推荐的方式，也是最规范、最易维护的方案。所有配置集中在一个 YAML 文件中，启动、停止、更新都只需要一条命令。

💡 为什么不用 docker run？ 虽然一条 docker run 命令也能启动，但参数又长又容易出错，修改配置需要删除容器重建，多服务管理更是噩梦。Docker Compose 从一开始就解决了这些问题，没有理由绕弯路。

步骤 1：克隆官方仓库

1 2	git clone https://github.com/open-webui/open-webui.git cd open-webui

仓库中已经包含了官方的 docker-compose.yaml，默认配置了 Open WebUI + Ollama 两个服务。

如果你的网络无法访问 GitHub，可以手动下载仓库的 ZIP 包，或者只创建一个目录并手动编写配置文件（见下方配置示例）。

步骤 2：根据场景选择配置

官方的 docker-compose.yaml 默认包含 Ollama 服务。但实际使用中，你可能不需要 Ollama（比如你只用 OpenAI API），或者你的 Ollama 已经安装在宿主机上。

我们推荐使用 docker-compose.override.yaml 或独立的配置文件来覆盖默认配置，这样官方文件保持不动，git pull 更新时不会产生冲突。

适用场景：不需要本地模型，只使用 OpenAI、Claude 等外部 API。

创建 docker-compose.local.yaml 文件：

services:
  open-webui:
    image: ghcr.io/open-webui/open-webui:${WEBUI_DOCKER_TAG-main}
    container_name: open-webui
    restart: unless-stopped
    ports:
      - ${OPEN_WEBUI_PORT-3000}:8080
    extra_hosts:
      - host.docker.internal:host-gateway
    environment:
      # 连接外部 OpenAI 兼容 API
      - OPENAI_API_BASE_URL=https://api.openai.com/v1
      - OPENAI_API_KEY=sk-your-api-key-here
      - ENABLE_OPENAI_API=True
      # 关闭 Ollama（不需要本地模型）
      - ENABLE_OLLAMA_API=False
    volumes:
      - open-webui-data:/app/backend/data

volumes:
  open-webui-data:

启动命令：

1	docker compose -f docker-compose.local.yaml up -d

适用场景：想要运行开源模型（如 Qwen、Llama），完全离线使用。

直接使用官方的 docker-compose.yaml 即可，无需额外配置：

1	docker compose up -d

官方配置会同时启动 Ollama 和 Open WebUI，并自动建立连接。

启动后，你需要下载一个模型才能开始对话：

1 2	# 在 Ollama 容器内下载模型 docker compose exec ollama ollama pull qwen2.5:7b

适用场景：Ollama 已经安装在宿主机上，不想在 Docker 中再跑一个。

创建 docker-compose.local.yaml 文件：

services:
  open-webui:
    image: ghcr.io/open-webui/open-webui:${WEBUI_DOCKER_TAG-main}
    container_name: open-webui
    restart: unless-stopped
    ports:
      - ${OPEN_WEBUI_PORT-3000}:8080
    extra_hosts:
      - host.docker.internal:host-gateway
    environment:
      - OLLAMA_BASE_URL=http://host.docker.internal:11434
    volumes:
      - open-webui-data:/app/backend/data

volumes:
  open-webui-data:

启动命令：

1	docker compose -f docker-compose.local.yaml up -d

host.docker.internal 是 Docker 提供的特殊域名，指向宿主机。通过 extra_hosts 配置后，容器内可以用这个域名访问宿主机上运行的 Ollama。

适用场景：有 NVIDIA GPU，想要加速本地模型推理。

创建 docker-compose.local.yaml 文件：

services:
  ollama:
    image: ollama/ollama:latest
    container_name: ollama
    volumes:
      - ollama-data:/root/.ollama
    deploy:
      resources:
        reservations:
          devices:
            - driver: nvidia
              count: all
              capabilities: [gpu]
    restart: unless-stopped

  open-webui:
    image: ghcr.io/open-webui/open-webui:${WEBUI_DOCKER_TAG-main}
    container_name: open-webui
    restart: unless-stopped
    ports:
      - ${OPEN_WEBUI_PORT-3000}:8080
    environment:
      - OLLAMA_BASE_URL=http://ollama:11434
    depends_on:
      - ollama
    volumes:
      - open-webui-data:/app/backend/data

volumes:
  ollama-data:
  open-webui-data:

前置要求：需要安装 NVIDIA 驱动和 NVIDIA Container Toolkit。

安装 NVIDIA Container Toolkit（Ubuntu/Debian）：

distribution=$(. /etc/os-release;echo $ID$VERSION_ID)
curl -s -L https://nvidia.github.io/nvidia-docker/gpgkey | sudo apt-key add -
curl -s -L https://nvidia.github.io/nvidia-docker/$distribution/nvidia-docker.list | \
  sudo tee /etc/apt/sources.list.d/nvidia-docker.list

sudo apt-get update
sudo apt-get install -y nvidia-container-toolkit
sudo systemctl restart docker

启动命令：

1	docker compose -f docker-compose.local.yaml up -d

步骤 3：使用 .env 管理变量（可选）

如果你不想把 API Key 等敏感信息写在 YAML 文件中，可以创建一个 .env 文件：

# .env 文件（与 docker-compose 文件同目录）
WEBUI_DOCKER_TAG=main
OPEN_WEBUI_PORT=3000
OPENAI_API_KEY=sk-your-api-key-here

然后在 docker-compose.local.yaml 中用 ${OPENAI_API_KEY} 引用即可。.env 文件通常已被 .gitignore 忽略，不会被提交到版本库。

步骤 4：启动并验证

# 启动（根据你选择的方案）
docker compose -f docker-compose.local.yaml up -d

# 查看容器状态
docker compose -f docker-compose.local.yaml ps

# 查看日志（如果需要排查问题）
docker compose -f docker-compose.local.yaml logs --tail 50

你应该看到类似以下输出：

1 2	NAME IMAGE COMMAND STATUS PORTS open-webui ghcr.io/open-webui/open-webui:main "bash start.sh" Up 2 minutes (healthy) 0.0.0.0:3000->8080/tcp

状态为 Up ... (healthy) 表示服务已正常运行。

Docker Compose 常用命令速查

以下命令均以 -f docker-compose.local.yaml 为例，如果你使用官方默认的 docker-compose.yaml，去掉 -f 参数即可。

命令	作用
`docker compose -f docker-compose.local.yaml up -d`	启动所有服务
`docker compose -f docker-compose.local.yaml down`	停止并删除容器
`docker compose -f docker-compose.local.yaml restart`	重启服务
`docker compose -f docker-compose.local.yaml ps`	查看状态
`docker compose -f docker-compose.local.yaml logs -f`	实时查看日志
`docker compose -f docker-compose.local.yaml pull`	拉取最新镜像
`docker compose -f docker-compose.local.yaml exec open-webui bash`	进入容器

关于 Python 直接安装

如果你的环境无法使用 Docker（如某些受限的开发机），Open WebUI 也支持通过 Python 直接安装：

# 使用 uv（推荐）
uvx --python 3.11 open-webui@latest serve

# 或使用 pip
pip install open-webui
open-webui serve

Python 安装后访问 http://localhost:8080 。但这种方式环境依赖复杂、升级维护不便，仅建议用于临时体验或开发调试，不推荐用于长期使用。

2.3. 首次启动与验证

部署完成后，我们需要系统地验证各项功能是否正常工作。

第一步：确认容器状态

1	docker compose -f docker-compose.local.yaml ps

关键信息解读：

字段	正常值	异常情况
STATUS	`Up ... (healthy)`	`Restarting` = 启动失败在反复重启；`unhealthy` = 健康检查未通过
PORTS	`0.0.0.0:3000->8080/tcp`	为空 = 端口映射失败

如果状态不正常，查看日志定位问题：

1	docker compose -f docker-compose.local.yaml logs --tail 50

第二步：访问 Web 界面

打开浏览器，访问 http://localhost:3000 。

你会看到 Open WebUI 的欢迎页面。

如果无法访问，按以下顺序排查：

确认容器正在运行：docker compose -f docker-compose.local.yaml ps
确认端口未被占用：lsof -i :3000（macOS/Linux）或 netstat -ano | findstr :3000（Windows）
检查防火墙：确认没有阻止 3000 端口

第三步：创建管理员账号

首次访问时，你会看到注册页面。第一个注册的用户自动成为管理员，拥有系统最高权限。

字段	说明	建议
姓名	显示名称	填写你的名字或 “Admin”
邮箱	登录账号	使用常用邮箱，这是你的登录凭证
密码	登录密码	至少 8 位，包含字母、数字和特殊字符

⚠️ 重要：请务必牢记管理员的邮箱和密码。忘记密码需要手动操作数据库才能重置。

注册完成后，系统自动登录并进入主界面。

第四步：连接 AI 模型

根据你的部署方案，模型连接方式不同：

如果你使用了 Ollama：

模型选择器中应该已经显示了你下载的模型。如果没有，进入 管理员面板 → 设置 → 连接，确认 Ollama API URL 配置正确，点击刷新。

如果你只部署了 Open WebUI（方案一）：

你需要在配置文件中填写正确的 API 地址和密钥（已在 2.2 节的配置中完成），或者在 管理员面板 → 设置 → 连接中手动配置：

在 OpenAI API 区域填入 API Base URL 和 API Key
点击保存，然后点击刷新按钮
连接成功后，模型选择器中会出现可用模型

第六步：发送测试消息

选择一个模型，在输入框中输入：

1	你好，请用一句话介绍你自己

如果 AI 正常回复，恭喜你，Open WebUI 已经部署成功！🎉

常见启动问题排查

查看启动日志：

1	docker compose -f docker-compose.local.yaml logs --tail 100

问题 1：HuggingFace 连接失败（SSL 重连错误）

requests.exceptions.SSLError: HTTPSConnectionPool(host='huggingface.co', port=443):
Max retries exceeded ... certificate verify failed
Retrying in 1s [Retry 1/5].
Retrying in 2s [Retry 2/5].
...

原因：Open WebUI 启动时会从 HuggingFace 下载 RAG 嵌入模型（sentence-transformers/all-MiniLM-L6-v2），网络无法访问 huggingface.co 时会反复重试。

影响：仅影响 RAG 文档问答功能，不影响 正常对话。服务最终会跳过下载并正常启动。

解决方案：

方案	操作
使用镜像站	添加环境变量 `HF_ENDPOINT=https://hf-mirror.com`
配置代理	添加 `HTTP_PROXY` 和 `HTTPS_PROXY` 环境变量
使用 OpenAI 嵌入	添加 `RAG_EMBEDDING_ENGINE=openai`

问题 2：端口被占用

1	Error: Bind for 0.0.0.0:3000 failed: port is already allocated

解决方案：修改配置文件中的端口映射，或在 .env 中设置 OPEN_WEBUI_PORT=3001。

问题 3：Ollama 连接失败

1	WARNING: Ollama connection failed: Connection refused

解决方案：

不需要 Ollama：添加环境变量 ENABLE_OLLAMA_API=False
Ollama 在宿主机：确认 Ollama 服务已启动，且配置了 extra_hosts 和正确的 OLLAMA_BASE_URL

快速排查清单

检查项	命令/操作	期望结果
容器是否运行	`docker compose ps`	状态为 `Up (healthy)`
端口是否监听	`curl -s http://localhost:3000`	返回 HTML 内容
日志是否有错误	`docker compose logs --tail 50`	无 ERROR 级别日志
数据卷是否创建	`docker volume ls`	能看到对应的卷名
API 连接是否正常	管理员面板 → 设置 → 连接	刷新后显示模型列表
对话是否正常	发送测试消息	AI 正常回复

2.4. 数据持久化与备份

数据持久化是部署中非常重要的一环。如果配置不当，容器重启后所有数据都会丢失。

Docker 卷的工作原理

在前面的部署命令中，我们使用了 -v open-webui:/app/backend/data 参数。这个参数创建了一个名为 open-webui 的 Docker 卷，并将其挂载到容器内的 /app/backend/data 目录。

Open WebUI 的所有数据都存储在这个目录中，包括：

数据类型	存储位置	说明
SQLite 数据库	`/app/backend/data/webui.db`	用户账号、对话记录、系统配置等核心数据
上传文件	`/app/backend/data/uploads/`	用户上传的文档、图片等文件
RAG 向量数据	`/app/backend/data/vector_db/`	文档问答功能的向量索引
缓存数据	`/app/backend/data/cache/`	模型缓存、临时文件等
密钥文件	`/app/backend/data/.webui_secret_key`	自动生成的会话加密密钥

查看 Docker 卷

你可以通过以下命令查看已创建的 Docker 卷：

# 列出所有卷
docker volume ls

# 查看卷的详细信息（包括在宿主机上的实际存储路径）
docker volume inspect open-webui

备份数据

定期备份数据是一个好习惯。以下是几种备份方式：

方法 1：直接复制卷数据

# 创建备份目录
mkdir -p ~/open-webui-backup

# 使用临时容器将卷数据复制出来
docker run --rm \
  -v open-webui:/data \
  -v ~/open-webui-backup:/backup \
  alpine tar czf /backup/open-webui-backup-$(date +%Y%m%d).tar.gz -C /data .

方法 2：使用绑定挂载代替命名卷

如果你希望数据直接存储在宿主机的指定目录（方便备份和管理），可以在 Docker Compose 中使用绑定挂载：

services:
  open-webui:
    volumes:
      - ./data:/app/backend/data    # 数据存储在当前目录的 data 文件夹中

这样你可以直接对 ./data 目录进行备份，无需通过 Docker 命令。

方法 3：导出数据库

Open WebUI 使用 SQLite 数据库，你可以直接复制数据库文件：

1 2	# 从容器中复制数据库文件 docker cp open-webui:/app/backend/data/webui.db ~/open-webui-backup/webui.db

恢复数据

从备份恢复：

# 停止容器
docker compose down

# 恢复备份数据到卷
docker run --rm \
  -v open-webui:/data \
  -v ~/open-webui-backup:/backup \
  alpine sh -c "cd /data && tar xzf /backup/open-webui-backup-20260210.tar.gz"

# 重新启动
docker compose up -d

数据迁移

如果你需要将 Open WebUI 迁移到另一台服务器：

在旧服务器上备份数据（使用上述备份方法）
将备份文件传输到新服务器
在新服务器上创建 Docker 卷并恢复数据
使用相同的 Docker Compose 配置启动服务

2.5. 本章小结

在本章中，我们完成了 Open WebUI 的本地部署，从环境准备到首次验证，走通了完整流程。

核心要点	关键内容
环境准备	Docker（推荐）或 Python 3.11+，根据操作系统选择安装方式
部署方式	Docker Compose 部署（推荐），根据场景选择配置方案
数据持久化	通过 Docker 卷或绑定挂载保存数据，定期备份 `webui.db`
首次验证	检查容器状态 → 访问页面 → 创建管理员 → 连接模型 → 测试对话
常见问题	HuggingFace 网络问题、端口占用、Ollama 连接失败

现在你已经拥有了一个运行在本地的 Open WebUI 实例。在下一章中，我们将深入配置，包括连接多个 AI 模型、自定义界面、管理用户权限等进阶操作。

第一章. Open WebUI 快速认知

2026-02-26T03:38:17.000Z

第一章. Open WebUI 快速认知

在开始之前，让我们先确认一个问题：你是否曾经想过，能不能在自己的电脑或服务器上搭建一个类似 ChatGPT 的对话界面，既能保护数据隐私，又能自由选择各种 AI 模型？如果你的答案是"是"，那么 Open WebUI 正是为此而生的工具。

1.1. Open WebUI 是什么

从一个真实场景说起

想象这样一个场景：你是一家公司的技术负责人，团队需要使用 AI 辅助工作，但你面临几个棘手的问题：

使用 ChatGPT 等商业服务，敏感数据会上传到第三方服务器
每个月的 API 费用随着团队规模增长而飙升
不同成员需要使用不同的 AI 模型，但切换起来很麻烦
想要基于公司内部文档进行问答，但商业服务无法直接接入

这些问题，正是 Open WebUI 要解决的核心痛点。

核心定位

Open WebUI 是一个自托管的 AI 对话平台。让我们拆解这个定义：

自托管意味着整个系统运行在你自己的服务器或电脑上，所有数据都在你的控制范围内，不会被发送到任何第三方服务器。这就像你在自己家里搭建了一个私人图书馆，而不是去公共图书馆借书。

AI 对话平台说明它提供了一个完整的交互界面，让你可以像使用 ChatGPT 一样，通过网页与各种 AI 模型进行对话。但与 ChatGPT 不同的是，你可以自由选择背后使用哪个模型。

与商业产品的核心区别

现在思考一个问题：Open WebUI 和 ChatGPT、Claude 这些商业产品有什么本质区别？

对比维度	ChatGPT/Claude（商业产品）	Open WebUI（自托管平台）
控制权	你是"租户"，使用别人的服务	你是"房东"，系统运行在你的环境
模型选择	模型固定，无法更换	可同时接入多个模型，自由切换
数据隐私	数据上传到服务商服务器	所有数据保存在本地，完全隐私
费用模式	按月付费或按使用量付费	软件免费开源，仅需服务器成本
功能定制	功能由服务商决定	可根据需求深度定制
离线使用	必须联网才能使用	可完全离线运行（使用本地模型）

用一个更直观的比喻：ChatGPT 就像租房住，Open WebUI 就像自己买房装修。租房省事但受限制，买房麻烦但自由度高。

核心功能一览

Open WebUI 不仅仅是一个简单的对话界面，它提供了一整套企业级的 AI 应用能力：

功能模块	核心能力	典型应用场景
多模型支持	同时连接 Ollama、OpenAI、Claude、Gemini 等多个模型	对比不同模型的回答质量，选择最适合的模型
RAG 文档问答	上传文档，让 AI 基于文档内容回答问题	基于公司产品手册、技术文档进行智能问答
多用户协作	创建多个用户账号，设置不同权限	团队共享 AI 资源，管理员控制访问权限
图像生成	集成 DALL-E、ComfyUI 等图像生成工具	根据文字描述生成图片，辅助设计工作
图像分析	支持多模态模型，上传图片进行分析	分析图表、识别物体、提取图片中的文字
语音交互	语音输入和语音输出	解放双手，通过语音与 AI 对话
网络搜索	集成搜索引擎，获取最新信息	让 AI 回答时参考最新的网络资料
Pipelines 插件	通过 Python 代码扩展功能	添加自定义功能，如内容过滤、数据处理

适用场景分析

让我们看看 Open WebUI 在不同场景下的应用：

个人使用场景：

你想在自己的电脑上运行开源 AI 模型（如 Llama、Qwen），但命令行界面太不友好
你有 OpenAI API 密钥，想要一个更灵活的界面来使用
你想保护隐私，不希望对话内容被第三方服务商看到
你想基于个人笔记、学习资料进行 AI 问答

团队使用场景：

小团队（5-20 人）需要共享 AI 资源，但不想每人都购买商业服务
需要基于团队内部文档（项目文档、会议记录）进行智能问答
需要控制不同成员的访问权限，避免敏感信息泄露
需要统一管理 API 密钥，避免每个人单独配置

企业使用场景：

需要部署在内网环境，确保数据不出公司网络
需要接入多个 AI 模型，根据不同任务选择最合适的模型
需要与企业现有系统集成（如 LDAP 认证、企业微信）
需要详细的使用日志和审计功能

1.2. 部署方式选择

Open WebUI 提供了多种部署方式，我们需要根据实际需求选择最合适的方案。

三种主要部署方式

部署方式	适用场景	优势	劣势	推荐指数
Docker 部署	个人、团队、企业	一键启动，环境隔离，易于维护	需要学习 Docker 基础	⭐⭐⭐⭐⭐
Python 安装	个人快速体验	安装简单，无需 Docker	环境依赖复杂，难以维护	⭐⭐⭐
Kubernetes 部署	大型企业	高可用，自动扩缩容	配置复杂，需要 K8s 知识	⭐⭐⭐⭐

Docker 部署（本教程重点）

我们强烈推荐使用 Docker 部署，原因如下：

环境隔离：Docker 将 Open WebUI 及其所有依赖打包在一个容器中，不会污染你的系统环境。即使出现问题，删除容器重新启动即可，不会影响其他软件。

一键启动：只需要一条命令，就能启动完整的 Open WebUI 服务，无需手动安装 Python、配置数据库等繁琐步骤。

易于维护：更新版本时，只需要拉取新的镜像，重新启动容器即可。数据通过 Docker 卷持久化，不会因为容器重建而丢失。

跨平台支持：Docker 在 Windows、macOS、Linux 上都能运行，部署步骤完全一致。

Python 安装

如果你不想使用 Docker，也可以通过 Python 直接安装。这种方式适合快速体验，但不推荐用于生产环境。

Python 安装有两种方式：

使用 uv（推荐）：uv 是一个现代化的 Python 运行时管理器，能自动处理环境依赖。

使用 pip：传统的 Python 包管理器，需要手动管理虚拟环境。

Kubernetes 部署

如果你的企业已经有 Kubernetes 集群，可以使用 Helm Chart 或 Kustomize 部署 Open WebUI。这种方式适合大规模部署，支持高可用和自动扩缩容。

Kubernetes 部署的优势：

多副本部署，单个实例故障不影响服务
自动负载均衡，分散用户请求
与企业现有的监控、日志系统集成

但 Kubernetes 部署的门槛较高，需要对 K8s 有一定了解。如果你的团队规模不大（少于 50 人），使用 Docker Compose 部署就足够了。

1.3. 硬件与环境要求

在开始部署之前，我们需要确认硬件和环境是否满足要求。

不同场景的配置要求

使用场景	CPU	内存	硬盘	GPU	说明
仅使用 API	2 核	2 GB	10 GB	不需要	只连接 OpenAI 等 API，不运行本地模型
小型本地模型	4 核	8 GB	50 GB	不需要	运行 1B-7B 参数的模型（如 Qwen2.5-7B）
中型本地模型	8 核	16 GB	100 GB	推荐	运行 7B-14B 参数的模型
大型本地模型	16 核	32 GB	200 GB	必需	运行 30B+ 参数的模型，需要 GPU 加速
团队使用	8 核	16 GB	200 GB	可选	10-50 人团队，主要使用 API
企业使用	16 核+	32 GB+	500 GB+	推荐	50+ 人，需要高可用部署

关键说明

仅使用 API 的场景：如果你只打算连接 OpenAI、Claude 等商业 API，不运行本地模型，那么硬件要求非常低。一台普通的云服务器（2 核 2 GB）就足够了。

运行本地模型的场景：如果你想使用 Ollama 运行开源模型，硬件要求会显著提高。模型参数越大，需要的内存和 GPU 显存越多。

GPU 的作用：GPU 主要用于加速本地模型的推理速度。如果没有 GPU，模型仍然可以运行，但速度会慢很多。对于 7B 以下的小模型，CPU 推理勉强可用；对于更大的模型，强烈建议使用 GPU。

操作系统要求

Open WebUI 支持以下操作系统：

操作系统	Docker 支持	Python 安装支持	推荐程度
Ubuntu 20.04+	✅	✅	⭐⭐⭐⭐⭐
Debian 11+	✅	✅	⭐⭐⭐⭐⭐
CentOS 7+	✅	✅	⭐⭐⭐⭐
macOS 12+	✅	✅	⭐⭐⭐⭐
Windows 10+	✅	✅	⭐⭐⭐

Linux 系统 是最推荐的选择，特别是 Ubuntu 和 Debian。这些系统在服务器环境中最常见，Docker 支持也最完善。

macOS 系统 适合个人开发和测试，特别是 Apple Silicon（M1/M2/M3）芯片的 Mac，可以高效运行本地模型。

Windows 系统 也可以使用，但需要安装 WSL2（Windows Subsystem for Linux）来运行 Docker。Windows 原生的 Docker Desktop 在某些场景下可能会遇到网络和文件系统的兼容性问题。

网络环境要求

基础网络要求：

如果只使用本地模型，Open WebUI 可以完全离线运行
如果使用 OpenAI 等 API，需要能访问对应的 API 地址
如果使用网络搜索功能，需要能访问搜索引擎

特殊功能的网络要求：

语音功能（STT/TTS）需要 HTTPS 连接，浏览器才会允许访问麦克风
拉取 Open WebUI 镜像需要能访问 ghcr.io（GitHub Container Registry，非 Docker Hub）
从 Ollama 下载模型需要能访问 ollama.com
RAG 文档问答功能首次启动时会从 huggingface.co 下载嵌入模型（sentence-transformers/all-MiniLM-L6-v2），如果网络无法访问 HuggingFace，启动日志会出现 SSL 重连错误，但不影响其他功能的正常使用

如果你的网络环境受限（如企业内网、代理环境），可以考虑：

使用代理服务器（注意 Docker 容器内的代理配置与宿主机独立）
提前下载好 Docker 镜像和 Ollama 模型
配置镜像加速器
对于 HuggingFace 访问问题，可以提前下载嵌入模型到本地，或配置 HF_ENDPOINT 环境变量使用镜像站

1.4. 本章小结

在本章中，我们完成了对 Open WebUI 的初步认知，明确了它的定位、能力和适用场景。

核心要点	关键内容
项目定位	自托管的 AI 对话平台，数据隐私可控，模型自由选择
核心优势	多模型支持、RAG 文档问答、多用户协作、完全开源
部署方式	Docker 部署（推荐）、Python 安装、Kubernetes 部署
硬件要求	仅用 API 需 2 核 2 GB，运行本地模型需 8 GB+ 内存

现在你应该已经理解了 Open WebUI 是什么，以及它能为你解决哪些问题。在下一章中，我们将进入实战环节，从本地快速部署开始，一步步搭建起你自己的 AI 对话平台。

登录注册番外篇（二） - Sa-Token：权限认证完全指南

2026-02-08T07:38:17.000Z

第一章. 全局侦听器——订阅框架的关键事件

阶段式学习路径

前三篇笔记解决的都是"如何控制访问"的问题——登录、鉴权、下线。但还有一类需求没有覆盖：当这些事件发生时，我们能不能知道？

用户在哪个 IP 登录了？用哪种设备？账号被踢下线的原因是管理员操作还是被新设备顶替？二级认证是什么时候开启的？这些问题在业务层面非常重要——审计日志、异地登录告警、行为分析都依赖它们。

Sa-Token 的侦听器机制就是为此而生。它允许你订阅框架的关键性事件，在事件触发时执行自定义逻辑，而不需要侵入框架本身的任何代码。

1.1. 工作原理与内置侦听器

Sa-Token 内部在每个关键动作执行时，都会向 事件发布中心 SaTokenEventCenter 广播一个事件。所有已注册的侦听器会按注册顺序依次收到通知并执行各自的回调方法。

框架默认内置了一个侦听器实现 SaTokenListenerForLog，功能是将所有事件以 log 的形式打印到控制台。它默认关闭，通过一行配置开启：

1 2	sa-token: is-log: true # 开启框架事件的控制台日志输出

开启后，用户每次登录、注销、被踢下线，控制台都会打印对应的日志行，方便开发阶段快速感知框架行为。生产环境建议关闭，改用自定义侦听器写入结构化日志。

1.2. 全部事件方法一览

SaTokenListener 接口一共定义了 12 个回调方法，覆盖了从登录到 Session 销毁的完整生命周期。以下逐一说明每个方法的触发时机和参数含义：

登录与注销

/**
 * 每次登录时触发
 *
 * @param loginType       登录类型，默认 "login"，多账号体系时用于区分账号类型
 * @param loginId         登录的账号 id
 * @param tokenValue      本次登录生成的 Token 值
 * @param loginParameter  本次登录的完整参数对象，可从中取出设备类型、有效期等细节
 *                        loginParameter.getDeviceType() → 登录设备类型（PC / APP 等）
 *                        loginParameter.getTimeout()    → 本次 Token 有效期（秒）
 */
void doLogin(String loginType, Object loginId, String tokenValue, SaLoginParameter loginParameter);

/**
 * 每次注销时触发（用户主动调用 StpUtil.logout() 时）
 *
 * @param loginType  登录类型
 * @param loginId    被注销的账号 id
 * @param tokenValue 被注销的 Token 值
 */
void doLogout(String loginType, Object loginId, String tokenValue);

下线事件

/**
 * 每次被踢下线时触发（管理员调用 StpUtil.kickout() 时）
 *
 * @param loginType  登录类型
 * @param loginId    被踢下线的账号 id
 * @param tokenValue 被踢下线的 Token 值
 */
void doKickout(String loginType, Object loginId, String tokenValue);

/**
 * 每次被顶下线时触发（同端新登录自动顶替旧会话时）
 *
 * @param loginType  登录类型
 * @param loginId    被顶下线的账号 id
 * @param tokenValue 被顶下线的 Token 值
 */
void doReplaced(String loginType, Object loginId, String tokenValue);

封禁事件

/**
 * 每次账号被封禁时触发
 *
 * @param loginType   登录类型
 * @param loginId     被封禁的账号 id
 * @param service     业务标识（分类封禁时有值，整体封禁时为默认值）
 * @param level       封禁等级（阶梯封禁时有效，普通封禁时为 1）
 * @param disableTime 封禁时长，单位：秒，-1 代表永久封禁
 */
void doDisable(String loginType, Object loginId, String service, int level, long disableTime);

/**
 * 每次账号被解封时触发
 *
 * @param loginType 登录类型
 * @param loginId   被解封的账号 id
 * @param service   被解封的业务标识
 */
void doUntieDisable(String loginType, Object loginId, String service);

二级认证事件

/**
 * 每次开启二级认证时触发
 *
 * @param loginType  登录类型
 * @param tokenValue 开启二级认证的 Token 值
 * @param service    业务标识（不指定业务标识时为默认值）
 * @param safeTime   本次二级认证的有效期，单位：秒
 */
void doOpenSafe(String loginType, String tokenValue, String service, long safeTime);

/**
 * 每次关闭二级认证时触发（主动调用 StpUtil.closeSafe() 或有效期到期时）
 *
 * @param loginType  登录类型
 * @param tokenValue 关闭二级认证的 Token 值
 * @param service    业务标识
 */
void doCloseSafe(String loginType, String tokenValue, String service);

Session 事件

/**
 * 每次创建 Session 时触发
 * Session 包括 Account-Session 和 Token-Session 两种类型
 *
 * @param id Session 的唯一标识（框架内部生成的字符串 key）
 */
void doCreateSession(String id);

/**
 * 每次注销 Session 时触发
 *
 * @param id Session 的唯一标识
 */
void doLogoutSession(String id);

Token 续期事件

/**
 * 每次 Token 续期时触发
 *
 * @param loginType  登录类型
 * @param loginId    续期 Token 对应的账号 id
 * @param tokenValue 被续期的 Token 值
 * @param timeout    续期后的有效期，单位：秒，-1 代表永久有效
 */
void doRenewTimeout(String loginType, Object loginId, String tokenValue, long timeout);

1.3. 三种实现方式

方式一：实现 SaTokenListener 接口（全量实现）

适合需要处理多个事件的场景。缺点是必须实现接口中的全部方法，即使某些方法你根本不关心，也得写空实现。

方式二：继承 SaTokenListenerForSimple（推荐）

SaTokenListenerForSimple 是框架提供的适配器类，对所有事件提供了空实现。继承它之后，只需重写你关心的方法，其余方法保持默认空实现即可。这是最推荐的方式：

@Component
public class MySaTokenListener extends SaTokenListenerForSimple {

    @Override
    public void doLogin(String loginType, Object loginId, String tokenValue,
                        SaLoginParameter loginParameter) {
        // 只关心登录事件，其余方法无需重写
        System.out.println("用户登录：" + loginId);
    }
}

方式三：匿名内部类（轻量场景）

适合只需要临时注册、或在测试代码中快速验证的场景：

SaTokenEventCenter.registerListener(new SaTokenListenerForSimple() {
    @Override
    public void doLogin(String loginType, Object loginId, String tokenValue,
                        SaLoginParameter loginParameter) {
        System.out.println("匿名侦听器：用户 " + loginId + " 登录了");
    }
});

1.4. 注册方式与 SaTokenEventCenter 管理 API

自动注册（推荐）

只要实现类上加了 @Component 注解，SpringBoot 启动时会自动将其扫描并注册到事件中心，无需任何额外配置：

@Component   // 有这个注解，框架自动发现并注册
public class MySaTokenListener extends SaTokenListenerForSimple {
    // ...
}

手动注册

在非 IoC 环境下，或者需要在运行时动态注册侦听器时，使用 SaTokenEventCenter 手动操作：

// 注册一个侦听器
SaTokenEventCenter.registerListener(new MySaTokenListener());

// 注册一组侦听器
SaTokenEventCenter.registerListenerList(listenerList);

SaTokenEventCenter 还提供了完整的侦听器管理能力：

// 获取已注册的所有侦听器
SaTokenEventCenter.getListenerList();

// 重置侦听器集合（替换全部）
SaTokenEventCenter.setListenerList(listenerList);

// 移除指定的侦听器实例
SaTokenEventCenter.removeListener(listener);

// 移除指定类型的所有侦听器
SaTokenEventCenter.removeListener(MySaTokenListener.class);

// 清空所有已注册的侦听器
SaTokenEventCenter.clearListener();

// 判断是否已注册了指定侦听器实例
SaTokenEventCenter.hasListener(listener);

// 判断是否已注册了指定类型的侦听器
SaTokenEventCenter.hasListener(MySaTokenListener.class);

多个侦听器可以同时存在，彼此独立，互不影响，按照注册顺序依次接收到事件通知。

1.5. 实战：登录审计日志记录器

System.out.println 能说明机制，却没有实际业务价值。下面用侦听器实现一个完整的登录审计日志记录器，覆盖登录、注销、踢人、顶替四种事件，记录每次操作的时间、账号、Token，以及下线原因。

📄 src/main/java/com/example/authsatoken/listener/AuditLogListener.java（新建）

package com.example.authsatoken.listener;

import cn.dev33.satoken.listener.SaTokenListenerForSimple;
import cn.dev33.satoken.stp.parameter.SaLoginParameter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;

import java.time.LocalDateTime;
import java.time.format.DateTimeFormatter;

/**
 * 登录审计日志侦听器
 * 记录用户登录、注销、被踢下线、被顶下线等关键事件
 * 
 * 实际项目中，可将日志写入数据库或专用日志服务（如 ELK），此处以 SLF4J 日志输出演示
 */
@Component
public class AuditLogListener extends SaTokenListenerForSimple {

private static final Logger log = LoggerFactory.getLogger(AuditLogListener.class);
private static final DateTimeFormatter FORMATTER =
DateTimeFormatter.ofPattern("yyyy-MM-dd HH:mm:ss");

/**
 * 登录事件
 * 可以从 loginParameter 中取出设备类型、Token 有效期等登录细节
 */
@Override
public void doLogin(String loginType, Object loginId, String tokenValue,
                    SaLoginParameter loginParameter) {
try {
String deviceType = loginParameter.getDeviceType();
long timeout = loginParameter.getTimeout();
log.info("[审计日志] 用户登录 | 时间={} | 账号={} | 设备={} | Token有效期={}秒 | Token={}",
now(), loginId, deviceType, timeout, mask(tokenValue));
} catch (Exception e) {
log.error("[审计日志] 记录登录事件失败", e);
}
}

/**
 * 注销事件（用户主动退出）
 */
@Override
public void doLogout(String loginType, Object loginId, String tokenValue) {
try {
log.info("[审计日志] 用户注销 | 时间={} | 账号={} | Token={}",
now(), loginId, mask(tokenValue));
} catch (Exception e) {
log.error("[审计日志] 记录注销事件失败", e);
}
}

/**
 * 踢下线事件（管理员操作）
 * 区别于用户主动注销，这里可以额外触发消息推送通知用户
 */
@Override
public void doKickout(String loginType, Object loginId, String tokenValue) {
try {
log.warn("[审计日志] 用户被踢下线 | 时间={} | 账号={} | 原因=管理员操作 | Token={}",
now(), loginId, mask(tokenValue));
// 实际项目中，可在此处推送消息通知用户，例如：
// messageService.push(loginId, "您的账号已被管理员强制下线，如有疑问请联系客服");
} catch (Exception e) {
log.error("[审计日志] 记录踢下线事件失败", e);
}
}

/**
 * 顶下线事件（新设备登录自动顶替）
 * 典型的异地登录场景，可触发安全告警
 */
@Override
public void doReplaced(String loginType, Object loginId, String tokenValue) {
try {
log.warn("[审计日志] 用户被顶下线 | 时间={} | 账号={} | 原因=新设备登录 | Token={}",
now(), loginId, mask(tokenValue));
// 实际项目中，可在此处触发异地登录安全告警：
// securityAlertService.sendLoginAlert(loginId, "您的账号在新设备上登录，旧设备已下线");
} catch (Exception e) {
log.error("[审计日志] 记录顶下线事件失败", e);
}
}

/**
 * 封禁事件
 */
@Override
public void doDisable(String loginType, Object loginId, String service,
                      int level, long disableTime) {
try {
String duration = disableTime == -1 ? "永久" : disableTime + "秒";
log.warn("[审计日志] 用户被封禁 | 时间={} | 账号={} | 服务={} | 等级={} | 时长={}",
now(), loginId, service, level, duration);
} catch (Exception e) {
log.error("[审计日志] 记录封禁事件失败", e);
}
}

/**
 * 当前时间格式化
 */
private String now() {
return LocalDateTime.now().format(FORMATTER);
}

/**
 * Token 脱敏：只显示前 8 位，其余用 * 替换
 * 日志中不应记录完整 Token，防止日志泄露导致会话被劫持
 */
private String mask(String token) {
if (token == null || token.length() <= 8) {
return "****";
}
return token.substring(0, 8) + "****";
}
}

这个实现有几个值得注意的设计决策。

Token 脱敏是必须的。完整的 Token 相当于用户的身份凭证，如果日志被攻击者获取，就可以直接冒充用户发起请求。mask() 方法只保留前 8 位，足以在日志中定位问题，又不会造成安全风险。

doKickout 和 doReplaced 分开处理，而不是合并到一个方法里。这两种事件对用户的含义截然不同：被踢下线说明有管理员操作，被顶下线说明可能有异地登录。前者可以推送客服通知，后者更适合触发安全告警——分开处理才能做出有意义的差异化响应。

1.6. 重要坑点：try-catch 是必须的

侦听器的回调方法在 Sa-Token 的主流程中被同步调用——登录动作完成后，框架立即调用所有侦听器的 doLogin 方法，等所有侦听器都执行完才返回结果给调用方。

这意味着：如果你的侦听器代码抛出了未捕获的异常，整个登录流程就会被强制中断，用户会看到一个 500 错误，而不是成功登录。

// ❌ 危险写法：如果数据库操作失败，登录接口直接报 500
@Override
public void doLogin(String loginType, Object loginId, String tokenValue,
                    SaLoginParameter loginParameter) {
    loginLogRepository.save(new LoginLog(loginId, tokenValue));  // 如果数据库挂了怎么办？
}

// ✅ 安全写法：侦听器内的不安全代码必须用 try-catch 保护
@Override
public void doLogin(String loginType, Object loginId, String tokenValue,
                    SaLoginParameter loginParameter) {
    try {
        loginLogRepository.save(new LoginLog(loginId, tokenValue));
    } catch (Exception e) {
        // 记录失败不应影响用户登录，降级处理：打印错误日志后继续
        log.error("[审计日志] 写入登录日志失败，loginId={}", loginId, e);
    }
}

侦听器中任何可能失败的操作——数据库写入、HTTP 请求、消息推送——都必须用 try-catch 包裹。侦听器的职责是"观察和记录"，不应该反过来影响主流程的成败。

1.7. 本章总结

本章回顾

本章完整讲解了 Sa-Token 的全局侦听器机制。从工作原理出发，理解了事件发布中心 SaTokenEventCenter 的广播模型，以及内置 SaTokenListenerForLog 的快速开启方式。在事件方法层面，逐一解释了全部 12 个回调方法的触发时机和每个参数的具体含义，补全了官方文档只有签名没有说明的空白。在实现方式上，比较了直接实现接口、继承 SaTokenListenerForSimple（推荐）、匿名内部类三种方式的适用场景。通过登录审计日志记录器的实战示例，将侦听器能力落地到真实业务中，演示了 Token 脱敏、差异化下线响应、异地登录告警等实践要点。最后着重说明了 try-catch 的必要性——侦听器异常会中断 Sa-Token 主流程，这是使用中最容易忽略的坑。

核心汇总表

事件方法	触发时机	关键参数
`doLogin`	用户登录时	`loginParameter`（含设备类型、有效期等登录细节）
`doLogout`	用户主动注销时	`loginId` / `tokenValue`
`doKickout`	被管理员踢下线时	`loginId` / `tokenValue`
`doReplaced`	被新设备登录顶下线时	`loginId` / `tokenValue`
`doDisable`	账号被封禁时	`service`（业务标识）/ `level`（封禁等级）/ `disableTime`（时长）
`doUntieDisable`	账号被解封时	`service`
`doOpenSafe`	开启二级认证时	`service`（业务标识）/ `safeTime`（有效期）
`doCloseSafe`	关闭二级认证时	`service`
`doCreateSession`	Session 创建时	`id`（Session 唯一标识）
`doLogoutSession`	Session 注销时	`id`
`doRenewTimeout`	Token 续期时	`tokenValue` / `timeout`（续期后有效期）

实现方式	适用场景	优缺点
实现 `SaTokenListener` 接口	需要处理所有事件	必须实现全部方法，代码量大
继承 `SaTokenListenerForSimple`	只关心部分事件（推荐）	只重写需要的方法，简洁
匿名内部类	轻量场景 / 测试代码	简单快速，但不适合生产

注册方式	适用场景
`@Component` 自动注册	SpringBoot 项目（推荐）
`SaTokenEventCenter.registerListener()` 手动注册	非 IoC 环境 / 运行时动态注册

安全规则	说明
try-catch 包裹不安全代码	侦听器异常会中断主流程，数据库写入、HTTP 请求等必须保护
Token 脱敏后再记录日志	完整 Token 相当于身份凭证，不应出现在日志文件中
`doKickout` 与 `doReplaced` 分开处理	两种下线原因对应不同的业务响应（客服通知 vs 安全告警）

第二章. 全局过滤器——更底层的请求拦截

阶段式学习路径

第三篇笔记中，我们用 SaInterceptor 拦截器实现了路由鉴权。拦截器已经能满足绝大多数场景，但它并非唯一的选择。Sa-Token 同时提供了全局过滤器，作为拦截器的替代或补充方案。

两者不是为了互相取代而存在的——它们工作在请求处理链的不同层次，各自有擅长的场景。本章先把选型问题讲清楚，再完整介绍过滤器的注册和配置，以及几个容易踩坑的细节。

2.1. 过滤器 vs 拦截器：完整选型指南

理解两者的区别，首先要理解它们在 Spring 请求处理链中的位置：

HTTP 请求
    ↓
Filter（过滤器）← SaServletFilter 在这里
    ↓
DispatcherServlet
    ↓
Interceptor（拦截器）← SaInterceptor 在这里
    ↓
Controller 方法

过滤器更靠前，在 Spring 的 DispatcherServlet 之前就介入了请求；拦截器在 DispatcherServlet 之后才介入，此时 Spring 已经完成了请求的路由解析。

这个位置差异决定了两者的能力边界：

维度	拦截器（SaInterceptor）	过滤器（SaServletFilter）
执行时机	DispatcherServlet 之后	DispatcherServlet 之前
异常处理	进入 `@ExceptionHandler` 全局处理	不进入，必须在 `setError` 中手动处理
静态资源拦截	不拦截（Spring 静态资源直接响应）	可以拦截
获取 `HandlerMethod`	可以（知道请求将进入哪个方法）	不可以
注解鉴权支持	✅ 内置，`@SaCheckLogin` 等注解生效	❌ 不支持
WebFlux 支持	❌ 无	✅ `SaReactorFilter`
防渗透扫描能力	一般	更强（执行更早，攻击流量更早被拦截）

选型建议：

绝大多数 SpringBoot + SpringMVC 项目，优先使用拦截器。原因很简单：异常会自动进入全局处理器，不需要额外编写错误响应逻辑；支持注解鉴权；对日常的登录校验和权限控制完全够用。

以下情况考虑使用过滤器：

项目使用 Spring WebFlux（没有拦截器机制，过滤器是唯一选择）
需要拦截静态资源的访问（如图片、PDF 需要权限才能下载）
需要在请求处理链最早期介入，例如统一设置安全响应头

Sa-Token 同时提供两种机制，不是让谁取代谁，而是让你根据实际业务合理选择。两者也可以同时注册，互不冲突。

2.2. 注册 SaServletFilter

过滤器默认处于关闭状态，需要手动注册为 Spring Bean。与拦截器注册在 WebMvcConfigurer 中不同，过滤器以 @Bean 方式注册：

📄 src/main/java/com/example/authsatoken/config/SaTokenFilterConfig.java（新建）

package com.example.authsatoken.config;

import cn.dev33.satoken.filter.SaServletFilter;
import cn.dev33.satoken.router.SaRouter;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * Sa-Token 全局过滤器配置
 * 演示过滤器的四个核心配置方法，以及常见坑点的正确处理方式
 *
 * 注意：本项目已在 SaTokenConfig 中注册了拦截器，
 * 此配置仅用于演示过滤器写法，实际项目中二选一即可，避免重复拦截
 */
@Configuration
public class SaTokenFilterConfig {

    @Bean
    public SaServletFilter getSaServletFilter() {
        return new SaServletFilter()

                // ① 指定拦截路由与放行路由
                // addInclude：指定过滤器拦截哪些路径
                // addExclude：直接放行哪些路径（在过滤器层面排除，不会进入 setAuth）
                // /favicon.ico 是浏览器自动请求的图标，不排除会产生大量无意义的校验日志
                .addInclude("/**")
                .addExclude("/favicon.ico")

                // ② setBeforeAuth：前置函数，在认证函数之前执行
                // ⚠️ 坑点：BeforeAuth 不受 addInclude / addExclude 的限制
                // 所有进入过滤器的请求（包括被 addExclude 排除的路径）都会执行 BeforeAuth
                // 因此不要在 BeforeAuth 里做鉴权逻辑，它的正确用途是设置响应头等无副作用的预处理
                .setBeforeAuth(req -> {
                    // 设置安全响应头（详见 2.3 节）
                    // 这里的代码对所有请求生效，包括静态资源和被排除的路径
                })

                // ③ setAuth：认证函数，每次请求执行（受 addInclude / addExclude 约束）
                // 写法与拦截器中的 SaRouter 完全一致
                .setAuth(obj -> {
                    SaRouter.match("/**")
                            .notMatch("/auth/login")
                            .check(r -> StpUtil.checkLogin());
                })

                // ④ setError：异常处理函数，认证函数抛出异常时执行
                // ⚠️ 坑点一：过滤器中的异常不进入 @ExceptionHandler，必须在这里处理
                // ⚠️ 坑点二：setError 的返回值直接作为字符串输出到前端
                //           如果不设置响应头，Content-Type 默认是 text/plain，
                //           前端收到的是纯文本而不是 JSON，无法正常解析
                .setError(e -> {
                    // 必须手动设置 Content-Type，否则前端无法将返回值解析为 JSON
                    // SaHolder.getResponse().setHeader("Content-Type", "application/json;charset=UTF-8");
                    return SaResult.error(e.getMessage()).toString();
                });
    }
}

四个配置方法构成了过滤器的完整生命周期，理解它们的执行顺序和约束范围是正确使用过滤器的关键。

2.3. setBeforeAuth 的正确用途：设置安全响应头

setBeforeAuth 不受 addInclude / addExclude 的限制，对所有进入过滤器的请求都会执行。这个特性看起来像个坑，但其实暗示了它的正确用途：做对所有请求都需要生效的无副作用预处理，最典型的就是设置安全响应头。

安全响应头是一组 HTTP 响应头，告诉浏览器如何更安全地处理响应内容，防御 XSS、点击劫持等常见攻击。将它放在 setBeforeAuth 中，可以保证每一个响应（包括静态资源、错误页面）都携带这些头信息：

.setBeforeAuth(req -> {
    SaHolder.getResponse()
        // 禁止页面在 iframe 中显示，防止点击劫持攻击
        // DENY=完全禁止 | SAMEORIGIN=只允许同域 | ALLOW-FROM uri=指定域名
        .setHeader("X-Frame-Options", "SAMEORIGIN")

        // 启用浏览器内置的 XSS 过滤器
        // 1; mode=block 表示检测到 XSS 攻击时停止渲染整个页面
        .setHeader("X-XSS-Protection", "1; mode=block")

        // 禁止浏览器对响应内容进行类型嗅探
        // 防止浏览器将非 JS 文件当作 JS 执行
        .setHeader("X-Content-Type-Options", "nosniff")

        // 服务器标识，隐藏真实服务器信息（安全加固）
        .setServer("sa-server");
})

2.4. setError 的正确写法

setError 是过滤器与拦截器相比最容易踩坑的地方。拦截器中，SaInterceptor 抛出的异常会自动进入 @ExceptionHandler 全局处理，我们在番外篇二第四章写的 GlobalExceptionHandler 会帮我们把异常转换成规范的 JSON 响应。

但过滤器中的异常不走这套机制。setAuth 里抛出的任何异常都会被 setError 捕获，setError 的返回值（一个字符串）直接写入 HTTP 响应体，响应就结束了。

这带来两个问题：

问题一：Content-Type 默认是 text/plain

如果不手动设置响应头，前端收到的是纯文本字符串，而不是 application/json，导致前端的 JSON 解析失败。

问题二：SaResult.toString() 不是合法 JSON

SaResult 对象的 toString() 方法返回的是 Java 对象的字符串表示（如 SaResult{code=500, ...}），不是 JSON 格式。需要用 JSON 序列化工具将其转换。

正确写法：

.setError(e -> {
    // 第一步：手动设置响应头，告诉前端这是 JSON 格式
    SaHolder.getResponse().setHeader("Content-Type", "application/json;charset=UTF-8");

    // 第二步：将错误信息序列化为 JSON 字符串
    // 方案 A：使用 Jackson（项目已引入 Spring Boot 时 Jackson 默认可用）
    try {
        SaResult result = SaResult.error(e.getMessage()).setCode(401);
        return new ObjectMapper().writeValueAsString(result);
    } catch (Exception ex) {
        return "{\"code\":500,\"msg\":\"系统错误\",\"data\":null}";
    }

    // 方案 B：使用 Hutool（需要引入 hutool-json 依赖）
    // return JSONUtil.toJsonStr(SaResult.error(e.getMessage()).setCode(401));

    // 方案 C：直接硬编码 JSON 字符串（简单但不灵活）
    // return "{\"code\":401,\"msg\":\"" + e.getMessage() + "\",\"data\":null}";
})

三种方案的选择建议：项目已使用 Spring Boot 时优先选方案 A（Jackson 已经在依赖中），项目已引入 Hutool 则选方案 B，其余情况用方案 C 兜底。

2.5. 自定义过滤器执行顺序

SaServletFilter 默认注册顺序为 -100（在 Spring Boot 中 Order 值越小执行越早）。如果项目中存在多个过滤器，或者需要 Sa-Token 过滤器在某个自定义过滤器之前 / 之后执行，可以通过 FilterRegistrationBean 包装来指定顺序：

@Bean
public FilterRegistrationBean getSaServletFilter() {
    FilterRegistrationBean frBean = new FilterRegistrationBean<>();

    frBean.setFilter(
        new SaServletFilter()
            .addInclude("/**")
            .addExclude("/favicon.ico")
            .setAuth(obj -> {
                SaRouter.match("/**")
                        .notMatch("/auth/login")
                        .check(r -> StpUtil.checkLogin());
            })
            .setError(e -> {
                SaHolder.getResponse().setHeader("Content-Type", "application/json;charset=UTF-8");
                return SaResult.error(e.getMessage()).setCode(401).toString();
            })
    );

    // 默认值是 -100，数值越小越先执行
    // 设为 -101 表示在默认 Sa-Token 过滤器之前执行，设为 -99 表示之后执行
    frBean.setOrder(-101);

    return frBean;
}

2.6. WebFlux 中注册过滤器

Spring WebFlux 不提供拦截器机制，因此如果你的项目基于 WebFlux（响应式编程模型），过滤器是实现路由鉴权的唯一选择。

Sa-Token 为 WebFlux 提供了 SaReactorFilter，写法与 SaServletFilter 几乎完全一致，只需替换类名：

/**
 * Spring WebFlux 项目中注册 Sa-Token 过滤器
 * 除类名从 SaServletFilter 换为 SaReactorFilter 外，其余写法完全相同
 */
@Bean
public SaReactorFilter getSaReactorFilter() {
    return new SaReactorFilter()
            .addInclude("/**")
            .addExclude("/favicon.ico")
            .setBeforeAuth(req -> {
                // WebFlux 中同样可以设置安全响应头
            })
            .setAuth(obj -> {
                SaRouter.match("/**")
                        .notMatch("/auth/login")
                        .check(r -> StpUtil.checkLogin());
            })
            .setError(e -> SaResult.error(e.getMessage()));
}

WebFlux 项目中引入的是 sa-token-reactor-spring-boot3-starter 依赖，而不是 sa-token-spring-boot3-starter，两个包提供的 API 基本相同，核心区别在于底层响应模型（阻塞 vs 响应式）。

2.7. 本章总结

本章回顾

本章系统讲解了 Sa-Token 全局过滤器的完整用法，并给出了明确的选型建议。选型层面，通过执行时机、异常处理、WebFlux 支持等六个维度的对比，得出"SpringMVC 项目优先用拦截器，WebFlux 项目或需要拦截静态资源时才用过滤器"的结论。在配置层面，详细讲解了 addInclude / addExclude / setBeforeAuth / setAuth / setError 五个配置方法的用途和约束范围，并重点说明了两个高频坑点：setBeforeAuth 不受 exclude 限制因此不适合放鉴权逻辑，setError 必须手动设置 Content-Type 响应头并使用 JSON 序列化工具才能返回正确格式。最后介绍了通过 FilterRegistrationBean 自定义执行顺序，以及 WebFlux 环境下只需将类名换为 SaReactorFilter 的迁移写法。

核心汇总表

选型维度	拦截器（推荐）	过滤器
适用框架	Spring MVC	Spring MVC / WebFlux
异常处理	自动进入 `@ExceptionHandler`	必须在 `setError` 中手动处理
注解鉴权	支持	不支持
静态资源拦截	不拦截	可拦截
推荐场景	绝大多数 Spring Boot 项目	WebFlux / 静态资源鉴权 / 最早期安全策略

配置方法	作用	关键约束
`addInclude(path)`	指定过滤器拦截的路径	支持 `**` 通配符
`addExclude(path)`	直接放行的路径	不进入 `setAuth`，但仍会进入 `setBeforeAuth`
`setBeforeAuth(lambda)`	前置函数，认证前执行	不受 include/exclude 限制，适合设置安全响应头
`setAuth(lambda)`	认证函数，受 include/exclude 约束	写法与拦截器中 `SaRouter` 完全一致
`setError(lambda)`	异常处理函数，认证函数抛出异常时执行	返回值直接输出到前端，必须手动设置 Content-Type

坑点	原因	解决方案
`setError` 前端收到纯文本	未设置 `Content-Type` 响应头	在 `setError` 内调用 `SaHolder.getResponse().setHeader(...)`
`setError` 返回非法 JSON	`SaResult.toString()` 不是 JSON	使用 Jackson / Hutool 序列化，或手动拼接 JSON 字符串
`setBeforeAuth` 对被排除的路径也生效	不受 include/exclude 限制	不在 `setBeforeAuth` 中做鉴权，只做无副作用的预处理

安全响应头	作用
`X-Frame-Options: SAMEORIGIN`	防止点击劫持，只允许同域 iframe 嵌入
`X-XSS-Protection: 1; mode=block`	启用浏览器 XSS 过滤，检测到攻击时停止渲染
`X-Content-Type-Options: nosniff`	禁止浏览器进行内容类型嗅探

登录注册番外篇（二） - Sa-Token：权限认证完全指南

2026-02-08T05:38:17.000Z

第一章. 告诉框架"谁能做什么"——StpInterface

阶段式学习路径

番外篇二完整讲解了登录会话的生命周期——Token 怎么生成、怎么续签、怎么下线。但到目前为止，我们的项目只解决了"你是谁"这个问题，任何登录用户都能访问任何接口。

要实现"张三能发文章，李四只能看文章，王五连登录都进不来"，还差一个关键环节：告诉框架每个用户有哪些权限。这就是本章的主角 StpInterface。

1.1. 为什么是接口而不是配置

在动手写代码之前，先理解一个设计决策：Sa-Token 为什么不直接提供"查数据库获取权限"的功能，而是要求开发者实现一个接口？

不同项目的权限数据来源千差万别。有的项目权限数据存在 MySQL 的三张关联表里，有的存在 MongoDB 的文档里，有的通过远程 RPC 调用其他服务获取，有的小型项目直接硬编码在代码里。如果 Sa-Token 内置了"查 MySQL 获取权限"的逻辑，那么使用 MongoDB 或 RPC 的项目就完全无法使用这个框架。

通过 StpInterface 接口，Sa-Token 把"权限数据从哪来"的决策权完全交给了开发者。框架只定义两个方法的签名：

// 给定用户 ID，返回该用户拥有的权限码列表
List getPermissionList(Object loginId, String loginType);

// 给定用户 ID，返回该用户拥有的角色标识列表
List getRoleList(Object loginId, String loginType);

你在实现里查数据库、查缓存、查配置文件都行，框架只认你返回的 List。

两个方法都有 loginType 参数，这是为多业务线场景设计的——一个电商系统可能同时存在普通用户（loginType = "login"）和商家（loginType = "merchant"），两套账号体系对应完全不同的权限表。通过 loginType 区分，可以在同一个实现类里根据不同业务线返回不同的权限数据。本篇只用默认的 "login" 类型，多业务线场景留到番外篇四展开。

1.2. Sa-Token 的权限模型：字符串即权限

在实现 StpInterface 之前，还有一个基础概念需要建立：Sa-Token 的权限模型。

它非常简单——权限用字符串表示，角色也用字符串表示。框架不强制你使用 RBAC 模型，不要求你建特定的数据库表，不限制你的权限编码格式。它只需要你回答两个问题：这个用户有哪些权限码？这个用户有哪些角色标识？

权限码的格式完全由你决定。业界最常见的格式是 资源:操作，比如：

user:add          用户新增
user:delete       用户删除
user:update       用户修改
user:view         用户查看
article:publish   文章发布
article:review    文章审核
order:cancel      订单取消

角色标识通常用简单的单词：

1
2
3

admin     管理员
editor    编辑
user      普通用户

Sa-Token 在鉴权时会调用你实现的 StpInterface，拿到权限列表和角色列表后，判断列表中是否包含目标值，决定是否放行。整个校验逻辑由框架完成，你只负责提供数据。

1.3. 实现 StpInterface

现在把权限数据源接入进来。为了聚焦 Sa-Token 本身的鉴权机制，我们先用硬编码 Map 模拟权限数据，后续替换为数据库查询时只需要修改这一个类，其余代码完全不用动。

在 com.example.authsatoken 包下新建 auth 子包，然后创建实现类：

📄 src/main/java/com/example/authsatoken/auth/StpInterfaceImpl.java（新建）

package com.example.authsatoken.auth;

import cn.dev33.satoken.stp.StpInterface;
import org.springframework.stereotype.Component;

import java.util.ArrayList;
import java.util.List;
import java.util.Map;

/**
 * 权限数据源实现类
 * Sa-Token 每次进行权限校验时，都会调用此类的方法获取当前用户的权限和角色数据
 *
 * 当前使用硬编码 Map 模拟，实际项目中替换为数据库查询即可，其余代码无需改动
 */
@Component
public class StpInterfaceImpl implements StpInterface {

    /**
     * 角色 → 权限码列表的映射
     *
     * admin 角色：拥有用户模块的全部操作权限
     * user  角色：只有查看类权限
     */
    private static final Map> ROLE_PERMISSION_MAP = Map.of(
            "admin", List.of("user:add", "user:delete", "user:update", "user:view"),
            "user",  List.of("user:view", "article:view")
    );

    /**
     * 用户 ID（String 形式）→ 角色标识列表的映射
     *
     * 10001 对应 admin 账号，拥有 admin 角色
     * 10002 对应 user  账号，拥有 user  角色
     *
     * 注意：Sa-Token 内部将 loginId 统一转为 String 存储，
     * 所以这里的 Map key 必须是 String 类型，不能是 Long
     */
    private static final Map> USER_ROLE_MAP = Map.of(
            "10001", List.of("admin"),
            "10002", List.of("user")
    );

    /**
     * 返回指定账号所拥有的权限码集合
     *
     * 本实现采用 RBAC 思路：先查角色，再根据角色聚合权限
     * 实际项目中建议对此方法的返回值做缓存（如 Redis），避免每次请求都查数据库
     */
    @Override
    public List getPermissionList(Object loginId, String loginType) {
        List permissions = new ArrayList<>();
        // 先拿到该用户的所有角色，再根据角色聚合权限码
        List roles = getRoleList(loginId, loginType);
        for (String role : roles) {
            List perms = ROLE_PERMISSION_MAP.get(role);
            if (perms != null) {
                permissions.addAll(perms);
            }
        }
        return permissions;
    }

    /**
     * 返回指定账号所拥有的角色标识集合
     */
    @Override
    public List getRoleList(Object loginId, String loginType) {
        // loginId 是 Object 类型，必须转为 String 才能与 Map 的 key 匹配
        List roles = USER_ROLE_MAP.get(String.valueOf(loginId));
        // 若用户 ID 不在映射中（如测试账号），返回空列表而非 null，避免 NPE
        return roles != null ? roles : List.of();
    }
}

1.4. 与登录接口的数据对齐

StpInterfaceImpl 里 USER_ROLE_MAP 的 key 是用户 ID，而用户 ID 是登录时由我们的业务逻辑决定的。需要确认两边的数据完全对齐。

回顾番外篇二第一章升级后的登录接口，USER_DB 的映射是：

1 2	admin → userId 10001 user → userId 10002

对应 USER_ROLE_MAP：

1 2	"10001" → admin 角色 "10002" → user 角色

两边完全对齐。admin 账号登录后，Sa-Token 存储的 loginId 是 "10001"，当框架调用 getRoleList("10001", "login") 时，能从 USER_ROLE_MAP 中正确取到 ["admin"]，进而从 ROLE_PERMISSION_MAP 中聚合出 ["user:add", "user:delete", "user:update", "user:view"]。

整条数据流是：登录时的 userId → Redis 存储 → 鉴权时框架调用 StpInterface → 返回权限数据 → 框架完成校验。任何一环的 ID 不一致都会导致权限查不到，排查时从这条链路逐段检查。

1.5. 本章总结

本章回顾

本章完成了权限认证体系的数据层建设。我们首先从设计角度理解了 StpInterface 接口方案的价值：框架只约定接口规范，权限数据来源完全由开发者决定，loginType 参数进一步支持多业务线场景。随后建立了 Sa-Token 权限模型的基础认知：权限码和角色标识都是字符串，资源:操作 是最常见的权限码格式。在实现层面，我们创建了 StpInterfaceImpl，用两个硬编码 Map 分别维护"用户 ID → 角色"和"角色 → 权限码"的映射，体现了 RBAC 的核心两级查询结构。最后确认了权限数据与登录 userId 的对齐关系，确保整条数据流连贯。

核心汇总表

组件	职责	关键点
`StpInterface`	定义权限数据查询规范	框架只认接口，不关心实现细节
`StpInterfaceImpl`	提供具体的权限数据	必须加 `@Component`，全项目唯一
`getPermissionList()`	返回用户的权限码列表	loginId 实际是 String，注意类型转换
`getRoleList()`	返回用户的角色标识列表	未找到时返回空列表，避免 NPE

权限码格式	示例	含义
`资源:操作`	`user:add`	用户模块新增操作
`资源:*`	`user:*`	用户模块所有操作（通配符，第五章讲解）
`*`	`*`	所有模块所有操作（超级管理员，第五章讲解）

数据对齐检查点	说明
登录接口的 userId	决定了 loginId 存入 Redis 的值
`USER_ROLE_MAP` 的 key	必须是 String 类型，与 Redis 中的 loginId 完全一致
`String.valueOf(loginId)`	从 Object 类型转换，防止类型不匹配导致查询结果为 null

第二章. 注解鉴权——声明式的权限控制

阶段式学习路径

第一章完成了权限认证的数据层——框架现在知道每个用户有哪些权限和角色了。但"知道归知道"，还差最后一步：在接口上声明"访问这个接口需要什么权限"，让框架在请求到达方法之前自动完成校验。

注解鉴权就是最直观的表达方式。把权限要求写在方法上，业务代码和鉴权逻辑一目了然，互不干扰。本章先完成注解生效的前置步骤，再系统覆盖 Sa-Token 提供的全部 8 种鉴权注解。

2.1. 前置步骤：注册拦截器

Sa-Token 使用全局拦截器完成注解鉴权功能，为了不为项目带来不必要的性能负担，拦截器默认处于关闭状态。因此，使用注解鉴权之前，必须手动将 SaInterceptor 注册到项目中——这是最常见的入门坑，注解加了但请求完全不受拦截，原因往往就在这里。

在 com.example.authsatoken 包下新建 config 子包，创建配置类：

📄 src/main/java/com/example/authsatoken/config/SaTokenConfig.java（新建）

package com.example.authsatoken.config;

import cn.dev33.satoken.interceptor.SaInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * Sa-Token 拦截器配置
 * 注册 SaInterceptor，使 Controller 方法上的鉴权注解生效
 *
 * 当前配置：无参版本，只开启注解鉴权，不附加任何路由规则
 * 第三章将升级为有参版本，在 Lambda 中配置路由级别的访问策略
 */
@Configuration
public class SaTokenConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // new SaInterceptor() 不传参数：扫描注解并执行鉴权，没有注解的接口直接放行
        registry.addInterceptor(new SaInterceptor())
                .addPathPatterns("/**");
    }
}

new SaInterceptor() 不传参数时，拦截器只做一件事：扫描 Controller 方法上是否有 Sa-Token 的鉴权注解，有则执行对应校验，没有则直接放行。这意味着当前阶段未加注解的接口对所有人开放，包括未登录用户——第三章引入路由规则后才会改变这个默认行为。

2.2. 补全异常处理

注解鉴权失败时，Sa-Token 会抛出两种新的异常类型，它们不是 NotLoginException，需要在 GlobalExceptionHandler 中单独捕获。

NotPermissionException：权限码校验失败，用户没有访问该接口所需的权限码
NotRoleException：角色校验失败，用户没有访问该接口所需的角色

这两种异常对应的 HTTP 状态码是 403（Forbidden）

与番外篇二第四章的 401（Unauthorized）语义不同：

401 表示"你还没有证明你是谁"
403 表示"我知道你是谁，但你没有权限做这件事"。

前端可以根据状态码的不同决定是跳转到登录页（401）还是展示"权限不足"提示（403）。

📄 src/main/java/com/example/authsatoken/exception/GlobalExceptionHandler.java（修改，追加两个方法）

在已有的 handleNotLoginException 方法下方追加：

import cn.dev33.satoken.exception.NotPermissionException;
import cn.dev33.satoken.exception.NotRoleException;

/**
 * 捕获权限码校验失败异常
 * 触发场景：用户已登录，但不拥有接口要求的权限码
 * e.getPermission() 返回校验失败的具体权限码，方便日志定位
 */
@ExceptionHandler(NotPermissionException.class)
public SaResult handleNotPermissionException(NotPermissionException e) {
    return SaResult.error("权限不足，缺少权限：" + e.getPermission()).setCode(403);
}

/**
 * 捕获角色校验失败异常
 * 触发场景：用户已登录，但不拥有接口要求的角色
 * e.getRole() 返回校验失败的具体角色标识
 */
@ExceptionHandler(NotRoleException.class)
public SaResult handleNotRoleException(NotRoleException e) {
    return SaResult.error("权限不足，缺少角色：" + e.getRole()).setCode(403);
}

2.3. Sa-Token 全部注解一览

Sa-Token 一共提供 8 种鉴权注解，覆盖了从登录校验到 API 签名的各类场景。以上注解都可以加在类上，代表为这个类下的所有方法统一进行鉴权。

我们在 com.example.authsatoken.controller 包下新建演示控制器：

📄 src/main/java/com/example/authsatoken/controller/PermissionController.java（新建）

2.3.1. `@SaCheckLogin`：登录校验

最基础的门槛——只校验"是否已登录"，不关心角色和权限：

// 登录校验：只有登录之后才能进入该方法
@SaCheckLogin
@GetMapping("/loginRequired")
public SaResult loginRequired() {
    return SaResult.ok("已通过登录校验");
}

它和手动调用 StpUtil.checkLogin() 的效果完全等价，只是换成了声明式写法。适合所有登录用户都能访问的接口，比如"获取个人信息"。

2.3.2. `@SaCheckRole`：角色校验

校验当前用户是否拥有指定角色。框架调用 StpInterfaceImpl.getRoleList() 拿到角色列表，再判断是否包含注解指定的值：

// 角色校验（单角色）：必须拥有 admin 角色
@SaCheckRole("admin")
@GetMapping("/adminOnly")
public SaResult adminOnly() {
    return SaResult.ok("你拥有 admin 角色");
}

// 角色校验（多角色 AND 模式，默认）：必须同时拥有 admin 和 editor 两个角色
@SaCheckRole({"admin", "editor"})
@GetMapping("/adminAndEditor")
public SaResult adminAndEditor() {
    return SaResult.ok("你同时拥有 admin 和 editor 角色");
}

// 角色校验（多角色 OR 模式）：拥有 admin 或 editor 任一角色即可
@SaCheckRole(value = {"admin", "editor"}, mode = SaMode.OR)
@GetMapping("/adminOrEditor")
public SaResult adminOrEditor() {
    return SaResult.ok("你拥有 admin 或 editor 角色");
}

mode 有两种取值：SaMode.AND（默认）要求全部满足；SaMode.OR 满足其一即可。

2.3.3. `@SaCheckPermission`：权限码校验

校验当前用户是否拥有指定权限码。框架调用 StpInterfaceImpl.getPermissionList()，其余逻辑与角色校验完全对称：

// 权限码校验（单权限）：必须拥有 user:add 权限
@SaCheckPermission("user:add")
@GetMapping("/canAddUser")
public SaResult canAddUser() {
    return SaResult.ok("你拥有用户新增权限");
}

// 权限码校验（多权限 AND 模式，默认）：必须同时拥有 user:add 和 user:delete
@SaCheckPermission({"user:add", "user:delete"})
@GetMapping("/canAddAndDeleteUser")
public SaResult canAddAndDeleteUser() {
    return SaResult.ok("你同时拥有用户新增和删除权限");
}

// 权限码校验（多权限 OR 模式）：拥有 user:add 或 user:delete 任一即可
@SaCheckPermission(value = {"user:add", "user:delete"}, mode = SaMode.OR)
@GetMapping("/canAddOrDeleteUser")
public SaResult canAddOrDeleteUser() {
    return SaResult.ok("你拥有用户新增或删除权限");
}

orRole：角色权限双重 OR 校验

假设有这样的业务场景：接口在"拥有 user:add 权限"或"拥有 admin 角色"时均可访问。@SaCheckPermission 提供了 orRole 参数来处理这种跨类型 OR 条件，比嵌套 @SaCheckOr 更简洁：

// 拥有 user:add 权限，或者拥有 admin 角色，满足其一即可
@SaCheckPermission(value = "user:add", orRole = "admin")
@GetMapping("/addUserOrAdmin")
public SaResult addUserOrAdmin() {
    return SaResult.ok("通过权限或角色校验");
}

orRole 有三种写法，分别对应不同的角色逻辑：

// 写法一：需要拥有 admin 角色
@SaCheckPermission(value = "user:add", orRole = "admin")

// 写法二：拥有 admin、manager、staff 三个角色中的任意一个即可（OR 关系）
@SaCheckPermission(value = "user:add", orRole = {"admin", "manager", "staff"})

// 写法三：必须同时拥有 admin、manager、staff 三个角色（AND 关系）
// 注意：写法三是把三个角色写在同一个字符串里，逗号在同一元素内部
@SaCheckPermission(value = "user:add", orRole = {"admin, manager, staff"})

写法二和写法三的区别在于数组元素的数量：多个元素是 OR 关系，单个元素内部用逗号分隔是 AND 关系。

2.3.4. `@SaCheckSafe`：二级认证校验

校验当前会话是否已完成二级认证，番外篇二第七章中已详细讲解：

// 必须通过默认二级认证才能访问
@SaCheckSafe
@GetMapping("/safeRequired")
public SaResult safeRequired() {
    return SaResult.ok("通过二级认证");
}

// 必须通过指定业务标识的二级认证才能访问
@SaCheckSafe("delete-project")
@GetMapping("/safeDeleteProject")
public SaResult safeDeleteProject() {
    return SaResult.ok("通过删除项目的二级认证");
}

2.3.5. `@SaCheckDisable`：账号封禁服务校验

校验当前账号是否被封禁指定服务，番外篇二第六章中已详细讲解：

// 校验当前账号是否被封禁（无服务标识，校验整体封禁）
@SaCheckDisable
@PostMapping("/send")
public SaResult send() {
    return SaResult.ok("消息发送成功");
}

// 校验当前账号的 comment 服务是否被封禁
@SaCheckDisable("comment")
@PostMapping("/comment")
public SaResult comment() {
    return SaResult.ok("评论发布成功");
}

// 同时校验多个服务，任意一个被封禁就无法进入方法
@SaCheckDisable({"comment", "place-order", "open-shop"})
@PostMapping("/multiCheck")
public SaResult multiCheck() {
    return SaResult.ok("多服务校验通过");
}

2.3.6. `@SaCheckHttpBasic` / `@SaCheckHttpDigest`：HTTP 认证校验

用于需要 HTTP Basic 或 HTTP Digest 认证的接口，常见于内部 API 或监控端点：

// 只有通过 Http Basic 认证后才能进入该方法
// account 格式为 "用户名:密码"
@SaCheckHttpBasic(account = "sa:123456")
@GetMapping("/basicAuth")
public SaResult basicAuth() {
    return SaResult.ok("通过 Http Basic 认证");
}

// 只有通过 Http Digest 认证后才能进入该方法
@SaCheckHttpDigest(value = "sa:123456")
@GetMapping("/digestAuth")
public SaResult digestAuth() {
    return SaResult.ok("通过 Http Digest 认证");
}

这两个注解与 Token 体系无关，是独立的 HTTP 协议层认证，通常用于保护不需要完整登录流程的运维接口。

2.3.7. `@SaCheckSign`：API 签名校验

用于跨系统调用的接口签名验证，属于 Sa-Token 扩展能力，本系列不展开讲解，了解存在即可：

// 校验 API 签名参数，用于跨系统的接口调用验证
@SaCheckSign
@GetMapping("/apiSign")
public SaResult apiSign() {
    return SaResult.ok("API 签名校验通过");
}

2.3.8. `@SaIgnore`：忽略所有校验

@SaIgnore 是优先级最高的注解——当它出现时，所有其他鉴权注解和路由拦截器规则都会被忽略，请求直接进入方法：

// 整个类需要登录才能访问
@SaCheckLogin
@RestController
@RequestMapping("/user")
public class UserController {

    // 但这个接口单独加了 @SaIgnore，可以游客访问
    @SaIgnore
    @GetMapping("/getList")
    public SaResult getList() {
        return SaResult.ok("游客可访问的列表");
    }

    // 其他方法仍然需要登录
    @GetMapping("/info")
    public SaResult info() {
        return SaResult.ok("登录才能查看的信息");
    }
}

@SaIgnore 的几个重要特性：

修饰方法时：只有这个方法可以游客访问，类上的其他注解对此方法无效。
修饰类时：这个类下所有接口都可以游客访问。
具有最高优先级：与其他鉴权注解同时出现时，其他注解全部被忽略。
同样可以忽略掉路由拦截器的规则（第三章会演示）。

@SaIgnore 的忽略效果只针对 SaInterceptor 拦截器和 AOP 注解鉴权生效，对自定义拦截器与 Spring Security 等第三方过滤器无效。

2.4. 多注解叠加 = AND 关系

当一个方法上写了多个鉴权注解时，它们之间天然是 AND 关系——必须全部满足，才能进入方法，只要有一个不满足就抛出异常：

// 必须同时满足：已登录 + 拥有 admin 角色 + 拥有 user:add 权限
@SaCheckLogin
@SaCheckRole("admin")
@SaCheckPermission("user:add")
@GetMapping("/strictControl")
public SaResult strictControl() {
    return SaResult.ok("三重校验通过");
}

这也解释了为什么 Sa-Token 没有提供 @SaCheckAnd 注解——多注解叠加本身就是 AND 语义，不需要额外的注解来声明。

2.5. `@SaCheckOr`：批量 OR 校验

当需要"多个条件满足其一即可"的 OR 逻辑，且条件跨越不同注解类型时，使用 @SaCheckOr：

// 满足以下任意一个条件即可进入方法：
// - 已登录（@SaCheckLogin）
// - 拥有 admin 角色（@SaCheckRole）
// - 拥有 user:add 权限（@SaCheckPermission）
// - 已完成二级认证（@SaCheckSafe）
// - 通过 Http Basic 认证（@SaCheckHttpBasic）
@SaCheckOr(
        login      = @SaCheckLogin,
        role       = @SaCheckRole("admin"),
        permission = @SaCheckPermission("user:add"),
        safe       = @SaCheckSafe("update-password"),
        httpBasic  = @SaCheckHttpBasic(account = "sa:123456"),
        disable    = @SaCheckDisable("submit-orders")
)
@GetMapping("/orCheck")
public SaResult orCheck() {
    return SaResult.ok("通过 OR 校验");
}

每一项属性都可以写成数组形式，数组内部的多个元素之间是 OR 关系：

// 只要有 login 类型账号登录，或者有 user 类型账号登录，任一满足即可通过
// （注意 type 属性涉及多账号模式，是番外篇四的内容，此处了解写法即可）
@SaCheckOr(
    login = { @SaCheckLogin(type = "login"), @SaCheckLogin(type = "user") }
)
@GetMapping("/multiTypeLogin")
public SaResult multiTypeLogin() {
    return SaResult.ok("通过多账号类型 OR 校验");
}

append 字段：用于追加扩展包中的注解，将它们纳入 OR 逻辑：

// 通过登录校验，或者提供了正确的 ApiKey，满足其一即可
@SaCheckOr(login = @SaCheckLogin, append = { SaCheckApiKey.class })
@SaCheckApiKey
@GetMapping("/loginOrApiKey")
public SaResult loginOrApiKey() {
    return SaResult.ok("通过登录或 ApiKey 校验");
}

append 字段接收的是注解类型的 Class 数组，被追加的注解同时也需要写在方法上，@SaCheckOr 会在运行时读取这些注解的具体参数进行校验。

2.6. 完整的 PermissionController

将前面所有演示整合到一个控制器中：

📄 src/main/java/com/example/authsatoken/controller/PermissionController.java（完整版）

package com.example.authsatoken.controller;

import cn.dev33.satoken.annotation.*;
import cn.dev33.satoken.util.SaResult;
import cn.dev33.satoken.util.SaMode;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * 注解鉴权演示控制器
 *
 * 测试账号与权限对照（来自 StpInterfaceImpl）：
 *   admin / 123456  → userId=10001 → admin 角色 → user:add / user:delete / user:update / user:view
 *   user  / 123456  → userId=10002 → user  角色 → user:view / article:view
 */
@RestController
@RequestMapping("/permission")
public class PermissionController {

    @SaCheckLogin
    @GetMapping("/loginRequired")
    public SaResult loginRequired() {
        return SaResult.ok("已通过登录校验");
    }

    @SaCheckRole("admin")
    @GetMapping("/adminOnly")
    public SaResult adminOnly() {
        return SaResult.ok("你拥有 admin 角色");
    }

    @SaCheckRole(value = {"admin", "user"}, mode = SaMode.OR)
    @GetMapping("/adminOrUser")
    public SaResult adminOrUser() {
        return SaResult.ok("你拥有 admin 或 user 角色");
    }

    @SaCheckPermission("user:add")
    @GetMapping("/canAddUser")
    public SaResult canAddUser() {
        return SaResult.ok("你拥有用户新增权限");
    }

    @SaCheckPermission({"user:add", "user:delete"})
    @GetMapping("/canAddAndDeleteUser")
    public SaResult canAddAndDeleteUser() {
        return SaResult.ok("你同时拥有用户新增和删除权限");
    }

    @SaCheckPermission(value = {"user:add", "user:delete"}, mode = SaMode.OR)
    @GetMapping("/canAddOrDeleteUser")
    public SaResult canAddOrDeleteUser() {
        return SaResult.ok("你拥有用户新增或删除权限");
    }

    @SaCheckPermission(value = "user:delete", orRole = "admin")
    @GetMapping("/deleteOrAdmin")
    public SaResult deleteOrAdmin() {
        return SaResult.ok("通过权限或角色 OR 校验");
    }

    @SaCheckOr(
            role       = @SaCheckRole("admin"),
            permission = @SaCheckPermission("user:delete")
    )
    @GetMapping("/adminOrCanDelete")
    public SaResult adminOrCanDelete() {
        return SaResult.ok("你是管理员，或者拥有用户删除权限");
    }
}

2.7. 测试验证：双账号对比矩阵

重启项目，用两个账号分别登录，测试各接口的实际表现。

准备工作：分别获取两个账号的 Token

1 2	POST http://localhost:8081/auth/login?username=admin&password=123456 POST http://localhost:8081/auth/login?username=user&password=123456

分别记录 Token-A（admin）和 Token-U（user）。

场景：未登录访问需要登录的接口（验证 401）

1	GET http://localhost:8081/permission/loginRequired

预期响应：

1	{ "code": 401, "msg": "未提供 Token，请先登录", "data": null }

场景：user 账号访问 adminOnly（验证 403）

1 2	GET http://localhost:8081/permission/adminOnly Header: satoken:

预期响应：

1	{ "code": 403, "msg": "权限不足，缺少角色：admin", "data": null }

以下是完整的双账号测试矩阵：

接口	admin	user	未登录
`/permission/loginRequired`	✅ 200	✅ 200	❌ 401 未提供 Token
`/permission/adminOnly`	✅ 200	❌ 403 缺少角色 admin	❌ 401
`/permission/adminOrUser`	✅ 200	✅ 200	❌ 401
`/permission/canAddUser`	✅ 200	❌ 403 缺少权限 user:add	❌ 401
`/permission/canAddAndDeleteUser`	✅ 200	❌ 403 缺少权限 user:add	❌ 401
`/permission/canAddOrDeleteUser`	✅ 200	❌ 403 缺少权限 user:add	❌ 401
`/permission/deleteOrAdmin`	✅ 200	❌ 403 缺少权限 user:delete	❌ 401
`/permission/adminOrCanDelete`	✅ 200	❌ 403 缺少角色 admin	❌ 401

矩阵中有一个值得关注的细节：/permission/adminOrUser 对 user 账号是放行的——因为注解配置了 mode = SaMode.OR，user 账号虽然没有 admin 角色，但有 user 角色，满足 OR 条件中的一个，所以通过。

2.8. 本章总结

本章回顾

本章完成了注解鉴权体系的完整建设。首先注册了 SaInterceptor 拦截器——这是注解鉴权生效的前置条件，不注册则所有鉴权注解形同虚设。随后在 GlobalExceptionHandler 中追加了 NotPermissionException 和 NotRoleException 两个处理方法，配合已有的 NotLoginException 处理，构成了完整的认证授权异常响应体系，并明确了 401（未认证）与 403（已认证但权限不足）的语义边界。在注解覆盖层面，系统梳理了 Sa-Token 全部 8 种鉴权注解的用法，并重点讲解了 @SaCheckPermission 的 orRole 三种写法、多注解叠加等于 AND 关系的原理、以及 @SaCheckOr 的完整用法（单值、数组形式、append 字段）。最后通过双账号对比测试矩阵验证了权限隔离在实际请求中的完整表现。

核心汇总表

注解	校验内容	AND/OR 支持	典型场景
`@SaCheckLogin`	是否已登录	无	所有登录用户可访问的接口
`@SaCheckRole`	是否拥有指定角色	支持，默认 AND	角色专属功能
`@SaCheckPermission`	是否拥有指定权限码	支持，默认 AND	接口级细粒度权限控制
`@SaCheckSafe`	是否已完成二级认证	无	高危操作的额外验证门槛
`@SaCheckDisable`	指定服务是否被封禁	多值时任一封禁即拦截	分类封禁场景
`@SaCheckHttpBasic`	HTTP Basic 认证	无	内部 API / 运维接口
`@SaCheckHttpDigest`	HTTP Digest 认证	无	内部 API / 运维接口
`@SaCheckSign`	API 签名校验	无	跨系统接口调用
`@SaIgnore`	忽略所有校验	最高优先级	公开接口豁免

`orRole` 写法	示例	语义
单角色	`orRole = "admin"`	权限码 OR admin 角色
数组多元素（OR）	`orRole = {"admin", "editor"}`	权限码 OR（admin 或 editor）
数组单元素内逗号（AND）	`orRole = {"admin, editor"}`	权限码 OR（admin 且 editor）

异常类型	状态码	触发场景
`NotLoginException`	401	未登录或 Token 失效
`NotPermissionException`	403	缺少所需权限码
`NotRoleException`	403	缺少所需角色

多注解组合规则	语义	实现方式
多注解叠加	AND（全部满足）	在方法上写多个注解
OR 关系	满足其一即可	`@SaCheckOr` 或 `mode = SaMode.OR`

第三章. 路由拦截鉴权——集中式的批量管控

阶段式学习路径

第二章的注解鉴权是方法级的——每个接口单独声明权限要求，粒度精确，但有一个天然的局限：它是分散的。如果一个模块下有几十个接口都需要登录，就得在几十个方法上逐一加 @SaCheckLogin，不仅繁琐，而且一旦漏加某个方法，那个接口就完全暴露了。

路由拦截鉴权解决的是这个问题。在拦截器的配置中集中表达"哪些路径需要什么权限"，一处配置批量生效，再也不用担心漏加注解。本章从 SaInterceptor 的有参写法切入，系统覆盖 SaRouter 的全部匹配特征和流程控制手段。

3.1. 从无参到有参：SaInterceptor 的两种工作模式

回顾第二章注册的 SaTokenConfig：

1 2	registry.addInterceptor(new SaInterceptor()) .addPathPatterns("/**");

new SaInterceptor() 不传参数时，拦截器处于纯注解模式——扫描每个请求对应的 Controller 方法，有鉴权注解就执行校验，没有就直接放行。未加注解的接口对未登录用户完全开放。

new SaInterceptor(handle -> { ... }) 传入一个 Lambda 时，拦截器进入路由规则模式——在 Lambda 中用 SaRouter 工具类按路径批量声明访问策略。两种模式并不互斥：有参版本会同时执行路由规则和注解鉴权，路由规则先执行，注解鉴权后执行。

现在把 SaTokenConfig 升级为有参版本：

📄 src/main/java/com/example/authsatoken/config/SaTokenConfig.java（修改，替换 addInterceptors 方法）

package com.example.authsatoken.config;

import cn.dev33.satoken.interceptor.SaInterceptor;
import cn.dev33.satoken.router.SaRouter;
import cn.dev33.satoken.stp.StpUtil;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * Sa-Token 拦截器配置（升级版）
 * 在第二章无参版本的基础上，增加路由级别的访问策略
 */
@Configuration
public class SaTokenConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new SaInterceptor(handle -> {

            // ---- 规则一：全局登录校验 ----
            // 拦截所有路径，但排除登录接口
            // 效果：除了 /auth/login，其余所有接口都必须登录才能访问
            SaRouter.match("/**")
                    .notMatch("/auth/login")
                    .check(r -> StpUtil.checkLogin());

            // ---- 规则二：管理员模块角色校验 ----
            // /admin/** 下的所有接口，额外要求 admin 角色
            // 请求会先通过规则一的登录校验，再通过规则二的角色校验，两者是 AND 关系
            SaRouter.match("/admin/**")
                    .check(r -> StpUtil.checkRole("admin"));

        // ⚠️ 必须用 excludePathPatterns("/error") 排除 /error 路径
        // 原因：Spring Boot 发生异常时，Tomcat 会将请求内部 forward 转发到 /error 端点。
        // 但此次 forward 是在 Sa-Token 的 ThreadLocal 上下文已销毁之后发生的，
        // 导致 SaInterceptor.preHandle() 被再次触发，SaRouter.match() 内部调用
        // SaHolder.getRequest() 时找不到上下文，抛出 SaTokenContextException。
        //
        // ❌ 错误做法：在 Lambda 内部使用 .notMatch("/error")
        //    SaRouter.match("/**") 这行本身就需要获取当前请求的 URI，
        //    还没执行到 notMatch 判断，就已经因上下文不存在而崩溃了。
        //
        // ✅ 正确做法：使用 Spring MVC 的 excludePathPatterns("/error")
        //    这样 /error 请求在 Spring MVC 层面就被排除，
        //    SaInterceptor 的 preHandle() 根本不会被调用，彻底规避问题。
        })).addPathPatterns("/**").excludePathPatterns("/error");
    }
}

两条规则解决了两个最典型的全局诉求：规则一让"所有接口必须登录"这个要求集中到一处，不再散落在几十个注解里；规则二给 /admin/** 整个模块追加了角色防护，无论后续管理模块新增多少接口，这条规则自动覆盖。

3.2. SaRouter 匹配特征全览

SaRouter 的 API 设计成链式调用风格，match 指定拦截范围，notMatch 排除白名单，check 指定校验逻辑。除了 path 路由匹配，它还支持多种其他特征：

path 路由匹配

最常用的匹配方式，支持 Ant 风格通配符（* 匹配单层，** 匹配多层），支持 RESTful 风格路由，支持同时传入多个 path：

// 匹配单个路径
SaRouter.match("/user/info").check(r -> StpUtil.checkLogin());

// 多层通配符，匹配整个模块
SaRouter.match("/admin/**").check(r -> StpUtil.checkRole("admin"));

// 同时传入多个 path，满足其一即命中
SaRouter.match("/user/**", "/goods/**", "/art/get/{id}")
        .check(r -> StpUtil.checkLogin());

// notMatch 排除白名单，支持多个路径，支持通配符
SaRouter.match("/**")
        .notMatch("/auth/login", "/auth/register", "/public/**")
        .check(r -> StpUtil.checkLogin());

按 HTTP 方法匹配

在 RESTful 接口设计中，同一路径的不同 HTTP 方法往往需要不同的权限。SaHttpMethod 枚举提供了所有常用方法：

// 只拦截 POST 请求
SaRouter.match(SaHttpMethod.POST).check(r -> StpUtil.checkLogin());

// 同一路径，不同 HTTP 方法，不同权限要求
SaRouter.match("/article/**", SaHttpMethod.POST)
        .check(r -> StpUtil.checkPermission("article:add"));

SaRouter.match("/article/**", SaHttpMethod.DELETE)
        .check(r -> StpUtil.checkPermission("article:delete"));

按 boolean 条件和 lambda 表达式匹配

匹配条件不局限于路径，可以是任意 boolean 值或返回 boolean 的 lambda：

// 根据一个 boolean 条件进行匹配
SaRouter.match(StpUtil.isLogin()).check(r -> System.out.println("当前已登录"));

// 根据一个返回 boolean 结果的 lambda 表达式匹配
SaRouter.match(r -> StpUtil.isLogin()).check(r -> System.out.println("当前已登录（lambda 写法）"));

多条件无限连缀

多个 match / notMatch 可以无限连缀，所有条件之间是 AND 关系——只有全部条件都满足，才会执行最后的 check 校验函数：

// 必须是 GET 请求，且路径以 /user/ 开头
SaRouter.match(SaHttpMethod.GET)
        .match("/user/**")
        .check(r -> StpUtil.checkLogin());

// 同时满足：GET 方式、/admin 开头、路径中含有 /send/、结尾不是 .js 和 .css
SaRouter
    .match(SaHttpMethod.GET)
    .match("/admin/**")
    .match("/**/send/**")
    .notMatch("/**/*.js")
    .notMatch("/**/*.css")
    .check(r -> StpUtil.checkRole("admin"));

3.3. 流程控制三件套：stop、back、free

除了匹配和校验，SaRouter 还提供了三个用于控制匹配流程的方法，解决"某条规则命中后不再继续匹配"的需求。

stop()：停止匹配，进入 Controller

SaRouter.stop() 可以提前退出整个 Lambda 函数，跳过后续所有未执行的 match 规则：

registry.addInterceptor(new SaInterceptor(handle -> {
    SaRouter.match("/**").check(r -> System.out.println("规则一：进入"));
    SaRouter.match("/**").check(r -> System.out.println("规则二：进入")).stop(); // 执行完后停止
    SaRouter.match("/**").check(r -> System.out.println("规则三：不会执行"));
    SaRouter.match("/**").check(r -> System.out.println("规则四：不会执行"));
})).addPathPatterns("/**");

如上代码，执行到第二条规则的 stop() 时，后续的规则三、四都会被跳过，请求正常进入 Controller。

back()：停止匹配，直接返回前端

SaRouter.back() 同样会停止匹配，但不进入 Controller，而是直接将参数作为返回值输出到前端：

1 2	// 执行 back 后，停止匹配，不进入 Controller，直接返回字符串给前端 SaRouter.match("/user/back").back("该接口暂时不对外开放");

stop() 与 back() 的区别：

	`stop()`	`back()`
停止匹配	✅	✅
进入 Controller	✅	❌
直接返回前端	❌	✅

free()：独立作用域

free() 打开一个独立的作用域，使内部的 stop() 不再跳出整个 Lambda，而是仅仅跳出当前 free 作用域，外部的 match 规则继续正常执行：

// 进入 free 独立作用域
SaRouter.match("/**").free(r -> {
    SaRouter.match("/a/**").check(/* 校验 a 模块 */);
    SaRouter.match("/b/**").check(/* 校验 b 模块 */).stop(); // 只跳出 free，不影响外部
    SaRouter.match("/c/**").check(/* 校验 c 模块 */);       // 如果命中 /b，这条不会执行
});

// free 执行完毕后，外部的规则继续执行，不受 free 内部 stop 的影响
SaRouter.match("/**").check(r -> System.out.println("外部规则，始终执行"));

free() 适合"某个模块内部有复杂的互斥规则，但不希望影响模块外部的其他规则"的场景。

3.4. `@SaIgnore` 忽略路由拦截

第二章介绍 @SaIgnore 时提到它同样可以忽略路由拦截器的规则。这意味着即使拦截器配置了"所有路径必须登录"，只要方法或类上加了 @SaIgnore，该接口就会跳过拦截器的校验，直接放行。

先配置拦截规则：

registry.addInterceptor(new SaInterceptor(handle -> {
    SaRouter.match("/user/**").check(r -> StpUtil.checkPermission("user"));
    SaRouter.match("/admin/**").check(r -> StpUtil.checkPermission("admin"));
})).addPathPatterns("/**");

然后在需要豁免的接口上加 @SaIgnore：

// 虽然 /user/** 规则要求 user 权限，但此接口因 @SaIgnore 直接放行，游客可访问
@SaIgnore
@GetMapping("/user/getList")
public SaResult getList() {
    return SaResult.ok("游客可访问的列表");
}

请求到达被 @SaIgnore 修饰的方法时，拦截器会跳过所有 SaRouter 规则和注解鉴权，直接进入方法体。

@SaIgnore 的忽略效果只针对 SaInterceptor 拦截器和 AOP 注解鉴权生效，对自定义拦截器与过滤器不生效。

3.5. 高级配置：isAnnotation 与 setBeforeAuth

isAnnotation(false)：关闭注解校验能力

SaInterceptor 注册到项目后，默认同时开启路由规则和注解鉴权两种能力。如果你只想做路由拦截，不希望框架扫描方法上的鉴权注解，可以通过 isAnnotation(false) 关闭注解校验：

registry.addInterceptor(
    new SaInterceptor(handle -> {
        SaRouter.match("/**").check(r -> StpUtil.checkLogin());
    }).isAnnotation(false)  // 关闭注解鉴权，只做路由拦截校验
).addPathPatterns("/**");

关闭后，Controller 方法上的 @SaCheckLogin@SaCheckRole 等注解将全部失效，框架只执行 Lambda 中配置的路由规则。

setBeforeAuth()：认证前置函数

setBeforeAuth() 用于注册一个在注解鉴权之前执行的前置函数，适合需要在正式鉴权之前做一些预处理的场景（如记录请求日志、设置请求上下文等）：

registry.addInterceptor(new SaInterceptor(handle -> {
    // 这里是 auth 函数，在注解鉴权之后执行
    System.out.println("步骤 2：auth 函数");
})
.setBeforeAuth(handle -> {
    // 这里是 beforeAuth 函数，在注解鉴权之前执行
    System.out.println("步骤 1：beforeAuth 函数");
})
).addPathPatterns("/**");

实际执行顺序是：beforeAuth → 注解鉴权 → auth（Lambda 中的路由规则）。

如果在 beforeAuth 中调用了 SaRouter.stop()，将跳过后续的注解鉴权和 auth 认证环节，直接进入 Controller：

.setBeforeAuth(handle -> {
    // 满足某个条件时，跳过所有鉴权，直接放行
    SaRouter.match("/health").stop();
})

3.6. 路由拦截 vs 注解鉴权：执行顺序与职责分工

现在项目中同时存在两种鉴权方式，理解它们的执行顺序对排查问题非常重要。

一个请求进入后，完整的执行顺序是：

1	beforeAuth 前置函数 → 注解鉴权 → auth 路由规则 → Controller 方法 → 编程式鉴权（第四章）

前两者都在请求到达方法之前执行，只要任意一关没通过，请求就会被拒绝，不会继续往后走。

两种方式各有清晰的职责边界：

维度	路由拦截鉴权	注解鉴权
配置位置	集中在 `SaTokenConfig`	分散在每个 Controller 方法上
粒度	路径模块级（批量）	方法级（单个接口）
典型场景	“所有接口必须登录”、“整个管理模块需要 admin 角色”	“这个接口需要 user:delete 权限”
遗漏风险	低，默认拦截所有匹配路径	较高，漏加注解就没有校验
改动影响范围	一处规则影响一批接口	一个注解只影响一个方法

最佳实践是两者配合：路由拦截负责粗粒度的全局策略作为底线兜底，注解鉴权负责细粒度的接口级声明。以我们当前项目为例：

路由拦截（SaTokenConfig）：
  - 所有接口必须登录（排除 /auth/login）
  - /admin/** 需要 admin 角色

注解鉴权（PermissionController 上的注解）：
  - /permission/canAddUser 需要 user:add 权限
  - /permission/adminOrCanDelete 需要 admin 角色或 user:delete 权限
  - ...

这样即使某个开发者在新增接口时忘记加权限注解，路由拦截的登录校验依然兜底——至少保证未登录用户无法访问任何接口。

3.7. 验证路由拦截效果

重启项目后，通过四个场景验证路由规则是否生效。

场景一：未登录访问需要登录的接口（验证规则一）

不携带任何 Token，直接访问：

1	GET http://localhost:8081/auth/info

预期响应：

{
    "code": 401,
    "msg": "未提供 Token，请先登录",
    "data": null
}

在第二章中，/auth/info 上加了 StpUtil.checkLogin() 但未加路由规则，行为已由拦截器规则一统一接管——任何未加 notMatch 白名单的接口，未登录一律返回 401。

场景二：未登录访问白名单接口（验证 notMatch）

1	POST http://localhost:8081/auth/login?username=admin&password=123456

预期响应：

{
    "code": 200,
    "msg": "登录成功",
    "data": "1db92b69-74ce-4c5f-a838-13c0f414d047"
}

/auth/login 被 notMatch 排除在规则一之外，未登录也能正常访问，不会被拦截。

场景三：user 账号访问 /admin 接口（验证规则二）

以 user 身份登录获取 Token-U，然后：

1 2	DELETE http://localhost:8081/admin/users/10001/sessions Header: satoken:

预期响应：

{
    "code": 403,
    "msg": "权限不足，缺少角色：admin",
    "data": null
}

user 账号已登录（通过规则一），但没有 admin 角色（未通过规则二），被拦截在 Controller 方法之前。

场景四：admin 账号访问 /admin 接口（验证两条规则均通过）

以 admin 身份登录获取 Token-A，然后：

1 2	DELETE http://localhost:8081/admin/users/10002/sessions Header: satoken:

预期响应：

{
    "code": 200,
    "msg": "已将账号 10002 的所有设备踢下线",
    "data": null
}

admin 账号通过规则一（已登录）和规则二（拥有 admin 角色），顺利到达 Controller 方法执行业务逻辑。

3.8. 本章总结

本章回顾

本章将 SaInterceptor 从无参版本升级为有参版本，在 Lambda 中配置了全局登录校验和管理模块角色校验两条核心路由规则，并说明了 excludePathPatterns("/error") 必须放在 Spring MVC 层而非 Lambda 内部的原因。在 SaRouter API 层面，系统覆盖了 path 路由匹配、HTTP 方法匹配、boolean 条件匹配、lambda 表达式匹配以及多条件无限连缀五种匹配特征。流程控制三件套方面，stop() 用于提前退出并进入 Controller，back() 用于提前退出并直接返回前端，free() 用于创建不影响外部规则的独立匹配作用域。高级配置方面，isAnnotation(false) 可关闭注解校验只做路由拦截，setBeforeAuth() 可注册在注解鉴权之前执行的前置函数。最后通过执行顺序说明和职责分工对比，确立了"路由拦截负责底线兜底，注解鉴权负责细粒度声明"的最佳实践。

核心汇总表

`SaRouter` 方法	作用	示例
`match(String... paths)`	指定拦截路径，支持 `**` 通配符	`match("/admin/**")`
`match(SaHttpMethod)`	按 HTTP 方法匹配	`match(SaHttpMethod.DELETE)`
`match(boolean)`	按 boolean 条件匹配	`match(StpUtil.isLogin())`
`match(lambda)`	按 lambda 返回值匹配	`match(r -> StpUtil.isLogin())`
`notMatch(String... paths)`	排除白名单路径	`notMatch("/auth/login", "/public/**")`
`check(lambda)`	指定校验逻辑	`check(r -> StpUtil.checkRole("admin"))`
`stop()`	停止匹配，进入 Controller	链式调用在 `check()` 之后
`back(value)`	停止匹配，直接返回前端	`back("暂不对外开放")`
`free(lambda)`	打开独立作用域，内部 stop 不影响外部	`free(r -> { ... })`

高级配置	作用	默认值
`isAnnotation(false)`	关闭注解校验，只做路由拦截	默认开启注解校验
`setBeforeAuth(lambda)`	注册在注解鉴权之前执行的前置函数	无

执行顺序	阶段	说明
第一	`beforeAuth` 前置函数	早于注解鉴权，适合预处理
第二	注解鉴权	扫描 Controller 方法上的鉴权注解
第三	`auth` 路由规则	Lambda 中配置的 SaRouter 规则
第四	Controller 方法	业务逻辑，含编程式鉴权（第四章）

第四章. 编程式鉴权——动态的业务内判断

阶段式学习路径

路由拦截和注解鉴权解决的都是"能不能进这扇门"的问题——请求要么通过，要么被拒绝在 Controller 方法之外。但真实业务中，权限判断往往发生在门里面。

管理员可以编辑任何文章，普通用户只能编辑自己写的；财务可以查看所有订单金额，普通用户只能看自己的。这类判断无法用注解表达，因为注解只能声明"需要什么权限"，无法表达"如果有这个权限就走 A 分支，没有就走 B 分支"。编程式鉴权就是为这种场景设计的——在业务代码中直接调用 Sa-Token 的 API，根据返回值动态决定执行路径。

4.1. has 系列与 check 系列：两组 API 的选择依据

Sa-Token 提供了两组编程式鉴权 API，外形相似但行为截然不同。

has 系列返回 boolean，校验失败时不抛任何异常，适合需要条件分支的场景：

// 角色判断
StpUtil.hasRole("admin");                              // 是否拥有 admin 角色
StpUtil.hasRoleAnd("admin", "editor");                 // 是否同时拥有 admin 和 editor 角色
StpUtil.hasRoleOr("admin", "editor");                  // 是否拥有 admin 或 editor 任一角色

// 权限码判断
StpUtil.hasPermission("user:add");                     // 是否拥有 user:add 权限
StpUtil.hasPermissionAnd("user:add", "user:delete");   // 是否同时拥有两个权限
StpUtil.hasPermissionOr("user:add", "user:delete");    // 是否拥有任一权限

check 系列没有返回值，校验失败时直接抛出 NotRoleException 或 NotPermissionException，由全局异常处理器统一拦截，适合"不满足条件就直接中断"的场景：

// 角色校验
StpUtil.checkRole("admin");                            // 必须拥有 admin 角色，否则抛异常
StpUtil.checkRoleAnd("admin", "editor");               // 必须同时拥有两个角色
StpUtil.checkRoleOr("admin", "editor");                // 拥有任一角色即可

// 权限码校验
StpUtil.checkPermission("user:add");                   // 必须拥有 user:add 权限，否则抛异常
StpUtil.checkPermissionAnd("user:add", "user:delete"); // 必须同时拥有两个权限
StpUtil.checkPermissionOr("user:add", "user:delete");  // 拥有任一权限即可

选择哪组 API 的判断逻辑很简单：

需要根据权限结果走不同分支（if-else）→ 用 has 系列，拿 boolean 做判断
权限不满足时直接返回错误，不需要任何后续逻辑 → 用 check 系列，让异常处理器兜底

4.2. 获取当前用户的权限与角色数据

除了判断和校验，有时候需要直接拿到当前用户的完整权限列表，比如在"个人中心"展示用户拥有哪些角色，或者在前端做菜单权限控制时返回权限码列表：

// 获取当前登录用户的权限码列表（调用 StpInterfaceImpl.getPermissionList）
List permissions = StpUtil.getPermissionList();

// 获取当前登录用户的角色列表（调用 StpInterfaceImpl.getRoleList）
List roles = StpUtil.getRoleList();

// 管理视角：获取指定用户的权限码列表
List permissions = StpUtil.getPermissionList(10001L);

// 管理视角：获取指定用户的角色列表
List roles = StpUtil.getRoleList(10001L);

这四个方法的返回值就是 StpInterfaceImpl 中两个方法的返回值。Sa-Token 在这里充当代理——你调用 StpUtil.getPermissionList()，框架内部调用 StpInterfaceImpl.getPermissionList(loginId, loginType)，然后把结果透传给你。

我们先在 PermissionController 中追加一个接口来暴露这些数据，后续测试时也可以用它来确认权限数据是否正确加载：

📄 src/main/java/com/example/authsatoken/controller/PermissionController.java（修改，追加方法）

import java.util.Map;

/**
 * 查询当前登录用户的权限和角色列表
 * 前端可用此接口实现动态菜单权限控制
 */
@GetMapping("/myAuth")
public SaResult myAuth() {
    StpUtil.checkLogin();
    return SaResult.data(Map.of(
            "roles",       StpUtil.getRoleList(),
            "permissions", StpUtil.getPermissionList()
    ));
}

4.3. 补充 editor 账号

本章的实战场景需要三种角色——admin、editor、user——来覆盖不同权限分支的测试路径。当前 StpInterfaceImpl 和 LoginController 都没有 editor 账号，先补进去。

📄 src/main/java/com/example/authsatoken/auth/StpInterfaceImpl.java（修改，更新两个 Map）

private static final Map> ROLE_PERMISSION_MAP = Map.of(
        "admin",  List.of("user:add", "user:delete", "user:update", "user:view"),
        "editor", List.of("article:add", "article:update", "article:view", "article:publish"),
        "user",   List.of("user:view", "article:view")
);

private static final Map> USER_ROLE_MAP = Map.of(
        "10001", List.of("admin"),
        "10002", List.of("user"),
        "10003", List.of("editor")   // 新增 editor 账号映射
);

📄 src/main/java/com/example/authsatoken/controller/LoginController.java（修改，更新 USER_DB）

private static final Maplong[]> USER_DB = Map.of(
        "admin",  new long[]{123456L, 10001L},
        "user",   new long[]{123456L, 10002L},
        "editor", new long[]{123456L, 10003L}   // 新增 editor 账号
);

同时，SaTokenConfig 中规则一的白名单记得更新——/auth/login 已经在里面了，不需要额外改动。

4.4. 实战：文章管理系统的动态权限判断

用一个完整的业务场景来体验编程式鉴权的价值。我们要实现一个文章管理系统，权限规则如下：

所有登录用户都可以创建文章（默认草稿状态）
只有作者本人可以提交自己的文章审核，且只能提交草稿状态的文章
只有 editor 或 admin 角色可以审核文章
editor 只能发布已审核通过的文章，admin 可以强制发布任何状态的文章
作者可以撤回自己处于草稿或待审核状态的文章，admin 可以撤回任何文章
已发布的文章所有登录用户可以查看，未发布的文章只有作者本人、editor、admin 可以查看

这六条规则涉及角色判断、数据归属判断、状态判断三种维度的组合，任何一条都无法用单一注解表达。

首先在 com.example.authsatoken 包下新建 model 子包，创建文章状态枚举和文章模型：

📄 src/main/java/com/example/authsatoken/model/ArticleStatus.java（新建）

package com.example.authsatoken.model;

/**
 * 文章状态枚举
 */
public enum ArticleStatus {
    DRAFT,      // 草稿
    PENDING,    // 待审核
    APPROVED,   // 已审核通过
    REJECTED,   // 已审核拒绝
    PUBLISHED   // 已发布
}

📄 src/main/java/com/example/authsatoken/model/Article.java（新建）

package com.example.authsatoken.model;

/**
 * 文章模型（简化版，聚焦权限逻辑）
 */
public class Article {
    private Long id;
    private String title;
    private Long authorId;        // 作者的 userId
    private ArticleStatus status; // 当前文章状态

    public Article(Long id, String title, Long authorId, ArticleStatus status) {
        this.id = id;
        this.title = title;
        this.authorId = authorId;
        this.status = status;
    }

    public Long getId()                    { return id; }
    public String getTitle()               { return title; }
    public Long getAuthorId()              { return authorId; }
    public ArticleStatus getStatus()       { return status; }
    public void setStatus(ArticleStatus s) { this.status = s; }
}

然后创建文章管理控制器。我们分三个部分拆解，每个方法都标注清楚权限判断的维度和用 has 系列而非注解的原因：

📄 src/main/java/com/example/authsatoken/controller/ArticleController.java（新建）

第一部分：创建与提交

package com.example.authsatoken.controller;

import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;
import com.example.authsatoken.model.Article;
import com.example.authsatoken.model.ArticleStatus;
import org.springframework.web.bind.annotation.*;

import java.util.Map;
import java.util.concurrent.ConcurrentHashMap;
import java.util.concurrent.atomic.AtomicLong;

/**
 * 文章管理控制器
 * 演示编程式鉴权在多角色、多状态、数据归属三维度组合场景下的应用
 *
 * 所有接口均依赖路由拦截的全局登录校验，无需在每个方法上重复加 @SaCheckLogin
 *
 * 权限角色对照（来自 StpInterfaceImpl）：
 *   admin  → userId=10001 → user:add / user:delete / user:update / user:view
 *   user   → userId=10002 → user:view / article:view
 *   editor → userId=10003 → article:add / article:update / article:view / article:publish
 */
@RestController
@RequestMapping("/articles")
public class ArticleController {

    // 模拟数据库：实际项目中替换为 Repository 层
    private final Map articleDb = new ConcurrentHashMap<>();
    private final AtomicLong idGenerator = new AtomicLong(1);

    /**
     * 创建文章
     * 权限规则：所有登录用户都可以创建，路由拦截已保证登录校验，此处无需额外判断
     */
    @PostMapping
    public SaResult createArticle(@RequestParam String title) {
        long currentUserId = StpUtil.getLoginIdAsLong();
        Article article = new Article(
                idGenerator.getAndIncrement(),
                title,
                currentUserId,
                ArticleStatus.DRAFT
        );
        articleDb.put(article.getId(), article);
        return SaResult.ok("文章创建成功").setData(article.getId());
    }

    /**
     * 提交文章审核
     * 权限规则：只有作者本人可以提交，且文章必须处于草稿状态
     *
     * 用编程式鉴权而非注解的原因：
     * 需要同时判断"数据归属"（是不是自己的文章）和"文章状态"（是不是草稿）
     * 这两个维度都是运行时数据，注解无法表达
     */
    @PostMapping("/{id}/submit")
    public SaResult submitForReview(@PathVariable Long id) {
        Article article = articleDb.get(id);
        if (article == null) return SaResult.error("文章不存在");

        long currentUserId = StpUtil.getLoginIdAsLong();

        // 数据归属校验：只有作者本人可以提交
        if (!article.getAuthorId().equals(currentUserId)) {
            return SaResult.error("只能提交自己的文章").setCode(403);
        }
        // 状态校验：只有草稿状态可以提交
        if (article.getStatus() != ArticleStatus.DRAFT) {
            return SaResult.error("只有草稿状态的文章才能提交审核");
        }

        article.setStatus(ArticleStatus.PENDING);
        return SaResult.ok("文章已提交审核，等待编辑审核");
    }

第二部分：审核与发布

/**
 * 审核文章
 * 权限规则：editor 或 admin 角色可以审核，普通用户无权操作
 *
 * 用 hasRoleOr 而非 @SaCheckRole 的原因：
 * 如果用注解 @SaCheckRole("editor")，403 的提示是"缺少 editor 角色"，
 * 但实际上有 admin 角色也能通过——注解无法表达跨类型的 OR 逻辑下更友好的错误提示
 */
@PostMapping("/{id}/review")
public SaResult reviewArticle(@PathVariable Long id,
                              @RequestParam boolean approved) {
    // 角色校验：editor 或 admin 任一即可
    if (!StpUtil.hasRoleOr("editor", "admin")) {
        return SaResult.error("只有编辑或管理员可以审核文章").setCode(403);
    }

    Article article = articleDb.get(id);
    if (article == null) return SaResult.error("文章不存在");

    // 状态校验：只有待审核的文章可以审核
    if (article.getStatus() != ArticleStatus.PENDING) {
        return SaResult.error("只有待审核状态的文章可以审核");
    }

    article.setStatus(approved ? ArticleStatus.APPROVED : ArticleStatus.REJECTED);
    return SaResult.ok(approved ? "文章审核通过" : "文章审核未通过");
}

/**
 * 发布文章
 * 权限规则：
 *   admin  → 可以强制发布任何状态的文章
 *   editor → 只能发布已通过审核的文章
 *   其他   → 无权发布
 *
 * 用编程式鉴权而非注解的原因：
 * 同一个接口对不同角色有不同的状态限制，
 * 注解无法表达"角色 A 跳过状态校验，角色 B 不跳过"这种差异化逻辑
 */
@PostMapping("/{id}/publish")
public SaResult publishArticle(@PathVariable Long id) {
    Article article = articleDb.get(id);
    if (article == null) return SaResult.error("文章不存在");

    // admin 可以强制发布任何状态的文章，不受状态限制
    if (StpUtil.hasRole("admin")) {
        article.setStatus(ArticleStatus.PUBLISHED);
        return SaResult.ok("管理员强制发布成功");
    }

    // editor 只能发布已审核通过的文章
    if (StpUtil.hasRole("editor")) {
        if (article.getStatus() != ArticleStatus.APPROVED) {
            return SaResult.error("编辑只能发布已审核通过的文章，当前状态：" + article.getStatus());
        }
        article.setStatus(ArticleStatus.PUBLISHED);
        return SaResult.ok("文章发布成功");
    }

    // 其他角色无权发布
    return SaResult.error("无权发布文章，请联系编辑或管理员").setCode(403);
}

第三部分：撤回与查看

    /**
     * 撤回文章
     * 权限规则：
     *   admin    → 可以撤回任何文章到草稿状态
     *   作者本人  → 只能撤回自己处于草稿或待审核状态的文章
     *   其他     → 无权操作
     *
     * 这里体现了编程式鉴权中最常见的模式：
     * 先判断特权角色（admin），再判断数据归属，最后判断状态
     */
    @PostMapping("/{id}/withdraw")
    public SaResult withdrawArticle(@PathVariable Long id) {
        Article article = articleDb.get(id);
        if (article == null) return SaResult.error("文章不存在");

        long currentUserId = StpUtil.getLoginIdAsLong();

        // admin 可以撤回任何文章，无需其他判断
        if (StpUtil.hasRole("admin")) {
            article.setStatus(ArticleStatus.DRAFT);
            return SaResult.ok("管理员撤回成功");
        }

        // 非 admin：先校验数据归属
        if (!article.getAuthorId().equals(currentUserId)) {
            return SaResult.error("只能撤回自己的文章").setCode(403);
        }

        // 再校验状态：只能撤回草稿或待审核状态的文章
        if (article.getStatus() != ArticleStatus.DRAFT
                && article.getStatus() != ArticleStatus.PENDING) {
            return SaResult.error("只能撤回草稿或待审核状态的文章，当前状态：" + article.getStatus());
        }

        article.setStatus(ArticleStatus.DRAFT);
        return SaResult.ok("文章撤回成功");
    }

    /**
     * 查看文章详情
     * 权限规则：
     *   已发布 → 所有登录用户可查看
     *   未发布 → 作者本人、editor、admin 可查看，其他用户无权访问
     *
     * 用编程式鉴权而非注解的原因：
     * 权限判断依赖文章的当前状态（运行时数据），注解在编译期无法感知
     */
    @GetMapping("/{id}")
    public SaResult getArticle(@PathVariable Long id) {
        Article article = articleDb.get(id);
        if (article == null) return SaResult.error("文章不存在");

        // 已发布的文章所有登录用户都可以查看
        if (article.getStatus() == ArticleStatus.PUBLISHED) {
            return SaResult.data(article);
        }

        long currentUserId = StpUtil.getLoginIdAsLong();

        // 未发布文章：管理员和编辑可以查看
        if (StpUtil.hasRoleOr("admin", "editor")) {
            return SaResult.data(article);
        }

        // 未发布文章：作者本人可以查看自己的文章
        if (article.getAuthorId().equals(currentUserId)) {
            return SaResult.data(article);
        }

        return SaResult.error("无权查看此文章").setCode(403);
    }
}

4.5. 全流程测试

重启项目后，按以下顺序验证各场景下的权限判断是否符合预期。

准备工作：三个账号分别登录，拿到对应 Token

1
2
3

POST http://localhost:8081/auth/login?username=admin&password=123456
POST http://localhost:8081/auth/login?username=editor&password=123456
POST http://localhost:8081/auth/login?username=user&password=123456

分别记录 Token-A（admin）、Token-E（editor）、Token-U（user）。

场景一：user 创建文章，记录文章 ID

1 2	POST http://localhost:8081/articles?title=我的第一篇文章 Header: satoken:

预期响应：

1	{ "code": 200, "msg": "文章创建成功", "data": 1 }

场景二：user 提交审核

1 2	POST http://localhost:8081/articles/1/submit Header: satoken:

预期响应：

1	{ "code": 200, "msg": "文章已提交审核，等待编辑审核", "data": null }

场景三：user 尝试审核文章（应被拒绝）

1 2	POST http://localhost:8081/articles/1/review?approved=true Header: satoken:

预期响应：

1	{ "code": 403, "msg": "只有编辑或管理员可以审核文章", "data": null }

场景四：editor 审核文章

1 2	POST http://localhost:8081/articles/1/review?approved=true Header: satoken:

预期响应：

1	{ "code": 200, "msg": "文章审核通过", "data": null }

场景五：user 尝试发布文章（应被拒绝）

1 2	POST http://localhost:8081/articles/1/publish Header: satoken:

预期响应：

1	{ "code": 403, "msg": "无权发布文章，请联系编辑或管理员", "data": null }

场景六：editor 发布已审核的文章

1 2	POST http://localhost:8081/articles/1/publish Header: satoken:

预期响应：

1	{ "code": 200, "msg": "文章发布成功", "data": null }

场景七：admin 强制发布草稿状态的文章

先让 user 再创建一篇文章（不提交审核，保持草稿状态），记录 ID 为 2，然后：

1 2	POST http://localhost:8081/articles/2/publish Header: satoken:

预期响应：

1	{ "code": 200, "msg": "管理员强制发布成功", "data": null }

admin 越过了"必须先审核"的流程限制，直接发布——这是 hasRole("admin") 分支优先执行的效果。

场景八：验证已发布文章的访问权限

文章 1 已发布，用 user 的 Token 访问：

1 2	GET http://localhost:8081/articles/1 Header: satoken:

预期：正常返回文章数据（已发布，所有登录用户可查看）。

场景九：验证未发布文章的访问权限

再创建一篇文章（保持草稿，不提交），ID 为 3，作者是 user（userId=10002）。用 Token-E（editor）访问：

1 2	GET http://localhost:8081/articles/3 Header: satoken:

预期：正常返回（editor 可查看任何文章）。

再用另一个 user 账号登录（此处用同一个 user 账号模拟"他人"即可，因为文章 3 的 authorId 是 10002，当前请求者也是 10002，所以会走作者本人分支——如需严格测试，可创建第二个 user 账号来验证"他人无权查看草稿"场景）。

以下是完整的权限测试矩阵，对照验证：

操作	admin	editor	user（作者）	未登录
创建文章	✅	✅	✅	❌ 401
提交审核（自己的）	✅	✅	✅	❌ 401
提交审核（别人的）	❌ 403 归属	❌ 403 归属	❌ 403 归属	❌ 401
审核文章	✅	✅	❌ 403 角色	❌ 401
发布（草稿/待审）	✅ 强制	❌ 403 状态	❌ 403 角色	❌ 401
发布（已审核）	✅	✅	❌ 403 角色	❌ 401
撤回（自己的文章）	✅	❌ 403 归属	✅（草稿/待审）	❌ 401
撤回（任意文章）	✅	❌ 403 归属	❌ 403 归属	❌ 401
查看（已发布）	✅	✅	✅	❌ 401
查看（未发布，自己的）	✅	✅	✅	❌ 401
查看（未发布，他人的）	✅	✅	❌ 403	❌ 401

4.6. 本章总结

本章回顾

本章完成了编程式鉴权的完整建设。在 API 层面，系统梳理了 has 系列（返回 boolean，适合条件分支）和 check 系列（抛异常，适合直接中断）两组方法的完整签名，以及 getPermissionList() 和 getRoleList() 四个获取型 API 的用法。在实战层面，文章管理系统的六条业务规则覆盖了编程式鉴权的三种核心应用场景：纯角色判断（hasRoleOr 做多角色 OR 分支）、角色 + 状态组合判断（不同角色跳过不同的状态限制）、角色 + 数据归属组合判断（admin 全局权限优先，作者只能操作自己的数据）。为了覆盖三种角色的完整测试路径，同步在 LoginController 和 StpInterfaceImpl 中补充了 editor 账号及其权限映射。九个测试场景从"创建 → 提交 → 审核 → 发布 → 查看"完整串联了文章的生命周期，最终形成覆盖四种身份的权限测试矩阵。

核心汇总表

API 分组	方法示例	返回值	失败行为	适用场景
has 系列	`hasRole()` / `hasPermission()`	`boolean`	返回 false	条件分支（if-else）
has 系列（多值）	`hasRoleOr()` / `hasPermissionAnd()`	`boolean`	返回 false	多角色/权限组合判断
check 系列	`checkRole()` / `checkPermission()`	`void`	抛出异常	不满足则直接中断请求
check 系列（多值）	`checkRoleOr()` / `checkPermissionAnd()`	`void`	抛出异常	多角色/权限组合校验
获取型	`getPermissionList()` / `getRoleList()`	`List`	—	返回完整权限/角色列表

编程式鉴权的三种核心场景	判断维度	推荐写法
纯角色 / 权限判断	只看角色或权限码	`hasRole` / `hasRoleOr` + if-else
角色 + 状态组合	不同角色跳过不同状态限制	先判断高权限角色（admin），再判断低权限角色条件
角色 + 数据归属组合	特权角色不受归属限制，普通用户只能操作自己的	先判断特权角色，再判断归属，最后判断状态

注解鉴权 vs 编程式鉴权	注解无法表达的场景
数据归属判断	只有作者本人可以操作
状态依赖的权限	文章必须是"已审核"才能发布
角色差异化分支	admin 强制发布，editor 受状态限制
运行时数据组合条件	任何依赖数据库查询结果的权限判断

登录注册番外篇（二） - Sa-Token：会话全生命周期管理

2026-02-08T04:38:17.000Z

第一章. 多端登录策略：两个配置项决定一切

环境版本

组件	版本
JDK	17
Spring Boot	3.4.x
Sa-Token	1.44.0
Redis	7.x

阶段式学习路径

在番外篇（一）中，我们用 StpUtil.login(10001) 完成了最基础的登录，并通过 Redis 实验观察了会话数据的存储结构。但有一个关键问题一直没有回答：同一个账号能不能在多个设备上同时登录？如果能，上限是多少？如果不能，新登录是挤掉旧登录还是直接拒绝？

本章我们将深入 Sa-Token 的多端登录策略，理解两个配置项背后的组合逻辑，并把番外篇（一）中的登录接口升级为支持设备类型和差异化策略的完整版本。

在开始之前，需要先对 application.yml 做一处调整。番外篇（一）中我们配置的是 is-share: true，这会导致同一账号多次登录拿到同一个 Token，无法演示多设备独立会话的效果。将它改为 false：

📄 src/main/resources/application.yml（修改）

1
2
3

sa-token:
  is-concurrent: true
  is-share: false   # 从 true 改为 false，每次登录生成独立 Token

这一改动的效果是：同一账号在不同设备上登录时，每次都会拿到一个全新的 Token，旧 Token 不失效。我们在后面的测试中会直接看到这个变化。

1.1. 两个配置项决定登录行为

is-concurrent 和 is-share 是两个相互独立的维度，它们的组合决定了整个项目的多端登录策略。

is-concurrent 回答的问题是"允不允许同时在多个设备上登录"。设置为 true 时，同一账号可以在手机、电脑、平板上同时保持登录状态；设置为 false 时，新设备一登录，旧设备的会话立刻失效，同一时刻只有一个有效会话存在。

is-share 在 is-concurrent=true 的前提下才有意义，它回答的是"多个设备是否共用同一个 Token"。设置为 true 时，账号的多次登录会拿到同一个 Token 值（前提是之前的 Token 仍在有效期内）；设置为 false 时，每次登录都生成一个全新的 Token，各设备的会话彼此独立。

两者组合，产生三种实际可用的登录模式：

is-concurrent	is-share	登录模式	适用场景
true	true	多端共享 Token	对安全要求不高、希望减少 Token 数量的场景
true	false	多端独立 Token	最常用，既允许多设备在线，又能独立管理各设备会话
false	—	单端登录	对安全敏感的场景，如金融账户

我们目前的配置是第二种模式——多端独立 Token，也是生产项目中最常见的选择。

在继续之前，先用一个 Redis 实验直接感受 is-share 前后的差异。

实验：观察 is-share 切换对 Redis 数据的影响

将 is-share 临时改回 true，用同一账号连续登录两次，然后查看 Redis：

1 2	# 查找该账号下的所有 Token 关联键 keys sa-token:login:token-list:login:10001

你会看到列表中只有一条 Token 记录——两次登录共用了同一个 Token 值。

现在将 is-share 改为 false，再次连续登录两次，重复查询：

1	keys sa-token:login:token-list:login:10001

这次列表中出现了两条不同的 Token 记录。每次登录都独立生成了一个新的 Token，两个 Token 同时有效，互不影响。

这个实验印证了配置含义，也解释了为什么本系列后续的多设备测试必须在 is-share: false 下进行——只有每次登录拿到独立 Token，我们才能观察到"设备 A 被踢下线但设备 B 不受影响"的真实效果。

1.2. SaLoginParameter：登录时的动态参数

全局配置是项目级的默认策略，但现实中不同角色的登录行为往往不同——管理员可能需要严格的单端限制，普通用户可以多端并行。如果只靠 application.yml，就只能给所有账号统一一套规则。

Sa-Token 为此提供了 SaLoginParameter，它是登录时的动态参数对象，其中的任何配置都会覆盖 application.yml 中对应的全局配置，且只对当次登录生效。使用时将它作为 StpUtil.login() 的第二个参数传入：

StpUtil.login(userId, new SaLoginParameter()
        .setDeviceType("PC")         // 设备类型
        .setIsConcurrent(true)       // 是否允许并发（覆盖全局 is-concurrent）
        .setIsShare(false)           // 是否共用 Token（覆盖全局 is-share）
        .setMaxLoginCount(3)         // 最大同时在线设备数，-1 不限制
        .setTimeout(60 * 60 * 24 * 7) // Token 有效期（秒），覆盖全局 timeout
);

以下是本章会用到的核心配置项说明：

配置方法	对应全局配置	说明
`setDeviceType(String)`	无全局对应	设置此次登录的设备类型标识，如 `PC` / `APP` / `PAD`
`setIsConcurrent(Boolean)`	`is-concurrent`	是否允许同一账号并发登录
`setIsShare(Boolean)`	`is-share`	并发登录时是否共用 Token
`setMaxLoginCount(int)`	无全局对应	最大同时在线设备数，超限时自动踢掉最早的会话
`setTimeout(long)`	`timeout`	本次登录 Token 的有效期（秒）

理解了 SaLoginParameter 的定位之后，我们来升级登录接口。

1.3. 升级登录接口：双账号 + 设备类型 + 差异化策略

番外篇（一）的登录接口只支持一个硬编码账号 admin/123456，且所有用户共用同一个 userId 10001。现在我们把它升级为支持多账号、多设备类型、按角色差异化配置的完整版本。

📄 src/main/java/com/example/authsatoken/controller/LoginController.java（修改，替换 login 方法）

package com.example.authsatoken.controller;

import cn.dev33.satoken.stp.SaLoginParameter;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;
import org.springframework.web.bind.annotation.*;

import java.util.Map;

@RestController
@RequestMapping("/auth")
public class LoginController {

    // 模拟用户数据：账号 → [密码, userId]
    // 实际项目中应查询数据库，这里仅用于聚焦 Sa-Token 本身的行为
    private static final Maplong[]> USER_DB = Map.of(
            "admin", new long[]{123456L, 10001L},
            "user",  new long[]{123456L, 10002L}
    );

    /**
     * 登录接口（升级版）
     * 支持设备类型参数，管理员与普通用户采用不同的登录策略
     *
     * @param username 用户名
     * @param password 密码
     * @param device   设备类型（PC / APP / PAD），默认 PC
     */
    @PostMapping("/login")
    public SaResult login(@RequestParam String username,
                          @RequestParam String password,
                          @RequestParam(required = false, defaultValue = "PC") String device) {
        // 1. 校验账号是否存在
        if (!USER_DB.containsKey(username)) {
            return SaResult.error("用户名或密码错误");
        }
        long[] userInfo = USER_DB.get(username);
        long storedPassword = userInfo[0];
        long userId = userInfo[1];

        // 2. 校验密码（实际项目中应对比哈希值，这里简化演示）
        if (storedPassword != Long.parseLong(password)) {
            return SaResult.error("用户名或密码错误");
        }

        // 3. 根据角色构建差异化的登录参数
        boolean isAdmin = "admin".equals(username);
        SaLoginParameter loginParam = new SaLoginParameter()
                .setDeviceType(device)
                // 管理员：不允许并发，严格单端；普通用户：允许多端
                .setIsConcurrent(!isAdmin)
                // 管理员最多同时在线 1 个设备；普通用户最多 2 个
                .setMaxLoginCount(isAdmin ? 1 : 2);

        // 4. 执行登录，返回 Token 给前端
        StpUtil.login(userId, loginParam);
        return SaResult.ok("登录成功").setData(StpUtil.getTokenValue());
    }

    /**
     * 注销当前会话
     */
    @PostMapping("/logout")
    public SaResult logout() {
        StpUtil.logout();
        return SaResult.ok("已退出登录");
    }

    /**
     * 查询当前是否已登录（不要求登录即可访问）
     */
    @GetMapping("/isLogin")
    public SaResult isLogin() {
        return SaResult.ok(StpUtil.isLogin());
    }
}

有几个关键点值得注意。

USER_DB 用 Map.of() 模拟了一个内存数据库：admin 账号对应 userId 10001，user 账号对应 userId 10002，两者完全独立。这样后续测试多账号并发、互相踢人等场景时逻辑才是自洽的。

登录参数的差异化体现在第 3 步：通过 isAdmin 这一个布尔值，admin 账号登录时 setIsConcurrent(false)（覆盖全局的 true），强制单端互斥；user 账号保持 setIsConcurrent(true)，允许多端在线。两个账号使用同一个接口，却执行了截然不同的登录策略。

setMaxLoginCount(isAdmin ? 1 : 2) 只在 isConcurrent=true, isShare=false 时才有意义。对于 admin 账号，isConcurrent 已经是 false，框架层面天然只允许一个会话，这里的 maxLoginCount=1 是为了语义对称。对于 user 账号，maxLoginCount=2 意味着当第 3 个设备登录时，框架会自动将登录时间最早的那个 Token 踢下线。

1.4. 验证同端互斥效果

现在重启项目，通过一组测试来验证多端登录策略的完整行为。测试过程中在 Postman 的 Header 中携带 satoken: 发起请求。

步骤 1：user 账号以 PC 端登录，记录返回的 Token-A

1	POST http://localhost:8081/auth/login?username=user&password=123456&device=PC

响应中 data 字段的值就是 Token-A，复制备用。

步骤 2：同一 user 账号以 APP 端登录，记录返回的 Token-B

1	POST http://localhost:8081/auth/login?username=user&password=123456&device=APP

此时 Token-A 和 Token-B 同时有效——两个不同设备类型的会话互不干扰。

步骤 3：再次以 PC 端登录，记录返回的 Token-C

1	POST http://localhost:8081/auth/login?username=user&password=123456&device=PC

步骤 4：验证 Token-A 已被顶替，Token-B 仍然有效

用 Token-A 访问任意需要登录的接口（比如后续章节会添加的 /auth/info）：

1 2	GET http://localhost:8081/auth/isLogin Header: satoken:

此步骤验证的是 replaced（顶替下线）行为。当前 isLogin 接口不主动校验登录，返回的是 false 而非异常。第四章添加全局异常处理器后，携带已顶替 Token 访问需要登录的接口，将收到 { "code": 401, "msg": "您的账号已在其他设备登录，当前会话已下线" } 的 JSON 响应。

用 Token-B（APP 端）重复上述请求，仍然返回 true——APP 端完全没有受到影响。这就是同端互斥的核心表现：同设备类型互斥，不同设备类型共存。

步骤 5：验证 admin 账号的单端限制

1	POST http://localhost:8081/auth/login?username=admin&password=123456&device=PC

记录 Token-D，然后再次以同账号任意设备类型登录：

1	POST http://localhost:8081/auth/login?username=admin&password=123456&device=APP

用 Token-D 访问接口，会发现它已经失效——admin 账号的 isConcurrent=false 使得任何新登录都会顶替所有旧会话，无论设备类型是否相同。

以下是测试结果的完整矩阵，对照验证：

操作	Token-A (user/PC)	Token-B (user/APP)	Token-C (user/PC)	Token-D (admin/PC)
user/PC 登录后	✅ 有效	—	—	—
user/APP 登录后	✅ 有效	✅ 有效	—	—
user/PC 再次登录后	❌ 被顶替	✅ 有效	✅ 有效	—
admin/APP 登录后	❌ 无关	❌ 无关	❌ 无关	❌ 被顶替

1.5. 本章总结

本章回顾

本章完成了登录策略从"全局统一"到"按角色差异化"的升级。我们首先通过 Redis 实验直观感受了 is-share 切换前后的存储差异，确立了多端独立 Token 作为后续演示基础的必要性。随后系统介绍了 SaLoginParameter 的五个核心配置方法，理解了它作为"登录时动态覆盖全局配置"的定位。在代码层面，登录接口从单一硬编码账号升级为双账号独立 userId 的模拟数据结构，并通过三元表达式实现了"管理员单端、普通用户多端（上限 2 个）"的差异化策略。最后通过多步骤测试验证了同端互斥的完整行为，形成了可供对照的测试矩阵。

核心汇总表

配置组合	行为	典型场景
`is-concurrent=true, is-share=true`	多设备共用一个 Token	简单项目，对设备隔离要求低
`is-concurrent=true, is-share=false`	多设备各持独立 Token	主流选择，支持独立设备管理
`is-concurrent=false`	新登录挤掉一切旧登录	金融、安全敏感场景

第二章. Token 生命周期管理

阶段式学习路径

第一章解决了"同一个账号能不能多端登录"的问题。但还有一个问题没有回答：Token 什么时候会自然失效？用户在手机上登录后，放一周不操作，再打开 App 还需要重新登录吗？如果需要，失效的时机是固定的 7 天，还是"只要你还在用就一直有效"？

这就是本章要讲的——Token 的生命周期。Sa-Token 提供了两个独立的有效期维度，它们可以单独使用，也可以组合叠加，覆盖绝大多数项目对会话时效的业务需求。本章最后还会讲解"记住我"功能的实现原理，以及前后端分离环境下的替代方案。

2.1. 两个有效期维度

Sa-Token 对 Token 有效期的控制由两个配置项决定，它们回答的是两个完全不同的问题。

timeout 回答的是"Token 的绝对寿命是多少"。一个 Token 被创建出来的那一刻，它的倒计时就开始了。无论这段时间内用户是否活跃、访问了多少次接口，只要 timeout 指定的秒数一到，Token 就会失效。它是不可续签的——每次请求都不会重置这个倒计时。

active-timeout 回答的是"用户多久不操作才算不活跃"。每次携带有效 Token 访问接口时，框架会自动将这个计时器重置为初始值。只要用户持续在使用，Token 就会一直续签下去；一旦超过 active-timeout 指定的秒数没有任何请求，Token 才会被冻结失效。

两个配置项都在 application.yml 中设置：

sa-token:
  # Token 绝对有效期，单位：秒，-1 代表永久有效
  timeout: 2592000        # 30 天
  # Token 最低活跃频率，单位：秒，-1 代表不启用活跃检查
  active-timeout: 1800    # 30 分钟

active-timeout 默认值为 -1（不启用）。只配置 timeout 是完全合法的用法，大多数简单项目也只用 timeout 就够了。

2.2. 两个维度的组合逻辑

单独理解两个配置项并不难，真正需要思考的是它们 叠加在一起时的行为。

当两个配置同时启用时，框架采用的是 双重门槛，任意一个触发则失效 的策略。也就是说，Token 必须同时满足"未超过绝对有效期"和"最近一次请求距今未超过活跃期"，才会被认为是有效的。

这产生了几个经典的业务组合：

“7 天内免登录，但连续 30 分钟不操作自动退出”

1
2
3

sa-token:
  timeout: 604800      # 7 天绝对上限
  active-timeout: 1800 # 30 分钟活跃期

用户登录后，只要每隔不超过 30 分钟发起一次请求，Token 就会一直续签；但无论续签多少次，7 天到期后 Token 必然失效，用户需要重新登录。这是大多数 ToC 产品的标准策略。

“永不过期，但长时间不用会掉线”

1
2
3

sa-token:
  timeout: -1          # 绝对有效期关闭
  active-timeout: 7200 # 2 小时活跃期

Token 没有固定的寿命，只要用户保持活跃就一直在线。适合内部工具、管理后台等对持久登录有要求、但也不希望长时间挂机占用会话资源的场景。

“固定 30 天有效，不论是否活跃”

1
2
3

sa-token:
  timeout: 2592000     # 30 天
  active-timeout: -1   # 不启用活跃检查

最简单的策略，Token 在 30 天内始终有效，不受访问频率影响。适合移动端 App、"记住我"场景。

2.3. 手动操作 Token 有效期

除了依靠框架自动管理，Sa-Token 也暴露了一组 API，允许在代码中手动查询和修改 Token 的有效期。

查询剩余有效期

// 获取当前 Token 的绝对有效期剩余秒数
// 返回 -1 表示永久有效，返回 -2 表示 Token 不存在或已失效
long timeout = StpUtil.getTokenTimeout();

// 获取当前 Token 的活跃有效期剩余秒数
// 返回 -1 表示未启用 active-timeout，返回 -2 表示已冻结
long activeTimeout = StpUtil.getTokenActiveTimeout();

手动续签

// 续签当前 Token 的活跃有效期（重置 active-timeout 倒计时）
// 通常不需要手动调用，框架在每次请求时会自动续签
// 适用场景：某些不经过 Sa-Token 拦截器的后台任务，需要主动保持会话活跃
StpUtil.updateLastActiveToNow();

// 将当前 Token 的绝对有效期续签为指定秒数
StpUtil.renewTimeout(86400);   // 续签 1 天

在登录时指定本次的有效期

SaLoginParameter 也可以单独指定这一次登录的 Token 有效期，覆盖全局的 timeout 配置：

1 2	// 指定此次登录的 Token 绝对有效期为 7 天 StpUtil.login(10001, new SaLoginParameter().setTimeout(60 * 60 * 24 * 7));

这个用法在第一章已经出现过。结合本章的知识，你可以理解它的完整含义：只影响这一次登录生成的 Token，项目中其他账号的登录行为不受影响。

2.4. 为 `/auth/info` 接口添加有效期信息

为了让后续章节的测试有一个统一的"查看当前会话状态"的入口，我们现在向 LoginController 中添加 /auth/info 接口，并在返回数据中包含 Token 的剩余有效期信息。

📄 src/main/java/com/example/authsatoken/controller/LoginController.java（追加方法）

在已有的 isLogin 方法下方追加：

import cn.dev33.satoken.stp.SaTokenInfo;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * 获取当前登录会话的详细信息
 * 包含 loginId、tokenValue、剩余有效期等，此接口需要已登录才能访问
 */
@GetMapping("/info")
public SaResult info() {
    StpUtil.checkLogin();
    SaTokenInfo tokenInfo = StpUtil.getTokenInfo();

    Map data = new LinkedHashMap<>();
    data.put("loginId",      tokenInfo.loginId);
    data.put("tokenValue",   tokenInfo.tokenValue);
    data.put("timeout",      StpUtil.getTokenTimeout());       // 绝对有效期剩余秒数
    data.put("activeTimeout",StpUtil.getTokenActiveTimeout()); // 活跃有效期剩余秒数
    return SaResult.data(data);
}

登录后访问此接口，响应大致如下：

{
    "code": 200,
    "msg": "ok",
    "data": {
        "loginId": "10002",
        "tokenValue": "xxxx-xxxx-xxxx-xxxx",
        "timeout": 2591856,
        "activeTimeout": 1793
    }
}

timeout 会随着时间流逝单调递减，始终不重置；activeTimeout 则每次调用此接口后都会被重置回 1800，因为访问本身就是一次"活跃"行为。

2.5. [记住我] 模式

几乎所有带登录页面的产品都有这个按钮。勾选之后，即使关闭浏览器再重新打开，依然处于登录状态，不需要再次输入密码。

Sa-Token 通过 StpUtil.login() 的第二个参数支持这一功能：

// 记住我：关闭浏览器后 Token 依然有效
StpUtil.login(10001, true);

// 不记住我：关闭浏览器后 Token 消失，会话失效
StpUtil.login(10001, false);

这个功能的底层依赖浏览器 Cookie 的两种生命周期：

持久 Cookie：有一个具体的过期时间。浏览器关闭后重新打开，Cookie 依然存在，Token 照常有效。
临时 Cookie：有效期为"本次会话"。只要浏览器窗口关闭，Cookie 就随之消失，Token 再也无法被携带到服务端，会话自然失效。

StpUtil.login(10001, true) 对应持久 Cookie，StpUtil.login(10001, false) 对应临时 Cookie。框架在登录时根据这个参数决定向浏览器写入哪种 Cookie。

在我们现有的登录接口中，可以将 [记住我] 作为一个请求参数接入：

📄 src/main/java/com/example/authsatoken/controller/LoginController.java（修改 login 方法，追加 rememberMe 参数）

@PostMapping("/login")
public SaResult login(@RequestParam String username,
                      @RequestParam String password,
                      @RequestParam(required = false, defaultValue = "PC") String device,
                      @RequestParam(required = false, defaultValue = "false") boolean rememberMe) {

    if (!USER_DB.containsKey(username)) {
        return SaResult.error("用户名或密码错误");
    }
    long[] userInfo = USER_DB.get(username);
    if (userInfo[0] != Long.parseLong(password)) {
        return SaResult.error("用户名或密码错误");
    }

    long userId = userInfo[1];
    boolean isAdmin = "admin".equals(username);

    SaLoginParameter loginParam = new SaLoginParameter()
            .setDeviceType(device)
            .setIsConcurrent(!isAdmin)
            .setMaxLoginCount(isAdmin ? 1 : 2)
            // 将前端传入的 rememberMe 映射为持久/临时 Cookie
            .setIsLastingCookie(rememberMe);

    StpUtil.login(userId, loginParam);
    return SaResult.ok("登录成功").setData(StpUtil.getTokenValue());
}

setIsLastingCookie(true) 等价于 StpUtil.login(id, true)，两者最终效果相同，只是前者通过 SaLoginParameter 传入，可以和其他登录参数组合使用。

前后端分离模式下如何实现 [记住我]

Cookie 虽好，却无法在前后端分离环境下使用——App、小程序等客户端默认没有实现 Cookie 功能，无法依赖框架自动写入和读取。这种情况下，Token 的存储和生命周期需要由 前端自己管理。

在 PC 浏览器的前后端分离场景（如 Vue + Axios）下：

// 勾选了 [记住我]：存入 localStorage，浏览器关闭后依然保留
localStorage.setItem("satoken", "xxxx-xxxx-xxxx-xxxx");

// 未勾选 [记住我]：存入 sessionStorage，标签页关闭后自动清除
sessionStorage.setItem("satoken", "xxxx-xxxx-xxxx-xxxx");

两种环境的核心思路是一致的：持久存储 → 记住我；会话级存储 → 不记住我。只是从浏览器 Cookie 的两种模式，变成了前端存储 API 的两种选择。服务端的代码不需要做任何改动，改变的只是前端把 Token 存在哪里。

前后端分离模式下，Token 的过期仍然由服务端的 timeout 和 active-timeout 控制。前端的"持久存储"只是保证了 Token 字符串不会因为关闭应用而丢失，并不会延长 Token 本身的有效期。

2.6. 本章总结

本章回顾

本章系统梳理了 Token 从创建到失效的两个时间维度。timeout 是绝对有效期，从登录时开始倒计时，不受请求频率影响；active-timeout 是活跃有效期，每次请求都会重置，长时间不操作才触发失效。两者独立配置，可以组合出"固定寿命"“活跃续签”"活跃续签 + 绝对上限"等多种策略，覆盖不同安全需求的业务场景。在代码层面，我们补充了查询和手动续签有效期的 API，新增了 /auth/info 接口作为后续测试的会话状态查询入口。最后讲解了"记住我"功能的 Cookie 实现原理，以及在前后端分离环境中用前端存储 API 替代 Cookie 的完整方案。

核心汇总表

配置项	含义	续签行为	典型值
`timeout`	Token 绝对有效期	不续签，倒计时不可重置	`2592000`（30 天）
`active-timeout`	Token 活跃有效期	每次请求自动重置	`1800`（30 分钟）
`-1`	关闭该维度的检查	—	两个配置项均支持

常用 API	说明
`StpUtil.getTokenTimeout()`	查询当前 Token 绝对有效期剩余秒数
`StpUtil.getTokenActiveTimeout()`	查询当前 Token 活跃有效期剩余秒数
`StpUtil.updateLastActiveToNow()`	手动续签活跃有效期
`StpUtil.renewTimeout(sec)`	将绝对有效期续签为指定秒数

[记住我] 实现方式	持久登录	非持久登录
传统 Cookie 模式	`setIsLastingCookie(true)`	`setIsLastingCookie(false)`
uni-app	`uni.setStorageSync()`	`getApp().globalData`
PC 浏览器前后端分离	`localStorage`	`sessionStorage`

第三章. 读取当前会话信息

阶段式学习路径

前两章解决了"怎么登录"和"Token 活多久"的问题。但登录成功之后，还有一个同样高频的需求没有覆盖：如何从当前请求中取出"我是谁"？

每一个需要登录的接口，几乎都要做同一件事——先拿到当前用户的 ID，再用这个 ID 去查业务数据。除此之外，你可能还需要知道当前 Token 的完整信息、这个账号在所有设备上的在线情况，甚至只是判断一下"这个请求到底有没有登录"。

本章系统梳理 Sa-Token 为此提供的全部 API，并完善 /auth/info 接口，让它成为后续章节测试中真正好用的会话状态查询入口。

3.1. 获取当前登录用户 ID

StpUtil.getLoginId() 是使用频率最高的 API，没有之一。它的返回值是 Object 类型，因为 Sa-Token 内部将 loginId 统一以字符串形式存储（我们在番外篇一中通过 Redis 实验验证过这一点），所以直接拿到的是 String。

为了让调用方不必每次手动转型，Sa-Token 提供了几个带类型的重载方法：

// 返回 Object 类型，实际是 String
Object loginId = StpUtil.getLoginId();

// 返回 String 类型（等价于 String.valueOf(getLoginId())）
String loginIdStr = StpUtil.getLoginIdAsString();

// 返回 long 类型（等价于 Long.parseLong(getLoginId().toString())）
long loginIdLong = StpUtil.getLoginIdAsLong();

// 返回 int 类型
int loginIdInt = StpUtil.getLoginIdAsInt();

实际项目中，如果你的 userId 是数据库自增长整型，直接用 getLoginIdAsLong() 最方便；如果是 UUID 字符串，用 getLoginIdAsString()。

这几个方法在未登录时都会直接抛出 NotLoginException，而不是返回 null。如果你在一个不确定是否已登录的场景下调用它们，需要先用 StpUtil.isLogin() 判断，或者用 try-catch 捕获异常。

如果你需要取的不是当前请求者的 ID，而是某个 Token 对应的 loginId（比如管理后台根据 Token 反查账号），可以使用：

1 2	// 根据 Token 值反查其对应的 loginId，Token 无效时返回 null Object loginId = StpUtil.getLoginIdByToken("xxxx-xxxx-xxxx-xxxx");

3.2. 获取 Token 信息

StpUtil.getTokenValue() 返回当前请求携带的 Token 字符串，是最直接的方式：

1 2	// 获取当前请求的 Token 字符串 String tokenValue = StpUtil.getTokenValue();

如果你需要的不只是 Token 值，而是这个 Token 的完整元数据，使用 getTokenInfo()：

1	SaTokenInfo tokenInfo = StpUtil.getTokenInfo();

SaTokenInfo 包含以下字段：

{
    "code": 200,
    "msg": "ok",
    "data": {
        "tokenName": "satoken",
        "tokenValue": "4ed22f86-9982-4c79-89f0-42047e7ce830",
        "isLogin": true,
        "loginId": "10002",
        "loginType": "login",
        "tokenTimeout": 2564356,
        "sessionTimeout": 2564356,
        "tokenSessionTimeout": -2,
        "tokenActiveTimeout": -1,
        "loginDeviceType": "PC",
        "tag": null
    }
}

大多数情况下，你不需要把所有字段都返回给前端，按需取用即可。

3.3. 查询登录状态

Sa-Token 提供了两个语义相近但行为截然不同的方法：

// 查询：当前请求是否已登录，返回 true / false，不抛异常
boolean result = StpUtil.isLogin();

// 校验：当前请求必须已登录，未登录则直接抛出 NotLoginException
StpUtil.checkLogin();

两者的核心区别在于：isLogin() 是查询，只告诉你结果；checkLogin() 是校验，不满足条件就中断请求。

什么时候用 isLogin()？

适合那些"登录与否都能访问，但登录后返回更多数据"的场景：

@GetMapping("/article/{id}")
public SaResult getArticle(@PathVariable Long id) {
    Article article = articleService.getById(id);
    if (StpUtil.isLogin()) {
        // 已登录用户额外返回点赞状态、收藏状态
        article.setLiked(likeService.isLiked(StpUtil.getLoginIdAsLong(), id));
    }
    return SaResult.data(article);
}

什么时候用 checkLogin()？

适合那些"没有登录就没有任何意义"的接口——直接校验，不满足就抛异常，配合第四章的全局异常处理器自动返回 401：

@GetMapping("/profile")
public SaResult getProfile() {
    StpUtil.checkLogin();   // 未登录直接抛异常，后续代码不会执行
    long userId = StpUtil.getLoginIdAsLong();
    return SaResult.data(userService.getById(userId));
}

注解鉴权（将在第三篇讲解）的 @SaCheckLogin 本质上就是在方法入口自动调用了 checkLogin()，两者效果完全等价，只是表达方式不同。

3.4. 查询一个账号的所有在线终端

第一章的多端登录场景中，我们用 user 账号同时在 PC 和 APP 上登录，产生了两个独立的 Token。如果想知道这个账号当前一共有几个设备在线，以及每个设备对应的 Token 是什么，使用：

1 2	// 获取指定 loginId 当前所有有效 Token 的列表 List tokenList = StpUtil.getTokenValueListByLoginId(10002L);

返回的列表中，每一个字符串就是一个在线设备的 Token 值。列表为空表示该账号当前没有任何在线会话。

配合 getLoginDevice() 可以进一步查询每个 Token 对应的设备类型：

1 2	// 获取当前请求 Token 登录时声明的设备类型 String device = StpUtil.getLoginDevice();

这两个 API 组合起来，就是"账号安全"页面中展示"当前登录设备列表"功能的数据来源。

3.5. 完善 `/auth/info` 接口

上一章我们添加了 /auth/info 接口的雏形，只返回了几个基本字段。现在结合本章的知识，将它完善为包含完整会话信息的版本。

📄 src/main/java/com/example/authsatoken/controller/LoginController.java（修改 info 方法）

import cn.dev33.satoken.stp.SaTokenInfo;
import java.util.LinkedHashMap;
import java.util.List;
import java.util.Map;

/**
 * 获取当前登录会话的完整信息
 * 包含 loginId、设备类型、Token 值、有效期、当前账号所有在线终端
 * 此接口需要已登录才能访问
 */
@GetMapping("/info")
public SaResult info() {
StpUtil.checkLogin();
SaTokenInfo tokenInfo = StpUtil.getTokenInfo();

// 获取当前账号所有在线 Token（含当前设备）
List tokenList = StpUtil.getTokenValueListByLoginId(StpUtil.getLoginId());

Map data = new LinkedHashMap<>();
data.put("loginId",       tokenInfo.loginId);
data.put("loginDevice",   tokenInfo.loginDeviceType);           // 当前设备类型
data.put("tokenValue",    tokenInfo.tokenValue);
data.put("timeout",       tokenInfo.tokenTimeout);          // 绝对有效期剩余秒数
data.put("activeTimeout", tokenInfo.tokenActiveTimeout);    // 活跃有效期剩余秒数
data.put("onlineCount",   tokenList.size());                // 当前账号在线设备数
data.put("tokenList",     tokenList);                       // 所有在线设备的 Token 列表
return SaResult.data(data);
}

登录后访问此接口，响应大致如下：

{
    "code": 200,
    "msg": "ok",
    "data": {
        "loginId": "10002",
        "loginDevice": "PC",
        "tokenValue": "xxxx-xxxx-xxxx-xxxx",
        "timeout": 2591743,
        "activeTimeout": 1800,
        "onlineCount": 2,
        "tokenList": [
            "aaaa-aaaa-aaaa-aaaa",
            "xxxx-xxxx-xxxx-xxxx"
        ]
    }
}

onlineCount 为 2 说明这个账号当前有两个设备在线，tokenList 中两条记录分别对应不同的登录会话。这个接口将成为后续三章测试下线行为时最直接的观测工具——踢人之前看一次，踢人之后再看一次，变化一目了然。

3.6. 本章总结

本章回顾

本章系统梳理了登录成功后读取会话信息的全部 API。getLoginId() 系列方法解决了"取当前用户 ID"这一最高频的需求，并通过带类型的重载版本避免了手动转型的繁琐。getTokenInfo() 提供了 Token 的完整元数据，包含有效期、设备类型、登录状态等字段，满足需要展示详细会话信息的场景。isLogin() 与 checkLogin() 的区别从语义层面做了厘清——前者是查询，后者是校验，选错了轻则逻辑错误，重则该拦截的请求没有拦截。最后补充了 getTokenValueListByLoginId() 用于查询一个账号的全部在线终端，并将 /auth/info 接口升级为包含在线终端列表的完整版本，为后续章节的下线行为测试准备好了观测入口。

核心汇总表

API	返回值	说明
`StpUtil.getLoginId()`	Object（实为 String）	当前登录用户 ID，未登录抛异常
`StpUtil.getLoginIdAsString()`	String	同上，自动转 String
`StpUtil.getLoginIdAsLong()`	long	同上，自动转 long
`StpUtil.getLoginIdByToken(token)`	Object	根据 Token 值反查 loginId，无效返回 null
`StpUtil.getTokenValue()`	String	当前请求携带的 Token 字符串
`StpUtil.getTokenInfo()`	SaTokenInfo	Token 完整元数据（有效期、设备类型等）
`StpUtil.getLoginDevice()`	String	当前 Token 登录时声明的设备类型
`StpUtil.isLogin()`	boolean	查询是否已登录，不抛异常
`StpUtil.checkLogin()`	void	校验必须已登录，未登录抛 NotLoginException
`StpUtil.getTokenValueListByLoginId(id)`	List	指定账号当前所有在线 Token 列表

`isLogin()` vs `checkLogin()`	适用场景
`isLogin()`	登录与否都能访问，但登录后返回更多数据
`checkLogin()`	未登录没有任何意义，直接中断请求

第四章. 全局异常处理器与统一响应格式

阶段式学习路径

前三章搭建起了登录、会话信息查询的基础能力，但有一个问题一直被我们悬置着：访问 /auth/info 这类需要登录的接口时，如果请求者没有携带 Token，会发生什么？

目前的答案是：Spring Boot 会返回一段 HTML 格式的错误页面。前端完全无法解析，也无法据此做出任何有意义的跳转或提示。更严重的是，Sa-Token 在不同的"未登录"情况下会抛出不同的异常——Token 过期、Token 被踢出、Token 被顶替，对用户来说应该是三条截然不同的提示，但现在前端收到的全是同一堆 HTML 乱码。

本章我们来彻底解决这个问题。在为第五章的下线行为测试铺路之前，我们需要先有一套能将异常转化为规范 JSON 响应的机制——全局异常处理器。

4.1. Sa-Token 会抛出哪些异常

在动手写代码之前，先建立一个完整的异常地图。Sa-Token 在认证鉴权阶段可能抛出的异常主要有以下几类：

NotLoginException：会话未通过登录校验时抛出，是使用频率最高的一个。它携带一个 type 字段，用数字标识"为什么没有登录"——这个数字叫做场景值，一共有 7 种：

场景值	常量名	触发条件
-1	`NOT_TOKEN`	请求中完全没有携带 Token
-2	`INVALID_TOKEN`	携带了 Token，但在 Redis 中找不到（已注销或从未存在）
-3	`TOKEN_TIMEOUT`	Token 存在，但已超过 `timeout` 配置的有效期
-4	`BE_REPLACED`	Token 被同设备类型的新登录顶替
-5	`KICK_OUT`	Token 被管理员通过 `kickout` 强制踢下线
-6	`TOKEN_FREEZE`	Token 因超过 `active-timeout` 活跃频率限制而被冻结
-7	`NO_PREFIX`	配置了 Token 前缀但请求没有携带正确的前缀

场景值机制的价值在于：同样是"携带了 Token 但无法通过校验"，-4 意味着"你在另一台设备上登录了"，-5 意味着"管理员把你踢出去了"，-6 意味着"太久没操作了"。前端可以根据不同的场景值展示完全不同的提示，甚至跳转到不同的页面——这是把一个异常拆成 7 个场景值的核心意义。

SaTokenException：Sa-Token 的基类异常，所有框架内部的运行时错误都继承自它。通常不需要单独捕获，在全局兜底处理中用它接住所有未预料到的框架异常即可。

本篇笔记目前只涉及登录会话生命周期，权限相关的 NotPermissionException 和 NotRoleException 将在第三篇引入权限体系时统一处理。

4.2. 创建全局异常处理器

在 com.example.authsatoken 包下新建 exception 子包，创建全局异常处理器：

📄 src/main/java/com/example/authsatoken/exception/GlobalExceptionHandler.java（新建）

package com.example.authsatoken.exception;

import cn.dev33.satoken.exception.NotLoginException;
import cn.dev33.satoken.exception.SaTokenException;
import cn.dev33.satoken.util.SaResult;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.RestControllerAdvice;

/**
 * 全局异常处理器
 * 统一捕获 Sa-Token 抛出的认证异常，转化为规范的 JSON 响应
 *
 * 当前处理范围：会话认证相关异常（NotLoginException）
 * 第三篇引入权限体系后，NotPermissionException / NotRoleException 将在此处追加
 */
@RestControllerAdvice
public class GlobalExceptionHandler {

    /**
     * 捕获未登录异常
     * 通过场景值区分不同的未登录原因，返回差异化的提示信息
     */
    @ExceptionHandler(NotLoginException.class)
    public SaResult handleNotLoginException(NotLoginException e) {
        String message = switch (e.getType()) {
            case NotLoginException.NOT_TOKEN     -> "未提供 Token，请先登录";
            case NotLoginException.INVALID_TOKEN -> "Token 无效，请重新登录";
            case NotLoginException.TOKEN_TIMEOUT -> "Token 已过期，请重新登录";
            case NotLoginException.BE_REPLACED   -> "您的账号已在其他设备登录，当前会话已下线";
            case NotLoginException.KICK_OUT      -> "您已被强制下线";
            case NotLoginException.TOKEN_FREEZE  -> "Token 已被冻结，请稍后重试";
            case NotLoginException.NO_PREFIX     -> "Token 格式不正确，请重新登录";
            default                              -> "当前会话未登录";
        };
        return SaResult.error(message).setCode(401);
    }

    /**
     * 兜底：捕获所有其他 Sa-Token 框架异常
     * 避免框架内部的未预期错误以 HTML 页面形式暴露给前端
     */
    @ExceptionHandler(SaTokenException.class)
    public SaResult handleSaTokenException(SaTokenException e) {
        return SaResult.error("认证框架异常：" + e.getMessage()).setCode(500);
    }
}

几个关键点说明。

@RestControllerAdvice 让这个类成为全局异常处理器，作用范围覆盖所有 @RestController。它是 @ControllerAdvice + @ResponseBody 的组合注解，确保返回值会被序列化为 JSON 而不是视图。

@ExceptionHandler(NotLoginException.class) 声明只处理 NotLoginException 类型的异常，其他类型的异常不受影响，仍然按 Spring 默认机制处理（或被其他 @ExceptionHandler 接管）。

switch 表达式使用的是 Java 14 正式引入、Java 17 标准化的语法。每个 -> 分支直接返回字符串值，不需要 break，比传统 switch-case 更简洁，也不容易出现 fall-through 问题。e.getType() 返回的是 int 类型的场景值，与 NotLoginException 的静态常量完全对应。

SaTokenException 的兜底处理放在最后。由于 NotLoginException 继承自 SaTokenException，Spring 会优先匹配最具体的类型——NotLoginException 会先被第一个方法捕获，只有其他 SaTokenException 子类才会落到兜底方法。

4.3. 验证异常处理效果

重启项目，通过三个测试场景验证全局异常处理器是否按预期工作。

场景一：不携带任何 Token（场景值 -1）

1	GET http://localhost:8081/auth/info

预期响应：

{
    "code": 401,
    "msg": "未提供 Token，请先登录",
    "data": null
}

场景二：携带一个随机伪造的 Token（场景值 -2）

1 2	GET http://localhost:8081/auth/info Header: satoken: this-is-a-fake-token

预期响应：

{
    "code": 401,
    "msg": "Token 无效，请重新登录",
    "data": null
}

场景三：正常登录后访问（应通过校验）

1	POST http://localhost:8081/auth/login?username=user&password=123456

拿到 Token 后：

1 2	GET http://localhost:8081/auth/info Header: satoken: <刚才拿到的 Token>

预期响应正常返回会话信息，不触发任何异常。

场景值 -3 到 -6 的触发需要特定条件（Token 过期、被踢出、被顶替、被冻结），将在第五章下线行为的测试中逐一覆盖——届时全局异常处理器会把每一种原因转化为对应的差异化提示，直观感受场景值机制的价值。

4.4. 统一响应格式的约定

目前我们的接口全部使用 SaResult 作为响应体，这是 Sa-Token 内置的一个简单工具类：

// 常用静态工厂方法
SaResult.ok();                   // { "code": 200, "msg": "ok", "data": null }
SaResult.ok("操作成功");          // { "code": 200, "msg": "操作成功", "data": null }
SaResult.ok("操作成功").setData(x); // { "code": 200, "msg": "操作成功", "data": x }
SaResult.data(x);               // { "code": 200, "msg": "ok", "data": x }
SaResult.error("操作失败");       // { "code": 500, "msg": "操作失败", "data": null }
SaResult.error("操作失败").setCode(401); // { "code": 401, "msg": "操作失败", "data": null }

SaResult 结构简单，能满足演示需求，但它并不适合直接用于生产项目。实际项目中通常会自定义响应体类，追加业务状态码、时间戳、traceId 等字段，并通过 @RestControllerAdvice 配合 ResponseBodyAdvice 对所有响应做统一包装。这些属于 Spring MVC 的工程化实践范畴，与 Sa-Token 本身无关，本系列不展开，按项目实际情况处理即可。

本系列后续所有接口保持使用 SaResult，以便把注意力集中在 Sa-Token 的功能本身。

如果你的项目使用了自定义响应体（如 R 或 Result），将 GlobalExceptionHandler 中的 SaResult.error(...).setCode(401) 替换为对应的构造方式即可，异常捕获逻辑本身完全不需要改动。

4.5. 本章总结

本章回顾

本章完成了认证异常处理体系的建设。我们首先系统梳理了 NotLoginException 的 7 种场景值，理解了为什么同样是"Token 校验失败"，框架要区分出 7 个不同的原因——差异化的场景值是差异化用户提示的前提。在代码层面，创建了 GlobalExceptionHandler，通过 Java 17 的 switch 表达式将场景值映射为对应的中文提示，并统一返回 401 状态码。兜底的 SaTokenException 处理方法确保了任何未预期的框架异常都不会以 HTML 页面的形式暴露给前端。最后简要说明了 SaResult 在本系列中的定位，以及与实际项目自定义响应体的对接方式。有了这套机制，第五章的下线行为测试才能真正看到场景值的价值——每种下线方式对应的用户提示，将从这里"翻译"出来。

核心汇总表

场景值	常量名	触发条件	对应提示示例
-1	`NOT_TOKEN`	请求未携带任何 Token	“未提供 Token，请先登录”
-2	`INVALID_TOKEN`	Token 无效或已注销	“Token 无效，请重新登录”
-3	`TOKEN_TIMEOUT`	Token 超过绝对有效期	“Token 已过期，请重新登录”
-4	`BE_REPLACED`	被同设备类型新登录顶替	“您的账号已在其他设备登录”
-5	`KICK_OUT`	被管理员强制踢下线	“您已被强制下线”
-6	`TOKEN_FREEZE`	超过活跃有效期被冻结	“Token 已被冻结，请稍后重试”
-7	`NO_PREFIX`	Token 前缀格式不正确	“Token 格式不正确，请重新登录”

异常类型	处理优先级	状态码	说明
`NotLoginException`	高（精确匹配）	401	按场景值区分 7 种原因
`SaTokenException`	低（兜底匹配）	500	所有其他框架异常的兜底

第五章. 下线行为与多端踢人

阶段式学习路径

第四章为所有异常场景建好了"翻译机制"——NotLoginException 的 7 种场景值，通过全局异常处理器转化为差异化的 JSON 提示。但到目前为止，我们只验证了 -1（未携带 Token）和 -2（Token 无效）这两种最简单的情况。

剩下的 -4、-5 对应的是两种主动下线行为。本章我们来把这两种下线方式讲清楚，顺带把加上用户自己主动退出的 logout，完整覆盖 Sa-Token 的三种下线路径。有了第三章的 /auth/info 和第四章的全局异常处理器，每一种下线行为的效果都可以直接观测：先看在线终端列表，踢人，再用失效的 Token 访问接口，看看返回的是哪一条提示。

5.1. 三种下线方式的本质区别

先用一张表建立整体认知：

下线方式	触发者	Token 处理方式	NotLoginException 场景值	典型用户提示
`logout`	用户自己主动退出	直接清除 Token 记录	-2（Token 已注销）	“请重新登录”
`kickout`	管理员或系统强制下线	打上 `kickout` 标记，不清除	-5	“您已被强制下线”
`replaced`	新登录自动顶替旧会话	打上 `replaced` 标记，不清除	-4	“您的账号已在其他设备登录”

三者在 API 形态上非常相似，但产生的用户体验完全不同。这正是 Sa-Token 场景值机制的价值所在——同样是"这个 Token 用不了了"，用户看到的提示可以根据原因完全不同，前端可以据此决定是跳转到登录页、弹出一个提示框，还是展示一个"账号异常"的专属页面。

logout 是用户视角的正常退出。Token 记录从 Redis 中彻底清除，之后携带这个 Token 访问任何接口，都会得到场景值 -2（INVALID_TOKEN）。

kickout 是管理员视角的强制下线。Sa-Token 不会删除 Token 记录，而是在 Redis 中给这个 Token 打上一个特殊标记。用户再次携带该 Token 访问接口时，框架识别到标记，抛出场景值 -5（KICK_OUT）的异常——这样前端就能区分"Token 过期了"和"被管理员踢了"两种情况。

replaced 不需要手动调用——它是第一章"同端互斥"机制的自动产物。当同一账号以相同设备类型再次登录时，框架给旧 Token 打上 replaced 标记。旧 Token 的持有者下次访问，会收到场景值 -4（BE_REPLACED），提示"您的账号已在其他设备登录"。

5.2. logout：用户主动退出

logout 提供了三种粒度，从细到粗分别是：注销当前 Token、注销指定账号的某个设备端、注销指定账号的所有会话。

// 注销当前请求携带的 Token（最常用，用于"退出登录"按钮）
StpUtil.logout();

// 根据 Token 值精确注销某一个会话
StpUtil.logoutByTokenValue("xxxx-xxxx-xxxx-xxxx");

// 注销指定账号在指定设备类型上的所有会话
StpUtil.logout(10001L, "PC");

// 注销指定账号在所有设备上的全部会话（强制全端下线）
StpUtil.logout(10001L);

我们已经在第一章的登录接口中提供了 POST /auth/logout，它调用的正是第一个无参版本，注销当前请求携带的 Token。用户点击"退出登录"时调用此接口，Token 随即失效。

5.3. kickout：强制踢人下线

kickout 的 API 形态与 logout 完全对称，区别仅在于处理方式——打标记而非删除：

// 将指定账号的所有会话踢下线（全端）
StpUtil.kickout(10001L);

// 将指定账号在指定设备类型上的会话踢下线
StpUtil.kickout(10001L, "PC");

// 根据 Token 值将对应会话踢下线
StpUtil.kickoutByTokenValue("xxxx-xxxx-xxxx-xxxx");

kickout 是典型的管理员操作，职责上不应该与用户自己的登录注销混在同一个 Controller 里。下一节我们创建独立的 AdminController 来承载它。

5.4. 创建管理员控制器

踢人下线是管理后台的操作，我们将其放在独立的 AdminController 中，接口设计遵循 RESTful 风格——踢人的本质是"删除一个会话资源"，所以使用 DELETE 方法。

📄 src/main/java/com/example/authsatoken/controller/AdminController.java（新建）

package com.example.authsatoken.controller;

import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;
import org.springframework.web.bind.annotation.*;

import java.util.List;

/**
 * 管理员会话管理控制器
 * 提供查询在线终端、踢人下线等管理操作
 *
 * 注意：实际项目中这些接口应加上管理员身份校验（第三篇讲解），这里先聚焦踢人逻辑本身
 */
@RestController
@RequestMapping("/admin")
public class AdminController {

    /**
     * 查询指定账号当前所有活跃会话的 Token 列表
     * 管理后台使用，不需要持有被查账号的 Token，只需要 userId
     */
    @GetMapping("/users/{userId}/sessions")
    public SaResult getSessionList(@PathVariable Long userId) {
        List tokenList = StpUtil.getTokenValueListByLoginId(userId);
        return SaResult.ok().setData(tokenList);
    }

    /**
     * 踢掉指定账号的所有会话（全端踢出）
     * 场景：账号异常、违规封号等需要立即全端下线的情况
     */
    @DeleteMapping("/users/{userId}/sessions")
    public SaResult kickoutAll(@PathVariable Long userId) {
        StpUtil.kickout(userId);
        return SaResult.ok("已将账号 " + userId + " 的所有设备踢下线");
    }

    /**
     * 踢掉指定账号在指定设备类型上的会话
     * 场景：用户举报某个设备异常登录，管理员定向下线可疑设备
     */
    @DeleteMapping("/users/{userId}/sessions/{device}")
    public SaResult kickoutDevice(@PathVariable Long userId,
                                  @PathVariable String device) {
        StpUtil.kickout(userId, device);
        return SaResult.ok("已将账号 " + userId + " 在 " + device + " 端踢下线");
    }

    /**
     * 根据 Token 值踢掉对应的会话
     * 场景：用户在"账号安全"页看到陌生登录记录，精确下线某个可疑 Token
     */
    @DeleteMapping("/sessions/{token}")
    public SaResult kickoutByToken(@PathVariable String token) {
        StpUtil.kickoutByTokenValue(token);
        return SaResult.ok("已将 Token 对应的会话踢下线");
    }
}

三个接口覆盖了三种踢人粒度，从粗到细：按账号全端踢出 → 按账号加设备类型定向踢出 → 按 Token 值精确踢出。资源路径的嵌套结构 /admin/users/{userId}/sessions/{device} 语义清晰——“操作某个用户在某个设备上的会话”。

5.5. 全流程验证

现在重启项目，通过两个完整的测试序列，把 kickout 和 replaced 对应的场景值验证一遍。有了第四章的全局异常处理器，每种下线原因都会翻译成可读的 JSON 提示，而不是一堆 HTML 乱码。

验证 kickout（场景值 -5）

步骤 1：user 账号登录，记录 Token

1	POST http://localhost:8081/auth/login?username=user&password=123456

从响应 data 字段拿到 Token 值，命名为 Token-U。

步骤 2：确认账号在线，查看当前会话信息

1 2	GET http://localhost:8081/auth/info Header: satoken:

预期响应中 onlineCount 为 1，tokenList 包含 Token-U。

步骤 3：管理员将 user 账号（userId=10002）全端踢下线

1	DELETE http://localhost:8081/admin/users/10002/sessions

预期响应：

{
    "code": 200,
    "msg": "已将账号 10002 的所有设备踢下线",
    "data": null
}

步骤 4：用 Token-U 再次访问 /auth/info

1 2	GET http://localhost:8081/auth/info Header: satoken:

预期响应：

{
    "code": 401,
    "msg": "您已被强制下线",
    "data": null
}

场景值 -5 被全局异常处理器翻译成了"您已被强制下线"，与第四章的映射完全对应。

验证 replaced（场景值 -4）

replaced 不需要手动调用 API，它是同端互斥的自动产物。第一章我们已经理解了这个机制，这里通过完整测试序列把场景值 -4 跑出来。

步骤 5：user 账号以 PC 端登录，记录 Token-P1

1	POST http://localhost:8081/auth/login?username=user&password=123456&device=PC

步骤 6：同账号再次以 PC 端登录（不同设备类型不触发顶替）

1	POST http://localhost:8081/auth/login?username=user&password=123456&device=PC

步骤 7：用旧的 Token-P1 访问 /auth/info

1 2	GET http://localhost:8081/auth/info Header: satoken:

预期响应：

{
    "code": 401,
    "msg": "您的账号已在其他设备登录，当前会话已下线",
    "data": null
}

场景值 -4 触发——同设备类型的新登录自动将旧 Token 标记为"已被顶替"。

步骤 8：确认 APP 端不受影响

在步骤 5 之前，如果同一账号已经有一个 APP 端的 Token，可以携带它访问 /auth/info——APP 端的会话完全不受 PC 端重新登录的影响，仍然正常返回会话信息。这再次印证了第一章的结论：同端互斥，不同端共存。

在验证过程中有一个细节值得停下来思考：logout 和 kickout 对用户来说体验相似（都是"用不了这个 Token 了"），但 Redis 中的数据状态是不同的。

logout 之后，Redis 中这个 Token 对应的键值被删除，携带它访问接口得到场景值 -2（INVALID_TOKEN）——框架在 Redis 里找不到这个 Token，判断它从未存在或已被清除。

kickout 之后，Redis 中 Token 对应的记录依然存在，但附加了一个 kickout 标记。框架能找到这个 Token，知道它的主人是谁，同时也知道它已被强制下线，于是抛出场景值 -5（KICK_OUT）而非 -2。

这个差异在大多数业务场景下不影响使用，但在某些需要"区分用户是主动退出还是被踢出"的审计日志场景中，场景值的不同会直接决定日志记录的内容。

5.7. 本章总结

本章回顾

本章完成了下线行为体系的完整建设。我们首先从概念层面区分了 logout、kickout、replaced 三种下线方式在触发者、Token 处理方式和场景值上的本质差异，理解了场景值机制让"Token 失效"这件事有了可区分的原因。在代码层面，AdminController 提供了三种粒度的踢人接口：全端踢出、按设备类型定向踢出、按 Token 值精确踢出，接口设计遵循 RESTful 的 DELETE 语义和资源嵌套路径。最后通过两个独立测试序列，分别将 kickout（场景值 -5）和 replaced（场景值 -4）跑出来，配合第四章的全局异常处理器，验证了每条差异化提示的准确触发。

核心汇总表

下线方式	触发者	Token 处理	场景值	用户侧提示
`logout`	用户自己	从 Redis 删除	-2	“Token 无效，请重新登录”
`kickout`	管理员 / 系统	打 kickout 标记	-5	“您已被强制下线”
`replaced`	新登录自动触发	打 replaced 标记	-4	“您的账号已在其他设备登录”

API	粒度	说明
`StpUtil.logout()`	当前 Token	注销当前请求的会话
`StpUtil.logout(id)`	指定账号全端	注销指定账号所有设备
`StpUtil.logout(id, device)`	指定账号指定设备	注销指定设备类型的会话
`StpUtil.logoutByTokenValue(token)`	指定 Token	精确注销某一会话
`StpUtil.kickout(id)`	指定账号全端	强制踢出指定账号所有设备
`StpUtil.kickout(id, device)`	指定账号指定设备	定向踢出指定设备类型
`StpUtil.kickoutByTokenValue(token)`	指定 Token	精确踢出某一会话

接口	HTTP 方法	踢人粒度
`/admin/users/{userId}/sessions`	GET	查询指定账号在线终端列表
`/admin/users/{userId}/sessions`	DELETE	踢出指定账号全端
`/admin/users/{userId}/sessions/{device}`	DELETE	踢出指定账号指定设备
`/admin/sessions/{token}`	DELETE	踢出指定 Token

第六章. 账号封禁

阶段式学习路径

第五章讲的是下线——把已登录的人"踢出去"。但踢出去只解决了当下的问题，违规账号退出之后，下一秒就可以重新登录进来。

账号封禁解决的是"进不来"的问题：在封禁期间，无论该账号用什么设备、什么时间尝试登录，都应该被拒之门外。本章从最基础的整体封禁出发，逐步延伸到只限制部分能力的分类封禁、按违规程度递进的阶梯封禁，最后处理封禁数据在缓存重启后的持久化问题。

6.1. 基础封禁

对指定账号发起封禁：

1 2	// 封禁指定账号，封禁时长 86400 秒（1 天） StpUtil.disable(10001L, 86400);

两个参数的含义：

参数 1：要封禁的账号 id。
参数 2：封禁时长，单位秒，传入 -1 代表永久封禁。

封禁后，在该账号下次尝试登录时校验一下封禁状态，通过校验才允许登录：

// 校验是否已被封禁，如果是则抛出异常 DisableServiceException
StpUtil.checkDisable(10001L);
// 通过校验后，再执行登录
StpUtil.login(10001L);

v1.31.0 之后，StpUtil.login() 不再自动校验账号是否被封禁，需要开发者在登录逻辑中手动调用 checkDisable() 进行前置校验。

在我们现有的登录接口中，加入封禁校验：

📄 src/main/java/com/example/authsatoken/controller/LoginController.java（修改 login 方法，在执行登录前追加封禁校验）

// 3. 校验该账号是否已被封禁
StpUtil.checkDisable(userId);

// 4. 根据角色构建差异化的登录参数（原有逻辑不变）
boolean isAdmin = "admin".equals(username);
SaLoginParameter loginParam = new SaLoginParameter()
        .setDeviceType(device)
        .setIsConcurrent(!isAdmin)
        .setMaxLoginCount(isAdmin ? 1 : 2)
        .setIsLastingCookie(rememberMe);

StpUtil.login(userId, loginParam);
return SaResult.ok("登录成功").setData(StpUtil.getTokenValue());

此模块的全部可用 API：

// 封禁指定账号
StpUtil.disable(10001L, 86400);

// 查询指定账号是否已被封禁（true=已封禁，false=未封禁）
StpUtil.isDisable(10001L);

// 校验指定账号是否已被封禁，如果是则抛出 DisableServiceException
StpUtil.checkDisable(10001L);

// 获取指定账号剩余封禁时间，单位：秒（-1=永久封禁，-2=未被封禁）
StpUtil.getDisableTime(10001L);

// 解除封禁
StpUtil.untieDisable(10001L);

踢 + 封的组合策略

对于当前正在线的违规账号，单纯封禁并不会让它立刻掉线——封禁只影响下次登录，已有的会话仍然有效。如果需要立即生效，采用先踢后封的组合：

// 先将该账号所有在线会话踢下线
StpUtil.kickout(10001L);
// 再封禁账号，阻止其重新登录
StpUtil.disable(10001L, 86400);

6.2. 分类封禁

有时候我们并不需要封禁整个账号，而是只限制其访问部分服务。

假设我们在开发一个电商系统，对于违规账号设定三种处罚：

账号 A 因多次虚假好评，封禁其 评论能力。
账号 B 因多次薅羊毛，封禁其 下单能力。
账号 C 因店铺销售假货，封禁其 开店能力。

三项处罚相互独立，封禁评论不影响下单，封禁下单不影响浏览。这就需要分类封禁：

1 2	// 封禁指定用户的评论能力，期限 1 天 StpUtil.disable(10001L, "comment", 86400);

三个参数的含义：

参数 1：要封禁的账号 id。
参数 2：业务标识（可以是任意自定义字符串）。
参数 3：封禁时长，单位秒，-1 代表永久封禁。

在对应的业务接口中进行校验：

// 在评论接口校验评论能力，已被封禁则抛出 DisableServiceException
// 可通过 e.getService() 拿到业务标识 "comment"
StpUtil.checkDisable(10001L, "comment");

// 在下单接口校验下单能力
// 不会抛出异常，因为我们没有封禁其下单能力
StpUtil.checkDisable(10001L, "place-order");

分类封禁的完整 API：

// 封禁：指定账号的指定服务
StpUtil.disable(10001L, "comment", 86400);

// 判断：指定账号的指定服务是否已被封禁
StpUtil.isDisable(10001L, "comment");

// 校验：指定账号的指定服务是否已被封禁，如果是则抛出异常
StpUtil.checkDisable(10001L, "comment");

// 获取：指定账号的指定服务剩余封禁时间（-1=永久，-2=未被封禁）
StpUtil.getDisableTime(10001L, "comment");

// 解封：指定账号的指定服务
StpUtil.untieDisable(10001L, "comment");

6.3. 阶梯封禁

对于多次违规的用户，处罚力度往往需要递进。以一个论坛系统为例，设定三种处罚力度：

1 级：封禁发帖、评论能力，但允许点赞、关注。
2 级：封禁一切互动能力，但允许浏览。
3 级：封禁登录，限制一切能力。

关键在于把处罚力度量化为数字等级，数字越大代表封禁越严。然后使用阶梯封禁 API：

// 将账号 10001 封禁到 3 级，时长 10000 秒
StpUtil.disableLevel(10001L, 3, 10000);

// 获取指定账号当前封禁级别（未被封禁则返回 -2）
StpUtil.getDisableLevel(10001L);

// 判断指定账号是否已被封禁到指定级别，返回 true 或 false
StpUtil.isDisableLevel(10001L, 3);

// 校验：如果该账号已被封禁到 2 级及以上，则抛出异常
// 触发规则：实际封禁级别 >= 校验级别时抛出异常
StpUtil.checkDisableLevel(10001L, 2);

DisableServiceException 异常被抛出时，可以从中取出两个关键值：

try {
    StpUtil.checkDisableLevel(10001L, 2);
} catch (DisableServiceException e) {
    e.getLevel();       // 该账号实际被封禁的等级
    e.getLimitLevel();  // 校验时要求的等级（即 checkDisableLevel 传入的值）
}

当实际封禁等级 >= limitLevel 时，框架就会抛出异常。也就是说，账号被封禁到 3 级时，对 2 级和 3 级的校验都会不通过；对 4 级的校验则依然通过。

分类封禁 + 阶梯封禁的组合

如果业务足够复杂，还可以将两者结合——对某个特定服务按等级封禁：

// 对账号 10001 的 comment 服务执行 3 级封禁，时长 10000 秒
StpUtil.disableLevel(10001L, "comment", 3, 10000);

// 获取该账号 comment 服务的封禁级别
StpUtil.getDisableLevel(10001L, "comment");

// 判断该账号 comment 服务是否已被封禁到 3 级
StpUtil.isDisableLevel(10001L, "comment", 3);

// 校验该账号 comment 服务，封禁等级是否达到 2 级
StpUtil.checkDisableLevel(10001L, "comment", 2);

6.4. 封禁信息持久化

Sa-Token 默认将封禁信息存储在缓存（Redis）中。缓存数据是"临时性的"——一旦 Redis 重启，封禁记录就会丢失，已被封禁的账号便能重新登录。对于大多数生产系统，封禁数据需要持久化到数据库。

最直接的做法是在调用 Sa-Token 封禁 API 之后，同步写入数据库：

// 在 Sa-Token 中封禁账号
StpUtil.disable(10001L, 86400);
// 同步写入数据库（示例代码，按实际业务实现）
userMapper.disableUser(10001L, 86400);

这样可以保证封禁数据同时存在于缓存和数据库中。但还有一个问题没解决：如果缓存中间件重启，缓存数据丢失，此时 StpUtil.checkDisable() 将失去约束效果，被封禁的账号可以顺利登录，直到缓存数据被重新同步。

Sa-Token 提供了一种更优雅的方案：实现 StpInterface 的 isDisabled 方法。框架在每次调用 checkDisable() 时，会先查询缓存，缓存未命中时再调用你实现的 isDisabled 方法，从数据库中实时查询封禁状态。这样即使缓存丢失，封禁校验依然有效，且不需要在程序启动时批量同步数据。

StpInterface 将在第三篇讲解权限体系时正式引入。这里只需要知道它是 Sa-Token 的数据源扩展点，isDisabled 是其中负责封禁查询的方法。

@Component
public class StpInterfaceImpl implements StpInterface {

    /**
     * 返回指定账号是否被封禁
     * 框架在 checkDisable() 缓存未命中时调用此方法，从数据库中查询真实封禁状态
     *
     * @param loginId 账号 id
     * @param service 业务标识（无分类封禁时为默认值）
     */
    @Override
    public SaDisableWrapperInfo isDisabled(Object loginId, String service) {
        // 查询数据库中的封禁记录（此处仅为示例代码）
        DisableRecord record = userMapper.getDisableRecord(loginId, service);

        if (record == null || record.isExpired()) {
            // 未被封禁，且将查询结果缓存 3600 秒，期间不再重复查库
            return SaDisableWrapperInfo.createNotDisabled(3600);
        }
        // 已被封禁，返回剩余封禁秒数和封禁等级
        return SaDisableWrapperInfo.createDisabled(record.getRemainSeconds(), record.getLevel());
    }

    // getPermissionList 和 getRoleList 方法在第三篇实现，此处暂时返回空列表
    @Override
    public List getPermissionList(Object loginId, String loginType) { return List.of(); }
    @Override
    public List getRoleList(Object loginId, String loginType) { return List.of(); }
}

SaDisableWrapperInfo 的几种写法：

// 未被封禁
return SaDisableWrapperInfo.createNotDisabled();

// 未被封禁，且将结果缓存 3600 秒（期间不再进入 isDisabled 方法）
return SaDisableWrapperInfo.createNotDisabled(3600);

// 已被封禁，剩余 86400 秒，封禁等级为 1
return SaDisableWrapperInfo.createDisabled(86400, 1);

// 标准写法：new 对象，参数为（是否封禁、剩余秒数、封禁等级）
return new SaDisableWrapperInfo(true, 86400, 1);

6.5. 本章总结

本章回顾

本章从"踢出去"延伸到"进不来"，完整讲解了 Sa-Token 的账号封禁体系。基础封禁通过 disable() 和 checkDisable() 实现"登录前校验封禁状态"的标准流程，并说明了"先踢后封"的组合策略以确保已在线用户立即掉线。分类封禁引入了业务标识参数，使得不同能力（评论、下单、开店）可以独立封禁，互不干扰，适合细粒度的差异化处罚场景。阶梯封禁将处罚力度量化为等级数字，结合 checkDisableLevel() 的"等级 >= 阈值则拦截"规则，实现了处罚力度的递进管理，并可以与分类封禁组合使用。最后通过 StpInterface.isDisabled() 方法解决了缓存重启后封禁数据丢失的问题，使封禁校验始终能回源数据库。

核心汇总表

封禁类型	封禁 API	校验 API	适用场景
基础封禁	`disable(id, time)`	`checkDisable(id)`	封禁整个账号
分类封禁	`disable(id, service, time)`	`checkDisable(id, service)`	只封禁特定能力
阶梯封禁	`disableLevel(id, level, time)`	`checkDisableLevel(id, level)`	按等级递进处罚
分类+阶梯	`disableLevel(id, service, level, time)`	`checkDisableLevel(id, service, level)`	特定能力按等级处罚

API	说明
`StpUtil.disable(id, time)`	封禁账号，`-1` 为永久
`StpUtil.isDisable(id)`	是否已被封禁，返回 boolean
`StpUtil.checkDisable(id)`	校验封禁状态，已封禁则抛 `DisableServiceException`
`StpUtil.getDisableTime(id)`	剩余封禁秒数，`-2` 表示未封禁
`StpUtil.untieDisable(id)`	解除封禁
`e.getLevel()`	异常中获取实际封禁等级
`e.getLimitLevel()`	异常中获取校验时传入的等级阈值

`SaDisableWrapperInfo` 写法	含义
`createNotDisabled()`	未被封禁
`createNotDisabled(ttl)`	未被封禁，结果缓存 ttl 秒
`createDisabled(seconds, level)`	已被封禁，剩余秒数和等级

第七章. 二级认证

阶段式学习路径

前几章解决的都是"你是谁"和"你能不能进来"的问题。但有些操作需要在已经登录的基础上，再多走一步验证——即使你已经证明了自己的身份，在执行某些高风险操作之前，系统还是需要你再次确认。

你一定用过这类体验：代码托管平台删除仓库时要求重新输入密码、银行转账时需要短信验证码、修改手机号时需要人脸识别。这就是本章要讲的二级认证——在已登录会话的基础上，对特定操作额外加一道验证门槛。

7.1. 核心概念

二级认证的本质是：在当前会话上打一个"已通过二级验证"的时效性标记。验证通过后，这个标记在指定时间内有效；一旦超时或主动关闭，标记消失，再次访问受保护的接口就需要重新验证。

这与 Session 或 Token 本身的有效期是完全独立的两个维度——你的登录状态可以是 30 天有效，但二级认证标记可能只有 120 秒有效。两者互不影响。

7.2. 核心 API

Sa-Token 二级认证的全部操作只有五个方法：

// 在当前会话开启二级认证，有效期 120 秒
StpUtil.openSafe(120);

// 查询当前会话是否处于二级认证有效期内，返回 true / false
StpUtil.isSafe();

// 校验当前会话是否已通过二级认证，未通过则直接抛出异常
StpUtil.checkSafe();

// 获取当前会话二级认证的剩余有效时间，单位：秒
// 返回 -2 代表尚未开启或已过期
StpUtil.getSafeTime();

// 主动关闭当前会话的二级认证
StpUtil.closeSafe();

openSafe() 和 closeSafe() 是一对开关，isSafe() 和 checkSafe() 的关系与第三章中 isLogin() 和 checkLogin() 完全类似——前者是查询，返回布尔值，不抛异常；后者是校验，不通过直接中断请求。

7.3. 一个完整的业务示例

以"删除仓库"这个高风险操作为例，演示二级认证的完整业务流程：

/**
 * 删除仓库接口（高风险操作，需要二级认证）
 */
@RequestMapping("/deleteProject")
public SaResult deleteProject(String projectId) {
    // 第 1 步：检查当前会话是否已完成二级认证
    if (!StpUtil.isSafe()) {
        return SaResult.error("操作失败，请先完成安全验证");
    }
    // 第 2 步：二级认证通过，执行删除业务逻辑
    // projectService.delete(projectId);
    return SaResult.ok("仓库删除成功");
}

/**
 * 发起二级认证（用户输入密码后调用此接口）
 */
@RequestMapping("/openSafe")
public SaResult openSafe(String password) {
    // 比对密码（实际项目中应从数据库查询并对比哈希值，这里简化演示）
    if (!"123456".equals(password)) {
        return SaResult.error("密码错误，安全验证失败");
    }
    // 比对成功，为当前会话打开二级认证，有效期 120 秒
    StpUtil.openSafe(120);
    return SaResult.ok("安全验证成功，请在 120 秒内完成操作");
}

完整的调用链路是这样的：

前端调用 deleteProject 接口，尝试删除仓库。
后端发现当前会话尚未通过二级认证，返回"请先完成安全验证"。
前端弹出密码输入框，用户输入密码，调用 openSafe 接口。
后端比对密码通过，为当前会话打开二级认证标记，有效期 120 秒。
前端在 120 秒内再次调用 deleteProject 接口。
后端检测到二级认证有效，执行删除操作，返回成功。

7.4. 指定业务标识

如果项目有多条业务线都需要二级认证，默认的 openSafe() 无法区分"这次验证通过的是哪个操作"。举个例子：用户为了删除仓库完成了密码验证，结果这个验证状态同时也让他能免验证地绑定新手机号——这显然不是我们想要的。

Sa-Token 通过业务标识解决这个问题。不同业务标识的二级认证彼此完全独立，互不干扰：

// 为"删除仓库"操作开启二级认证，有效期 120 秒
StpUtil.openSafe("delete-project", 120);

// 为"绑定手机号"操作开启二级认证，有效期 300 秒
StpUtil.openSafe("bind-phone", 300);

// 校验当前会话是否已通过"删除仓库"的二级认证
StpUtil.checkSafe("delete-project");

// 校验"绑定手机号"的二级认证——不会通过，因为用户只验证了"删除仓库"
StpUtil.checkSafe("bind-phone");

业务标识可以是任意字符串，由你的业务语义决定。建议使用具有描述性的短语，方便代码阅读和日志排查。

带业务标识的完整 API：

// 开启指定业务的二级认证
StpUtil.openSafe("client", 600);

// 查询是否已通过指定业务的二级认证
StpUtil.isSafe("client");

// 校验指定业务的二级认证，未通过则抛出异常
StpUtil.checkSafe("client");

// 获取指定业务二级认证的剩余有效时间（-2=未开启或已过期）
StpUtil.getSafeTime("client");

// 关闭指定业务的二级认证
StpUtil.closeSafe("client");

7.5. 用注解简化校验

如果你不想在每个高风险接口的方法体内写 checkSafe() 的判断逻辑，可以改用注解方式，由拦截器在进入方法之前自动完成校验：

// 必须通过默认二级认证才能访问此接口
@SaCheckSafe
@RequestMapping("/deleteProject")
public SaResult deleteProject(String projectId) {
    // 执行删除操作，二级认证校验已在方法外完成
    return SaResult.ok("仓库删除成功");
}

// 必须通过指定业务标识的二级认证才能访问此接口
@SaCheckSafe("delete-project")
@RequestMapping("/deleteProject2")
public SaResult deleteProject2(String projectId) {
    return SaResult.ok("仓库删除成功");
}

@SaCheckSafe 注解需要 SaInterceptor 拦截器生效才能工作。该拦截器将在第三篇正式引入，目前如果需要使用注解方式，可以先参考第三篇的配置提前注册。

未通过二级认证时，@SaCheckSafe 会抛出 NotSafeException，建议在 GlobalExceptionHandler 中追加对应的处理：

📄 src/main/java/com/example/authsatoken/exception/GlobalExceptionHandler.java（追加方法）

import cn.dev33.satoken.exception.NotSafeException;

/**
 * 捕获二级认证校验失败异常
 * 触发场景：访问需要二级认证的接口，但当前会话尚未完成或已过期
 */
@ExceptionHandler(NotSafeException.class)
public SaResult handleNotSafeException(NotSafeException e) {
    return SaResult.error("当前操作需要二级认证，请先完成安全验证").setCode(401);
}

7.6. 本章总结

本章回顾

本章完整讲解了二级认证机制。二级认证是在已登录会话基础上叠加的额外验证层，与 Token 有效期相互独立，专门用于保护高风险操作。核心 API 只有五个：openSafe()、isSafe()、checkSafe()、getSafeTime()、closeSafe()，isSafe() 与 checkSafe() 的语义分工与第三章的 isLogin() / checkLogin() 完全对应。通过业务标识参数，不同操作的二级认证状态彼此隔离，解决了"验证了 A 操作却能跳过 B 操作验证"的安全漏洞。@SaCheckSafe 注解提供了声明式的校验写法，并在 GlobalExceptionHandler 中追加了对应的异常处理。

核心汇总表

API	说明
`StpUtil.openSafe(time)`	开启二级认证，有效期 time 秒
`StpUtil.openSafe(service, time)`	开启指定业务的二级认证
`StpUtil.isSafe()`	查询是否已通过二级认证，返回 boolean
`StpUtil.isSafe(service)`	查询指定业务的二级认证状态
`StpUtil.checkSafe()`	校验二级认证，未通过抛 `NotSafeException`
`StpUtil.checkSafe(service)`	校验指定业务的二级认证
`StpUtil.getSafeTime()`	获取剩余有效秒数，-2=未开启或已过期
`StpUtil.getSafeTime(service)`	获取指定业务剩余有效秒数
`StpUtil.closeSafe()`	主动关闭二级认证
`StpUtil.closeSafe(service)`	主动关闭指定业务的二级认证

`isSafe()` vs `checkSafe()`	适用场景
`isSafe()`	未通过时需要返回自定义响应体，不希望抛异常
`checkSafe()`	未通过时直接中断请求，配合全局异常处理器统一响应

业务标识使用建议	示例
单一高风险操作	`"delete-project"` / `"bind-phone"`
多个操作共享一次验证	不传业务标识，使用默认标记
不同操作需独立验证	每个操作使用不同的业务标识字符串

第八章. 模拟他人 / 临时身份切换

阶段式学习路径

前七章的所有操作都围绕同一个主体：当前请求者自己。登录、查询会话信息、下线、封禁、二级认证，操作对象要么是自己的 Token，要么是管理员针对他人的会话发起的外部操作。

但有一类场景，需要"以自己的权限，站在别人的视角执行操作"。比如：客服系统中，客服人员需要临时切换到用户视角排查问题；多租户系统中，超级管理员需要进入某个租户的上下文查看数据。这就是本章要讲的——模拟他人与临时身份切换。

8.1. 操作指定账号的 API

Sa-Token 的大部分 StpUtil 方法默认操作的是"当前请求携带的 Token 对应的账号"。但很多方法也提供了带 loginId 参数的重载版本，允许直接操作任意指定账号，而不需要持有对方的 Token。

// 获取指定账号当前的 Token 值（账号有多个在线设备时返回最新一个）
StpUtil.getTokenValueByLoginId(10001L);

// 获取指定账号当前所有在线 Token 的列表
StpUtil.getTokenValueListByLoginId(10001L);

// 强制将指定账号的所有会话注销下线
StpUtil.logout(10001L);

// 获取指定账号的 Account-Session 对象，不存在则新建并返回
StpUtil.getSessionByLoginId(10001L);

// 获取指定账号的 Account-Session 对象，不存在则返回 null
StpUtil.getSessionByLoginId(10001L, false);

这些方法在第五章的 AdminController 中已经用过——管理员踢人不需要持有被踢者的 Token，只需要知道 userId 即可。权限相关的跨账号查询将在第三篇引入，这里先建立"可以直接操作任意账号"的基本认知。

8.2. 临时身份切换

有时候，我们不是要"操作"某个账号，而是需要 在当前请求内，临时变成另一个账号。

典型场景：客服系统中，客服人员（userId=9001）已登录，但需要以用户（userId=10002）的视角调用一系列查询接口，看看该用户能看到什么、能操作什么——此时不可能让客服真的注销自己重新用用户账号登录，也不应该修改客服自己的 Token 记录。

Sa-Token 为此提供了 switchTo()：

// 将当前会话的身份临时切换为 userId=10044，本次请求内有效
StpUtil.switchTo(10044L);

// 此时调用 getLoginId()，返回的是切换后的 10044，而不是实际登录者
StpUtil.getLoginId();   // 返回 10044

// 查询是否正处于临时身份切换状态
StpUtil.isSwitch();     // 返回 true

// 结束临时身份切换，恢复为实际登录者的身份
StpUtil.endSwitch();

// 切换结束后，getLoginId() 重新返回实际登录者的 id
StpUtil.getLoginId();   // 返回实际登录者的 id

switchTo() 只影响当前请求线程内对 getLoginId() 等方法的返回值，不会修改任何 Redis 数据，不会创建新的 Token，请求结束后自动失效。

8.3. Lambda 写法：无需手动关闭

使用 switchTo() + endSwitch() 的写法有一个隐患：如果在切换期间代码抛出异常，endSwitch() 可能不会被执行，导致当前线程的身份状态残留。

Sa-Token 提供了 Lambda 版本，将切换逻辑包裹在一个闭包内，执行完成后（无论是否抛出异常）自动恢复：

System.out.println("切换前 loginId：" + StpUtil.getLoginId());

StpUtil.switchTo(10044L, () -> {
    // 在这个代码块内，当前身份是 10044
    System.out.println("切换中，isSwitch：" + StpUtil.isSwitch());  // true
    System.out.println("切换中，loginId：" + StpUtil.getLoginId()); // 10044
    // 在这里执行需要以 10044 身份进行的操作
});

// Lambda 执行完毕后，身份自动恢复，无需手动调用 endSwitch()
System.out.println("切换后 loginId：" + StpUtil.getLoginId()); // 恢复为实际登录者

Lambda 写法不仅更安全，语义也更清晰——临时身份的作用范围被显式地限定在花括号内，代码阅读者一眼就能看出哪些操作是"以别人的身份执行"的。实际项目中推荐优先使用 Lambda 写法。

8.4. 一个重要的边界：切换身份 ≠ 获得对方权限

临时身份切换容易让人产生一个误解：切换到 userId=10044 之后，是不是就拥有了 10044 的所有权限？

答案取决于你的权限数据是怎么查的。

switchTo() 改变的只是 StpUtil.getLoginId() 的返回值。如果你的权限查询逻辑是基于 getLoginId() 去查数据库或缓存的（比如第三篇将要实现的 StpInterface.getPermissionList()），那么切换身份后，权限查询确实会基于 10044 的 userId，返回 10044 的权限数据。

但如果你的权限校验走的是注解（@SaCheckPermission 等），它同样会用切换后的 loginId 去查权限，结果也是 10044 的权限范围。

总结成一句话：switchTo() 让框架认为"你就是那个人"，所有基于 loginId 的查询都会跟着切换；但它不会绕过任何已有的权限校验逻辑。 如果切换到的账号权限不足，权限校验照样会失败。

临时身份切换是高权限操作，调用方本身通常需要具备管理员级别的权限。实际项目中应在接口层对调用方做身份验证，确保普通用户无法随意切换到他人身份。

8.5. 本章总结

本章回顾

本章讲解了两类"跨账号操作"的能力。第一类是操作指定账号的 API——通过传入 loginId 参数，直接对任意账号的会话、Session 进行操作，无需持有对方的 Token，这类 API 在前几章的管理员踢人场景中已有实际应用。第二类是临时身份切换——switchTo() 在当前请求线程内将 getLoginId() 的返回值替换为目标账号，配合 Lambda 写法可以将切换作用域显式限定在代码块内，执行完成后自动恢复，避免状态残留。最后澄清了一个常见误区：身份切换改变的是 loginId 的返回值，所有基于 loginId 的权限查询会跟着切换，但不会绕过任何权限校验逻辑，被切换到的账号权限不足时校验照样失败。

核心汇总表

API	说明
`StpUtil.getTokenValueByLoginId(id)`	获取指定账号最新的 Token 值
`StpUtil.getTokenValueListByLoginId(id)`	获取指定账号所有在线 Token 列表
`StpUtil.logout(id)`	强制注销指定账号所有会话
`StpUtil.getSessionByLoginId(id)`	获取指定账号的 Session，不存在则新建
`StpUtil.getSessionByLoginId(id, false)`	获取指定账号的 Session，不存在返回 null

API	说明
`StpUtil.switchTo(id)`	临时切换当前身份为指定 loginId，本次请求内有效
`StpUtil.switchTo(id, () -> {...})`	Lambda 写法，执行完毕后自动恢复，推荐使用
`StpUtil.isSwitch()`	查询当前是否处于临时身份切换状态
`StpUtil.endSwitch()`	手动结束临时身份切换（Lambda 写法无需调用）

使用场景	推荐写法
临时切换并执行一段逻辑	`switchTo(id, () -> { ... })`
需要精确控制切换时机	`switchTo(id)` + `endSwitch()`（注意异常安全）
切换后是否拥有对方权限	取决于权限查询是否基于 `getLoginId()`，不自动绕过校验

登录注册番外篇（一） - 2026 年 Sa-Token 快速入门之基础登录

2026-02-08T03:38:17.000Z

第一章. 回头看：我们造了多少轮子

环境版本

组件	版本
JDK	17
Spring Boot	3.4.x
Sa-Token	1.44.0
Redis	7.x
Maven	3.9.x

阶段式学习路径

本篇是番外篇系列的第一站。在基础篇中，我们花了六章的篇幅，从零手写了一套完整的认证内核——RSA 加密、JJWT 双令牌、Redis 黑名单、多设备管理。现在，我们暂停主线，换一个全新的视角：如果有一个框架，能用一行代码完成登录，我们还需要手写那么多东西吗？

若你对登录注册系列基础篇感兴趣，请跳转至：

引用站外地址

登录注册基础篇

登录注册基础篇分类目录结构

本篇将带你认识 Sa-Token 框架，搭建全新的独立项目，并体验它的核心登录 API 与 Redis 集成能力。在正式认识 Sa-Token 之前，我们先做一件事——回头看看基础篇六章走下来，我们到底写了多少代码。这不是为了否定之前的努力，恰恰相反，正是因为我们亲手造过这些轮子，才能真正理解框架帮我们省掉了什么。

1.1. 基础篇的六大手写模块回顾

让我们快速盘点一下基础篇的产出。六章内容，我们在 auth 项目中构建了一个三模块的认证系统：

auth/
├── auth-common/          # 公共基础模块
│   ├── Result.java                    # 统一响应封装
│   └── SnowflakeIdGenerator.java      # 雪花算法 ID 生成器
├── auth-core/            # 认证核心模块
│   ├── RsaKeyManager.java             # RSA 密钥加载与管理
│   ├── JwtUtil.java                   # JJWT 0.12 Token 生成与解析
│   ├── JwtProperties.java             # JWT 配置属性绑定
│   ├── RedisKeyConstants.java         # Redis Key 命名常量
│   ├── TokenRedisManager.java         # Token 存储（ZSet 实现）
│   ├── BlacklistRedisManager.java     # 黑名单管理（String + TTL）
│   ├── AuthToken.java                 # 双令牌模型
│   ├── DeviceInfo.java                # 设备信息模型
│   ├── DeviceInfoExtractor.java       # 设备信息提取工具
│   └── AuthService.java              # 认证 Facade 服务
├── auth-web/             # Web 应用模块
│   ├── AuthApplication.java           # 启动类
│   └── AuthController.java            # 认证控制器
└── resources/
    ├── application.yml
    └── certs/
        ├── private_key.pem            # RSA 私钥
        └── public_key.pem             # RSA 公钥

14 个 Java 源文件，2 个密钥文件，1 个配置文件。这还只是一个"登录注册"功能——没有涉及权限校验，没有涉及角色管理，没有涉及路由拦截。

1.2. 手写轮子的三大代价

基础篇的每一行代码都有它的教学价值，但如果把这套代码直接搬进生产环境，我们会面临三个现实问题。

代价一：维护成本远超预期

JwtUtil 需要处理 Token 过期、签名验证、Claims 解析等逻辑；TokenRedisManager 需要管理 ZSet 的 score 计算、过期清理、Pipeline 批量操作；BlacklistRedisManager 需要精确计算每个 Token 的剩余 TTL。这些工具类一旦出现 Bug，排查成本很高——因为没有社区帮你验证，所有边界情况都需要自己覆盖。

代价二：安全性依赖个人经验

我们手写的 RSA 密钥加载逻辑、Token 生成规则、黑名单过期策略，都是基于个人对安全的理解来实现的。但安全领域有一条铁律：不要自己发明加密方案。一个成熟的框架背后有数千个 Issue 和 PR 的打磨，这种安全性是个人项目很难达到的。

代价三：功能扩展举步维艰

现在产品经理提了一个需求："同一个账号在手机端和电脑端可以同时登录，但同一端只能有一个设备在线。"要实现这个需求，我们需要修改 TokenRedisManager 的 ZSet 逻辑，修改 AuthService 的登录方法，修改 DeviceInfoExtractor 的设备识别规则，还要在 AuthController 中新增接口。一个需求牵动四个类，这就是手写轮子的扩展代价。

手写轮子的价值在于理解原理，但生产环境中，我们需要站在巨人的肩膀上。

第二章. 认识 Sa-Token：一行代码解决登录

基础篇让我们深刻体会到了手写认证系统的复杂度。那么 Java 生态中，有没有一个框架能大幅降低这种复杂度，同时又不像 Spring Security 那样需要理解一整套过滤器链才能上手？答案是 Sa-Token。

2.1. Sa-Token 是什么

Sa-Token轻量级 Java 权限认证框架，由国内开发者 shengzhang_ 主导开发是 dromara由国内知名开源开发者组成的开源社区开源社区下的一个项目，目前在 GitHub 上拥有超过 18,000 个 Star。它的官方定位是：

一个轻量级 Java 权限认证框架，让鉴权变得简单、优雅。

这句话的关键词是"轻量级"和"简单"。我们可以通过一个最直观的例子来感受——在 Sa-Token 中，完成用户登录只需要一行代码：

1
2
3

// 参数是用户 ID，可以是 long、int、String 等任意类型
// Sa-Token 内部会统一转换为 String 进行存储
StpUtil.login(10001);

没有 JwtUtil，没有 RsaKeyManager，没有 TokenRedisManager。一行代码，框架自动完成了 Token 生成、Session 创建、Cookie 写入（或响应头返回）等全部工作。

让我们看看 Sa-Token 的五大核心模块，对它的能力范围建立一个全局认知：

模块	解决的问题	本系列是否覆盖
登录认证	用户登录、注销、Token 管理、多设备登录	✅ 本篇开始
权限认证	角色校验、权限码校验、注解鉴权、路由拦截	✅ 后续篇章
单点登录（SSO）	多系统共享登录态	❌ 不在本系列范围
OAuth2.0	第三方授权登录	❌ 进阶篇单独讲解
微服务网关鉴权	Gateway 层统一鉴权	❌ 不在本系列范围

Sa-Token 的设计哲学是"一个方法解决一个问题"，API 命名直白到几乎不需要查文档。

2.2. 为什么选 Sa-Token 而不是 Spring Security

你可能会想：Java 安全领域的"正统"不是 Spring Security 吗？为什么我们先讲 Sa-Token？这个问题很好，我们从三个维度来回答。

学习曲线

Spring Security 的核心是一条过滤器链由多个安全过滤器串联组成的请求处理链，每个请求都必须经过所有过滤器。要理解它，你需要先搞清楚 SecurityFilterChain、AuthenticationManager、AuthenticationProvider、UserDetailsService、SecurityContextHolder 这一整套概念，然后才能写出第一个自定义登录逻辑。

Sa-Token 的学习路径则完全不同。它没有过滤器链的概念，所有操作都通过一个静态工具类 StpUtil 完成。你不需要理解任何底层架构，打开 API 文档，找到你需要的方法，直接调用就行。

官方文档链接请跳转至：https://sa-token.cc/doc.html#/

学习曲线对比

2026-01-01 10:00

老师，Spring Security 和 Sa-Token 上手难度差多少？

teacher

打个比方，Spring Security 像是一辆手动挡赛车，性能强悍但你得先学会换挡。Sa-Token 像是一辆自动挡家用车，上车就能开。

那 Sa-Token 是不是功能比较弱？

teacher

不是。它覆盖了登录认证、权限校验、多设备管理、踢人下线等绝大多数场景。只是在 OAuth2 和微服务网关这种重度企业场景下，Spring Security 的生态更成熟。

代码量

我们在基础篇中用了 14 个 Java 文件来实现登录认证。使用 Sa-Token 之后，同样的功能大约只需要 3~4 个文件。这不是因为 Sa-Token “偷工减料”，而是因为它把 Token 生成、Session 管理、Redis 存储这些通用逻辑全部内置了，我们只需要关注业务本身。

适用场景

Sa-Token 最适合的场景是：中小型项目的快速开发、前后端分离架构、需要快速原型验证的团队、不想被框架"绑架"的开发者（Sa-Token 的侵入性极低）。而 Spring Security 更适合：需要深度定制安全策略的企业级项目、已经深度使用 Spring 生态的团队、需要 OAuth2 Authorization Server 的场景。

本章介绍了 Sa-Token 的定位、五大能力模块，并从学习曲线、代码量、适用场景三个维度明确了它与 Spring Security 的差异化选择依据。

要点	何时使用	关键动作
Sa-Token 能力边界	技术选型时确认覆盖范围	核对五大模块是否满足业务需求
vs Spring Security	团队评审框架选型时	用学习曲线 + 场景复杂度做决策
`StpUtil.login(id)` 的本质	理解框架核心时	一行代码背后是 Token + Session + 存储三步

2.3. 本节总结

本节回顾

本章建立了对 Sa-Token 的全局认知。我们了解了它归属于 dromara 开源社区，定位是轻量级 Java 权限认证框架，核心 API StpUtil.login(id) 只需一行便能完成基础篇需要多个类才能完成的登录流程。通过五大模块表，我们明确了本系列的覆盖边界：登录认证和权限认证是重点，SSO、OAuth2、微服务网关鉴权不在本系列范围内。通过与 Spring Security 的对比，我们明确了 Sa-Token 在中小项目快速开发场景下的优势，以及 Spring Security 在企业级深度定制场景下的不可替代性。

核心汇总表

对比维度	Sa-Token	Spring Security
上手门槛	无需理解底层架构，API 直白	需要理解过滤器链和 Provider 体系
核心操作	`StpUtil.login(id)` 等静态方法	实现 UserDetailsService 等接口
适合场景	中小项目、快速开发	企业级定制、OAuth2 授权服务器
侵入性	极低	较高，深度依赖 Spring 生态

第三章. 环境搭建与项目初始化

认识了 Sa-Token 的定位和能力之后，是时候动手了。本章我们将从零创建一个全新的独立项目，引入 Sa-Token 的核心依赖，并完成基础配置。和基础篇不同，这次我们不再使用多模块架构。Sa-Token 的一大优势就是轻量，我们用一个单模块项目就能承载所有功能，让你把注意力完全放在框架本身。

3.1. 新建 Maven 项目并引入依赖

我们创建一个名为 auth-satoken 的全新项目，与基础篇的 auth 项目完全独立。

步骤 1：通过 IDEA 创建项目

打开 IntelliJ IDEA，选择 File → New → Project，在左侧选择 Spring Initializr，填写以下信息：

Name：auth-satoken
Group：com.example
Artifact：auth-satoken
Type：Maven
Language：Java
JDK：17
Java：17
Packaging：Jar

在依赖选择页面，勾选以下两项：

Spring Web
Spring Data Redis

点击 Create 完成创建。操作成功后，IDEA 会自动打开新项目窗口，底部状态栏显示 Maven 依赖正在下载，等待进度条消失即可。

如果你更习惯手动创建，也可以访问 https://start.spring.io 生成项目骨架后导入 IDEA。

步骤 2：确认项目结构

创建完成后，项目的初始结构如下：

auth-satoken/
├── pom.xml
└── src/
    └── main/
        ├── java/
        │   └── com/example/authsatoken/
        │       └── AuthSatokenApplication.java
        └── resources/
            └── application.yml

步骤 3：引入 Sa-Token 和 Hutool 依赖

Spring Initializr 只生成了 spring-boot-starter-web 和 spring-boot-starter-data-redis，我们还需要手动追加 Sa-Token 相关依赖。打开 pom.xml，在节点中追加以下内容：

📄 文件：pom.xml（修改）


<dependency>
    <groupId>cn.dev33groupId>
    <artifactId>sa-token-spring-boot3-starterartifactId>
    <version>1.44.0version>
dependency>


<dependency>
    <groupId>cn.dev33groupId>
    <artifactId>sa-token-redis-jacksonartifactId>
    <version>1.44.0version>
dependency>


<dependency>
    <groupId>org.apache.commonsgroupId>
    <artifactId>commons-pool2artifactId>
dependency>


<dependency>
    <groupId>cn.hutoolgroupId>
    <artifactId>hutool-allartifactId>
    <version>5.8.34version>
dependency>

这里有几个关键点需要说明。

sa-token-spring-boot3-starter 是 Sa-Token 为 Spring Boot 3.x 提供的专用启动器。如果你使用的是 Spring Boot 2.x，需要将 boot3 改为 boot，即 sa-token-spring-boot-starter。两者的 API 完全一致，只是底层适配的 Servlet 版本不同。

sa-token-redis-jackson 是 Sa-Token 的 Redis 集成插件。引入这个依赖后，Sa-Token 会通过 Spring Boot 的自动装配机制检测到 Redis 的存在，并将所有会话数据的存储层从默认的 JVM 内存切换到 Redis，不需要我们编写任何额外的配置类。它依赖 commons-pool2 作为 Redis 连接池，所以需要一并引入，否则启动时会报 NoClassDefFoundError。

hutool-all 是 Hutool 的全量包，后续章节中我们会用到它的加密工具和 JSON 处理能力。

追加完成后，点击 IDEA 右侧的 Maven 面板，点击刷新图标（Reload All Maven Projects）。等待底部进度条走完，确认 pom.xml 中没有红色报错线，说明依赖下载成功。

3.2. 配置 application.yml

依赖引入完成后，我们需要在 application.yml 中完成两件事：配置 Sa-Token 的核心参数，以及配置 Redis 连接信息。

📄 文件：src/main/resources/application.yml（修改）

server:
  port: 8081  # 使用 8081 端口，避免与基础篇的 8080 冲突

# Sa-Token 核心配置
sa-token:
  # Token 名称（同时决定 Cookie 名称、请求头名称、URL 参数名称）
  token-name: satoken
  # Token 有效期，单位：秒。-1 表示永不过期（生产环境不推荐）
  timeout: 2592000
  # Token 最低活跃频率，单位：秒。-1 表示不限制
  active-timeout: -1
  # 是否允许同一账号多端同时登录
  is-concurrent: true
  # 在多端登录下，是否共用同一个 Token
  is-share: true
  # Token 风格：uuid / simple-uuid / random-32 / random-64 / random-128 / tik
  token-style: uuid
  # 是否在启动时在控制台打印版本字符画
  is-print: true

# Redis 连接配置
spring:
  data:
    redis:
      host: 127.0.0.1
      port: 6379
      password:        # 留空表示无密码，生产环境务必设置密码
      database: 0      # 使用 0 号数据库

要点	何时使用	关键动作
`sa-token-spring-boot3-starter`	Spring Boot 3.x 项目引入 Sa-Token	注意 boot3 与 boot 的版本区分
`sa-token-redis-jackson`	需要将会话持久化到 Redis 时	引入后自动切换存储层，无需额外配置
`is-concurrent` + `is-share` 组合	项目初始化时确定登录策略	根据业务选择，可在登录时被参数覆盖

配置项	推荐值	控制内容
`token-name`	`satoken`	Cookie 名 / Header 名 / URL 参数名
`timeout`	`2592000`（30 天）	Token 最大存活时间
`is-concurrent`	`true`（多端）/ `false`（单端）	是否允许同一账号多端同时在线
`is-share`	根据业务决定	多端登录时是否复用同一 Token

第四章. 一行代码登录：StpUtil 与 SaResult 核心解析

项目搭建完成，配置也就绪了。现在我们终于可以写代码了。在动手之前，有两个 Sa-Token 的核心类必须先认识清楚——我们接下来所有的接口都会用到它们，但如果不理解它们的设计，你只会"照着抄"而不是"真的懂"。

4.1. StpUtil：Sa-Token 的操作中枢

StpUtil 是 Sa-Token 中所有操作的入口，你会发现本系列中几乎所有认证操作都从它开始。它是一个全静态方法的工具类，这意味着你不需要通过 @Autowired 注入就能直接调用，就像使用 Math.random() 一样。

但你可能会好奇：一个静态方法，是怎么知道"当前这个请求的用户是谁"的？答案是 Sa-Token 在框架层面拦截了每一个进入的 HTTP 请求，从请求中提取 Token（Cookie 或 Header），并将其存储在当前线程的 ThreadLocal线程本地存储，每个线程独立持有一份数据副本，线程间互不干扰中。这样，当你在业务代码中调用 StpUtil.getLoginId() 时，它实际上是在从当前线程的 ThreadLocal 里取出 Token，再去存储层（Redis）反查用户 ID，整个过程对业务代码完全透明。

Stp 是 t（token）+ p（permission）缩写演化而来的历史命名，你不需要深究它的含义，记住"Sa-Token 的静态操作入口"这个定位就够了。

4.2. SaResult：Sa-Token 内置的统一响应类

在写第一个接口之前，还有一个类需要先了解——SaResult，它是 Sa-Token 内置的统一 HTTP 响应封装类，结构和我们在基础篇手写的 Result 几乎完全一致。

SaResult 有三个核心字段：

字段	类型	含义
`code`	`int`	状态码，默认 200 表示成功，500 表示失败
`msg`	`String`	提示信息
`data`	`Object`	响应数据，可以是任意类型

常用的静态工厂方法如下：

SaResult.ok("操作成功");              // code=200, msg="操作成功", data=null
SaResult.ok("操作成功").setData(obj); // code=200, msg="操作成功", data=obj
SaResult.data(obj);                   // code=200, msg="ok", data=obj
SaResult.error("出错了");             // code=500, msg="出错了", data=null
SaResult.error("出错了").setCode(401); // code=401, msg="出错了", data=null

值得注意的是，setCode()、setMsg()、setData() 都返回 SaResult 本身，支持链式调用。在实际项目中，你完全可以继续使用自己的 Result 类，SaResult 不是强制的——本篇为了减少额外的脚手架代码，直接使用它。

4.3. 登录、注销与状态查询

理解了 StpUtil 和 SaResult 的设计之后，我们来写第一个功能完整的控制器。

首先在 com.example.authsatoken 包下新建 controller 子包，然后创建 LoginController.java。

📄 文件：src/main/java/com/example/authsatoken/controller/LoginController.java（新建）

package com.example.authsatoken.controller;

import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;
import org.springframework.web.bind.annotation.*;

@RestController
@RequestMapping("/auth")
public class LoginController {

    /**
     * 登录接口
     * 实际项目中应查询数据库校验凭据，这里用硬编码模拟，仅聚焦 Sa-Token 本身的行为
     */
    @PostMapping("/login")
    public SaResult login(@RequestParam String username, @RequestParam String password) {
        if ("admin".equals(username) && "123456".equals(password)) {
            // 核心：指定用户 ID，Sa-Token 负责生成 Token、创建会话、写入响应
            // 任何可以唯一标识用户的值都可以作为参数，框架内部统一转为 String 存储
            StpUtil.login(10001);
            // 返回给前端的 Token 值，前端后续请求需携带此值
            return SaResult.ok("登录成功").setData(StpUtil.getTokenValue());
        }
        return SaResult.error("用户名或密码错误");
    }

    /**
     * 注销接口：注销当前请求携带的 Token，Redis 中对应的会话数据随即清除
     */
    @PostMapping("/logout")
    public SaResult logout() {
        StpUtil.logout();
        return SaResult.ok("注销成功");
    }

    /**
     * 查询当前请求携带的 Token 是否处于有效登录状态
     */
    @GetMapping("/isLogin")
    public SaResult isLogin() {
        return SaResult.ok("是否已登录：" + StpUtil.isLogin());
    }
}

这段代码的核心是 StpUtil.login(10001) 这一行。当它被执行时，Sa-Token 在背后依次完成了：

根据配置的 token-style 生成一个 Token 字符串（本项目配置的是 UUID 格式），以用户 ID 10001 为键在 Redis 中创建 Session 会话，建立 Token 与 Session 之间的映射关系，最后将 Token 写入响应（默认同时写 Cookie 和响应头，以适配不同前端场景）。

登录成功后，我们通过 StpUtil.getTokenValue() 取到刚刚生成的 Token 并放入响应体的 data 字段中返回给前端。前端拿到这个值后，后续所有需要身份认证的请求，都需要在 HTTP 请求头中携带：

1	satoken: 1db92b69-74ce-4c5f-a838-13c0f414d047

其中 satoken 就是我们在 application.yml 中配置的 token-name。

关于 Token 的两种传递方式

Sa-Token 支持两种 Token 传递方式，对应不同的前端场景：

浏览器在登录成功后自动保存 Cookie，后续请求自动携带，无需前端额外代码。适合传统 Web 页面（如 Thymeleaf 渲染的服务端页面）。Sa-Token 会在 Set-Cookie 响应头中自动写入 Token，浏览器的每次请求都会自动带上。

登录成功后，前端从响应体的 data 字段取出 Token 并保存到 localStorage 或 Vuex。之后每次 Ajax 请求时，在请求头中手动携带：

1	axios.defaults.headers.common['satoken'] = localStorage.getItem('token');

这是目前最主流的前后端分离方式，也是我们后续测试时的默认模式。

4.4. Token 信息获取

登录成功后，我们通常还需要获取当前用户的详细 Token 信息和登录 ID。Sa-Token 为此提供了一组简洁的 API。

在 LoginController 中，在 isLogin() 方法下方追加以下两个方法：

📄 文件：src/main/java/com/example/authsatoken/controller/LoginController.java（修改，追加方法）

/**
 * 获取当前会话的 Token 完整信息，调试时非常有用
 */
@GetMapping("/tokenInfo")
public SaResult tokenInfo() {
    return SaResult.data(StpUtil.getTokenInfo());
}

/**
 * 获取当前登录用户的 ID
 * 若未登录会抛出 NotLoginException，如需"安全获取"请用 getLoginIdDefaultNull()
 */
@GetMapping("/loginId")
public SaResult loginId() {
    return SaResult.ok("当前登录用户 ID：" + StpUtil.getLoginId());
}

StpUtil.getTokenInfo() 返回一个 SaTokenInfo 对象，包含了当前会话的完整快照，以下是各字段的含义：

字段	类型	含义
`tokenName`	`String`	Token 名称，即 `token-name` 配置值
`tokenValue`	`String`	当前 Token 的具体值
`isLogin`	`boolean`	是否处于登录状态
`loginId`	`Object`	登录时传入的用户 ID（以 String 形式存储）
`loginType`	`String`	登录类型，默认 `login`
`tokenTimeout`	`long`	Token 剩余有效期（秒），-1 表示永不过期，-2 表示已过期
`sessionTimeout`	`long`	Session 剩余有效期（秒）
`loginDeviceType`	`String`	登录设备类型，未指定时默认 `DEF`

StpUtil.getLoginId() 返回当前登录用户的 ID。有一个细节需要特别留意：无论登录时传入的是 long 还是 int，getLoginId() 都以 Object 类型返回，实际存储的是 String "10001" 而非 Long 10001。如果你需要精确类型，请使用：

// 返回 String 类型的 ID，是最常用的安全写法
StpUtil.getLoginIdAsString();

// 返回 Long 类型，如果无法转换会抛异常
StpUtil.getLoginIdAsLong();

// 未登录时返回 null，而不是抛出异常——适合"可选校验"场景
StpUtil.getLoginIdDefaultNull();

下面是 StpUtil 中与登录状态相关的常用 API 速查表：

方法	作用	未登录时的行为
`StpUtil.login(id)`	执行登录，创建会话	—
`StpUtil.logout()`	注销当前会话	不报错，静默执行
`StpUtil.isLogin()`	判断是否已登录	返回 `false`
`StpUtil.getLoginId()`	获取登录 ID（Object 类型）	抛出 `NotLoginException`
`StpUtil.getLoginIdAsString()`	获取登录 ID（String 类型）	抛出 `NotLoginException`
`StpUtil.getLoginIdDefaultNull()`	获取登录 ID（安全版）	返回 `null`
`StpUtil.getTokenValue()`	获取当前 Token 值	返回 `null`
`StpUtil.getTokenInfo()`	获取 Token 完整信息对象	返回对象，但 `isLogin=false`

4.5. 启动项目并测试

代码写完了，让我们启动项目，亲手验证每个接口的行为。

步骤 1：确认 Redis 已启动

在终端中执行以下命令，确认 Redis 服务正在运行：

1	redis-cli ping

如果返回 PONG，说明 Redis 正常运行。如果提示连接失败，请先启动 Redis 服务，否则 Spring Boot 应用在启动阶段会因为无法连接 Redis 而直接报错退出。

步骤 2：启动 Spring Boot 应用

在 IDEA 中运行 AuthSatokenApplication 的 main 方法。观察控制台输出，如果看到以下字符画，说明 Sa-Token 已成功加载：

____    ____    ______   ____    __  __   ____    _   __
/ ___|  / _  |  |_    _| /_ _ \  |  |/ /  | ___|  | \ | |
\___ \ | |_| |    | |   | |  | | |     /  | |___  |  \| |
___) ||    _|    | |   | |__| | |    _\  | |___  | |\  |
|____/ |_| |_|    |_|    \____/  |_| \_\ |_____| |_| \_|

同时确认控制台没有红色报错信息，并且出现了 Started AuthSatokenApplication in x.xx seconds 的提示。

步骤 3：测试登录接口

使用 Postman（或 curl）发送 POST 请求：

1	POST http://localhost:8081/auth/login?username=admin&password=123456

预期响应：

{
    "code": 200,
    "msg": "登录成功",
    "data": "1db92b69-74ce-4c5f-a838-13c0f414d047"
}

data 字段返回的就是 Token 值，每次登录生成的值都不同（因为是 UUID）。请将这个 Token 值复制备用，后续带认证的请求都需要它。

步骤 4：测试登录状态查询

在 Postman 的请求 Header 中添加：

1	satoken: 1db92b69-74ce-4c5f-a838-13c0f414d047 （替换为你实际的 Token）

然后访问：

1	GET http://localhost:8081/auth/isLogin

预期响应：

{
    "code": 200,
    "msg": "是否已登录：true",
    "data": null
}

步骤 5：测试获取 Token 完整信息

同样携带 Token Header，访问：

1	GET http://localhost:8081/auth/tokenInfo

预期响应：

{
    "code": 200,
    "msg": "ok",
    "data": {
        "tokenName": "satoken",
        "tokenValue": "1db92b69-74ce-4c5f-a838-13c0f414d047",
        "isLogin": true,
        "loginId": "10001",
        "loginType": "login",
        "tokenTimeout": 2591874,
        "sessionTimeout": 2591874,
        "tokenSessionTimeout": -2,
        "tokenActiveTimeout": -1,
        "loginDeviceType": "DEF",
        "tag": null
    }
}

注意 loginId 字段的值是字符串 "10001" 而非数字 10001，这印证了前面说的"Sa-Token 内部统一以 String 存储用户 ID"。loginDeviceType 显示为 DEF，这是因为我们调用 StpUtil.login(10001) 时没有指定设备类型，框架使用了默认值。后续章节中我们会学习如何指定设备类型。

步骤 6：测试注销接口

携带 Token Header，访问：

1	POST http://localhost:8081/auth/logout

预期响应：

{
    "code": 200,
    "msg": "注销成功",
    "data": null
}

注销后，再次访问 GET /auth/isLogin，预期返回 是否已登录：false。这说明注销操作成功将 Redis 中对应的 Token 和 Session 数据清除了。我们将在第五章中通过直接查看 Redis，来验证这个清除过程。

要点	何时使用	关键动作
`StpUtil.login(id)`	用户身份校验通过后	传入用户 ID，一行完成登录
`StpUtil.getTokenValue()`	登录后将 Token 返回给前端时	放入响应体 data 字段
`StpUtil.getLoginIdDefaultNull()`	不确定当前是否已登录时	安全获取 ID，避免 NotLoginException

4.6. 本节总结

本节回顾

本章完成了从零到第一个可运行认证接口的全过程。我们首先深入理解了 StpUtil 的设计本质——全静态工具类，依托框架的 ThreadLocal 机制感知当前请求的 Token，无需注入即可在任何位置调用。随后详细拆解了 SaResult 的三字段结构（code / msg / data）和五个常用工厂方法，为后续所有接口的响应格式打下基础。在 LoginController 的实现中，我们清楚解释了登录时 Sa-Token 背后的四步动作（生成 Token → 创建 Session → 建立映射 → 写入响应），以及 Token 在前后端分离场景下的 Header 传递方式。SaTokenInfo 的各字段含义、getLoginId() 的类型陷阱与安全替代方法也在本章一并覆盖。最后，六步测试流程验证了全部接口行为，并为第五章的 Redis 观察实验做好了铺垫。

核心汇总表

类	职责	关键点
`StpUtil`	Sa-Token 全部操作的静态入口	通过 ThreadLocal 感知当前请求，无需注入
`SaResult`	统一 HTTP 响应封装	code/msg/data，支持链式 setXxx()
`SaTokenInfo`	Token 会话的完整快照	`loginId` 以 String 存储，注意类型陷阱

方法	适用场景	未登录时行为
`getLoginId()`	明确已登录的请求链路	抛出 NotLoginException
`getLoginIdAsString()`	需要 String 类型时	抛出 NotLoginException
`getLoginIdDefaultNull()`	不确定登录状态时	返回 null

这个问题问得非常好，你遇到的现象其实是 Cookie 机制在背后默默工作，不是 Sa-Token “智能识别了你这个人”。让我解释清楚整个过程。

Sa-Token 是怎么在没有手动带 Header 的情况下认出你的？

第一步：登录时 Sa-Token 同时做了两件事

当你调用 /auth/login 登录成功后，Sa-Token 会把 Token 写到两个地方：

第一个地方：HTTP 响应体的 data 字段——也就是我们代码里 .setData(StpUtil.getTokenValue()) 返回的那个值，这是给前端手动保存用的。

第二个地方：HTTP 响应头的 Set-Cookie 字段——Sa-Token 默认会同时写一个 Cookie，名称就是我们配置的 token-name: satoken，值就是 Token 字符串。

你可以在 Apifox 登录接口的响应里找到这个响应头：

1	Set-Cookie: satoken=1db92b69-74ce-4c5f-a838-13c0f414d047; Path=/; HttpOnly

第二步：浏览器/Apifox 自动带上了 Cookie

Apifox 内置了一个 Cookie 管理器，行为和浏览器完全一样——收到 Set-Cookie 响应头之后，自动把这个 Cookie 存起来。下次向同一个域名（localhost:8081）发请求时，自动在请求头里附上：

1	Cookie: satoken=1db92b69-74ce-4c5f-a838-13c0f414d047

这一切都是 Apifox 在背后自动完成的，你根本看不到，也不需要手动操作。所以你"去掉 satoken 请求头"之后，Cookie 里的 Token 还在，Sa-Token 从 Cookie 里读到了，照样认出你。

第三步：Sa-Token 的 Token 读取优先级

Sa-Token 在每次请求中读取 Token 时，会按以下顺序依次尝试：

1
2
3

1. 请求头 Header（key = token-name，即 satoken）
2. Cookie（name = token-name，即 satoken）
3. URL 参数（?satoken=xxx）

所以这两种模式分别对应什么场景？

模式	Token 存哪里	谁来携带	适合场景
Cookie 模式	浏览器/客户端自动管理	自动附加，无需代码	传统 Web、服务端渲染页面
Header 模式	前端手动存（localStorage 等）	每次请求手动写入 Header	前后端分离、App、小程序

Sa-Token 默认两种模式同时支持，不需要你选择，框架都会尝试读取。这就是为什么你在 Apifox 里测试时"去掉 Header 也能过"——因为 Cookie 通道还开着。

真实的前后端分离项目里，前端（Vue/React）用 axios 发请求时通常不会自动带 Cookie（跨域情况下需要额外配置），所以实际上走的是 Header 模式。Apifox 作为测试工具，默认行为更接近浏览器，所以 Cookie 模式会悄悄生效。

明白这个机制之后，后续测试时如果想模拟"纯 Header 模式"，记得在 Apifox 里关掉自动 Cookie 管理就行了。

我已经仔细阅读了 Sa-Token 官方文档关于 Session 会话的全部内容，以及你现有笔记的第四章结尾。现在我来重写第五章。

第五章的核心主题应该是：Sa-Token 的三种 Session 类型（Account-Session、Token-Session、Custom-Session），以及如何在 Session 上存取数据。Redis 作为观察手段穿插其中，而不是主角。内容要无缝衔接第四章"第六步测试注销后返回 false"这个结尾。

第五章. 会话的三张面孔：Session 机制全解析

在第四章中，我们完成了第一个可运行的认证接口，并通过六步测试流程验证了登录、状态查询、注销的完整生命周期。测试的最后一步，我们发现注销后再调用 /auth/isLogin，返回值变成了 false——会话数据消失了。

但这里有一个问题值得深究：Sa-Token 所说的"会话"，究竟是什么？Token 是会话吗？Session 是会话吗？它们是同一个东西吗？如果不搞清楚这个问题，后续章节中你会遇到一堆行为"符合预期但说不清为什么"的 API，这会成为你日后排查问题的最大障碍。

本章我们就把这件事彻底搞清楚。

5.1. Token 和 Session 不是同一回事

大多数初次接触 Sa-Token 的同学，会默认把 Token 和 Session 理解成"同一个东西的两种叫法"。这是一个需要在第一时间纠正的误解。

让我们用一个生活中的场景来建立直觉：你去图书馆借书，馆员给了你一张 借书证（Token）。这张借书证本身只是一张卡，上面印着你的编号，馆员通过它能查到 你的档案袋（Session）。档案袋里装着你的个人信息、当前借阅记录、历史违规记录等等。借书证是凭证，档案袋是数据载体，两者职责完全不同。

回到 Sa-Token：

Token 是一串字符串，是客户端（浏览器、App）持有的凭证，每次请求时附带在 Header 或 Cookie 中，框架通过它识别"这是哪个用户发来的请求"。
Session 是框架在服务端（Redis）维护的数据容器，可以在里面存储任意键值对，开发者可以把需要在多个请求间共享的数据放在这里。

一个用户可以有多个 Token（多设备登录），但这些 Token 最终都指向同一个用户的 Session。这就是两者的核心关系。

Token 是客户端的凭证，Session 是服务端的数据容器，两者通过用户 ID 关联，而不是一一对应。

理解了这个基础区别之后，我们来看 Sa-Token 更进一步的设计——它把 Session 分成了三种，分别对应三种不同的使用场景。

5.2. 三种 Session 的设计哲学

Sa-Token 的三种 Session 分别是 Account-Session、Token-Session 和 Custom-Session。它们不是功能上的重复，而是从三个不同的维度出发，解决三种不同的数据归属问题。

在动手写代码之前，我们先用一张表格建立全局认知：

Session 类型	归属维度	生命周期	典型用途
Account-Session	账号维度（一个用户唯一一个）	与用户的登录状态同步	缓存用户基本信息、权限列表等账号级数据
Token-Session	Token 维度（每个 Token 独立一个）	与该 Token 的有效期同步	缓存与特定终端相关的数据，如当前终端的操作记录
Custom-Session	任意自定义维度	由开发者手动控制	为业务实体挂载临时数据，如商品、订单的缓存

接下来我们逐一深入每种 Session 的细节。

5.3. Account-Session：账号维度的数据容器

Account-Session 是三种 Session 中最常用的一种。它的核心特点只有一句话：整个账号共享一个 Session，无论该账号从几台设备登录。

这意味着什么？用户 A 同时用手机和电脑登录了你的系统，产生了两个不同的 Token，但这两个 Token 背后共享同一个 Account-Session。你在手机端的 Account-Session 里存入的数据，在电脑端同样可以读取到。

5.3.1. 核心 API 与使用方式

获取 Account-Session 有几种方式，分别对应不同的调用场景：

// 获取当前登录账号的 Account-Session（必须在已登录状态下调用）
// 内部等价于：StpUtil.getSessionByLoginId(StpUtil.getLoginId())
StpUtil.getSession();

// 获取当前账号的 Account-Session，并决定 Session 不存在时是否自动创建
// true：不存在则新建并返回（默认行为）
// false：不存在则返回 null
StpUtil.getSession(true);

// 直接指定用户 ID 获取其 Account-Session（可在任意业务逻辑中使用，不限于当前请求）
StpUtil.getSessionByLoginId(10001);

// 指定 ID 获取，同时控制不存在时的行为
StpUtil.getSessionByLoginId(10001, false);

// 通过 SessionId 获取（SessionId 就是 "satoken:login:session:{userId}"）
// Session 不存在时返回 null，不会自动创建
StpUtil.getSessionBySessionId("satoken:login:session:10001");

这些方法返回的都是 SaSession 对象，拿到之后你就可以在上面自由地存取任意键值对。

5.3.2. 在 Account-Session 上存取数据

我们来写一个具体的场景：用户登录成功后，将用户对象缓存到 Account-Session 中，后续任何接口都可以直接从 Session 中取出，而不需要每次都查数据库。

首先在 controller 包下新建 SessionDemoController.java，专门用来演示三种 Session 的操作：

📄 文件：src/main/java/com/example/authsatoken/controller/SessionDemoController.java（新建）

package com.example.authsatoken.controller;

import cn.dev33.satoken.session.SaSession;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;
import org.springframework.web.bind.annotation.*;

@RestController
@RequestMapping("/session")
public class SessionDemoController {
/**
 * 演示向 Account-Session 写入数据
 * 场景：模拟登录后将用户昵称缓存到 Account-Session
 */
@PostMapping("/account/set")
public SaResult setAccountSession() {
StpUtil.getSession()
.set("nickname", "张三")
.set("role", "admin")
.set("loginCount", 1);
return SaResult.ok("已向 Account-Session 写入数据");
}

/**
 * 演示从 Account-Session 读取数据
 * 无论当前请求携带的是哪个设备的 Token，读取的都是同一份数据
 */
@GetMapping("/account/get")
public SaResult accountGet() {
SaSession session = StpUtil.getSession();
// 基础取值：返回 Object 类型
Object nickname = session.get("nickname");
// 带类型转换的取值
String role = session.getString("role");
int loginCount = session.getInt("loginCount");
// 带默认值的取值：若 key 不存在，返回指定的默认值而不是 null
String email = session.get("email", "暂未设置");
return SaResult.ok("读取成功").setData(
"昵称=" + nickname + ", 角色=" + role +
", 登录次数=" + loginCount + ", 邮箱=" + email
);
}

}

步骤 1： 确保已登录（参考第四章，调用 /auth/login 获取 Token），然后携带 Token 请求：

1	POST http://localhost:8081/session/account/set

预期响应：

{
    "code": 200,
    "msg": "已向 Account-Session 写入数据",
    "data": null
}

步骤 2： 随后请求读取接口：

1	GET http://localhost:8081/session/account/get

预期响应：

{
    "code": 200,
    "msg": "读取成功",
    "data": "昵称=管理员小王, 角色=admin, 登录次数=1, 邮箱=暂未设置"
}

email 键我们从未设置过，所以 session.get("email", "暂未设置") 触发了默认值逻辑，返回了 "暂未设置" 而不是 null。这是一个非常实用的防空指针技巧，建议在实际项目中优先使用带默认值的取值方法。

5.3.3. 用 Redis 验证"账号共享"的本质

前面我们说 Account-Session 是账号维度的——整个账号只有一个 Session，多个 Token 共享它。现在我们用 Redis 来亲眼验证这一点。

重新登录，这次我们登录两次，模拟同一账号的两台设备：

# 第一次登录（模拟手机端）
POST http://localhost:8081/auth/login?username=admin&password=123456
# 假设返回 Token-A：aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa

# 第二次登录（模拟电脑端）
POST http://localhost:8081/auth/login?username=admin&password=123456
# 假设返回 Token-B：bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb

此时打开 Redis 客户端执行 KEYS *，你会看到：

1
2
3

1) "satoken:login:token:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa"
2) "satoken:login:token:bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb"
3) "satoken:login:session:10001"

三个 Key，两个 Token Key，但只有一个 Session Key。satoken:login:session:10001 这个 Key 以用户 ID 为后缀，不随 Token 的数量变化——这就是"账号维度"的真实含义。

查看这个 Session 的内容：

1	> GET "satoken:login:session:10001"

你会在 terminalList 字段中看到两条终端记录，分别对应 Token-A 和 Token-B，它们都挂载在同一个 Session 对象下：

{
  "type": "Account-Session",
  "loginId": 10001,
  "terminalList": [
    {
      "tokenValue": "aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa",
      "deviceType": "DEF",
      "createTime": 1772518275240
    },
    {
      "tokenValue": "bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb",
      "deviceType": "DEF",
      "createTime": 1772518276100
    }
  ]
}

现在用 Token-A 携带请求调用 /session/account/set 写入昵称，再换用 Token-B 携带请求调用 /session/account/get 读取，结果是完全一致的。这就是 Account-Session 账号级共享的直观证明。

5.3.4. 懒加载取值：`get` 方法的第三种重载

SaSession 的 get 方法有一个非常实用但容易被忽略的重载——接受一个 Supplier 函数作为参数：

// 若 Session 中已有 "userInfo" 这个 key，直接返回缓存值
// 若没有，执行 Supplier 获取新值，存入 Session，然后返回
Object userInfo = session.get("userInfo", () -> {
    // 这里写"缓存未命中时的数据获取逻辑"，比如查数据库
    // 在本演示中我们用一个 Map 模拟数据库返回的用户对象
    return java.util.Map.of("id", 10001, "name", "管理员小王");
});

这个写法实现了一个经典的缓存模式：先查缓存，未命中再查数据库，查到后自动写入缓存。在实际项目中，你可以用它替代以下冗长的模板代码：

// ❌ 没有懒加载时需要这样写
Object userInfo = session.get("userInfo");
if (userInfo == null) {
    userInfo = userService.findById(10001); // 查数据库
    session.set("userInfo", userInfo);      // 写入缓存
}
return userInfo;

// ✅ 使用懒加载重载，等价于上面的代码
Object userInfo = session.get("userInfo", () -> userService.findById(10001));

两者行为完全一致，后者的代码量减少了三分之二，可读性也更高。

5.3.5. 本节小结

本节完成了 Account-Session 的 API 学习与 Redis 数据结构验证，亲眼确认了同一账号多设备登录时共享同一个 Session 对象的行为。

要点	何时使用	关键动作
`StpUtil.getSession()`	当前请求上下文中操作账号 Session	必须在已登录状态下调用，否则抛出异常
`session.get(key, supplier)`	实现查缓存→查库→写缓存的懒加载模式	未命中时自动执行 Supplier 并回写 Session
Redis Key 格式	排查账号 Session 数据时	`satoken:login:session:{userId}`

5.4. Token-Session：终端维度的独立容器

Account-Session 解决了"账号级数据共享"的问题，但有时候我们需要存储的数据不是账号级的，而是终端级的——也就是说，同一个账号的手机端和电脑端，应该拥有各自独立的数据空间，互不干扰。

Token-Session 就是为这种场景设计的：每个 Token 拥有自己独立的 Session，两个 Token 即使属于同一个账号，它们的 Token-Session 也完全隔离，互不可见。

5.4.1. Account-Session 与 Token-Session 的边界

在写代码之前，我们先把两者的边界划清楚，这是实际开发中最容易混淆的地方：

问题	Account-Session	Token-Session
同账号多设备，数据是否共享？	✅ 共享，所有设备读写同一份	❌ 隔离，每个设备独立
数据与 Token 是否绑定？	❌ 不绑定，以用户 ID 为键	✅ 绑定，以 Token 值为键
一个账号最多有几个？	始终只有一个	有几个活跃 Token 就有几个
适合存储什么？	用户信息、权限列表、全局配置	当前终端的临时操作状态、步骤记录

一个具体的业务场景可以帮助你直观区分：用户的"权限列表"应该存在 Account-Session 里（所有终端的权限是一样的），但"当前正在编辑中的草稿 ID"应该存在 Token-Session 里（手机端和电脑端各自编辑各自的草稿，互不干扰）。

5.4.2. 核心 API

Token-Session 的获取方式比 Account-Session 简单，只有两个 API：

// 获取当前请求的 Token 所对应的 Token-Session
// 默认情况下，只有已登录的请求才能调用（未登录会抛出 NotLoginException）
StpUtil.getTokenSession();

// 获取指定 Token 值对应的 Token-Session（可用于管理后台操作其他用户的终端）
StpUtil.getTokenSessionByToken("aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa");

获取到的同样是 SaSession 对象，存取数据的 API 与 Account-Session 完全一致。

5.4.3. 演示终端隔离特性

我们在 SessionDemoController 中追加两个方法来演示 Token-Session 的隔离特性：

📄 文件：src/main/java/com/example/authsatoken/controller/SessionDemoController.java（修改，追加方法）

/**
 * 向当前 Token 的 Token-Session 写入数据
 * 每个 Token 写入的数据是隔离的，不会互相影响
 */
@PostMapping("/token/set")
public SaResult tokenSet(@RequestParam String deviceNote) {
// 获取当前 Token 的 Token-Session（与 Account-Session 同样简洁）
SaSession tokenSession = StpUtil.getTokenSession();

// 将设备备注写入当前 Token 的私有 Session
tokenSession.set("deviceNote", deviceNote);

return SaResult.ok("已向 Token-Session 写入：" + deviceNote);
}

/**
 * 从当前 Token 的 Token-Session 读取数据
 * 用 Token-A 写入的数据，Token-B 无法读取到
 */
@GetMapping("/token/get")
public SaResult tokenGet() {
SaSession tokenSession = StpUtil.getTokenSession();
String deviceNote = tokenSession.get("deviceNote", "（该终端尚未设置备注）");;
return SaResult.ok("当前终端备注：" + deviceNote);
}

现在用两个 Token（Token-A 和 Token-B，来自前面模拟的两次登录）分别测试：

用 Token-A 写入：

1 2	POST http://localhost:8081/session/token/set?deviceNote=这是手机端（Header: satoken = Token-A 的值）

用 Token-B 读取：

1 2	GET http://localhost:8081/session/token/get （Header: satoken = Token-B 的值）

预期响应：

{
    "code": 200,
    "msg": "当前终端备注：（该终端尚未设置备注）",
    "data": null
}

Token-B 读取不到 Token-A 写入的数据，两个终端的 Session 完全隔离，这正是 Token-Session 的设计目标。再用 Token-A 读取：

1 2	GET http://localhost:8081/session/token/get （Header: satoken = Token-A 的值）

预期响应：

{
    "code": 200,
    "msg": "当前终端备注：这是手机端",
    "data": null
}

5.4.4. 用 Redis 确认 Token-Session 的 Key 结构

此时打开 Redis 客户端，执行 KEYS *，你会看到新增了 Token-Session 对应的 Key：

1) "satoken:login:token:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa"
2) "satoken:login:token:bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb"
3) "satoken:login:session:10001"
4) "satoken:login:token-session:aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa"

注意第 4 条 Key 的格式：satoken:login:token-session:，它以 Token 的值本身作为标识符，所以每个 Token 的 Token-Session 是天然隔离的。我们只为 Token-A 写入了数据，所以只有 Token-A 的 token-session Key 被创建了，Token-B 的不存在。

Token-Session 默认只有在开发者主动调用 getTokenSession() 时才会创建，不会随登录自动生成，这与 Account-Session 的行为不同（Account-Session 在登录时自动创建）。

5.4.5. 未登录场景下使用 Token-Session

这是一个值得单独说明的特殊场景。默认配置下，调用 StpUtil.getTokenSession() 要求当前请求必须处于登录状态，未登录时会抛出 NotLoginException。

但在某些业务场景下，你可能需要在用户正式登录之前就为当前终端挂载临时数据——例如记录用户的未登录状态下的购物车，或者多步骤表单的中间状态。Sa-Token 提供了两种解法：

解法一：修改全局配置（影响所有接口）

在 application.yml 中追加：

sa-token:
  # 将此项改为 false，允许在未登录状态下调用 getTokenSession()
  # 默认值为 true（即默认要求登录才能使用 Token-Session）
  token-session-check-login: false

这个配置的影响范围是全局的，修改后整个应用的所有 getTokenSession() 调用都不再校验登录状态。如果你只有个别接口需要这种行为，不建议使用全局配置，而是使用解法二。

解法二：使用匿名 Token-Session（精细控制）

1
2
3

// 获取当前 Token 的匿名 Token-Session
// 在未登录时同样可以调用，框架不会抛出异常
StpUtil.getAnonTokenSession();

这里有一个需要注意的细节：如果前端发来的请求没有携带任何 Token，或者携带了一个已经失效的 Token，框架不会报错，而是会随机生成一个新的 Token 值来创建这个匿名 Token-Session。这个新生成的 Token 值可以通过 StpUtil.getTokenValue() 获取，你应该将它返回给前端保存，否则下次请求时这个匿名 Session 就无法被找回了。

5.4.6. 本节小结

本节完成了 Token-Session 的核心 API 学习，通过双 Token 隔离测试直观验证了终端隔离特性，并覆盖了未登录场景下的两种使用策略。

要点	何时使用	关键动作
`StpUtil.getTokenSession()`	需要存储与当前终端绑定的数据时	默认要求已登录，数据以 Token 为隔离键
`StpUtil.getAnonTokenSession()`	未登录前需要临时记录终端状态时	注意将新生成的 Token 返回给前端保存
Redis Key 格式	排查 Token-Session 数据时	`satoken:login:token-session:{token值}`

5.5. Custom-Session：突破账号边界，为任意业务实体挂载数据

Account-Session 和 Token-Session 都是围绕"用户"这个核心设计的——前者以账号 ID 为键，后者以 Token 为键。但在实际业务开发中，我们经常需要为非用户的业务实体挂载临时数据，比如：

为商品 ID 10001 挂载一个缓存，存储该商品的实时库存快照
为订单 ID ORDER-2025-88888 挂载状态机数据，记录订单当前处于哪个审批步骤
为一个临时会议室 ID 挂载参会者列表

这些场景的共同特点是：数据的归属主体不是"用户"，而是某个业务实体。如果强行用 Account-Session 来存储，会导致数据被混入用户的 Session 中，职责混乱；如果单独建一套 Redis 操作逻辑，又回到了手写轮子的老路。Custom-Session 正是为此而生的。

5.5.1. 设计思路

Custom-Session 的本质是：以一个你自定义的字符串作为 Session ID，让框架在 Redis 中为你创建和管理一个独立的 SaSession 对象。你不需要关心 Redis 连接、序列化、TTL 管理等细节，只需要给定一个唯一的字符串 key，剩下的交给 Sa-Token。

5.5.2. 核心 API

Custom-Session 通过独立的工具类 SaSessionCustomUtil 来操作：

import cn.dev33.satoken.session.SaSessionCustomUtil;

// 检查指定 key 的 Session 是否已存在于 Redis 中
SaSessionCustomUtil.isExists("goods-10001");

// 获取指定 key 的 Session，若不存在则自动创建并返回（最常用）
SaSession session = SaSessionCustomUtil.getSessionById("goods-10001");

// 获取指定 key 的 Session，第二个参数决定不存在时是否自动创建
// false：不存在则返回 null（适合只读场景，避免意外创建）
SaSession session = SaSessionCustomUtil.getSessionById("goods-10001", false);

// 主动删除指定 key 的 Session（清理不再需要的临时数据）
SaSessionCustomUtil.deleteSessionById("goods-10001");

注意这里的 key（"goods-10001"）就是你给这个业务实体的 Session 取的名字，框架会在 Redis 中以 satoken:custom:session:goods-10001 的格式存储它。

5.5.3. 完整演示：为商品挂载实时数据

我们用一个商品浏览量缓存的场景来演示 Custom-Session 的完整生命周期。

在 SessionDemoController 中追加以下方法：

📄 文件：src/main/java/com/example/authsatoken/controller/SessionDemoController.java（修改，追加方法）

/**
 * 演示 Custom-Session：为商品挂载实时浏览量数据
 * 场景：用户访问商品详情页时，记录浏览量（此接口无需登录）
 */
@PostMapping("/custom/goods/view")
public SaResult goodsView(@RequestParam Long goodsId) {
    // 以商品 ID 拼接成唯一 key，格式统一为 "goods-{id}"
    // 这个 key 就是 Custom-Session 的身份标识，整个应用内必须唯一
    String sessionKey = "goods-" + goodsId;

    // 获取该商品的 Session，不存在时自动创建
    SaSession goodsSession = SaSessionCustomUtil.getSessionById(sessionKey);

    // 取出当前浏览量，若还未记录过则默认为 0
    int viewCount = goodsSession.getInt("viewCount", 0);

    // 自增后写回
    goodsSession.set("viewCount", viewCount + 1);

    return SaResult.ok("商品 " + goodsId + " 当前浏览量：" + (viewCount + 1));
}

/**
 * 查询指定商品的缓存数据（只读，不主动创建 Session）
 */
@GetMapping("/custom/goods/info")
public SaResult goodsInfo(@RequestParam Long goodsId) {
    String sessionKey = "goods-" + goodsId;

    // 传入 false：Session 不存在时返回 null，而不是自动创建
    // 避免因为查询操作意外产生空的 Session 数据
    SaSession goodsSession = SaSessionCustomUtil.getSessionById(sessionKey, false);

    if (goodsSession == null) {
        return SaResult.error("该商品尚无缓存数据，请先访问商品详情页");
    }

    int viewCount = goodsSession.getInt("viewCount", 0);
    return SaResult.ok("查询成功").setData("商品 " + goodsId + " 浏览量=" + viewCount);
}

/**
 * 手动清除指定商品的 Custom-Session（例如商品下架时清理缓存）
 */
@DeleteMapping("/custom/goods/clear")
public SaResult goodsClear(@RequestParam Long goodsId) {
    String sessionKey = "goods-" + goodsId;

    // 先检查是否存在，避免对空数据发起删除操作
    if (!SaSessionCustomUtil.isExists(sessionKey)) {
        return SaResult.error("该商品暂无缓存数据，无需清理");
    }

    SaSessionCustomUtil.deleteSessionById(sessionKey);
    return SaResult.ok("商品 " + goodsId + " 的缓存已清除");
}

现在按顺序测试这三个接口，观察 Custom-Session 的完整生命周期。

测试一：触发浏览量记录

连续调用三次，模拟三次商品访问（Custom-Session 无需登录即可使用）：

1
2
3

POST http://localhost:8081/session/custom/goods/view?goodsId=10001
POST http://localhost:8081/session/custom/goods/view?goodsId=10001
POST http://localhost:8081/session/custom/goods/view?goodsId=10001

第三次的预期响应：

{
    "code": 200,
    "msg": "商品 10001 当前浏览量：3",
    "data": null
}

测试二：只读查询

1	GET http://localhost:8081/session/custom/goods/info?goodsId=10001

预期响应：

{
    "code": 200,
    "msg": "查询成功",
    "data": "商品 10001 浏览量=3"
}

查询一个从未被访问过的商品：

1	GET http://localhost:8081/session/custom/goods/info?goodsId=99999

预期响应：

{
    "code": 500,
    "msg": "该商品尚无缓存数据，请先访问商品详情页",
    "data": null
}

getSessionById(key, false) 在 Session 不存在时返回 null 而不是自动创建，这正是"只读查询传 false"的价值所在——你不会因为一次查询操作，在 Redis 里留下一堆空 Session 垃圾数据。

测试三：清除缓存

1	DELETE http://localhost:8081/session/custom/goods/clear?goodsId=10001

预期响应：

{
    "code": 200,
    "msg": "商品 10001 的缓存已清除",
    "data": null
}

此时打开 Redis 客户端执行 KEYS satoken:custom:*，预期输出为空，说明 Custom-Session 数据已从 Redis 中彻底删除。

5.5.4. 用 Redis 观察 Custom-Session 的 Key 格式

在执行清除操作之前，我们先看看 Custom-Session 在 Redis 中的实际存储形式。完成三次浏览量记录后，执行：

1 2	> KEYS satoken:custom:* 1) "satoken:custom:session:goods-10001"

和 Account-Session、Token-Session 不同，Custom-Session 的 Redis Key 前缀是 satoken:custom:session:，后面紧跟你传入的自定义 key 字符串。查看它的内容：

1	> GET "satoken:custom:session:goods-10001"

返回的 JSON 结构与前两种 Session 一致，都是 SaSession 对象，只是 type 字段变成了 Custom-Session，dataMap 里存着我们写入的 viewCount：

{
  "@class": "cn.dev33.satoken.session.SaSession",
  "id": "satoken:custom:session:goods-10001",
  "type": "Custom-Session",
  "loginType": null,
  "loginId": null,
  "createTime": 1772520001234,
  "dataMap": {
    "@class": "java.util.concurrent.ConcurrentHashMap",
    "viewCount": 3
  },
  "terminalList": ["java.util.Vector", []]
}

注意 loginId 和 loginType 均为 null，这进一步说明 Custom-Session 与"用户"这个概念完全脱钩——它就是一个以你给定的 key 为标识的独立数据容器，和谁登录了系统毫无关联。

5.6. SaSession 的完整存取 API 速查

前面三节我们在演示中已经用到了 SaSession 的大部分常用方法。这里把 SaSession 对象上的全部存取 API 系统性地梳理一遍，方便后续查阅。

无论是 Account-Session、Token-Session 还是 Custom-Session，拿到的都是同一种对象——SaSession，存取数据的方式完全相同。

5.6.1. 写入与更新

// 基础写入：存入任意键值对，值为 Object 类型，可以是字符串、数字、POJO 等
session.set("name", "管理员小王");
session.set("age", 28);

// 条件写入：仅在该 key 原本不存在时才写入，已有值时静默跳过
// 适合"初始化默认值"的场景，避免意外覆盖已有数据
session.setDefaultValue("loginCount", 0);

setDefaultValue 的应用场景很典型：用户第一次登录时初始化计数器，后续登录时不希望被重置为 0，用这个方法就能安全地做到。

5.6.2. 读取与类型转换

// 基础取值，返回 Object 类型，需要自行强转
Object value = session.get("name");

// 带默认值的取值：key 不存在时返回指定默认值，而不是 null
// 强烈推荐在业务代码中优先使用带默认值的重载，可以省去大量 null 判断
Object value = session.get("name", "匿名用户");

// 懒加载取值：key 不存在时执行 Supplier，将结果写入 Session 后返回
// 适合"查缓存→未命中→查库→回写"的经典模式
Object value = session.get("userInfo", () -> userService.findById(10001));

// 类型安全的取值方法，内部会进行自动类型转换
session.getString("name");          // 转为 String 类型
session.getInt("age");              // 转为 int 类型
session.getLong("userId");          // 转为 long 类型
session.getDouble("score");         // 转为 double 类型
session.getFloat("rate");           // 转为 float 类型

// 将值反序列化为指定的 POJO 类型（使用 Jackson 反序列化）
// 适合从 Session 中取出存储的自定义对象
session.getModel("userInfo", UserInfo.class);

// 带默认值版本：若 key 不存在或反序列化结果为 null，返回指定默认值
session.getModel("userInfo", UserInfo.class, new UserInfo());

关于 getModel 有一个常见陷阱需要预先说明。

常见错误：直接存入对象后取出类型不匹配

// 存入时，Java 对象会被 Jackson 序列化成 JSON 存入 Redis
session.set("userInfo", new UserInfo(10001, "小王"));

// ❌ 错误：直接强转会抛出 ClassCastException
// 因为从 Redis 取回的是 LinkedHashMap（Jackson 默认反序列化结果），不是 UserInfo
UserInfo user = (UserInfo) session.get("userInfo");

// ✅ 正确：使用 getModel 指定目标类型，框架负责完成反序列化
UserInfo user = session.getModel("userInfo", UserInfo.class);

这个错误非常隐蔽，在开发阶段可能因为类型信息还在内存中而不报错，但一旦应用重启、数据从 Redis 重新加载，就会在运行时抛出 ClassCastException。存入自定义对象时，取出时一律使用 getModel，这是一条不容破例的实践准则。

5.6.3. 删除与清空

// 删除单个 key
session.delete("name");

// 清空该 Session 下的所有 key（Session 对象本身仍然存在于 Redis 中）
session.clear();

// 查看该 Session 中存有哪些 key（返回 Set）
Set keys = session.keys();

// 判断某个 key 是否存在（返回 true 或 false）
boolean exists = session.has("name");

5.6.4. Session 自身的元信息与管理

// 获取该 Session 的 ID（就是 Redis 中存储它的 Key）
String id = session.getId();

// 获取该 Session 的创建时间（Unix 毫秒时间戳）
long createTime = session.getCreateTime();

// 获取该 Session 底层存储数据的原始 Map 对象
// 注意：直接修改这个 Map 里的值后，必须调用 session.update() 才能持久化到 Redis
// 否则修改只存在于内存中，下一次从 Redis 加载时会丢失（脏数据问题）
java.util.Map dataMap = session.getDataMap();
dataMap.put("name", "直接修改");
session.update(); // 必须手动调用，否则修改不生效

// 将当前内存中的 Session 数据强制同步到 Redis（用于直接操作 dataMap 之后）
session.update();

// 注销该 Session：从 Redis 中彻底删除这个 Session 对象
// 注意与 StpUtil.logout() 的区别：logout() 会级联处理 Token 等关联数据
// session.logout() 只是单纯删除这个 Session 对象本身
session.logout();

关于 session.update() 的使用时机，这里单独举例说明：

SaSession session = StpUtil.getSession();

// ✅ 通过 set() 方法修改，框架内部会自动同步到 Redis，无需手动 update()
session.set("count", 10);

// ⚠️ 直接操作 dataMap，框架感知不到你的修改，需要手动 update()
Map map = session.getDataMap();
map.put("count", 20);
session.update(); // 不调用这行，Redis 中仍然是 10

在绝大多数场景下，你只需要通过 set() 和 delete() 操作 Session，不需要直接碰 dataMap。只有在需要批量操作或原子性更新多个 key 时，才考虑操作 dataMap + 手动 update()。

5.7. 三种 Session 的对比与选型指南

学完三种 Session 之后，我们做一次完整的横向对比，帮助你在实际业务中快速做出正确选择。

对比维度	Account-Session	Token-Session	Custom-Session
Redis Key 格式	`satoken:login:session:{userId}`	`satoken:login:token-session:{token}`	`satoken:custom:session:{自定义key}`
获取方式	`StpUtil.getSession()`	`StpUtil.getTokenSession()`	`SaSessionCustomUtil.getSessionById(key)`
归属维度	账号（用户 ID）	终端（Token 值）	任意业务实体
同账号多设备	共享同一个	每个终端独立	与账号无关
需要登录才能获取	✅ 是	✅ 是（默认）	❌ 否
生命周期	与账号登录状态同步	与 Token 有效期同步	开发者手动控制
适合存储	用户信息、权限列表	终端操作状态、草稿 ID	商品/订单等业务实体的临时数据

在实际项目中，三种 Session 的选型可以归纳为以下三个问题：

问题一：这份数据属于"人"还是属于"物"？

如果答案是"人"，继续问第二个问题；如果答案是"物"（商品、订单、会议室等），选 Custom-Session。

问题二：同一个人的多台设备，应该看到同一份数据还是各自独立的数据？

如果"应该共享"（比如权限列表），选 Account-Session；如果"应该隔离"（比如当前编辑的草稿），选 Token-Session。

问题三：这份数据在用户未登录时是否需要存在？

如果需要（比如匿名购物车），选 Custom-Session 或配合 getAnonTokenSession() 使用；如果不需要，Account-Session 和 Token-Session 都适用。

5.8. 避免与 HttpSession 混淆

这里有一个必须提前预警的混淆点，在实际项目中出错的频率相当高。

你在 Controller 方法参数中写 HttpSession session，和 StpUtil.getSession() 拿到的 SaSession，完全是两种不同的东西，数据存储位置不同，读写互不影响。

一个最典型的错误示范：

@PostMapping("/wrongDemo")
public SaResult wrongDemo(HttpSession httpSession) {
    // 向 HttpSession 写入数据
    // 这个数据存在 Servlet 容器（Tomcat）的内存中
    httpSession.setAttribute("name", "小王");

    // 从 SaSession 取值——永远取不到，因为两者根本不是同一个容器
    Object name = StpUtil.getSession().get("name");
    // name 的值是 null，不是"小王"
    return SaResult.data(name);
}

这段代码在运行时不会报任何错误，但 name 的值始终是 null，因为数据压根没有存进 SaSession。这类 Bug 非常难排查，因为代码看起来完全正确。

两者的本质区别如下：

对比维度	HttpSession	SaSession
存储位置	Servlet 容器（Tomcat）内存	Sa-Token 的持久化层（Redis）
会话标识	`JSESSIONID` Cookie	Sa-Token 的 Token 值
是否被框架接管	❌ Sa-Token 不管它	✅ 由 Sa-Token 完全管理
集群部署是否共享	❌ 不共享（除非配置 Session 共享）	✅ 天然共享（数据在 Redis 中）
推荐使用	❌ 在使用 Sa-Token 时请完全放弃	✅ 始终使用这个

结论只有一句话：引入 Sa-Token 后，在任何情况下都不要使用 HttpSession，它与 Sa-Token 的会话体系没有任何关联。

Python 基础篇（十四）：第十四章：深入解析并发编程

2026-02-05T16:38:17.000Z

第十四章：深入解析并发编程

14. 并发编程基本概念

并发编程是指程序设计中允许多个任务同时执行的编程模式，它的核心目标是 提升执行效率。通过并发编程，原本需要 20 分钟执行的代码可能只需要 1 分钟就能完成。

进程调度机制解析

CPU 在执行程序时会涉及进程调度，主要有两种切换情况：

I/O 操作触发切换：当程序遇到 I/O 操作时，操作系统会剥夺该程序对 CPU 的执行权限
时间片用尽触发切换：当一个程序长时间占用 CPU 时，操作系统也会剥夺程序对 CPU 的执行权限

所谓 I/O 操作，指的为 阻断 程序的操作，类似于 input() 函数会将程序暂停运行，达到某一个条件后才会接触阻塞状态

时间片即 CPU 分配给各个程序的时间，每个线程被分配一个时间段，称作它的时间片，即该进程允许运行的时间，使各个程序从表面上看是同时进行的。如果在时间片结束时进程还在运行，则 CPU 将被剥夺并分配给另一个进程。如果进程在时间片结束前阻塞或结束，则 CPU 当即进行切换。而不会造成 CPU 资源浪费。

在宏观上：我们可以同时打开多个应用程序，每个程序并行不悖，同时运行。

但在微观上：由于只有一个 CPU，一次只能处理程序要求的一部分，如何处理公平，一种方法就是引入时间片，每个程序轮流执行。

进程的三大状态与生命周期

进程在其生命周期中会经历三种基本状态：

首先一个程序想要被运行，当用户双击图标后，此时程序就会从硬盘加载到内存，所有的程序想要被执行就必须经历就绪态，然后等待 CPU 执行，就绪态之后会进入进程调度，然后运行

运行时会出现以下几种情况：

1.时间片运行完毕，程序也执行完毕，释放资源后退出
2.程序运行过程遇到 I/O 操作（读写、发送网络请求）它是不需要 CPU 工作的，只要运行遇到了 I/O，操作系统就会把 CPU 拿走，执行其他的时间片，程序就会进入阻塞态，当 IO 请求完成后它就会结束阻塞态，回到就绪态里排队

14.1 同步与异步编程模型

同步和异步

同步：任务提交之后，原地等待任务的返回结果，等待的过程中不做任何事情

异步：任务提交之后，不再等待任务的返回结果，而是去做一些其他的事情

这两个概念主要 描述任务的提交方式：

📝 实际应用：在 Web 开发中，同步请求会阻塞页面渲染，而异步请求（AJAX）则可以在后台处理数据，不影响用户体验。

阻塞和非阻塞

这两个概念主要 描述进程的运行状态：

阻塞：对应进程的阻塞态
非阻塞：对应进程的就绪态、运行态

结合同步/异步和阻塞/非阻塞，可以形成四种组合：

同步阻塞
同步非阻塞
异步阻塞
异步非阻塞（CPU 利用率最高的一种模式）

🔍 在实际开发中，异步非阻塞模式是高并发系统的首选模式，因为它允许程序在等待 I/O 操作时继续执行其他任务。

14.2 多进程编程技术

进程基础

进程是程序在计算机中的一次执行过程：

程序是静态的可执行文件，占用磁盘空间
进程是动态的执行过程，占用计算机运行资源

类比：一个工厂有三个车间，每个车间一个工人（共 3 人），并行处理任务，相当于一个程序创建三个进程，每个进程一个线程（共 3 人），并行处理任务。

进程创建方法

from multiprocessing import Process
Process(target,name,args,kwargs)
'''''''''''''''''
功能 ： 创建进程对象
参数 ：  
  target 绑定要执行的目标函数 
     name 进程名，默认是Process-x(整数)
  args 元组，用于给target函数位置传参
  kwargs 字典，给target函数键值传参
'''''''''''''''''''

方法一：使用 Process 类创建进程

from multiprocessing import Process
import time
import os


# 创建进程的标准方法
def worker_function(name, age):
    """子进程执行过程中触发的函数"""
    print(f"子进程ID:{os.getpid()},父进程ID{os.getppid()}")
    print(f"子进程正在执行，参数name={name},age={age}")
    # 模拟耗时操作
    time.sleep(5)
    print(f"子进程{name}执行完毕")


def cpu_intensive_task(number):
    """CPU密集型任务"""
    result = 0
    for i in range(number):
        result += i * i
    print(f"进程{os.getpid()} 计算完成，结果为{result}")


if __name__ == '__main__':
    print(f"父进程ID:{os.getpid()}")
    start_time = time.time()

    # 创建多个进程，体现并行处理能力
    processes = []

    # 创建四个检测执行不同人物
    p1 = Process(target=worker_function, args=("张三",), kwargs={"age": 20})
    p2 = Process(target=worker_function, args=("李四",), kwargs={"age": 30})
    p3 = Process(target=cpu_intensive_task, args=(10000,))
    p4 = Process(target=cpu_intensive_task, args=(20000,))

    processes.extend([p1, p2, p3, p4]) # 将进程添加到列表中

    for p in processes:
        p.start() # 启动进程

    # 等待所有进程结束
    for p in processes:
        p.join()

    end_time = time.time()
    print(f"所有进程执行完毕，总耗时{end_time - start_time:.2f}秒")
    print("如果使用单进程顺序执行，耗时会更长，因为是两个任务在执行，多进程可以充分利用多核CPU并行处理任务")

⚠️ 重要提示：在 Windows 系统中，必须在 if __name__ == '__main__' 条件下创建进程，这是因为 Windows 使用 spawn 方式创建进程，会重新导入模块，可能导致递归创建进程。

方法二：继承 Process 类创建进程

from multiprocessing import Process
import time
import os


# 通过继承Process类创建进程
class WorkerProcess(Process):
    """继承Process类的自定义进程"""
    def __init__(self, name, age=None):
        super().__init__()
        self.name = name
        self.age = age
    
    def run(self):
        """重写run方法，进程启动后会执行该方法"""
        print(f"子进程ID:{os.getpid()},父进程ID{os.getppid()}")
        print(f"子进程正在执行，参数name={self.name},age={self.age}")
        # 模拟耗时操作
        time.sleep(5)
        print(f"子进程{self.name}执行完毕")


class CPUIntensiveProcess(Process):
    """CPU密集型任务进程"""
    def __init__(self, number):
        super().__init__()
        self.number = number
    
    def run(self):
        """重写run方法，执行CPU密集型计算"""
        result = 0
        for i in range(self.number):
            result += i * i
        print(f"进程{os.getpid()} 计算完成，结果为{result}")


if __name__ == '__main__':
    print(f"父进程ID:{os.getpid()}")
    start_time = time.time()

    # 创建多个进程，体现并行处理能力
    processes = []

    # 创建四个进程实例
    p1 = WorkerProcess("张三", 20)
    p2 = WorkerProcess("李四", 30)
    p3 = CPUIntensiveProcess(10000)
    p4 = CPUIntensiveProcess(20000)

    processes.extend([p1, p2, p3, p4]) # 将进程添加到列表中

    for p in processes:
        p.start() # 启动进程

    # 等待所有进程结束
    for p in processes:
        p.join()

    end_time = time.time()
    print(f"所有进程执行完毕，总耗时{end_time - start_time:.2f}秒")

多进程常用方法表

方法名	说明	实际应用场景
`Process(target=...)`	创建进程对象	指定新进程要执行的函数
`start()`	启动进程	开始执行进程的任务
`join()`	等待进程结束	协调多个进程的执行顺序
`is_alive()`	检查进程是否存活	监控进程状态
`terminate()`	强制终止进程	中断异常或超时的进程
`Queue()`	创建进程安全的队列	进程间数据传递
`put(item)`	添加元素到队列	向队列中放入数据
`get()`	从队列获取元素	从队列获取数据
`Pipe()`	创建管道对象	进程间双向通信

进程号与进程信息获取

在多进程编程中，获取进程信息对于调试和管理至关重要。Python 的 multiprocessing 模块提供了 current_process() 方法来获取当前进程的信息。

import multiprocessing
import os

def process_info():
    """打印当前进程的信息"""
    # 获取当前进程对象
    process = multiprocessing.current_process()
    
    print(f"进程名称: {process.name}")
    print(f"进程ID: {process.pid}")
    print(f"父进程ID: {os.getppid()}")
    print(f"进程授权键: {process.authkey}")
    print(f"进程是否活跃: {process.is_alive()}")
    
if __name__ == '__main__':
    p = multiprocessing.Process(target=process_info, name="自定义进程名")
    p.start()
    p.join()

进程间通信示例

from multiprocessing import Process,Queue
import time

## 子进程执行的函数
def worker(q):
    """子进程函数，想往父进程发送消息，就往这个队列里放"""
    print("子进程启动")
    # 向队列中添加数据
    q.put("我是一个队列数据")
    time.sleep(2) # 模拟任务执行
    print("子进程结束")

if __name__ == '__main__':
    q = Queue() # 父进程创建队列
    # 创建一个子进程对象
    p = Process(target=worker, args=(q,))
    # 启动子进程
    p.start()
    # 主进程从队列中获取数据
    print("主进程等待子进程数据....")
    message = q.get() # 阻塞等待数据
    print(f"主进程收到来自于子进程的消息：{message}")
    # 等待子进程结束
    p.join()
    print("主进程结束")

复杂进程通信示例

import os
import time
from multiprocessing import Process, Queue, Lock, Value, Array


## 子进程执行的函数
def worker_with_args(q, lock, value, arr, sleep_num):
    """带有共享资源的工作函数
    Args:
        q: 队列
        lock: 锁
        value: 值
        arr: 数组
        sleep_num: 休眠时间
    """
    # 获取进程id
    pid = os.getpid()
    print(f"进程{pid}开始执行")

    # 使用锁来保证数据安全
    with lock:  # 相当于lock.acquire()和lock.release()的组合
        value.value += 1
        for i in range(len(arr)):
            arr[i] **= 2  # 安全的修改数组元素
            print(f"进程{pid}修改数组元素{i}为{arr[i]}")
    # 向队列中添加数据
    q.put(f"这是一条来自于进程{pid}的信息")

    # 休眠模拟工作
    time.sleep(sleep_num)

    print(f"进程{pid}执行完毕")


if __name__ == "__main__":
    """
    解释输出逻辑:
    1. 创建了4个进程，它们共享同一个数组arr，初始值为[1,2,3,4,5]
    2. 每个进程获取锁后，会将数组中的每个元素进行平方操作(arr[i] **= 2)
    3. 由于进程是按顺序启动的，但执行顺序不确定，所以:
       - 第一个获得锁的进程将[1,2,3,4,5]平方为[1,4,9,16,25]
       - 第二个获得锁的进程将[1,4,9,16,25]平方为[1,16,81,256,625]
       - 第三个获得锁的进程将[1,16,81,256,625]平方为[1,256,6561,65536,390625]
       - 第四个获得锁的进程将[1,256,6561,65536,390625]平方，但由于整数溢出，
         导致最后两个元素变成了0和负数
    4. 进程完成的顺序取决于sleep_num参数(1,2,3,4)，所以最先完成的是第一个进程
    """
    # 创建队列
    q = Queue()
    # 创建锁
    lock = Lock()
    # 创建一个共享值
    value = Value("i", 0)  # "i"表示int类型

    # 创建一个共享数组
    arr = Array("i", [1, 2, 3, 4, 5])

    # 创建多个子进程
    processes = []
    for i in range(4):
        p = Process(target=worker_with_args, args=(q, lock, value, arr, i + 1))
        p.start()
        processes.extend([p])

进程池详解

进程池是一种管理多个进程的方式，可以简化并行计算的编程。Python 的 multiprocessing 模块中的 Pool 类和 concurrent.futures 模块的 ProcessPoolExecutor 类都提供了进程池功能。

进程池的主要方法

方法	描述	使用场景
`Pool(processes=None)`	创建进程池，进程数默认为 CPU 核数	初始化进程池
`apply(func, args)`	阻塞执行任务	需要顺序执行且等待结果的场景
`apply_async(func, args)`	非阻塞执行任务	需要异步执行的场景
`map(func, iterable)`	并行执行映射任务	对列表元素并行处理
`close()`	关闭进程池，不再接受新任务	完成任务提交后
`terminate()`	立即终止所有工作进程	需要强制停止时
`join()`	等待所有工作进程退出	在 close()后使用

ProcessPoolExecutor 示例

from concurrent.futures import ProcessPoolExecutor
import os

def worker_function(name,age):
    """进程池工作函数"""
    pid = os.getpid()
    print(f"进程{pid}：{name}，{age}岁")
    return f"我的父进程是{os.getppid()} 我结束进程了"

if __name__ == '__main__':
    with ProcessPoolExecutor(max_workers=4) as executor:
        for i in range(10):
            # submit方法提交任务到进程池，返回一个Future对象
            # submit参数: function, *args, **kwargs
            # 这里的i作为worker_function函数的第二个参数age传入
            future = executor.submit(worker_function, f"小明{i}", i)
            # 等待future对象返回结果
            result = future.result()
            print(result)

Pool 对象示例

from multiprocessing import Pool
import os

def worker_function(args):
    """工作进程函数"""
    name,age = args
    pid = os.getpid()
    print(f"进程{pid}：{name}，{age}岁")
    return f"我的父进程是{os.getppid()} 我结束进程了"

if __name__ == '__main__':
    with Pool() as pool:
        # 准备参数列表
        args_list = [(f"张三{i}号", i+18) for i in range(1,10)]
        
        # map方法将函数应用于参数列表，并返回结果列表
        # pool.map 的工作原理:
        # 1. 它接收两个参数：要执行的函数(worker_function)和可迭代的参数列表(args_list)
        # 2. 它会自动将参数列表中的每个元素分配给不同的进程来执行
        # 3. 每个进程会调用worker_function并传入args_list中的一个元素作为参数
        # 4. 所有进程执行完毕后，map会收集所有进程的返回值，并按原始参数的顺序返回结果列表
        # 5. 这样实现了并行处理，提高了计算效率
        result_list = pool.map(worker_function, args_list)
        
        # 打印每个进程的返回结果
        for result in result_list:
            print(result)

进程号与进程信息获取

在多进程编程中，获取进程信息对于调试和管理至关重要。Python 的 multiprocessing 模块提供了 current_process() 方法来获取当前进程的信息。

import multiprocessing
import os

def process_info():
    """打印当前进程的信息"""
    # 获取当前进程对象
    process = multiprocessing.current_process()
    
    print(f"进程名称: {process.name}")
    print(f"进程ID: {process.pid}")
    print(f"父进程ID: {os.getppid()}")
    print(f"进程授权键: {process.authkey}") # 授权键用于在进程间通信时进行身份验证。
    print(f"进程是否活跃: {process.is_alive()}")
    
if __name__ == '__main__':
    p = multiprocessing.Process(target=process_info, name="自定义进程名")
    p.start()
    p.join()

进程状态特殊情况

僵尸进程

'''
子进程死后还会有一些资源占用(进程号，进程的运行状态，运行时间)，等待父进程通过系统调用
进行资源回收

相当于子进程死了之后，需要父进程来给他"收尸"
除了init进程之外，所有的进程最后都会步入僵尸进程
在一种情况下是会带来危害的:
子进程退出之后，父进程没有及时处理，僵尸进程就会一直占用资源
如果产生了大量僵尸进程，资源过度使用，系统没有可用的进程号，导致系统不能产生新的进程
'''

注意：在 Windows 中，子进程退出后会立即被系统回收，不会产生真正的僵尸进程，在 Windows 系统中，不需要显式调用 wait 来回收子进程资源

孤儿进程

'''
子进程处于存活状态，父进程意外死亡，操作系统就会开设一个孤儿院（init进程），用来管理
孤儿进程，回收孤儿进程相关资源
'''

📝 知识点：操作系统会自动处理孤儿进程，将它们的父进程更改为 init 进程（PID 为 1），所以孤儿进程不会造成资源泄漏问题。

14.3 多线程编程深入解析

线程基础

线程是轻量级的进程，也是多任务编程的一种方式：

一个进程中可以包含多个线程
线程也是一个运行行为，消耗计算机资源
一个进程中的所有线程共享这个进程的资源
线程的创建和销毁消耗资源远小于进程

一个工厂至少有一个车间，一个车间中至少有一个工人，工人去利用车间的设备工作；

一个程序至少有一个进程，一个进程中至少有一个线程，线程去利用进程的资源工作。

线程创建方法

方法一：使用 Thread 类创建线程

from threading import Thread
import time

def worker_function(name,delay):
    print(f"线程{name}开始工作")
    time.sleep(delay)
    print(f"线程{name}结束工作")

if __name__ == '__main__':
    t1 = Thread(target=worker_function,args=("线程1",2))
    t2 = Thread(target=worker_function,args=("线程2",4))
    # 启动线程
    t1.start()
    t2.start()
    # 等待线程结束
    t1.join()
    t2.join()
    print("主线程结束")

方法二：继承 Thread 类创建线程

from threading import Thread
import time
class MyThread(Thread):
    def __init__(self,name,message):
        super().__init__()
        self.name = name
        self.message = message

    def run(self):
        print(f"线程{self.name}开始执行")
        time.sleep(2)
        print(f"线程{self.name}执行完毕，消息：{self.message}")

if __name__ == '__main__':
    t1 = MyThread(name="线程1",message="子进程操作完毕")
    t2 = MyThread(name="线程2",message="子进程操作完毕")
    t1.start()
    t2.start()
    t1.join()
    t2.join()
    print("主进程执行完毕")

线程常用方法表

方法名	说明	实际应用场景
`start()`	启动线程	开始执行线程任务
`run()`	定义线程执行的任务	重写该方法自定义线程行为
`join()`	等待线程结束	协调线程执行顺序
`join(timeout)`	等待线程结束，有超时时间	防止无限等待
`is_alive()`	检查线程是否活动	监控线程状态
`getName()`	获取线程名称	调试和日志记录
`setName(name)`	设置线程名称	便于识别不同线程
`setDaemon(T/F)`	设置为守护线程	随主线程结束而结束的后台任务
`isDaemon()`	检查是否为守护线程	确认线程类型
`getId()`	获取线程 ID	唯一标识线程
`current_thread`	获取当前线程对象	在函数中获取当前执行线程

线程使用实例

基本线程示例

from threading import Thread
import time
import requests

def download_file(url,session):
    """访问网站下载文件"""
    with session.get(url) as response:
        print(f"读取{url} 长度为{len(response.content)}")


def download_all_sites(urls):
    """单线程下载所有网站"""
    with requests.Session() as session:
        for url in urls:
            download_file(url,session)
            time.sleep(1)

def download_site_thread(url,session):
    """多线程下载网站"""
    download_file(url,session)

def download_all_sites_thread(urls):
    """多线程下载所有网站"""
    threads = []
    with requests.Session() as session:
        for url in urls:
            thread = Thread(target=download_site_thread, args=(url,session))
            threads.append(thread)
            thread.start()
        # 等待所有线程结束
        for thread in threads:
            thread.join()
if __name__ == '__main__':
    # 准备一些网站用于演示
    sites = [
        "https://www.baidu.com",
        "https://www.sina.com.cn",
        "https://www.qq.com",
        "https://www.163.com",
        "https://www.sohu.com",
    ]
    # 单线程下载
    print("=======单线程下载开始========")
    start_time = time.time()
    download_all_sites(sites)
    end_time = time.time()
    print(f"单线程下载结束，耗时{end_time-start_time}秒")

    print("\n=======多线程下载开始========")
    start_time = time.time()
    download_all_sites_thread(sites)
    end_time = time.time()
    print(f"多线程下载结束，耗时{end_time-start_time}秒")
    print("\nIO密集型任务（如网络请求）适合使用多线程，可以显著提高性能")
    print("这是因为当一个线程等待IO操作完成时，其他线程可以继续执行")

守护线程示例

from threading import Thread
import time

def worker_function(thread_name):
    print(f"线程 {thread_name} 启动")
    time.sleep(3)
    print(f"线程 {thread_name} 结束")


if __name__ == '__main__':
    t1 = Thread(target=worker_function, args=("Thread-1",))
    t2 = Thread(target=worker_function, args=("Thread-2",))
    # 设置t3为守护线程，主线程结束时，t3线程也会结束
    t3 = Thread(target=worker_function, args=("Thread-3",), daemon=True)
    # t3.setDaemon(True) # 已经被废弃的API，现在使用daemon=True参数代替
    # 启动普通线程
    t1.start()
    t2.start()
    # 启动守护线程
    t3.start()  # 这里需要启动t3线程，否则t3不会执行

    # 等待普通线程完成
    print(f"等待线程{t1.name} + {t2.name}完成...")
    t1.join()
    t2.join()

    # 检测线程状态
    print(f"线程{t1.name}是否存活：{t1.is_alive()}")
    print(f"线程{t2.name}是否存活：{t2.is_alive()}")
    print(f"线程{t3.name}是否存活：{t3.is_alive()}")  # True

    # 主线程休眠一段时间，以便守护线程有机会执行
    time.sleep(10)
    print("主线程结束")

💡 守护线程特性：守护线程会随着主线程的结束而结束，不管它是否执行完成。适用于需要在后台运行但不要求必须完成的任务，如监控、日志记录等。

from threading import Thread
import time
import logging
import psutil
logging.basicConfig(
    level=logging.INFO,
    format='%(asctime)s %(levelname)s %(message)s',
)

def system_monitor(interval=1):
    """
    守护线程：系统资源监控器
    持续监控CPU使用率和内存使用情况，并记录到日志中
    """
    logging.info('系统监控守护线程启动')
    try:
        while True:
            cpu_usage = psutil.cpu_percent(interval=interval)
            mem_usage = psutil.virtual_memory().percent
            logging.info(f'CPU使用率：{cpu_usage}% 内存使用率：{mem_usage}%')
            time.sleep(interval)
            if cpu_usage > 80 or mem_usage > 80:
                logging.warning('系统资源占用过高，请及时处理')
    except Exception as e:
        logging.error(f'系统监控线程异常：{e}')
    finally:
        logging.info('系统监控守护线程结束')
if __name__ == '__main__':
    # 创建并启动系统监控守护线程
    monitor_thread = Thread(target=system_monitor,args=(1,),daemon=True,name="MonitorThread")
    monitor_thread.start()
    # 主线程继续执行一段时间，守护线程在后台运行
    logging.info("主线程运行中，监控守护线程在后台运行...")
    time.sleep(30)  # 运行30秒后结束
    # 主线程结束，守护线程将自动终止
    logging.info(f"监控守护线程是否存活: {monitor_thread.is_alive()}")
    logging.info("主线程结束，守护线程将自动终止")

线程池详解

线程池是一种管理线程资源的方式，它预先创建一定数量的线程，然后复用这些线程来执行任务，避免了频繁创建和销毁线程的开销。

from concurrent.futures import ThreadPoolExecutor
import time


# 定义一个耗时函数
def time_consuming_task(n):
    time.sleep(1)
    return n * n


if __name__ == '__main__':
    start_time = time.time()
    with ThreadPoolExecutor(max_workers=4) as executor:
        # 使用submit方法提交任务给线程池执行，返回Future对象列表
        futures = [executor.submit(time_consuming_task, i) for i in range(1, 21)]
        print("任务已提交，主线程继续执行.........")
        # 等待所有任务完成，并获取结果
        results = [future.result() for future in futures]
        print(f"任务执行完毕，结果为：{results}")
    end_time = time.time()
    print(f"总共耗时：{end_time - start_time}秒")
    ### 线程池在with语句结束时自动关闭

ThreadPoolExecutor 主要方法

方法名	简洁解释	适用场景
`submit(fn, *args)`	异步执行函数，返回 Future 对象	单独提交任务并获取结果
`map(func, *iterables)`	对每个输入并行执行函数	批量处理类似任务
`shutdown(wait=True)`	关闭执行器	资源释放
`result()`	获取任务执行结果	获取异步任务的返回值
`add_done_callback(fn)`	添加任务完成回调函数	任务完成后的后续处理
`as_completed()`	返回已完成任务的迭代器	先处理先完成的任务
`wait()`	等待任务完成	任务同步点

🔍 深入理解：线程池最大的好处是控制并发数量，防止系统资源被耗尽。在实际开发中，建议将线程数设置为 CPU 核心数的 1-5 倍，具体取决于任务是 I/O 密集型还是 CPU 密集型。

完整示例

from concurrent.futures import ThreadPoolExecutor,as_completed,wait
import time

def time_consuming_task(n):
    """耗时任务"""
    time.sleep(n % 3 +1) # 不同的n值，耗时不同
    return n * n

def task_done_callback(future):
    """任务完成后触发的回调函数"""
    print(f"任务完成，结果为{future.result()}")

if __name__ == '__main__':
    print("===== 1. submit方法示例 =====")
    start_time = time.time()
    with ThreadPoolExecutor(max_workers=3) as executor:
        future_list = [executor.submit(time_consuming_task, i) for i in range(10)]
        print("提交任务完成，等待结果...")
        # result()：获取任务执行结果，会阻塞直到所有任务完成
        # as_completed(): 返回已完成任务的迭代器
        for future in as_completed(future_list):
            print(f"任务{future.result()}完成")
    end_time = time.time()
    print(f"总耗时：{end_time - start_time}秒")

    print("\n===== 2. map方法示例 =====")
    start_time = time.time()
    with ThreadPoolExecutor(max_workers=4) as executor:
        # map()：对每一个输入并行执行函数，返回结果迭代器
        # 与submit不同，map会自动收集结果并按输入顺序返回
        # 不需要手动调用future.result()
        results = executor.map(time_consuming_task, range(10))
        print("任务提交完成，直接获取有序结果...")
        # 转换为列表时会按照输入顺序返回结果，如果任务未完成会在这里阻塞等待
        results_list = list(results)
        print(f"结果：{results_list}")
    end_time = time.time()
    print(f"总耗时：{end_time - start_time}秒")

    print("\n===== 3. add_done_callback示例 =====")
    # add_done_callback(fn): 添加任务完成回调函数
    start_time = time.time()
    with ThreadPoolExecutor(max_workers=4) as executor:
        futures = []
        for i in range(1, 6):
            future = executor.submit(time_consuming_task, i)
            # 添加回调函数，任务完成后自动调用
            future.add_done_callback(task_done_callback)
            futures.append(future)
        print("已添加回调函数，主线程继续执行...")
        # 等待所有任务完成
        for future in futures:
            future.result()
    print(f"耗时：{time.time() - start_time}秒")
    # 适用场景：任务完成后的后续处理，适合需要在任务完成时执行额外操作而不阻塞主线程

    print("\n===== 4. wait示例 =====")
    # wait(): 等待任务完成
    start_time = time.time()
    with ThreadPoolExecutor(max_workers=4) as executor:
        futures = [executor.submit(time_consuming_task, i) for i in range(1, 11)]
        print("任务已提交，等待所有任务完成...")
        # 等待所有任务完成
        done, not_done = wait(futures)
        print(f"完成的任务数: {len(done)}, 未完成的任务数: {len(not_done)}")
        results = [future.result() for future in done]
        print(f"所有任务执行完毕，结果为：{results}")
    print(f"耗时：{time.time() - start_time}秒")
    # 适用场景：任务同步点，适合需要等待一组任务全部或部分完成后再继续执行的情况

Event 事件同步机制

Event 是一种线程同步机制，用于协调多个线程的执行顺序。它本质上是一个内部的标志位，线程可以等待这个标志位被设置，也可以设置或清除这个标志位。

from threading import Thread, Event
import time

## 创建一个事件对象
event = Event()

## 模拟公交车到站的函数
def bus_stop():
    """模拟公交车到站过程"""
    print('公交车即将到站')
    time.sleep(2)  # 模拟行驶时间
    print('公交车已到站<====>'*10)
    # 设置事件，通知等待的乘客
    event.set()  # 发射信号，让等车的人上车


def passenger(name):
    """模拟乘客等车
    
    Args:
        name: 乘客名称
    """
    # 等待公交车到站
    print(name, '等车中')
    event.wait()  # 阻塞等待信号
    print(name, '出发！！！！！！！！！！！！！！！！！！！！！！！！！！')


if __name__ == '__main__':
    # 创建公交车线程
    t1 = Thread(target=bus_stop)
    t1.start()

    # 创建多个乘客线程
    for i in range(20):
        t = Thread(target=passenger, args=(f'乘客{i}',))
        t.start()
        time.sleep(0.1)  # 模拟乘客陆续到站

Event 主要方法

方法名	描述	使用场景
`set()`	设置事件标志为 True	通知等待的线程继续执行
`clear()`	清除事件标志为 False	重置事件状态，使线程再次等待
`is_set()`	检查事件状态	判断事件是否已被设置
`wait()`	等待事件被设置	阻塞线程直到事件被设置或超时

🌟 应用场景：Event 适合实现一次性通知多个线程的场景，比如多个工作线程等待初始化完成、多个消费者等待数据准备就绪等。在 Web 开发中，可用于协调多个后台任务的启动时机。

定时器(Timer)

定时器是线程的一个特殊应用，用于在指定时间后执行某个操作。Python 的 threading 模块提供了 Timer 类来实现这一功能。

from threading import Timer

def delayed_greeting(name):
    """延迟执行的问候函数
    
    Args:
        name: 要问候的对象名称
    """
    print(f"{name}说: 哈哈，我是延迟1秒后才执行的!")

## 创建一个定时器，1秒后执行hello函数，参数为"小明"
timer = Timer(1, delayed_greeting, args=("小明",))
## 启动定时器
timer.start()

print("定时器已启动，但greeting函数还未执行...")
## 主线程继续执行，不会被阻塞

💡 实用技巧：Timer 可用于实现超时处理、延迟重试、定时清理等场景。例如，在网络编程中，可以用 Timer 设置请求超时机制；在数据同步中，可以用 Timer 定期执行同步任务。

14.4 多进程 VS 多线程性能分析

在 Python 中，由于 GIL(全局解释器锁)的存在，多线程并不能真正实现并行计算。因此，根据任务特性选择合适的并发模型十分重要。

不同场景的最优选择

任务类型	多进程	多线程	推荐选择
计算密集型	效率高，可利用多核	受 GIL 限制，效率相对较低	多进程
IO 密集型	资源占用大	资源占用小，效率与多进程相当	多线程

📊 实际应用建议：现代开发中，约 90%以上的程序属于 IO 密集型，适合使用多线程；对于数据分析、图像处理等计算密集型任务，则推荐使用多进程。也可以考虑混合使用：多进程下每个进程内再使用多线程。

计算密集型任务测试

from multiprocessing import Process
from threading import Thread
import time

'''
计算密集型任务对比测试
'''
def task():
    """计算密集型任务"""
    res = 0
    for i in range(10000000):  # 执行大量计算
        res += i

if __name__ == '__main__':
    start_time = time.time()
    l = []

    for i in range(10):
        # 使用多进程或多线程(取消相应的注释来测试)
        p = Process(target=task)  # 多进程：结果大概是1.65秒
        # p = Thread(target=task)   # 多线程：结果大概是4.18秒
        
        p.start()
        l.append(p)

    for p in l:
        p.join()

    end = time.time()
    print("花费时间", end - start_time)

IO 密集型任务测试

from multiprocessing import Process
from threading import Thread
import time

'''
IO密集型任务对比测试
'''
def task():
    """IO密集型任务，使用sleep模拟IO操作"""
    time.sleep(1)  # 模拟IO等待
    
if __name__ == '__main__':
    start_time = time.time()
    l = []

    for i in range(100):  # 创建100个任务
        # 使用多进程或多线程(取消相应的注释来测试)
        # p = Process(target=task)  # 多进程：结果约19.34秒
        p = Thread(target=task)   # 多线程：结果约1.01秒
        
        p.start()
        l.append(p)

    for p in l:
        p.join()

    end = time.time()
    print("花费时间", end - start_time)

⚠️ 性能陷阱：多线程在 IO 密集型任务中表现出色，但过多的线程可能导致线程切换开销增大，反而降低效率。经验值是控制线程数为 CPU 核心数的 2-4 倍。

14.5 协程技术详解

协程基础概念

协程（Coroutine）也称为微线程，是一种用户态内的上下文切换技术，可以在单线程下实现并发效果。协程通过巧妙的编程技巧实现了程序主动让出和恢复执行的能力，使得单线程内可以 “模拟” 出并发的效果。

'''
进程：资源单位 - 系统分配资源的基本单位，拥有独立的内存空间
线程：执行单位 - CPU调度和执行的最小单位，共享所属进程的内存空间
协程：根本不存在，它是程序员人为创造出来的(切换+保存状态)
当程序遇到IO的时候，通过我们的代码，让我们的程序自动完成切换
也就是通过代码监听IO，一旦程序遇到IO，就在代码层面自动切换，给CPU的感觉就是我们的程序没有IO
换句话说也就是我们欺骗了CPU
'''

协程的核心原理是 “切换+保存状态”，即在多个任务之间来回切换，每次切换都保存当前任务的执行状态，下次切换回来继续执行。在 Python 中，可以通过 yield 关键字、greenlet 模块或 asyncio 库实现协程。

🔍 深入理解：协程不是提升计算效率，而是提升 IO 效率。在 IO 密集型应用中，协程可以让 CPU 在等待 IO 的同时执行其他任务，从而提高资源利用率。协程的切换不需要操作系统参与，开销远小于线程切换。

概念	资源占用	切换开销	实现方式	适用场景
进程	高（独立内存空间）	高（涉及内存映射）	操作系统调度	CPU 密集型，需要隔离的任务
线程	中（共享内存但有独立栈）	中（上下文切换）	操作系统调度	混合型任务，兼顾计算与 IO
协程	低（共享线程内全部资源）	低（用户态切换）	程序自行控制	IO 密集型，高并发网络应用

协程效率对比

对于计算密集型任务时，使用协程反而会降低效率！

串行执行

import time

def f1():
    """计算密集型函数1"""
    n = 0
    for i in range(10000000):
        n += i  # 执行简单累加计算

def f2():
    """计算密集型函数2"""
    n = 0
    for i in range(10000000):
        n += i  # 执行简单累加计算

start_time = time.time()
f1()  # 顺序执行f1
f2()  # 然后执行f2
## 保留两位小数
print("串行执行总共用时：%.2f秒" % (time.time() - start_time))  # 串行执行总共用时：0.84秒

使用 yield 实现协程切换

import time

def f1():
    """带yield的计算密集型函数1"""
    n = 0
    for i in range(10000000):
        n += i
        yield  # 主动让出执行权，保存当前执行状态

def f2():
    """使用f1的生成器进行交替执行"""
    g = f1()  # 创建生成器对象
    n = 0
    for i in range(10000000):
        n += i
        next(g)  # 切换到f1执行一步，f1会执行到下一个yield后暂停

start_time = time.time()
f2()  # 执行f2，内部会与f1交替执行
## 保留两位小数
print("yield协程用时：%.2f秒" % (time.time() - start_time))  # 约1.45秒

⚠️ 注意事项：对于计算密集型任务，协程切换反而会增加开销，降低效率；但对于 IO 密集型任务，协程切换可以显著提高效率。这是因为在 IO 等待期间，协程可以切换到其他任务继续执行，避免了 CPU 空闲。

greenlet 模块（了解）

greenlet 是一个轻量级的协程库，提供了基本的协程实现。它允许在不使用回调函数的情况下，在不同函数间来回切换执行，实现了所谓的 “确定性切换”。

from greenlet import greenlet
import time

def func_a():
    """协程函数a"""
    while True:
        print('函数a正在运行')
        time.sleep(1)  # 模拟某些操作
        b.switch()  # 主动切换到函数b执行

def func_b():
    """协程函数b"""
    while True:
        print('函数b正在运行')
        time.sleep(2)  # 模拟某些操作
        a.switch()  # 切换回函数a执行

if __name__ == '__main__':
    # 创建两个greenlet对象
    a = greenlet(func_a)  # 将函数封装为greenlet对象
    b = greenlet(func_b)  # 将函数封装为greenlet对象
    # 从函数a开始执行
    a.switch()  # 启动协程a

greenlet 核心方法与属性

方法/属性名	描述	使用场景	示例
`greenlet.getcurrent()`	获取当前正在执行的 greenlet 对象	在函数内获取当前协程	`current = greenlet.getcurrent()`
`greenlet.switch(value=None)`	将控制权切换到另一个 greenlet	协程间的主动切换	`g.switch('传递参数')`
`greenlet.parent`	获取当前 greenlet 的父 greenlet	协程层级管理	`parent = g.parent`
`throw(type, value=None, tb=None)`	向 greenlet 对象中抛出异常	协程异常处理	`g.throw(ValueError, '错误信息')`
`dead`	判断 greenlet 是否已经执行完毕	协程状态检查	`if g.dead: print('已执行完毕')`
`gr_frame`	获取 greenlet 当前的帧对象	调试和检查协程状态	`frame = g.gr_frame`
`run`	绑定到 greenlet 的可调用对象	查看协程的目标函数	`func = g.run`

💡 使用技巧：greenlet 适合实现简单的协程切换，但不支持自动在 IO 操作时切换，因此常与事件循环结合使用，如 gevent 库。greenlet 的优势在于它的轻量和灵活性，可以构建复杂的协程调度系统。

gevent 模块（了解）

gevent 是基于 greenlet 的协程库，增加了事件循环和自动 IO 切换功能。它通过 “猴子补丁”（monkey patching）将标准库中的阻塞操作替换为非阻塞版本，使普通的同步代码能够以异步方式执行。

'''
gevent 是一个基于协程的 Python 网络库，它使用 greenlet 在 libev 或 libuv 
等事件循环之上提供高级同步 API。gevent 实现了python 标准库里面大部分的阻塞式系统调用，
包括 socket、ssl、threading 和 select 等模块，
可以使用 "猴子补丁" 将这些阻塞式调用变为协作式运行。

猴子补丁的功能很强大，但是也带来了很多的风险，尤其是像 gevent 这种直接进行 API替换的补丁，
整个 Python 进程所使用的模块都会被替换，可能自己的代码能 hold 住，
但是其它第三方库，有时候问题并不好排查，即使排查出来也是很棘手，所以，
就像松本建议的那样，如果要使用猴子补丁，那么只是做功能追加，
尽量避免大规模的 API 覆盖。 虽然猴子补丁仍然是邪恶的(evil)，
但在这种情况下它是 "有用的邪恶(useful evil)"。
'''

gevent 基础操作

import gevent
from gevent import monkey

## 应用猴子补丁，将标准库的阻塞操作替换为非阻塞版本
## 必须在导入其他模块前调用，确保所有IO操作都被替换
monkey.patch_all()  # 替换所有可能的阻塞调用

def foo():
    """协程函数1"""
    print('Running in foo')
    gevent.sleep(0)  # 模拟IO操作，主动让出控制权
    print('Explicit context switch to foo')

def bar():
    """协程函数2"""
    print('Running in bar')
    gevent.sleep(0)  # 模拟IO操作，主动让出控制权
    print('Explicit context switch to bar')

def baz():
    """协程函数3"""
    print('Running in baz')
    gevent.sleep(0)  # 模拟IO操作，主动让出控制权
    print('Explicit context switch to baz')

## 创建三个协程
g1 = gevent.spawn(foo)  # 创建协程但不立即执行
g2 = gevent.spawn(bar)  # 创建协程但不立即执行
g3 = gevent.spawn(baz)  # 创建协程但不立即执行

## 等待所有协程完成
gevent.joinall([g1, g2, g3])  # 类似于多线程中的join方法

gevent 常用 API 详解

方法/类名	描述	使用场景	实际应用示例
`gevent.spawn(function, args, *kwargs)`	创建并运行协程	启动异步任务	启动多个 HTTP 请求并行处理
`gevent.joinall(greenlets, timeout=None, raise_error=False)`	等待多个协程完成	同步点，等待所有任务完成	批量处理多个数据源
`gevent.sleep(seconds=0)`	协程休眠并让出控制权	模拟 IO 操作，主动让出控制权	测试协程调度，防止 CPU 密集任务阻塞
`gevent.wait(objects=None, timeout=None, count=None)`	等待对象(协程)完成	等待部分任务完成	等待最快完成的结果
`gevent.kill(greenlet, exception=GreenletExit)`	终止协程	取消不需要的任务	实现任务超时取消
`gevent.monkey.patch_all(socket=True, dns=True, ...)`	应用猴子补丁	将同步库变为异步兼容	使用前替换标准库函数
`gevent.queue.Queue`	协程安全的队列	协程间通信和数据传递	生产者-消费者模式实现
`gevent.event.Event`	事件通知机制	协程间同步和通知	完成信号传递
`gevent.pool.Pool`	协程池	限制并发数量	控制网络请求并发数
`gevent.select.select()`	IO 多路复用	监控多个文件描述符	自定义事件循环

⚠️ 使用 gevent 注意事项：
所有协程运行在同一线程中，不能跨线程同步数据
gevent.queue.Queue 是协程安全的，可以用于协程间通信
不能有长时间阻塞的 CPU 密集型操作，会阻塞整个事件循环
最好使用 gevent 自身的非阻塞库或已打补丁的标准库
猴子补丁会修改全局状态，可能影响第三方库的行为，应在所有导入前应用
调试协程比调试线程更困难，错误追踪可能会更复杂

实际应用场景示例

import gevent
from gevent import monkey
import requests
import time

## 替换标准库
monkey.patch_all()

def fetch_url(url):
    """获取URL内容的函数
    
    Args:
        url: 要获取的网址
        
    Returns:
        tuple: (url, 响应状态码, 内容长度)
    """
    try:
        print(f"开始请求: {url}")
        start = time.time()
        response = requests.get(url, timeout=5)  # 进行HTTP请求，IO操作会自动切换
        elapsed = time.time() - start
        print(f"完成请求: {url}, 耗时: {elapsed:.2f}秒")
        return url, response.status_code, len(response.content)
    except Exception as e:
        print(f"请求 {url} 出错: {e}")
        return url, 0, 0

## 要获取的URL列表
urls = [
    "https://www.python.org",
    "https://www.github.com",
    "https://www.stackoverflow.com",
    "https://www.wikipedia.org",
    "https://www.reddit.com"
]

start_time = time.time()

## 创建协程任务
tasks = [gevent.spawn(fetch_url, url) for url in urls]

## 等待所有任务完成
gevent.joinall(tasks)

## 获取结果
results = [task.value for task in tasks]

## 打印结果
print("\n结果汇总:")
for url, status, length in results:
    print(f"URL: {url}, 状态码: {status}, 内容长度: {length} 字节")

print(f"\n总耗时: {time.time() - start_time:.2f}秒")

greenlet 与 gevent 的区别与选择

特性	greenlet	gevent	实际应用建议
基本原理	轻量级上下文切换	基于 greenlet，增加事件循环	简单任务用 greenlet，复杂系统用 gevent
IO 处理	不提供 IO 操作支持	提供自动 IO 切换机制	网络应用选择 gevent，自定义调度选择 greenlet
切换方式	需要显式调用 switch()	在 IO 操作时自动切换	手动控制流程用 greenlet，自动化处理用 gevent
复杂度	简单，仅提供基本切换	复杂，提供完整生态系统	小型项目用 greenlet，大型项目用 gevent
适用场景	简单协程调度	高并发网络应用	Web 爬虫、API 服务、代理服务器首选 gevent
性能	轻量，开销小	比 greenlet 略重，但实用性强	极致性能用 greenlet，平衡性能和开发效率用 gevent
学习曲线	简单，容易理解	较复杂，概念较多	入门协程从 greenlet 开始，再过渡到 gevent
社区支持	基础库，更新较少	活跃，有完整生态	长期项目建议使用 gevent

🌟 选择建议：如果只需要轻量级的上下文切换，可以使用 greenlet；如果需要处理 IO 密集型应用，特别是网络编程，建议使用 gevent。大多数实际项目中，gevent 是更好的选择，因为它提供了更完整的功能和自动化的 IO 处理。

asyncio 协程技术

随着 Python 的发展，协程技术已经有了显著进步。从 Python 3.4 引入的 asyncio 库开始，Python 对协程的原生支持不断增强。到 2025 年，Python 已经拥有更成熟、更高效的协程生态系统。

asyncio 与原生协程

Python 3.5 引入的 async/await 语法使得协程编程变得更加直观和强大，这是目前最推荐的协程实现方式：

import asyncio
import time

async def fetch_data(url,delay):
    """模拟从网络获取数据的异步函数"""
    print(f"开始获取数据：{url}，延迟{delay}秒")
    await asyncio.sleep(delay)
    print(f"成功获取数据长度：{len(url)}")
    return f"数据{url}"

async def main():
    """异步操作的主函数"""
    print(f"程序开始时间:{time.strftime('%Y-%m-%d %H:%M:%S', time.localtime())}")

    print("\n===== 串行执行示例 =====")
    start_time = time.time()
    # 串行执行 - 请求两个API数据
    result1 = await fetch_data("https://www.baidu.com", 2)
    result2 = await fetch_data("https://www.sina.com.cn",3)
    print(f"串行执行结果：{result1}, {result2}")
    end_time = time.time()
    print(f"程序结束时间:{time.strftime('%Y-%m-%d %H:%M:%S', time.localtime())}")
    print(f"程序耗时:{end_time-start_time}秒")

    # 并行执行 - 请求两个API数据
    print("\n===== 并行执行示例 =====")
    start_time = time.time()
    tasks = [
        asyncio.create_task(fetch_data("https://www.baidu.com", 2)),
        asyncio.create_task(fetch_data("https://www.sina.com.cn",3)),
    ]
    results = await asyncio.gather(*tasks) # 批量等待所有任务完成
    print(f"并行执行结果：{results}")
    end_time = time.time()
    print(f"程序结束时间:{time.strftime('%Y-%m-%d %H:%M:%S', time.localtime())}")
    print(f"程序耗时:{end_time-start_time}秒")

if __name__ == '__main__':
    # 在Python 3.7+中，可以直接使用asyncio.run()运行主协程
    asyncio.run(main())

asyncio 常用 API

方法/函数	描述	使用场景	示例
`asyncio.run()`	运行协程	程序入口点	`asyncio.run(main())`
`asyncio.create_task()`	创建任务	并行执行协程	`task = asyncio.create_task(coro())`
`asyncio.gather()`	并行运行多个协程	批量并发任务	`results = await asyncio.gather(coro1(), coro2())`
`asyncio.wait_for()`	带超时的等待	实现超时控制	`await asyncio.wait_for(coro(), timeout=1.0)`
`asyncio.sleep()`	非阻塞睡眠	模拟 IO 延迟	`await asyncio.sleep(1.0)`
`asyncio.Queue`	协程安全的队列	协程间数据传递	`queue = asyncio.Queue(); await queue.put(item)`
`asyncio.Future`	低级异步原语	自定义异步操作	`future = asyncio.Future(); future.set_result(value)`
`asyncio.shield()`	防止取消传播	保护关键协程	`await asyncio.shield(critical_coro())`
`asyncio.as_completed()`	按完成顺序返回结果	处理最先完成的任务	`for task in asyncio.as_completed([coro1(), coro2()]): result = await task`

Task 对象

Task 是 asyncio 中用于封装协程的对象，可以用于并发执行多个任务。可以通过 Task 对象等待协程完成。

import asyncio

async def nested():
    print('进入 nested()')
    await asyncio.sleep(1)  # 模拟IO操作
    print('离开 nested()')
    return '42'

async def main():
    task = asyncio.create_task(nested())  # 创建任务
    result = await task  # 等待任务完成
    print(f'返回值：{result}')

asyncio.run(main())

Future 对象

Future 是 Task 的基类，表示一个未完成的结果。在底层异步操作中，Future 常常用来表示某些未决的操作结果。

import asyncio

# 定义一个异步函数，用于设置future的结果
async def set_future_result(future):
    # 异步等待2秒，模拟耗时操作
    await asyncio.sleep(2)
    # 设置future的结果为"Hello, world!"
    future.set_result("Hello, world!")

# 定义主异步函数
async def main():
    # 获取当前正在运行的事件循环
    loop = asyncio.get_running_loop()
    # 创建Future对象，它代表一个尚未完成的异步操作
    future = loop.create_future()  # 创建Future对象
    # 创建一个任务来执行set_future_result函数，不等待其完成立即返回
    asyncio.create_task(set_future_result(future))
    # 等待future完成并获取其结果
    result = await future  # 等待Future完成
    # 打印future的结果
    print(f"Future的结果: {result}")

# 运行主异步函数
asyncio.run(main())

异步上下文管理器

异步上下文管理器允许在进入和退出时执行异步操作，常用于异步资源管理。

import asyncio

class AsyncResource:
    async def __aenter__(self):
        print("资源获取")
        return self

    async def __aexit__(self, exc_type, exc_value, traceback):
        print("资源释放")

async def main():
    async with AsyncResource():
        print("执行任务中")

asyncio.run(main())

14.6 GIL 锁与 Python 并发性能

GIL(Global Interpreter Lock，全局解释器锁)是 CPython 解释器的一个特性，它确保同一时刻只有一个线程可以执行 Python 字节码。这个特性对 Python 多线程编程有着深远影响，也是导致 Python 速度慢的两大原因之一，其另外一个原因是因为 Python 是 解释形 语言，但后续可通过 pypy 技术实现 Python 的预编译，但唯独这个原因 Python 没有解决，Python 在早期开发时为解决垃圾回收机制内部问题采用了 GIL 锁，所以 Python 程序无法直接利用多核 CPU 的优势

'''
GIL全局解释器锁(Global Interpreter Lock)，是CPython特有的一个物件，
作用是让一个进程中同一时刻只能有一个线程可以被CPU调用

如果程序想利用计算机的多核优势，让CPU同时处理一些任务，适合用多进程开发（即使资源开销大）
如果程序不想利用计算机的多核优势，适合用多线程开发
'''

GIL 的本质与工作原理

GIL 本质上是一把互斥锁，用于保护 Python 解释器的内部状态，主要解决了 Python 对象的内存管理问题。

GIL 特性	描述
实现方式	互斥锁(mutex)
作用对象	Python 解释器进程
控制范围	Python 字节码执行
释放时机	I/O 操作、执行固定字节码数量后
影响范围	仅影响 CPython，PyPy、Jython、IronPython 不受影响

🔍 深入理解：GIL 并非 Python 语言本身的特性，而是 CPython 实现的产物。它解决了 CPython 简单引用计数式内存管理的线程安全问题，但也限制了多线程程序利用多核性能的能力。

## GIL工作示意伪代码
def thread_execution():
    while True:
        acquire_GIL()       # 获取GIL锁
        execute_bytecodes() # 执行一定数量的字节码
        release_GIL()       # 释放GIL锁以允许其他线程运行
        wait_for_GIL()      # 等待再次获取GIL
        
# 这也就导致了每一个线程都需要在执行获取字节码时都要经历拿锁->解锁的过程

并发与并行的区别

并发(Concurrency)和并行(Parallelism)是两个在计算机科学中经常出现的概念，虽然常被混用，但有着本质区别：

特性	并发(Concurrency)	并行(Parallelism)
定义	多个任务在同一时间间隔内发生	多个任务在同一时刻发生
重点	任务切换与调度	任务的同时执行
资源需求	可以在单处理器上通过时间片轮转实现	需要多个处理器或核心
执行方式	任务交替执行，共享处理器时间	每个任务有独立的处理器同时执行
适用场景	I/O 密集型任务，如网络请求、文件读写	计算密集型任务，如图像处理、科学计算
实现难度	相对简单，关注任务调度	相对复杂，需考虑数据分割、同步和合并
Python 实现	多线程、协程	多进程

🌟 关键理解：由于 GIL 的存在，Python 的多线程实际上只能实现并发，而不能实现真正的并行。要实现并行，需要使用多进程或依赖不受 GIL 限制的扩展库（如使用 C 扩展的 NumPy）。

线程安全与并发控制

线程安全指在多线程环境下，程序能够正确地处理共享资源，不会因为多线程同时访问而导致数据不一致。尽管 Python 的 GIL 能减轻一些并发问题，但并不能完全保证线程安全。

线程安全问题示例

from threading import Thread
import time
import random

### 共享的全局变量
counter = 0
start_time = time.time()
iterations_completed = 0

def increment_counter():
    """增加计数器，但使用了非原子操作的方式"""
    global counter, iterations_completed
    for _ in range(1000000):
        # 模拟线程安全问题：读取-修改-写入过程中可能被中断
        local_counter = counter  # 读取当前值
        
        # 模拟线程在读取后被切换的情况
        # 随机休眠一个很小的时间，增加线程切换的可能性
        if random.random() < 0.00001:
            time.sleep(0.00001)
            
        local_counter += 1  # 在本地修改
        counter = local_counter  # 写回全局变量
        iterations_completed += 1


def run_concurrent_threads(num_threads):
    """运行多个线程同时增加计数器"""
    global counter, iterations_completed
    counter = 0
    iterations_completed = 0
    
    threads = []
    for _ in range(num_threads):
        t = Thread(target=increment_counter)
        threads.append(t)
        t.start()
    
    for t in threads:
        t.join()
    
    # 理论上应该等于 num_threads * 1000000
    expected = num_threads * 1000000
    print(f"预期结果: {expected}")
    print(f"实际结果: {counter}")
    print(f"丢失的增量: {expected - counter}")
    print(f"完成的迭代次数: {iterations_completed}")


if __name__ == '__main__':
    print(f'开始时间为: {time.strftime("%Y-%m-%d %H:%M:%S", time.localtime())}')
    
    # 运行4个线程，每个线程增加计数器1000000次
    # 理论上最终结果应该是4000000，但由于线程安全问题，实际结果会小于这个值
    run_concurrent_threads(4)
    
    print(f"累计用时: {round(time.time() - start_time, 1)}秒")

使用线程锁解决安全问题

from threading import Thread, Lock
import time
import random

### 共享的全局变量
counter = 0
start_time = time.time()
iterations_completed = 0
# 创建一个线程锁
counter_lock = Lock()


def increment_counter():
    """增加计数器，使用线程锁确保线程安全"""
    global counter, iterations_completed
    for _ in range(1000000):
        # 使用线程锁保护临界区
        with counter_lock:
            counter += 1  # 在锁的保护下直接修改全局变量
            iterations_completed += 1


def run_concurrent_threads(num_threads):
    """运行多个线程同时增加计数器"""
    global counter, iterations_completed
    counter = 0
    iterations_completed = 0

    threads = []
    for _ in range(num_threads):
        t = Thread(target=increment_counter)
        threads.append(t)
        t.start()

    for t in threads:
        t.join()

    # 理论上应该等于 num_threads * 1000000
    expected = num_threads * 1000000
    print(f"预期结果: {expected}")
    print(f"实际结果: {counter}")
    print(f"丢失的增量: {expected - counter}")
    print(f"完成的迭代次数: {iterations_completed}")


if __name__ == '__main__':
    print(f'开始时间为: {time.strftime("%Y-%m-%d %H:%M:%S", time.localtime())}')

    # 运行4个线程，每个线程增加计数器1000000次
    # 使用线程锁后，最终结果应该正确等于4000000
    run_concurrent_threads(4)

    print(f"累计用时: {round(time.time() - start_time, 1)}秒")

🔒 线程锁作用与注意事项：
锁确保同一时刻只有一个线程能访问共享资源
锁会影响性能，特别是在竞争激烈的情况下
锁的粒度需要权衡：粒度太细会增加锁操作开销，太粗会降低并发度
锁可能引发死锁问题，需谨慎设计锁的获取顺序

Python 中的锁机制全面解析

Python 的 threading 模块提供了多种锁和同步原语，用于不同并发控制场景。深入理解这些锁的特性和适用场景，对于开发可靠的并发程序至关重要。

Python 锁类型及其特性

锁类型	描述	独占性	可重入性	公平性	注意事项
`threading.Lock`	基本互斥锁	是	否	非公平	最简单的锁，同一线程不能重复获取
`threading.RLock`	可重入锁	是	是	非公平	同一线程可多次获取，必须对应释放相同次数
`threading.Condition`	条件变量	-	-	非公平	基于锁实现，提供 wait/notify 机制
`threading.Semaphore`	信号量	否	-	非公平	限制资源访问线程数量
`threading.BoundedSemaphore`	有界信号量	否	-	非公平	限制资源数量，防止过度释放
`threading.Event`	事件对象	-	-	-	用于线程间通知而非资源控制
`threading.Barrier`	栅栏对象	-	-	-	使多个线程同步到达某点再继续
`queue.Queue`	线程安全队列	-	-	先进先出	内部带锁，用于线程间数据传递
`multiprocessing.Lock`	进程锁	是	否	非公平	用于进程间同步的锁
`asyncio.Lock`	异步锁	是	否	-	用于协程间的同步

互斥锁(Lock)

互斥锁是最基本的锁类型，它确保同一时刻只有一个线程可以访问受保护的资源。

import concurrent
import threading
import time
from concurrent.futures import ThreadPoolExecutor

lock = threading.Lock()
shared_data = 0


def shared_resource(thread_id: int):
    """访问共享资源的函数
    Args:thread_id: 线程ID，用于标识不同线程
    """
    # 尝试获取锁
    if lock.acquire(timeout=1):  # 添加超时参数，防止无限等待
        print(f"线程{thread_id}获取锁")
        try:
            global shared_data
            # 读取-修改-写入操作需要原子性保护
            current = shared_data
            time.sleep(0.1)  # 模拟处理延时，增加竞争概率
            shared_data = current + 1
            print(f"线程{thread_id}修改共享数据，当前值为{shared_data}")
        finally:
            # 释放锁
            lock.release()
            print(f"线程{thread_id}释放锁")
    else:
        print(f"线程{thread_id}获取锁失败")
        

def shared_resource2(thread_id: int):
    """访问共享资源的函数
    使用with语句，自动释放锁简化代码
    """
    with lock:
        print(f"线程{thread_id}获取锁")
        try:
            global shared_data
            # 读取-修改-写入操作需要原子性保护
            current = shared_data
            time.sleep(0.1)  # 模拟处理延时，增加竞争概率
            shared_data = current + 1
            print(f"线程{thread_id}修改共享数据，当前值为{shared_data}")
        finally:
            print(f"线程{thread_id}释放锁")


if __name__ == '__main__':
    # 使用线程池创建多个线程
    with ThreadPoolExecutor(max_workers=10) as executor:
        futures = [executor.submit(shared_resource, i) for i in range(1, 11)]
        # 等待所有线程完成
        concurrent.futures.wait(futures)
    print(f"最终共享数据值为{shared_data}")

Lock 方法	描述	参数	返回值
`acquire(blocking=True, timeout=-1)`	获取锁	blocking: 是否阻塞, timeout: 超时时间(秒)	布尔值，表示是否获取成功
`release()`	释放锁	无	无，如果当前线程未持有锁则抛出 RuntimeError
`locked()`	检查锁状态	无	布尔值，表示锁是否被某个线程持有
`__enter__()`	支持 with 语句	无	锁对象自身
`__exit__()`	with 语句退出时调用	异常信息	无，自动释放锁

可重入锁(RLock)

可重入锁允许同一个线程多次获取该锁，而不会导致自我死锁。这在递归调用或者嵌套加锁场景中特别有用。

import threading
import time

## 创建可重入锁
rlock = threading.RLock()

# 嵌套列表数据结构
data = [[1, 2, 3], [4, 5, 6], [7, 8, 9]]


def process_data(item, depth: int = 0):
    """递归处理数据
    
    Args:
        item: 要处理的数据项，可以是列表或单个元素
        depth: 当前递归深度，用于缩进显示
    """
    # 获取锁
    rlock.acquire()
    try:
        # 创建缩进效果，增强可读性
        indent = " " * depth * 2  # 增加缩进量使层次更明显
        
        # 打印当前处理的数据项和深度
        print(f'{indent}线程 {threading.current_thread().name} 处理: {item} (深度: {depth})')
        
        # 递归处理逻辑
        if isinstance(item, list):
            # 列表节点处理 - 继续向下递归
            print(f'{indent}├── 发现列表，开始遍历子元素...')
            for i, sub_item in enumerate(item):
                # 显示子项的索引，增强结构可视化
                prefix = "└── " if i == len(item) - 1 else "├── "
                print(f'{indent}{prefix}处理子项 {i+1}/{len(item)}: {sub_item}')
                
                # 递归调用，这里会再次获取同一个锁
                process_data(sub_item, depth + 1)
                time.sleep(0.1)
        else:
            # 叶子节点处理 - 递归终止条件
            print(f'{indent}└── 发现元素，进行处理...')
            time.sleep(0.5)
            print(f'{indent}    处理结果: {item * 2}')
    finally:
        # 释放锁
        rlock.release()


if __name__ == '__main__':
    ## 创建多个线程访问嵌套数据
    threads = []
    for i in range(3):
        # 每个线程处理完整的数据结构
        t = threading.Thread(name=f"Thread-{i}", target=process_data, args=(data,))
        threads.append(t)
        t.start()
        time.sleep(0.5)  # 错开线程启动时间
    
    ## 等待所有线程结束
    for t in threads:
        t.join()
    
    print("所有线程都结束了")

RLock 方法	描述	与 Lock 的区别
`acquire(blocking=True, timeout=-1)`	获取锁	记录获取线程 ID 和次数
`release()`	释放锁	计数器减 1，只有为 0 时才真正释放
`_is_owned()`	检查当前线程是否持有锁	Lock 没有此方法

💡 使用建议：一般推荐使用 RLock 而非 Lock，因为它更安全、更灵活，即使在不需要重入功能的场景下也不会有明显性能损失。

条件变量(Condition) - 根据条件控制锁

条件变量是一种高级的 同步原语(同步原语就是让多个线程能够"和谐相处"的机制)，它允许线程等待特定条件满足后再继续执行。条件变量内部包含一个锁，用于控制对共享状态的访问。

import threading
import time
import random
from typing import List, Any


class Buffer:
    """线程安全的缓冲区，使用条件变量控制生产者消费者模型"""

    def __init__(self, max_size: int = 5) -> None:
        """初始化缓冲区"""
        self.buffer: List[Any] = []  # 共享数据缓冲区
        self.max_size: int = max_size  # 最大容量
        # 创建条件变量，基于RLock
        self.condition: threading.Condition = threading.Condition()

    def produce(self, item: Any, producer_id: int) -> None:
        """生产者方法，向缓冲区添加数据"""
        # 使用条件变量的with语句自动获取和释放锁
        with self.condition:
            # 当缓冲区已满时，等待消费者处理
            while len(self.buffer) >= self.max_size:
                print(f"生产者 {producer_id}: 缓冲区已满，等待消费者...")
                # 等待唤醒通知，自动释放锁，让其他线程能访问缓冲区
                self.condition.wait()

            # 添加数据到缓冲区
            self.buffer.append(item)
            print(f"生产者 {producer_id}: 添加 {item} 到缓冲区，当前大小: {len(self.buffer)}")

            # 通知所有等待的消费者有新数据可用
            self.condition.notify_all()

    def consume(self, consumer_id: int) -> Any:
        """消费者方法，从缓冲区获取数据"""
        with self.condition:
            # 当缓冲区为空时，等待生产者添加数据
            while len(self.buffer) == 0:
                print(f"消费者 {consumer_id}: 缓冲区为空，等待生产者...")
                self.condition.wait()

            # 从缓冲区取出数据
            item = self.buffer.pop(0)
            print(f"消费者 {consumer_id}: 从缓冲区取出 {item}，当前大小: {len(self.buffer)}")

            # 通知所有等待的生产者缓冲区有空间
            self.condition.notify_all()

            return item


def producer_task(buffer: Buffer, producer_id: int) -> None:
    """生产者任务"""
    for i in range(10):  # 生产10个产品
        item = f"产品-{producer_id}-{i}"
        # 模拟生产时间
        time.sleep(random.uniform(0.1, 0.5))  
        buffer.produce(item, producer_id)


def consumer_task(buffer: Buffer, consumer_id: int) -> None:
    """消费者任务"""
    for _ in range(7):  # 每个消费者消费7个产品
        # 模拟消费时间
        time.sleep(random.uniform(0.2, 0.7))  
        item = buffer.consume(consumer_id)
        print(f"消费者 {consumer_id} 处理 {item}")


def main() -> None:
    """主函数，创建并启动生产者和消费者线程"""
    # 创建共享缓冲区
    shared_buffer = Buffer(max_size=3)
    
    # 创建生产者和消费者线程
    producer_threads = [
        threading.Thread(target=producer_task, args=(shared_buffer, i), name=f"Producer-{i}")
        for i in range(3)  # 3个生产者
    ]
    
    consumer_threads = [
        threading.Thread(target=consumer_task, args=(shared_buffer, i), name=f"Consumer-{i}")
        for i in range(3)  # 3个消费者
    ]
    
    # 启动所有线程
    all_threads = producer_threads + consumer_threads
    for thread in all_threads:
        thread.start()
    
    # 等待所有线程完成
    for thread in all_threads:
        thread.join()
    
    print("所有生产和消费任务已完成")


if __name__ == "__main__":
    main()

Condition 方法	描述	参数	注意事项
`__init__(lock=None)`	初始化条件变量	lock: 可选的 Lock 或 RLock	不指定则创建 RLock
`acquire(*args)`	获取底层锁	同底层锁的 acquire 方法	一般通过 with 语句使用
`release()`	释放底层锁	无	一般通过 with 语句自动释放
`wait(timeout=None)`	等待条件	timeout: 超时时间(秒)	调用前必须已获得锁
`wait_for(predicate, timeout=None)`	等待直到条件为真	predicate: 条件函数, timeout: 超时时间	简化循环等待模式
`notify(n=1)`	唤醒 n 个等待的线程	n: 要唤醒的线程数	不会立即释放锁
`notify_all()`	唤醒所有等待的线程	无	适用于广播通知

⚠️ 使用注意：
调用 wait() 会释放锁，允许其他线程修改条件状态
使用 wait_for() 可以避免虚假唤醒问题
调用 notify() 后锁不会立即释放，需要当前线程退出 with 块
使用 notify_all() 而非 notify() 可以避免信号丢失问题

信号量(Semaphore) - 控制并发数量

信号量是一种计数器，用于控制同时访问特定资源的线程数量，常用于限制并发访问数。

import threading
import time
import random
from concurrent.futures import ThreadPoolExecutor

## 创建信号量，限制最多三个线程同时访问资源
pool_semaphore = threading.Semaphore(3)

## 模拟优先的资源池
resource_pool = ['资源A', '资源B', '资源C']
resource_in_use = {}  # 跟踪资源使用情况

## 保护资源分配的锁
resource_lock = threading.RLock()


def worker(worker_id: int):
    """工作线程函数，模拟使用受限资源"""
    # 尝试获取信号量
    print(f"工作线程 {worker_id} 等待获取资源...")
    with pool_semaphore:  # 等同于acquire()和finally中release()
        print(f"工作线程 {worker_id} 获取资源信号量")
        with resource_lock:
            # 检查resource_pool中的每个资源，如果该资源不在resource_in_use字典的值中，则认为是可用的
            available_resources = [r for r in resource_pool if r not in resource_in_use.values()]
            if not available_resources:
                print(f"工作线程 {worker_id} 没有找到可用资源，理论上不应该发生！")
                return

            resource_name = available_resources[0]
            resource_in_use[worker_id] = resource_name  # 记录资源使用情况
            print(f"工作线程 {worker_id} 分配到资源: {resource_name}, 当前使用情况: {resource_in_use}")
        try:
            # 模拟使用资源
            work_time = random.uniform(0.5, 2.0)
            print(f"工作线程 {worker_id} 使用资源 {resource_name} 时间: {work_time} 秒")
            time.sleep(work_time)
        finally:
            # 释放资源
            with resource_lock:
                released_resource = resource_in_use.pop(worker_id)
                print(f"工作线程 {worker_id} 释放资源: {released_resource}, 当前使用情况: {resource_in_use}")


if __name__ == '__main__':
    # 创建线程池，并启动三个线程
    with ThreadPoolExecutor(max_workers=3) as executor:
        futures = [executor.submit(worker, i) for i in range(3)]
        for future in futures:
            future.result()

Semaphore 方法	描述	参数	返回值
`__init__(value=1)`	初始化信号量	value: 初始计数器值	无
`acquire(blocking=True, timeout=None)`	获取信号量	blocking: 是否阻塞, timeout: 超时时间	布尔值，表示是否获取成功
`release(n=1)`	释放信号量	n: 释放的数量	无
`__enter__()`	支持 with 语句	无	信号量对象自身
`__exit__()`	with 语句退出时调用	异常信息	无，自动释放信号量

有界信号量(BoundedSemaphore)详解

有界信号量是信号量的一个变种，它会检查释放操作是否会导致计数器超过初始值，如果超过则抛出异常。这可以帮助检测程序中的信号量使用错误。

import threading
import time

## 创建有界信号量，初始值为3
bounded_semaphore = threading.BoundedSemaphore(3)

def semaphore_demo():
    """演示有界信号量与普通信号量的区别"""
    try:
        print("获取信号量1次")
        bounded_semaphore.acquire()
        
        print("获取信号量2次")
        bounded_semaphore.acquire()
        
        print("获取信号量3次")
        bounded_semaphore.acquire()
        
        print("信号量已用完，再获取将阻塞")
        
        # 释放全部信号量
        print("释放信号量1次")
        bounded_semaphore.release()
        
        print("释放信号量2次")
        bounded_semaphore.release()
        
        print("释放信号量3次")
        bounded_semaphore.release()
        
        try:
            # 超出初始值的释放将抛出异常
            print("尝试额外释放一次")
            bounded_semaphore.release()  
            print("这一行不会执行")
        except ValueError as e:
            print(f"捕获预期异常: {e}")
    except Exception as e:
        print(f"意外错误: {e}")

semaphore_demo()

🔍 Semaphore vs BoundedSemaphore：
Semaphore 允许无限制地调用 release()，即使计数器超过初始值
BoundedSemaphore 在计数器超过初始值时会抛出 ValueError 异常
生产环境推荐使用 BoundedSemaphore，或安全的使用 with 语句，保证程序安全

事件对象(Event)

事件对象是最简单的线程通信机制之一，它允许一个线程发送信号给其他线程，适合简单的 “一次性通知” 场景。

import threading
import time
import random
from typing import List
from concurrent.futures import ThreadPoolExecutor

## 创建事件对象
start_event = threading.Event()
results: List[str] = []
results_lock = threading.RLock()

def worker(worker_id:int) -> None:
    """工作线程函数，等待开始信号"""
    prep_time = random.uniform(0.5, 1.5)
    time.sleep(prep_time)
    print(f"工作线程{worker_id}准备完毕，等待开始信号")
    # 等待开始信号
    start_event.wait()

    # 收到信号开始工作
    print(f"工作线程{worker_id}开始工作")
    work_time = random.uniform(1, 2)
    time.sleep(work_time)
    # 记录结果
    with results_lock:
        results.append(f"工作线程{worker_id}完成工作")

    print(f"工作线程{worker_id}完成工作，用时{work_time:.2f}秒")

if __name__ == '__main__':
    # 创建线程池
    with ThreadPoolExecutor(max_workers=3) as executor:
        futures = [executor.submit(worker, i) for i in range(3)]
        # 等待所有线程准备完毕
        time.sleep(2)
        # 发送开始信号
        print("发送开始信号")
        start_event.set()
        # 等待所有线程完成工作
        for future in futures:
            future.result()

    print("所有工作线程完成")
    print(results)

Event 方法	描述	参数	返回值
`set()`	设置事件，唤醒所有等待的线程	无	无
`clear()`	清除事件标志	无	无
`is_set()`	判断事件是否已设置	无	布尔值
`wait(timeout=None)`	等待事件被设置	timeout: 超时时间	如果超时返回 False，否则返回 True

💡 使用场景：
启动信号：所有线程等待统一开始
停止信号：通知所有线程停止工作
一次性通知：当某条件满足时通知等待线程

栅栏对象(Barrier)

栅栏是一种同步原语，它要求固定数量的线程都到达栅栏点后，才允许所有线程继续执行。这对于分阶段任务的同步特别有用。

import threading
import time
import random

## 定义参与方数量
num_parties = 4

## 创建栅栏对象，当4个线程都到达时才继续
barrier = threading.Barrier(num_parties)

def worker(worker_id):
    """工作线程函数，模拟多阶段工作
    
    Args:
        worker_id: 工作线程ID
    """
    print(f"工作线程 {worker_id} 开始第一阶段工作")
    
    # 模拟第一阶段工作
    work_time = random.uniform(0.5, 2.0)
    time.sleep(work_time)
    print(f"工作线程 {worker_id} 完成第一阶段，用时 {work_time:.2f} 秒，等待其他线程...")
    
    try:
        # 等待所有线程完成第一阶段
        barrier.wait()
        print(f"工作线程 {worker_id} 通过第一个栅栏，开始第二阶段")
        
        # 模拟第二阶段工作
        work_time = random.uniform(0.5, 2.0)
        time.sleep(work_time)
        print(f"工作线程 {worker_id} 完成第二阶段，用时 {work_time:.2f} 秒，等待其他线程...")
        
        # 等待所有线程完成第二阶段
        barrier.wait()
        print(f"工作线程 {worker_id} 通过第二个栅栏，工作全部完成")
        
    except threading.BrokenBarrierError:
        print(f"工作线程 {worker_id} 检测到栅栏被破坏")

## 创建工作线程
threads = []
for i in range(num_parties):
    t = threading.Thread(target=worker, args=(i,))
    threads.append(t)
    t.start()

## 等待所有线程完成
for t in threads:
    t.join()

print("所有工作阶段已完成")

Barrier 方法	描述	参数	返回值
`__init__(parties, action=None, timeout=None)`	初始化栅栏	parties: 参与方数量, action: 所有线程到达时执行的回调, timeout: 等待超时	无
`wait(timeout=None)`	等待所有参与方到达	timeout: 覆盖默认超时时间	线程的到达序号(0 ~ n-1)
`reset()`	将栅栏重置到初始状态	无	无，正在等待的线程会抛出 BrokenBarrierError
`abort()`	将栅栏置于损坏状态	无	无，所有等待线程会抛出 BrokenBarrierError
`parties`	参与方数量(属性)	无	整数
`n_waiting`	当前等待的线程数(属性)	无	整数
`broken`	栅栏是否处于损坏状态(属性)	无	布尔值

⚠️ 注意事项：
如果等待超时，栅栏会进入损坏状态
如果等待时的线程被中断，栅栏也会损坏
可以通过 reset() 方法重新使用已损坏的栅栏

线程安全队列(Queue)

queue 模块提供的 Queue 类是一个线程安全的队列实现，通常用于线程间的数据传递和任务分发。

import threading
import queue
import time
import random
from concurrent.futures import ThreadPoolExecutor

## 创建线程安全队列
task_queue = queue.Queue(maxsize=10)  # 最多容纳10个任务
result_queue = queue.Queue()  # 结果队列，无大小限制
## 用于通知工作线程结束的标志
exit_flag = threading.Event()

def producer():
    """生产者线程，产生任务"""
    for i in range(20):
        task = f"任务-{i}"
        # 将任务放入队列
        task_queue.put(task)
        print(f"生产者: 添加 {task} 到队列，当前队列大小: {task_queue.qsize()}")
        time.sleep(random.uniform(0.1, 0.3))  # 随机延迟

    # 添加结束标记
    print("生产者: 所有任务已产生，设置退出标志")
    exit_flag.set()

def consumer(consumer_id):
    """消费者线程，处理任务"""
    # 直到所有任务都处理完毕或有新任务到来
    while not exit_flag.is_set() or not task_queue.empty():
        try:
            # 从队列获取任务，最多等待1秒
            task = task_queue.get(timeout=1)
            # 模拟处理任务
            print(f"消费者 {consumer_id}: 开始处理 {task}")
            process_time = random.uniform(0.5, 1.5)
            time.sleep(process_time)
            # 将处理结果放入结果队列
            result = f"结果-{task}-耗时{process_time:.2f}秒"
            result_queue.put((consumer_id, result))
            # 标记任务完成
            task_queue.task_done()
            print(f"消费者 {consumer_id}: 完成处理 {task}")
        except queue.Empty:
            # 队列为空且设置了退出标志时结束循环
            if exit_flag.is_set():
                break
            print(f"消费者 {consumer_id}: 队列暂时为空，等待任务...")
            time.sleep(0.5)
    print(f"消费者 {consumer_id}: 退出")

if __name__ == '__main__':
    # 创建生产者线程和消费者线程
    with ThreadPoolExecutor(max_workers=4) as executor:
        # 创建生产者线程
        producers = [executor.submit(producer) for _ in range(2)]
        # 创建消费者线程
        consumers = [executor.submit(consumer, i) for i in range(2)]
        
        # 等待所有线程结束
        all_futures = producers + consumers
        for future in all_futures:
            future.result()
    
    # 打印结果队列中的所有结果
    print("\n处理结果:")
    while not result_queue.empty():
        consumer_id, result = result_queue.get()
        print(f"消费者 {consumer_id} 的结果: {result}")

Queue 方法/属性	描述	参数	返回值/特性
`__init__(maxsize=0)`	初始化队列	maxsize: 队列最大大小，0 表示无限	无
`put(item, block=True, timeout=None)`	放入元素	item: 元素, block: 是否阻塞, timeout: 超时时间	无，队列满时可能阻塞或抛出 Full 异常
`get(block=True, timeout=None)`	获取元素	block: 是否阻塞, timeout: 超时时间	队列元素，队列空时可能阻塞或抛出 Empty 异常
`task_done()`	标记任务完成	无	无
`join()`	等待队列中所有任务处理完成	无	无
`qsize()`	返回队列大小	无	整数
`empty()`	检查队列是否为空	无	布尔值
`full()`	检查队列是否已满	无	布尔值
`put_nowait(item)`	非阻塞版本的 put	item: 元素	无，队列满时抛出 Full 异常
`get_nowait()`	非阻塞版本的 get	无	队列元素，队列空时抛出 Empty 异常

💡 Queue 变种：
queue.LifoQueue: 后进先出队列(栈)
queue.PriorityQueue: 优先级队列，元素为(优先级, 数据)元组
queue.SimpleQueue: 简单的无界队列，不支持 task_done 和 join

死锁问题分析与解决

死锁是指两个或多个线程互相等待对方释放资源，导致程序无法继续执行的情况。

死锁示例

import threading
import time

## 创建两个锁
lock_1 = threading.Lock()
lock_2 = threading.Lock()

def task1():
    """第一个任务，先获取lock_1，再获取lock_2"""
    print("任务1开始尝试获取锁...")
    lock_1.acquire()  # 获取1号锁
    print("任务1获取到lock_1")
    time.sleep(0.5)  # 等待一会，让任务2有机会获取lock_2
    print("任务1尝试获取lock_2")
    lock_2.acquire()  # 尝试获取2号锁，但可能永远阻塞于此

    try:
        print("任务1同时获取了两把锁")
        # 使用两把锁保护的代码
    finally:
        # 释放锁
        lock_2.release()
        print("任务1释放了lock_2")
        lock_1.release()
        print("任务1释放了lock_1")


def task2():
    """第二个任务，先获取lock_2，再获取lock_1"""
    print("任务2开始尝试获取锁...")
    lock_2.acquire()  # 获取2号锁
    print("任务2获取到lock_2")
    time.sleep(0.5)  # 等待一会
    print("任务2尝试获取lock_1")
    lock_1.acquire()  # 尝试获取1号锁，但可能永远阻塞于此
    try:
        print("任务2同时获取了两把锁")
        # 使用两把锁保护的代码
    finally:
        # 释放锁
        lock_1.release()
        print("任务2释放了lock_1")
        lock_2.release()
        print("任务2释放了lock_2")
if __name__ == '__main__':
    ## 创建两个线程
    t1 = threading.Thread(target=task1)
    t2 = threading.Thread(target=task2)

    ## 启动线程
    t1.start()
    t2.start()

    ## 等待一段时间后检查是否发生死锁
    time.sleep(5)

    ## 检查线程是否还活着
    print(f"线程1状态: {'活跃' if t1.is_alive() else '已结束'}")
    print(f"线程2状态: {'活跃' if t2.is_alive() else '已结束'}")

    if t1.is_alive() and t2.is_alive():
        print("检测到可能的死锁情况!")

⚠️ 死锁的四个必要条件：
互斥条件：资源不能被共享，一次只能被一个线程使用
请求与保持条件：线程已获得资源，但又提出新的资源请求
不剥夺条件：线程已获得的资源不能强制被剥夺
循环等待条件：线程之间形成头尾相接的循环等待资源关系

死锁解决方案

import threading
import time

## 创建两个锁
lock_1 = threading.Lock()
lock_2 = threading.Lock()

def acquire_locks_safe(lock_a, lock_b, thread_name):
    """安全地获取两个锁，使用超时机制避免死锁
    
    Args:
        lock_a: 第一个锁
        lock_b: 第二个锁
        thread_name: 线程名称
        
    Returns:
        bool: 是否成功获取两个锁
    """
    while True:
        # 尝试获取第一个锁
        got_lock_a = lock_a.acquire(timeout=1)
        if got_lock_a:
            print(f"{thread_name}: 获取到第一个锁")
            try:
                # 尝试获取第二个锁
                got_lock_b = lock_b.acquire(timeout=1)
                if got_lock_b:
                    print(f"{thread_name}: 获取到第二个锁")
                    return True  # 成功获取两个锁
                # 获取第二个锁失败，释放第一个锁，避免死锁
                print(f"{thread_name}: 获取第二个锁失败，释放第一个锁并重试")
            finally:
                if not got_lock_b:
                    lock_a.release()
                    # 短暂休眠，减少活锁可能性
                    time.sleep(0.1)
        else:
            print(f"{thread_name}: 获取第一个锁失败，重试")
            time.sleep(0.1)  # 短暂休眠避免CPU忙等

def task1_fixed():
    """修复死锁的任务1 - 使用安全获取锁函数"""
    print("任务1开始执行...")
    if acquire_locks_safe(lock_1, lock_2, "任务1"):
        try:
            print("任务1: 同时持有两把锁，执行关键代码")
            time.sleep(0.5)  # 模拟工作
        finally:
            # 释放锁
            lock_2.release()
            print("任务1: 释放lock_2")
            lock_1.release()
            print("任务1: 释放lock_1")
    else:
        print("任务1: 无法获取所需的锁，任务取消")

def task2_fixed():
    """修复死锁的任务2 - 使用一致的锁获取顺序"""
    print("任务2开始执行...")
    # 按与任务1相同的顺序获取锁，避免死锁
    if acquire_locks_safe(lock_1, lock_2, "任务2"):
        try:
            print("任务2: 同时持有两把锁，执行关键代码")
            time.sleep(0.5)  # 模拟工作
        finally:
            # 释放锁
            lock_2.release()
            print("任务2: 释放lock_2")
            lock_1.release()
            print("任务2: 释放lock_1")
    else:
        print("任务2: 无法获取所需的锁，任务取消")

## 创建两个线程
t1 = threading.Thread(target=task1_fixed)
t2 = threading.Thread(target=task2_fixed)

## 启动线程
t1.start()
t2.start()

## 等待线程结束
t1.join()
t2.join()

print("所有线程执行完毕，没有死锁")

🛠️ 死锁预防方法：
按顺序获取锁：使所有线程按相同顺序获取锁
超时机制：使用 acquire(timeout=N) 设置获取锁的超时时间
一次性获取所有锁：创建更高级别的锁来同时获取多个锁
使用显式资源分级：为资源分配层级，只允许按层级顺序获取
避免嵌套锁：设计简化的锁策略，减少同时持有多个锁的情况
使用 with 语句：确保锁在异常情况下也能被释放

原子操作与锁优化

在并发编程中，原子操作是指不可被中断的操作，它们要么完全执行，要么完全不执行。Python 提供了一些原子操作工具，可以减少对锁的依赖。

`threading.local` 对象 - 线程本地存储

线程本地存储提供了一种每个线程拥有自己独立数据副本的机制，避免了共享状态带来的并发问题。

我们可以往 threading.local()上挂载对象，这样我们的每一个线程就会有属于自己的独立数据

import threading
import time
import random
from concurrent.futures import ThreadPoolExecutor

## 创建线程本地存储对象
thread_local_data = threading.local()

def process_request(request_id: int) -> None:
    """处理请求的工作函数"""
    # 为当前线程设置上下文信息
    thread_local_data.user_id = f"user-{random.randint(1000, 9999)}"
    thread_local_data.request = request_id
    thread_local_data.start_time = time.time()
    # 模拟处理请求的各个阶段
    print(f"请求 {request_id}: 开始处理 [线程: {threading.current_thread().name}, 用户: {thread_local_data.user_id}]")
    process_stage("验证")
    process_stage("处理")
    process_stage("响应")
    # 计算总处理时间
    elapsed = time.time() - thread_local_data.start_time
    print(f"请求 {request_id}: 完成处理，总耗时 {elapsed:.2f}秒 [线程: {threading.current_thread().name}]")


def process_stage(stage_name: str):
    """处理请求的某个阶段"""
    # 访问线程本地变量，无需传递参数
    request_id = thread_local_data.request
    user_id = thread_local_data.user_id

    # 模拟阶段处理
    time.sleep(random.uniform(0.1, 0.5))
    print(f"请求 {request_id}: {stage_name}阶段完成 [用户: {user_id}]")

if __name__ == '__main__':
    with ThreadPoolExecutor(max_workers=10) as executor:
        futures = [executor.submit(process_request, i) for i in range(10)]
        for future in futures:
            future.result()
        print("所有请求处理完成")

`functools.lru_cache` 带锁的缓存

functools.lru_cache 装饰器提供了一个线程安全的缓存机制，当一个函数的计算逻辑十分复杂，我们就可以采用缓存来优化这一点

import functools
import time

# ========== LRU缓存演示 ==========
@functools.lru_cache(maxsize=128)
def fibonacci(n):
    """计算斐波那契数列的第n个数，使用LRU缓存优化性能"""
    if n <= 1:
        return n
    return fibonacci(n-1) + fibonacci(n-2)

def demonstrate_lru_cache():
    """演示LRU缓存的效果"""
    # 不使用缓存的计算时间
    def fibonacci_no_cache(n):
        if n <= 1:
            return n
        return fibonacci_no_cache(n-1) + fibonacci_no_cache(n-2)
    
    n = 35
    
    # 测试无缓存版本
    start = time.time()
    result1 = fibonacci_no_cache(n)
    end = time.time()
    print(f"无缓存计算fibonacci({n}) = {result1}，耗时: {end - start:.4f}秒")
    
    # 测试有缓存版本
    start = time.time()
    result2 = fibonacci(n)
    end = time.time()
    print(f"首次使用缓存计算fibonacci({n}) = {result2}，耗时: {end - start:.4f}秒")
    
    # 再次调用，应该直接从缓存获取结果
    start = time.time()
    result3 = fibonacci(n)
    end = time.time()
    print(f"再次使用缓存计算fibonacci({n}) = {result3}，耗时: {end - start:.8f}秒")
    
    # 显示缓存信息
    print(f"缓存信息: {fibonacci.cache_info()}")

if __name__ == "__main__":
    demonstrate_lru_cache()

锁的高级应用模式

读写锁模式

Python 中的读写锁（Read-Write Lock）主要用于在多线程环境中控制对共享资源的访问。它允许多个线程同时读取共享数据，但在写操作时，其他线程不能进行读或写操作。具体的应用场景包括：

数据共享与并发读取：当多个线程需要读取同一份数据时，使用读锁可以提高并发性，允许多个线程同时访问数据，而不需要每次访问都加锁。
写操作的独占性：当有线程进行写操作时，需要获取写锁，这样可以确保写操作的独占性，避免数据竞争和不一致性。
性能优化：在读多写少的场景下，读写锁能提高性能，因为它允许多个线程并行读取数据，而只有在写入时才会阻塞其他线程。

我们先从 Python 原生实现读写锁来作为演示，掌握了原生的方式，我们可以使用 readerwriterlock 第三方库来帮我们快速实现读写锁

import threading
import time
import random


class ReadWriteLock:
    """读写锁实现

    允许多个读取者同时访问，或单个写入者独占访问
    """

    def __init__(self):
        """初始化读写锁"""
        self._read_ready = threading.Condition(threading.RLock())
        self._readers = 0  # 当前读取者数量
        self._writers = 0  # 当前写入者数量
        self._write_waiting = 0  # 等待写入的线程数
        self._writer = None  # 当前持有写锁的线程ID

    def acquire_read(self):
        """获取读锁"""
        with self._read_ready:
            # 当有写入者或正在等待的写入者时，读取者需要等待
            while self._writers > 0 or self._write_waiting > 0:
                self._read_ready.wait()
            self._readers += 1

    def release_read(self):
        """释放读锁"""
        with self._read_ready:
            self._readers -= 1
            if self._readers == 0:  # 最后一个读取者通知所有等待的线程
                self._read_ready.notify_all()

    def acquire_write(self):
        """获取写锁"""
        me = threading.get_ident()  # 获取当前线程ID
        with self._read_ready:
            self._write_waiting += 1  # 增加等待写入计数
            # 等待没有读取者和写入者
            while self._readers > 0 or self._writers > 0:
                self._read_ready.wait()
            self._write_waiting -= 1  # 减少等待写入计数
            self._writers += 1
            self._writer = me

    def release_write(self):
        """释放写锁"""
        with self._read_ready:
            if self._writer != threading.get_ident():
                raise RuntimeError("释放未持有的写锁")
            self._writers -= 1
            self._writer = None
            self._read_ready.notify_all()  # 通知所有等待的线程

    # 支持with语句的上下文管理器
    class ReadLock:
        def __init__(self, rw_lock):
            self.rw_lock = rw_lock

        def __enter__(self):
            self.rw_lock.acquire_read()
            return self

        def __exit__(self, exc_type, exc_val, exc_tb):
            self.rw_lock.release_read()

    class WriteLock:
        def __init__(self, rw_lock):
            self.rw_lock = rw_lock

        def __enter__(self):
            self.rw_lock.acquire_write()
            return self

        def __exit__(self, exc_type, exc_val, exc_tb):
            self.rw_lock.release_write()

    # 获取读锁和写锁的方法
    def read_lock(self):
        """获取读锁上下文管理器"""
        return self.ReadLock(self)

    def write_lock(self):
        """获取写锁上下文管理器"""
        return self.WriteLock(self)


### 共享数据和读写锁
shared_data = {'count': 0, 'values': []}
rw_lock = ReadWriteLock()


def reader(reader_id):
    """读取者线程

    Args:
        reader_id: 读取者ID
    """
    for _ in range(5):
        # 获取读锁
        with rw_lock.read_lock():
            # 读取共享数据
            count = shared_data['count']
            values = shared_data['values'].copy()

            # 模拟读取操作
            time.sleep(random.uniform(0.05, 0.1))

            print(f"读取者 {reader_id}: 读取到 count={count}, values={values}")

        # 读取者之间的休息
        time.sleep(random.uniform(0.1, 0.3))


def writer(writer_id):
    """写入者线程

    Args:
        writer_id: 写入者ID
    """
    for i in range(3):
        # 准备新数据
        new_value = writer_id * 100 + i

        # 获取写锁
        with rw_lock.write_lock():
            # 修改共享数据
            shared_data['count'] += 1
            shared_data['values'].append(new_value)

            # 模拟写入操作
            time.sleep(random.uniform(0.1, 0.2))

            print(f"写入者 {writer_id}: 更新为 count={shared_data['count']}, values={shared_data['values']}")

        # 写入者之间的休息
        time.sleep(random.uniform(0.3, 0.7))


### 创建读取者和写入者线程
readers = [threading.Thread(target=reader, args=(i,)) for i in range(5)]
writers = [threading.Thread(target=writer, args=(i,)) for i in range(3)]

### 启动所有线程
all_threads = readers + writers
for thread in all_threads:
    thread.start()

### 等待所有线程完成
for thread in all_threads:
    thread.join()

print(f"最终数据: count={shared_data['count']}, values={shared_data['values']}")

使用 `readerwriterlock` 库实现读写锁

"""
读写锁实现示例

readerwriterlock库提供了三种读写锁实现：
- RWLockRead：读者优先（第一读者-写者问题）
- RWLockWrite：写者优先（第二读者-写者问题）
- RWLockFair：公平优先（第三读者-写者问题）
每种锁都有对应的可降级版本（带D后缀），允许将锁从写模式降级到读模式
"""

import threading
import time
from readerwriterlock import rwlock

# 创建一个公平优先的读写锁
rw_lock = rwlock.RWLockFairD()
# 共享数据
shared_data = {'count': 0, 'values': []}


def read_demo(reader_id, sleep_time=0.5):
    """用于演示的读取函数"""
    read_lock = rw_lock.gen_rlock()
    
    try:
        with read_lock:
            print(f"读取者 {reader_id}: 获得读锁")
            time.sleep(sleep_time)  # 模拟读取操作
            print(f"读取者 {reader_id}: 完成读取")
    finally:
        print(f"读取者 {reader_id}: 释放读锁")


def write_demo(writer_id, sleep_time=0.5):
    """用于演示的写入函数"""
    write_lock = rw_lock.gen_wlock()
    
    try:
        with write_lock:
            print(f"写入者 {writer_id}: 获得写锁")
            time.sleep(sleep_time)  # 模拟写入操作
            print(f"写入者 {writer_id}: 完成写入")
    finally:
        print(f"写入者 {writer_id}: 释放写锁")


def demonstrate_read_read_nonblocking():
    """演示读读不互斥"""
    print("\n=== 演示：读读不互斥 ===")
    
    threads = []
    for i in range(5):
        thread = threading.Thread(target=read_demo, args=(i, 0.5))
        threads.append(thread)
        thread.start()

    for thread in threads:
        thread.join()


def demonstrate_read_write_blocking():
    """演示读写互斥"""
    print("\n=== 演示：读写互斥 ===")
    
    # 先启动一个长时间的读取线程
    read_thread = threading.Thread(target=read_demo, args=(0, 2))
    read_thread.start()

    # 给读取线程一点时间获取锁
    time.sleep(0.1)

    # 尝试启动写入线程，应该被阻塞直到读取完成
    write_thread = threading.Thread(target=write_demo, args=(0, 0.5))
    write_thread.start()

    read_thread.join()
    write_thread.join()


def demonstrate_write_write_blocking():
    """演示写写互斥"""
    print("\n=== 演示：写写互斥 ===")
    
    # 先启动一个长时间的写入线程
    write_thread1 = threading.Thread(target=write_demo, args=(0, 2))
    write_thread1.start()

    # 给第一个写入线程一点时间获取锁
    time.sleep(0.1)

    # 尝试启动另一个写入线程，应该被阻塞直到第一个写入完成
    write_thread2 = threading.Thread(target=write_demo, args=(1, 0.5))
    write_thread2.start()

    write_thread1.join()
    write_thread2.join()


def demonstrate_timeout():
    """演示锁获取超时"""
    print("\n=== 演示：锁获取超时 ===")
    
    # 先启动一个长时间的写入线程
    write_thread = threading.Thread(target=write_demo, args=(0, 3))
    write_thread.start()

    # 给写入线程一点时间获取锁
    time.sleep(0.1)

    # 尝试获取读锁，但设置较短的超时时间
    read_lock = rw_lock.gen_rlock()
    if read_lock.acquire(blocking=True, timeout=0.5):
        try:
            print("读取者: 成功获得读锁（不应该发生）")
        finally:
            read_lock.release()
    else:
        print("读取者: 获取读锁超时（预期行为）")

    write_thread.join()


if __name__ == '__main__':
    # 演示读读不互斥
    demonstrate_read_read_nonblocking()
    # 演示读写互斥
    demonstrate_read_write_blocking()
    # 演示写写互斥
    demonstrate_write_write_blocking()
    # 演示锁获取超时
    demonstrate_timeout()

读写锁特性	描述	优势	适用场景
读共享/写独占	多个读取可并发，写入需独占	提高读多写少场景的并发性	配置数据、缓存系统、数据集
读写优先级	可以设置读优先或写优先	根据应用需求调整性能特性	根据读写比例调整策略
升级/降级	支持锁的升级(读 → 写)或降级(写 → 读)	灵活处理复杂访问模式	先检查后修改的操作

💡 使用建议：
读多写少的场景推荐使用读写锁
注意防止 “写饥饿”，即读取者太多导致写入者长时间等待

锁排序（解决死锁）

为避免死锁，一个常用的技术是确保所有线程按照相同的顺序获取多个锁。

import threading
import time


class Account:
    """模拟银行账户"""

    def __init__(self, name: str, balance: int = 0):
        """初始化账户"""
        self.name = name
        self.balance = balance
        self.lock = threading.RLock()
        # 用于账户排序的唯一ID
        self.id = id(self)

    def __str__(self):
        return f"账户{self.name}[余额={self.balance}]"


def transfer_money(from_account: Account, to_account: Account, amount: int, thread_name: str) -> None:
    """
    在账户间转账，使用账户ID排序策略避免死锁
    from_account: 转出账户
    to_account: 转入账户
    amount: 转账金额
    thread_name: 线程名称
    """
    # 按照账户ID从小到大的顺序获取锁，确保所有线程获取锁的顺序一致
    first, second = sorted([from_account, to_account], key=lambda x: x.id)
    
    print(f"{thread_name}: 尝试锁定账户 {first.name}")
    with first.lock:
        print(f"{thread_name}: 已锁定账户 {first.name}")
        # 模拟网络延迟
        time.sleep(0.1)
        
        print(f"{thread_name}: 尝试锁定账户 {second.name}")
        with second.lock:
            print(f"{thread_name}: 已锁定账户 {second.name}")
            
            # 执行转账操作
            from_account.balance -= amount
            to_account.balance += amount
            
            print(f"{thread_name}: 已从{from_account.name}转账{amount}元到{to_account.name}")


if __name__ == '__main__':
    # 创建两个账户
    alice = Account("Alice", 1000)
    bob = Account("Bob", 1000)
    
    print(f"初始状态: {alice}, {bob}")
    
    # 创建两个线程，同时进行相反方向的转账
    t1 = threading.Thread(
        name="Thread-1",
        target=transfer_money,
        args=(alice, bob, 500, "转账线程1")
    )
    
    t2 = threading.Thread(
        name="Thread-2",
        target=transfer_money,
        args=(bob, alice, 300, "转账线程2")
    )
    
    # 启动线程
    t1.start()
    t2.start()
    
    # 等待线程结束
    t1.join()
    t2.join()
    
    print(f"最终状态: {alice}, {bob}")

两阶段锁定

两阶段锁定是一种事务并发控制协议，分为获取阶段和释放阶段，可以保证事务的可串行化。

import threading
import time

class TwoPhaseLockDatabase:
    """演示两阶段锁定协议的简单数据库"""

    def __init__(self):
        """初始化数据库"""
        self.data = {'A': 100, 'B': 200}  # 简单的数据项
        self.locks = {'A': threading.RLock(), 'B': threading.RLock()}  # 每个数据项的锁

    def transaction(self, items_to_read, items_to_write, operation):
        """执行两阶段锁定事务
        
        Args:
            items_to_read: 需要读取的数据项列表
            items_to_write: 需要写入的数据项列表
            operation: 事务操作函数
        
        Returns:
            bool: 事务是否成功
        """
        # 按字母顺序排序所有需要锁定的项，避免死锁
        all_items = sorted(set(items_to_read + items_to_write))
        acquired_locks = []
        
        try:
            # 阶段1: 获取锁阶段（增长阶段）
            print(f"事务 {threading.current_thread().name}: 开始获取锁")
            for item in all_items:
                # 对于读取项获取共享锁，对于写入项获取排他锁
                # 这里简化为都使用排他锁
                if self.locks[item].acquire(timeout=1):
                    acquired_locks.append(item)
                    print(f"事务 {threading.current_thread().name}: 已锁定 {item}")
                else:
                    raise TimeoutError(f"获取 {item} 的锁超时")
            
            # 执行事务操作
            result = operation(self.data)
            print(f"事务 {threading.current_thread().name}: 操作完成")
            return result
            
        except Exception as e:
            print(f"事务 {threading.current_thread().name}: 错误 - {e}")
            return False
            
        finally:
            # 阶段2: 释放锁阶段（收缩阶段）
            for item in acquired_locks:
                self.locks[item].release()
                print(f"事务 {threading.current_thread().name}: 已释放 {item}")

def transfer_money(db, from_account, to_account, amount):
    """转账事务"""
    def operation(data):
        if data[from_account] < amount:
            print(f"账户 {from_account} 余额不足")
            return False
        
        # 模拟操作耗时
        time.sleep(0.1)
        
        # 执行转账
        data[from_account] -= amount
        data[to_account] += amount
        print(f"已从 {from_account} 转账 {amount} 到 {to_account}")
        return True
    
    return db.transaction([from_account, to_account], [from_account, to_account], operation)

def run_transaction(db, thread_id, from_acc, to_acc, amount):
    """执行事务的线程函数"""
    print(f"线程 {thread_id}: 尝试转账 {amount} 从 {from_acc} 到 {to_acc}")
    
    start_time = time.time()
    success = transfer_money(db, from_acc, to_acc, amount)
    elapsed = time.time() - start_time
    
    status = "成功" if success else "失败"
    print(f"线程 {thread_id}: 转账{status}，耗时 {elapsed:.2f}秒")

# 创建数据库实例
db = TwoPhaseLockDatabase()
print(f"初始账户状态: {db.data}")

# 创建并启动多个线程
threads = []
transactions = [
    ("A", "B", 30),  # 从A转30到B
    ("B", "A", 50),  # 从B转50到A
    ("A", "B", 20)   # 从A转20到B
]

for i, (from_acc, to_acc, amount) in enumerate(transactions):
    t = threading.Thread(
        name=f"Transaction-{i}",
        target=run_transaction,
        args=(db, i, from_acc, to_acc, amount)
    )
    threads.append(t)
    t.start()

# 等待所有线程完成
for t in threads:
    t.join()

print(f"最终账户状态: {db.data}")
print(f"总金额: {sum(db.data.values())}")  # 总金额应该不变

超时重试模式

在并发环境中，有时获取锁可能会失败。超时重试模式可以增加获取锁的成功概率，同时避免永久阻塞。

import threading
import time
import random

### 共享资源
resource_value = 0
resource_lock = threading.Lock()

def update_resource(worker_id, max_retries=3):
    """更新共享资源，使用超时重试模式
    
    Args:
        worker_id: 工作线程ID
        max_retries: 最大重试次数
    
    Returns:
        bool: 是否成功更新
    """
    global resource_value
    
    # 随机生成操作标识，用于跟踪
    operation_id = random.randint(10000, 99999)
    print(f"工作线程 {worker_id} [操作:{operation_id}]: 尝试更新资源")
    
    retry_count = 0
    backoff = 0.1  # 初始回退时间
    
    while retry_count < max_retries:
        # 尝试获取锁，设置超时时间
        if resource_lock.acquire(timeout=0.5):
            try:
                print(f"工作线程 {worker_id} [操作:{operation_id}]: 获取到锁，当前值: {resource_value}")
                
                # 模拟资源更新操作
                local_value = resource_value
                # 随机决定操作时间，有时可能很长
                work_time = random.uniform(0.1, 1.0)
                time.sleep(work_time)
                
                # 更新资源
                resource_value = local_value + 1
                
                print(f"工作线程 {worker_id} [操作:{operation_id}]: 更新成功，新值: {resource_value}，耗时: {work_time:.2f}秒")
                return True
                
            finally:
                # 释放锁
                resource_lock.release()
                print(f"工作线程 {worker_id} [操作:{operation_id}]: 释放锁")
        else:
            retry_count += 1
            print(f"工作线程 {worker_id} [操作:{operation_id}]: 获取锁超时，重试 {retry_count}/{max_retries}")
            
            if retry_count < max_retries:
                # 使用指数退避策略，每次重试间隔加长
                time.sleep(backoff)
                backoff *= 2  # 指数增长
    
    print(f"工作线程 {worker_id} [操作:{operation_id}]: 达到最大重试次数，放弃操作")
    return False

def worker_thread(worker_id, operations):
    """工作线程函数
    
    Args:
        worker_id: 工作线程ID
        operations: 要执行的操作次数
    """
    success_count = 0
    
    for i in range(operations):
        # 尝试更新资源
        if update_resource(worker_id):
            success_count += 1
        
        # 线程之间的间隔
        time.sleep(random.uniform(0.1, 0.5))
    
    print(f"工作线程 {worker_id}: 完成 {success_count}/{operations} 次成功更新")

### 创建多个工作线程
threads = []
for i in range(5):
    t = threading.Thread(target=worker_thread, args=(i, 3))
    threads.append(t)
    t.start()

### 等待所有线程完成
for t in threads:
    t.join()

print(f"最终资源值: {resource_value}")

多进程与多线程结合的混合模型

对于复杂应用，常常需要结合多进程和多线程的优势：多进程跨越 GIL 限制利用多核心，每个进程内使用多线程处理 I/O 任务。

import os
import time
import multiprocessing
import threading
import concurrent.futures
import requests
from io import StringIO
import csv

def io_task(url):
    """模拟I/O密集型任务：发送HTTP请求并处理响应"""
    try:
        response = requests.get(url, timeout=5)
        print(f"线程 {threading.current_thread().name} 完成请求 {url}, 状态码: {response.status_code}")
        return response.status_code
    except Exception as e:
        print(f"线程 {threading.current_thread().name} 请求 {url} 失败: {str(e)}")
        return None

def cpu_task(data):
    """模拟CPU密集型任务：处理CSV数据"""
    result = 0
    # 模拟CPU密集型计算
    for _ in range(1000000):
        result += 1
    
    # 解析CSV数据
    csv_data = StringIO(data)
    reader = csv.reader(csv_data)
    rows = list(reader)
    
    print(f"进程 {os.getpid()} 处理了 {len(rows)} 行数据")
    return len(rows)

def process_worker(process_id, urls):
    """每个进程的工作函数，使用线程池处理I/O任务"""
    print(f"进程 {os.getpid()} (ID: {process_id}) 启动")
    
    # 创建线程池处理I/O任务
    with concurrent.futures.ThreadPoolExecutor(max_workers=4) as executor:
        # 提交所有URL请求任务到线程池
        future_to_url = {executor.submit(io_task, url): url for url in urls}
        
        # 收集结果
        results = []
        for future in concurrent.futures.as_completed(future_to_url):
            url = future_to_url[future]
            try:
                status_code = future.result()
                results.append((url, status_code))
            except Exception as e:
                print(f"处理 {url} 时出错: {str(e)}")
    
    # 模拟一些CSV数据处理（CPU密集型任务）
    sample_csv = "col1,col2,col3\n1,2,3\n4,5,6\n7,8,9"
    cpu_result = cpu_task(sample_csv)
    
    print(f"进程 {os.getpid()} (ID: {process_id}) 完成所有任务")
    return results, cpu_result

def main():
    # 测试URL列表
    all_urls = [
        f"https://httpbin.org/delay/{i%3}" for i in range(16)
    ]
    
    # 将URL分成4组，每个进程处理4个URL
    url_chunks = [all_urls[i:i+4] for i in range(0, len(all_urls), 4)]
    
    start_time = time.time()
    
    # 创建进程池
    with concurrent.futures.ProcessPoolExecutor(max_workers=4) as process_executor:
        # 提交任务到进程池
        futures = [process_executor.submit(process_worker, i, urls) 
                  for i, urls in enumerate(url_chunks)]
        
        # 收集所有进程的结果
        for future in concurrent.futures.as_completed(futures):
            try:
                io_results, cpu_result = future.result()
                print(f"进程返回结果: {len(io_results)} 个URL请求, CPU任务处理了 {cpu_result} 行数据")
            except Exception as e:
                print(f"进程执行出错: {str(e)}")
    
    elapsed_time = time.time() - start_time
    print(f"总执行时间: {elapsed_time:.2f} 秒")

if __name__ == "__main__":
    main()

这种混合模型充分利用了 Python 的并发性能：

多进程并行：跨越 GIL 限制，在多个 CPU 核心上同时执行 Python 代码
每进程多线程：处理进程内的 I/O 密集型任务，提高 I/O 并发性
任务队列：有效分配和管理工作负载，平衡资源利用

细粒度锁与粗粒度锁

锁的粒度指锁保护资源的范围大小。细粒度锁保护小范围资源，提高并发度；粗粒度锁保护大范围资源，简化编程但可能降低并发度。

import threading
import time
import random


# 共享资源
class BankAccount:
    def __init__(self, balance):
        self.balance = balance
        # 粗粒度锁 - 用于整个账户操作
        self.coarse_lock = threading.Lock()
        # 细粒度锁 - 分别用于读取和写入操作
        self.read_lock = threading.Lock()
        self.write_lock = threading.Lock()

# 粗粒度锁示例 - 锁定整个账户操作
def transfer_coarse(account, amount):
    with account.coarse_lock:
        # 模拟读取余额操作
        current_balance = account.balance
        # 模拟网络延迟或处理时间
        time.sleep(random.uniform(0.001, 0.005))
        # 模拟更新余额操作
        account.balance = current_balance + amount
        print(f"粗粒度锁: 转账 {amount}，当前余额 {account.balance}")


# 细粒度锁示例 - 分别锁定读取和写入操作
def transfer_fine(account, amount):
    # 锁定读取操作
    with account.read_lock:
        current_balance = account.balance
        # 模拟处理时间
        time.sleep(random.uniform(0.001, 0.005))

    # 这里可以执行一些不需要锁定的计算
    time.sleep(random.uniform(0.001, 0.002))

    # 锁定写入操作
    with account.write_lock:
        account.balance = current_balance + amount
        print(f"细粒度锁: 转账 {amount}，当前余额 {account.balance}")


# 测试函数
def main():
    # 创建共享账户
    account = BankAccount(1000)
    threads = []

    print("=== 测试粗粒度锁 ===")
    start_time = time.time()

    # 创建10个使用粗粒度锁的线程
    for i in range(10):
        amount = random.randint(1, 100)
        t = threading.Thread(target=transfer_coarse, args=(account, amount))
        threads.append(t)
        t.start()

    # 等待所有线程完成
    for t in threads:
        t.join()

    coarse_time = time.time() - start_time
    print(f"粗粒度锁总耗时: {coarse_time:.4f}秒")

    # 重置账户和线程列表
    account.balance = 1000
    threads = []

    print("\n=== 测试细粒度锁 ===")
    start_time = time.time()

    # 创建10个使用细粒度锁的线程
    for i in range(10):
        amount = random.randint(1, 100)
        t = threading.Thread(target=transfer_fine, args=(account, amount))
        threads.append(t)
        t.start()

    # 等待所有线程完成
    for t in threads:
        t.join()

    fine_time = time.time() - start_time
    print(f"细粒度锁总耗时: {fine_time:.4f}秒")
    print(f"\n性能比较: 细粒度锁比粗粒度锁快 {(coarse_time / fine_time):.2f} 倍")

if __name__ == '__main__':
    main()

锁粒度	优点	缺点	适用场景
粗粒度锁	简单、易维护、不易死锁	并发性能低、可能导致线程等待	简单应用、对性能要求不高的场景
细粒度锁	并发性能高、资源利用率高	实现复杂、可能造成死锁	高性能要求、资源访问模式明确的场景

14.7 消息队列与进程通信

在并发编程中，队列是一种常用的数据结构。它遵循 先进先出（FIFO） 的原则，适合用于线程或进程间的通信，而堆栈则遵循 后进先出（LIFO） 的原则。Python 中的 queue 和 multiprocessing 模块提供了多种类型的队列，每种队列适用于不同的场景。

队列基础知识

Python 的 queue 模块和 multiprocessing 模块提供了多种队列类型，主要包括：

队列类型	模块	特点	适用场景
Queue	queue	线程安全的 FIFO 队列	线程间通信
LifoQueue	queue	线程安全的 LIFO 队列(堆栈)	需要后进先出的场景
PriorityQueue	queue	优先级队列	任务具有优先级的场景
Queue	multiprocessing	进程安全的 FIFO 队列	进程间通信
JoinableQueue	multiprocessing	带有任务完成通知机制的队列	生产者-消费者模型

队列使用示例

import random
from multiprocessing import Queue
from concurrent.futures import ThreadPoolExecutor
import time



# 生产者进程函数
def producer(q: Queue) -> None:
    """生产者函数，负责生产数据并放入队列"""
    for i in range(10):
        item = f"小吃{i}"
        print(f"生产者生产了{item}")
        q.put(item)  # 放入队列
        time.sleep(random.uniform(0.1, 0.5))  # 模拟耗时操作
    q.put(None)  # 生产结束信号
    print("生产者结束")


# 消费者进程函数
def consumer(q: Queue):
    """消费者函数，负责从队列中获取数据并消费"""
    while True:
        item = q.get()  # 从队列中获取项目
        if item is None:  # 若获取到结束信号，则退出循环
            break
        print(f"消费者消费了{item}")
        time.sleep(random.uniform(1, 2))
    print("消费者结束")


if __name__ == '__main__':
    # 创建一个队列对象
    q = Queue()
    with ThreadPoolExecutor(max_workers=2) as executor:
        # 启动生产者进程
        executor.submit(producer, q)
        # 启动消费者进程
        executor.submit(consumer, q)

优先级队列示例

优先级队列按任务的优先级顺序处理任务。数字越小优先级越高。以下是如何使用 PriorityQueue 的示例：

import queue
import threading
import time

# 创建优先级队列
# 优先级队列的元素是元组，第一个元素是优先级，第二个元素是任务
pq = queue.PriorityQueue()

def process_tasks():
    """按照优先级处理任务"""
    while True:
        try:
            priority,task = pq.get(timeout=3)
            print(f"处理任务:[优先级{priority}] {task}")
            pq.task_done()
        except queue.Empty:
            print("队列为空，任务处理完毕")
            break
# 添加任务到优先级队列
pq.put((3, "普通任务"))
pq.put((1, "紧急任务"))
pq.put((2, "中等优先级任务"))
pq.put((1, "另一个紧急任务"))
pq.put((5, "低优先级任务"))

# 创建任务处理线程
worker = threading.Thread(target=process_tasks)
worker.start()

pq.join()  # 等待所有任务处理完毕
worker.join()

print("所有任务处理完毕")

Python 基础篇（十三）：第十三章：高级数据处理

2026-02-05T15:38:17.000Z

第十三章：高级数据处理

Python 提供了多种处理不同类型数据的工具和库，能够轻松处理结构化和非结构化数据。本章将深入探讨 Python 中常用的数据格式处理技术，包括 JSON、CSV、XML 和配置文件等。

13.1 JSON 处理

JSON (JavaScript Object Notation) 是一种轻量级的数据交换格式，易于人阅读和编写，也易于机器解析和生成。Python 通过内置的 json 模块提供了 JSON 的序列化和反序列化功能。

方法	描述
`json.dump(obj, fp)`	将 Python 对象 `obj` 编码为 JSON 格式并写入文件 `fp`。
`json.dumps(obj)`	将 Python 对象 `obj` 编码为 JSON 格式并返回字符串。
`json.load(fp)`	从文件 `fp` 读取 JSON 数据并解码为 Python 对象。
`json.loads(s)`	将字符串 `s` 解码为 Python 对象。

13.1.1 基本操作

import json

# Python对象转JSON
data = {
    "name": "张三",
    "age": 30,
    "is_student": False,
    "courses": ["Python", "数据分析", "机器学习"],
    "scores": {"Python": 95, "数据分析": 88}
}

# 转换为JSON字符串
json_str = json.dumps(data, ensure_ascii=False, indent=4)
print(json_str)

# 写入JSON文件
with open("data.json", "w", encoding="utf-8") as f:
    json.dump(data, f, ensure_ascii=False, indent=4)

# 从JSON字符串解析
parsed_data = json.loads(json_str)
print(parsed_data["name"])  # 张三

# 从JSON文件读取
with open("data.json", "r", encoding="utf-8") as f:
    loaded_data = json.load(f)
    print(loaded_data["scores"]["Python"])  # 95

13.1.2 重要参数说明

参数	说明	用法示例
`ensure_ascii`	是否转义非 ASCII 字符，False 时保留原始字符	`json.dumps(data, ensure_ascii=False)`
`indent`	缩进格式，美化输出	`json.dumps(data, indent=4)`
`separators`	指定分隔符，用于紧凑输出	`json.dumps(data, separators=(',', ':'))`
`sort_keys`	是否按键排序	`json.dumps(data, sort_keys=True)`
`default`	指定序列化函数，处理不可序列化对象	`json.dumps(obj, default=lambda o: o.__dict__)`

13.1.3 自定义对象序列化

Python 的 json 模块默认无法直接序列化自定义类对象，但提供了多种方式解决：

import json

# ========== 方法一：提供default参数 ==========

class Person:
    def __init__(self, name, age):
        self.name = name
        self.age = age


def person_to_dict(person):
    """将Person对象转换为字典"""
    return {
        "name": person.name,
        "age": person.age
    }


# 示例：使用default参数序列化自定义对象
person = Person("李四", 25)
json_str = json.dumps(person, default=person_to_dict, ensure_ascii=False)
print(json_str)  # {"name": "李四", "age": 25}


# ========== 方法二：通过自定义编码器 ==========

class PersonEncoder(json.JSONEncoder):
    """自定义JSON编码器处理Person类"""
    def default(self, obj):
        if isinstance(obj, Person):
            return {"name": obj.name, "age": obj.age}
        return super().default(obj)


# 示例：使用自定义编码器序列化对象
json_str = json.dumps(person, cls=PersonEncoder, ensure_ascii=False)
print(json_str)  # {"name": "李四", "age": 25}


# ========== 方法三：添加to_json方法 ==========

class Student:
    def __init__(self, name, grade):
        self.name = name
        self.grade = grade

    def __repr__(self):
        return f"Student('{self.name}', {self.grade})"

    def to_json(self):
        """返回可JSON序列化的字典"""
        return {
            "name": self.name,
            "grade": self.grade
        }


# 示例：使用对象的to_json方法序列化
students = [Student("小明", 90), Student("小红", 88)]
json_str = json.dumps([s.to_json() for s in students], ensure_ascii=False)
print(json_str)  # [{"name": "小明", "grade": 90}, {"name": "小红", "grade": 88}]

13.1.4 JSON 解码为自定义对象

import json
from typing import Dict


class Person:
    def __init__(self, name: str, age: int):
        self.name = name
        self.age = age

    def __str__(self):
        return f"{self.name}({self.age})"


def dict_to_person(data: Dict) -> Person:
    return Person(data["name"], data["age"])


# 使用 json.loads() 的 object_hook 参数将 JSON 字符串直接转换为自定义对象
# object_hook 的用途:
# 1. 自动将 JSON 解析出的字典转换为自定义类的实例
# 2. 在解析 JSON 时进行数据转换和验证
# 3. 简化从 JSON 到对象模型的映射过程
# 4. 避免手动创建对象的繁琐步骤

# 工作原理:
# - json.loads() 首先将 JSON 字符串解析为 Python 字典
# - 然后对每个解析出的字典调用 object_hook 函数
# - object_hook 函数返回的对象将替代原始字典

# 实际应用场景:
# - API 响应数据转换为应用程序对象模型
# - 配置文件解析为配置对象
# - 数据导入时的格式转换

person_data = '{"name": "Alice", "age": 25}'
person = json.loads(person_data, object_hook=dict_to_person)
print(type(person))  # 
print([person.name, person.age])  # ['Alice', 25]
print(person)  # Alice(25)

13.1.5 处理复杂 JSON 数据

# 处理嵌套结构
nested_json = '''
{
    "company": "ABC Corp",
    "employees": [
        {"name": "张三", "department": "技术", "skills": ["Python", "Java"]},
        {"name": "李四", "department": "市场", "skills": ["营销", "策划"]}
    ],
    "locations": {
        "headquarters": "北京",
        "branches": ["上海", "广州", "深圳"]
    }
}
'''

data = json.loads(nested_json)

# 访问嵌套数据
print(data["employees"][0]["name"])        # 张三
print(data["employees"][0]["skills"][0])   # Python
print(data["locations"]["branches"][1])    # 广州

# 修改嵌套数据
data["employees"][0]["skills"].append("C++")
data["locations"]["branches"].append("成都")

# 保存修改后的数据
updated_json = json.dumps(data, ensure_ascii=False, indent=2)
print(updated_json)

13.1.6 性能优化

处理大型 JSON 文件时，可以使用流式解析来提高性能：

import ijson  # 需安装: pip install ijson

# 流式解析大型JSON文件
with open("large_file.json", "rb") as f:
    # 只提取特定字段
    for item in ijson.items(f, "items.item"):
        print(item["id"], item["name"])
        # 处理一项后继续，不必载入整个文件

13.1.7 JSON Schema 验证

验证 JSON 数据是否符合预期格式：

from jsonschema import validate  # 需安装: pip install jsonschema

# 定义JSON Schema
schema = {
    "type": "object",
    "properties": {
        "name": {"type": "string"},
        "age": {"type": "integer", "minimum": 0},
        "email": {"type": "string", "format": "email"}
    },
    "required": ["name", "age"]
}

# 验证数据
valid_data = {"name": "张三", "age": 30, "email": "zhangsan@example.com"}
invalid_data = {"name": "李四", "age": -5}

try:
    validate(instance=valid_data, schema=schema)
    print("有效数据")
except Exception as e:
    print(f"验证失败: {e}")

try:
    validate(instance=invalid_data, schema=schema)
    print("有效数据")
except Exception as e:
    print(f"验证失败: {e}")  # 会因age小于0而失败

13.2 CSV 处理

CSV (Comma-Separated Values) 是一种常见的表格数据格式。Python 的 csv 模块提供了读写 CSV 文件的功能，适用于处理电子表格和数据库导出数据。

在我们写入中文数据时，尽量将编码更换为 GBK 否则写入 CSV 会导致一些乱码问题

13.2.1 基本读写操作

import csv

# 写入CSV文件
data = [
    ["姓名", "年龄", "城市"],
    ["张三", 30, "北京"],
    ["李四", 25, "上海"],
    ["王五", 28, "广州"]
]

with open("people.csv", "w", newline="", encoding="gbk") as f:
    writer = csv.writer(f)
    writer.writerows(data)  # 一次写入多行

# 逐行写入
with open("people_row.csv", "w", newline="", encoding="gbk") as f:
    writer = csv.writer(f)
    for row in data:
        writer.writerow(row)  # 一次写入一行

# 读取CSV文件
with open("people.csv", "r", encoding="gbk") as f:
    reader = csv.reader(f)
    for row in reader:
        print(row)

13.2.2 使用字典处理 CSV 文件

# 使用字典写入CSV
import csv

dict_data = [
    {"姓名": "张三", "年龄": 30, "城市": "北京"},
    {"姓名": "李四", "年龄": 25, "城市": "上海"},
    {"姓名": "王五", "年龄": 28, "城市": "广州"}
]

with open("people_dict.csv", "w", newline="", encoding="gbk") as f:
    fieldnames = ["姓名", "年龄", "城市"]
    writer = csv.DictWriter(f, fieldnames=fieldnames)
    writer.writeheader()  # 写入表头
    writer.writerows(dict_data)  # 写入多行数据

# 使用字典读取CSV
with open("people_dict.csv", "r", encoding="gbk") as f:
    reader = csv.DictReader(f)
    for row in reader:
        print(f"{row['姓名']} ({row['年龄']}岁) 来自 {row['城市']}")

13.2.3 CSV 方言与格式化选项

# 自定义CSV方言
csv.register_dialect(
    'tab_dialect',
    delimiter='\t',       # 使用制表符作为分隔符
    quotechar='"',        # 引号字符
    escapechar='\\',      # 转义字符
    doublequote=False,    # 不使用双引号转义
    quoting=csv.QUOTE_MINIMAL  # 最小引用策略
)

# 使用自定义方言
with open("tab_data.csv", "w", newline="", encoding="utf-8") as f:
    writer = csv.writer(f, dialect='tab_dialect')
    writer.writerows(data)

# 常见格式化选项
with open("formatted.csv", "w", newline="", encoding="utf-8") as f:
    writer = csv.writer(
        f,
        delimiter=',',          # 分隔符
        quotechar='"',          # 引号字符
        quoting=csv.QUOTE_NONNUMERIC,  # 为非数值字段添加引号
        escapechar='\\',        # 转义字符
        lineterminator='\n'     # 行终止符
    )
    writer.writerows(data)

13.2.4 处理特殊情况

# 处理含有引号和逗号的数据
complex_data = [
    ["产品", "描述", "价格"],
    ["笔记本", "14\" 高配, i7处理器", 5999.99],
    ["手机", "5.5\" 屏幕, 双卡双待", 2999.50]
]

with open("complex.csv", "w", newline="", encoding="utf-8") as f:
    writer = csv.writer(f, quoting=csv.QUOTE_ALL)  # 所有字段加引号
    writer.writerows(complex_data)

# 跳过特定行
with open("complex.csv", "r", encoding="utf-8") as f:
    reader = csv.reader(f)
    next(reader)  # 跳过表头
    for row in reader:
        print(row)

# 处理缺失值
with open("missing.csv", "r", encoding="utf-8") as f:
    reader = csv.reader(f)
    for row in reader:
        # 将空字符串转换为None
        processed_row = [None if cell == '' else cell for cell in row]
        print(processed_row)

13.2.5 CSV 文件的高级操作

# 过滤行
with open("people.csv", "r", encoding="utf-8") as f:
    reader = csv.DictReader(f)
    # 筛选年龄大于25的记录
    filtered_data = [row for row in reader if int(row["年龄"]) > 25]

# 计算统计值
with open("grades.csv", "r", encoding="utf-8") as f:
    reader = csv.DictReader(f)
    # 计算平均分
    scores = [float(row["分数"]) for row in reader]
    avg_score = sum(scores) / len(scores)
    print(f"平均分: {avg_score:.2f}")

# 合并多个CSV文件
import glob

def merge_csv_files(file_pattern, output_file):
    # 获取所有匹配的文件
    all_files = glob.glob(file_pattern)
    
    with open(output_file, "w", newline="", encoding="utf-8") as outfile:
        # 假设所有文件结构相同
        for i, filename in enumerate(all_files):
            with open(filename, "r", encoding="utf-8") as infile:
                reader = csv.reader(infile)
                if i == 0:
                    # 第一个文件，保留表头
                    for row in reader:
                        csv.writer(outfile).writerow(row)
                else:
                    # 跳过后续文件的表头
                    next(reader, None)
                    for row in reader:
                        csv.writer(outfile).writerow(row)

# 使用示例
# merge_csv_files("data_*.csv", "merged_data.csv")

13.3 XML 处理

XML (eXtensible Markup Language) 是一种用于存储和传输数据的标记语言。Python 提供多种处理 XML 的方法，最常用的是 xml.etree.ElementTree 模块。

13.3.1 创建和写入 XML

import xml.etree.ElementTree as ET

# 创建XML根元素
root = ET.Element("data")

# 添加子元素
items = ET.SubElement(root, "items")

# 添加多个项目
for i in range(1, 4):
    item = ET.SubElement(items, "item")
    item.set("id", str(i))  # 设置属性
    item.text = f"第{i}项"  # 设置文本内容
    
    # 添加嵌套元素
    detail = ET.SubElement(item, "detail")
    detail.text = f"项目{i}的详情"

# 创建用户信息部分
users = ET.SubElement(root, "users")

# 添加用户
user = ET.SubElement(users, "user")
user.set("name", "张三")
ET.SubElement(user, "age").text = "30"
ET.SubElement(user, "city").text = "北京"

user2 = ET.SubElement(users, "user")
user2.set("name", "李四")
ET.SubElement(user2, "age").text = "25"
ET.SubElement(user2, "city").text = "上海"

# 生成XML字符串
xml_str = ET.tostring(root, encoding="utf-8").decode("utf-8")
print(xml_str)

# 写入XML文件
tree = ET.ElementTree(root)
tree.write("data.xml", encoding="utf-8", xml_declaration=True)

13.3.2 解析和读取 XML

# 从文件解析XML
tree = ET.parse("data.xml")
root = tree.getroot()

# 从字符串解析XML
xml_string = '测试'
root = ET.fromstring(xml_string)

# 获取元素标签和属性
print(f"根元素标签: {root.tag}")

# 遍历子元素
for child in root:
    print(f"子元素: {child.tag}, 属性: {child.attrib}")

# 查找特定元素 - find()查找第一个匹配元素
items = root.find("items")
if items is not None:
    # 使用findall()查找所有匹配的子元素
    for item in items.findall("item"):
        print(f"项目ID: {item.get('id')}, 内容: {item.text}")
        # 获取嵌套元素
        detail = item.find("detail")
        if detail is not None:
            print(f"  详情: {detail.text}")

# 使用XPath查询
# 查找所有用户名称
users = root.findall(".//user")
for user in users:
    print(f"用户: {user.get('name')}")
    print(f"  年龄: {user.find('age').text}")
    print(f"  城市: {user.find('city').text}")

# 更复杂的XPath查询 - 查找北京的用户
beijing_users = root.findall(".//user[city='北京']")
for user in beijing_users:
    print(f"北京用户: {user.get('name')}")

13.3.3 修改 XML

# 修改元素属性
user = root.find(".//user[@name='张三']")
if user is not None:
    user.set("status", "active")  # 添加新属性
    
    # 修改子元素文本
    age_elem = user.find("age")
    if age_elem is not None:
        age_elem.text = "31"  # 修改年龄
    
    # 添加新元素
    ET.SubElement(user, "email").text = "zhangsan@example.com"

# 删除元素
users = root.find("users")
if users is not None:
    for user in users.findall("user"):
        if user.get("name") == "李四":
            users.remove(user)
            break

# 保存修改
tree.write("updated_data.xml", encoding="utf-8", xml_declaration=True)

13.3.4 命名空间处理

# 创建带命名空间的XML
root = ET.Element("data", {"xmlns:dt": "http://example.org/datatypes"})

# 添加带命名空间前缀的元素
item = ET.SubElement(root, "dt:item")
item.set("dt:type", "special")
item.text = "带命名空间的元素"

# 生成XML字符串
ns_xml = ET.tostring(root, encoding="utf-8").decode("utf-8")
print(ns_xml)

# 解析带命名空间的XML
ns_root = ET.fromstring(ns_xml)

# 使用带命名空间的XPath查询
namespaces = {"dt": "http://example.org/datatypes"}
ns_items = ns_root.findall(".//dt:item", namespaces)

for item in ns_items:
    print(f"找到命名空间元素: {item.text}")
    print(f"类型属性: {item.get('{http://example.org/datatypes}type')}")

13.4 配置文件处理

配置文件是应用程序保存设置和首选项的常用方式。Python 提供了多种处理不同格式配置文件的方法。

13.4.1 INI 配置文件处理

INI 文件是一种结构简单的配置文件格式，Python 通过 configparser 模块提供支持。

import configparser
# configparser是Python标准库中用于处理配置文件的模块
# 它可以读取、写入和修改类似INI格式的配置文件
# 配置文件通常包含节(sections)
# 如:[DEFAULT]
# 和每个节下的键值对(key-value pairs)
# 如:
# language = 中文
# theme = 默认
# auto_save = true
# save_interval = 10


# 创建一个新的配置解析器
config = configparser.ConfigParser()

# 添加默认节和配置项
config["DEFAULT"] = {
    "language": "中文",
    "theme": "默认",
    "auto_save": "true",  
    "save_interval": "10"
}

# 添加应用设置节
config["应用设置"] = {}
config["应用设置"]["font_size"] = "14"

# 添加用户信息节
config["用户信息"] = {}
user_info = config["用户信息"]  # 创建一个引用，方便添加多个配置项
user_info["username"] = "张三"
user_info["email"] = "zhangsan@example.com"
user_info["remember_password"] = "false"  # 修改为标准布尔值字符串

# 添加数据库连接节
config["数据库"] = {}
config["数据库"]["host"] = "localhost"
config["数据库"]["port"] = "3306"
config["数据库"]["username"] = "root"
config["数据库"]["password"] = "123456"

# 将配置写入文件
with open("config.ini", "w", encoding="utf-8") as f:
    config.write(f)

# 读取配置文件
config = configparser.ConfigParser()
config.read("config.ini", encoding="utf-8")

# 获取所有节名称
print("所有配置节:", config.sections())  # ['应用设置', '用户信息', '数据库']

# 获取节中的所有键
print("用户信息节中的所有键:", list(config["用户信息"].keys()))

# 获取特定配置值
print("用户名:", config["用户信息"]["username"])  # 张三

# 获取默认节中的值
print("默认语言:", config.get("应用设置", "language"))  # 使用DEFAULT中的值

# 类型转换方法
font_size = config.getint("应用设置", "font_size")
auto_save = config.getboolean("DEFAULT", "auto_save", fallback=True)  # 将"true"转换为True
save_interval = config.getint("DEFAULT", "save_interval")

print(f"字体大小: {font_size}, 类型: {type(font_size)}")  # 字体大小: 14, 类型: 
print(f"自动保存: {auto_save}, 类型: {type(auto_save)}")  # 自动保存: True, 类型: 

# 修改配置
config["用户信息"]["username"] = "李四"

# 添加新配置
if "日志设置" not in config:
    config["日志设置"] = {}
config["日志设置"]["log_level"] = "INFO"
config["日志设置"]["log_file"] = "app.log"
config["日志设置"]["max_size"] = "10MB"

# 保存修改后的配置
with open("updated_config.ini", "w", encoding="utf-8") as f:
    config.write(f)

13.4.2 YAML 配置文件处理

YAML 是一种人类友好的数据序列化格式，需要安装 PyYAML 库。

# 需要安装PyYAML: pip install pyyaml
import yaml

# 创建YAML数据
data = {
    "server": {
        "host": "example.com",
        "port": 8080
    },
    "database": {
        "host": "localhost",
        "port": 5432,
        "username": "admin",
        "password": "secret"
    },
    "logging": {
        "level": "INFO",
        "file": "/var/log/app.log"
    },
    "users": [
        {"name": "张三", "role": "admin"},
        {"name": "李四", "role": "user"}
    ]
}

# 写入YAML文件
with open("config.yaml", "w", encoding="utf-8") as f:
    yaml.dump(data, f, default_flow_style=False, allow_unicode=True)

# 读取YAML文件
with open("config.yaml", "r", encoding="utf-8") as f:
    config = yaml.safe_load(f)
    
# 访问配置
print(f"服务器地址: {config['server']['host']}")  # example.com
print(f"第一个用户: {config['users'][0]['name']}")  # 张三

# 修改配置
config["server"]["port"] = 9090
config["users"].append({"name": "王五", "role": "user"})

# 保存修改
with open("updated_config.yaml", "w", encoding="utf-8") as f:
    yaml.dump(config, f, default_flow_style=False, allow_unicode=True)

13.4.3 使用环境变量作为配置

环境变量是一种灵活的配置方式，尤其适用于容器化应用。

import os
from dotenv import load_dotenv  # 需安装: pip install python-dotenv

# 从.env文件加载环境变量
load_dotenv()  # 默认加载当前目录下的.env文件

# 读取环境变量，提供默认值
database_url = os.environ.get("DATABASE_URL", "sqlite:///default.db")
debug_mode = os.environ.get("DEBUG", "False").lower() in ("true", "1", "yes")
port = int(os.environ.get("PORT", "8000"))

print(f"数据库URL: {database_url}")
print(f"调试模式: {debug_mode}")
print(f"端口: {port}")

# 创建.env文件示例
env_content = """
# 数据库设置
DATABASE_URL=postgresql://user:pass@localhost/dbname
# 应用设置
DEBUG=True
PORT=5000
"""

with open(".env.example", "w") as f:
    f.write(env_content)

13.4.4 JSON 作为配置文件

JSON 也是一种常用的配置文件格式，尤其适合需要与 Web 应用共享配置的场景。

import json
import os

# 默认配置
default_config = {
    "app_name": "MyApp",
    "version": "1.0.0",
    "debug": False,
    "database": {
        "host": "localhost",
        "port": 5432,
        "name": "app_db"
    },
    "cache": {
        "enabled": True,
        "ttl": 3600
    }
}

# 配置文件路径
config_path = "app_config.json"

# 加载配置
def load_config():
    # 如果配置文件存在，则加载它
    if os.path.exists(config_path):
        with open(config_path, "r", encoding="utf-8") as f:
            return json.load(f)
    # 否则使用默认配置并创建配置文件
    else:
        save_config(default_config)
        return default_config

# 保存配置
def save_config(config):
    with open(config_path, "w", encoding="utf-8") as f:
        json.dump(config, f, indent=4, ensure_ascii=False)

# 更新配置
def update_config(key, value):
    config = load_config()
    
    # 处理嵌套键 (如 "database.host")
    if "." in key:
        parts = key.split(".")
        current = config
        for part in parts[:-1]:
            if part not in current:
                current[part] = {}
            current = current[part]
        current[parts[-1]] = value
    else:
        config[key] = value
    
    save_config(config)
    return config

# 使用示例
config = load_config()
print(f"应用名称: {config['app_name']}")
print(f"数据库主机: {config['database']['host']}")

# 更新配置
update_config("database.host", "db.example.com")
update_config("cache.ttl", 7200)

# 重新加载配置
config = load_config()
print(f"更新后的数据库主机: {config['database']['host']}")
print(f"更新后的缓存TTL: {config['cache']['ttl']}")

13.5 正则表达式

正则表达式（通常缩写为 regex 或 regexp）是一种强大的文本处理工具。它使用一种专门的语法来定义 搜索模式 (pattern)，然后可以用这个模式在文本中进行查找、匹配、提取或替换操作。正则表达式在各种编程任务中都极为有用，例如：

数据验证: 检查用户输入是否符合特定格式（如邮箱、手机号、日期）。
数据提取: 从大量非结构化文本（如日志文件、网页内容）中精确地抽取所需信息（如 IP 地址、错误代码、特定标签内容）。
文本替换: 对文本进行复杂的查找和替换操作，例如格式化代码、屏蔽敏感信息。
文本分割: 根据复杂的模式分割字符串。

Python 通过内置的 re 模块提供了对正则表达式的全面支持。

核心概念: 正则表达式的核心在于使用 元字符 (metacharacters) 和普通字符组合来定义模式。元字符是具有特殊含义的字符，而普通字符则匹配它们自身。

13.5.1 常用元字符和语法

以下是一些最常用的正则表达式元字符及其含义：

元字符	描述	示例模式	示例匹配
`.`	匹配除换行符 `\n` 之外的任何单个字符 (使用 `re.DOTALL` 标志可匹配换行符)。	`a.c`	`abc`, `a_c`, `a&c` (但不匹配 `ac`)
`^`	匹配字符串的开头。在多行模式 (`re.MULTILINE`) 下，也匹配每行的开头。	`^Hello`	`Hello world` (但不匹配 `Say Hello`)
`$`	匹配字符串的结尾。在多行模式 (`re.MULTILINE`) 下，也匹配每行的结尾。	`world$`	`Hello world` (但不匹配 `world say`)
`*`	匹配前面的元素零次或多次 (贪婪模式)。	`go*d`	`gd`, `god`, `good`, `goooood`
`+`	匹配前面的元素一次或多次 (贪婪模式)。	`go+d`	`god`, `good`, `goooood` (但不匹配 `gd`)
`?`	匹配前面的元素零次或一次 (贪婪模式)。也用于将贪婪量词变为非贪婪 (见后文)。	`colou?r`	`color`, `colour`
`{n}`	匹配前面的元素恰好 `n` 次。	`\d{3}`	`123` (但不匹配 `12` 或 `1234`)
`{n,}`	匹配前面的元素至少 `n` 次 (贪婪模式)。	`\d{2,}`	`12`, `123`, `12345`
`{n,m}`	匹配前面的元素至少 `n` 次，但不超过 `m` 次 (贪婪模式)。	`\d{2,4}`	`12`, `123`, `1234` (但不匹配 `1` 或 `12345`)
`[]`	字符集。匹配方括号中包含的任意一个字符。	`[abc]`	`a` 或 `b` 或 `c`
`[^...]`	否定字符集。匹配不在方括号中包含的任何字符。	`[^0-9]`	任何非数字字符
`\`	转义符。用于转义元字符，使其匹配其字面含义 (如 `\.` 匹配句点 `.`)，或用于引入特殊序列 (如 `\d`)。	`\$`	`$` 字符本身
`	`	或 (OR) 运算符。匹配 `	` 左边或右边的表达式。
`()`	分组。将括号内的表达式视为一个整体，用于应用量词、限制 `	` 的范围，或捕获匹配的子字符串。	`(ab)+`

踩坑提示:

转义: 当需要匹配元字符本身时（如 .、*、?），必须在前面加上反斜杠 \ 进行转义。例如，要匹配 IP 地址中的点，应使用 \.。
原始字符串 (Raw Strings): 在 Python 中定义正则表达式模式时，强烈建议 使用原始字符串（在字符串前加 r），如 r"\d+"。这可以避免 Python 解释器对反斜杠进行自身的转义，从而简化正则表达式的书写，尤其是包含很多 \ 的模式。

13.5.2 特殊序列 (预定义字符集)

re 模块提供了一些方便的特殊序列来代表常见的字符集：

特殊序列	描述	等价于	示例
`\d`	匹配任何 Unicode 数字字符 (包括 [0-9] 和其他语言的数字)。	`[0-9]` (ASCII)	`1`, `5`
`\D`	匹配任何非数字字符。	`[^0-9]` (ASCII)	`a`, `_`,
`\s`	匹配任何 Unicode 空白字符 (包括、`\t`、`\n`、`\r`、`\f`、`\v` 等)。		, `\t`
`\S`	匹配任何非空白字符。		`a`, `1`, `.`
`\w`	匹配任何 Unicode 词语字符 (字母、数字和下划线 `_`)。	`[a-zA-Z0-9_]` (ASCII)	`a`, `B`, `5`, `_`
`\W`	匹配任何非词语字符。	`[^a-zA-Z0-9_]`(ASCII)	`!`, , `@`
`\b`	匹配词语边界 (word boundary)。这是一个零宽度断言，匹配词语字符 (`\w`) 和非词语字符 (`\W`) 之间，或词语字符和字符串开头/结尾之间的位置。		`\bword\b`
`\B`	匹配非词语边界。		`\Bword\B`

13.5.3 贪婪模式 vs. 非贪婪模式

默认情况下，量词 (*, +, ?, {n,}, {n,m}) 都是 贪婪 (Greedy) 的，它们会尽可能多地匹配字符。

场景: 从 HTML 标签 Bold Text 中提取。

import re

text = "Bold Text Regular Text Another Bold"

# 贪婪模式 (默认)
greedy_pattern = r"<.*>" # . 匹配任何字符，* 匹配零次或多次
match_greedy = re.search(greedy_pattern, text)
if match_greedy:
    # * 会一直匹配到字符串的最后一个 >
    print(f"贪婪匹配结果: {match_greedy.group(0)}")
    # 输出: 贪婪匹配结果: Bold Text Regular Text Another Bold

# 非贪婪模式 (在量词后加 ?)
non_greedy_pattern = r"<.*?>" # *? 匹配零次或多次，但尽可能少地匹配
match_non_greedy = re.search(non_greedy_pattern, text)
if match_non_greedy:
    # *? 遇到第一个 > 就停止匹配
    print(f"非贪婪匹配结果: {match_non_greedy.group(0)}")
    # 输出: 非贪婪匹配结果: 

# 查找所有非贪婪匹配
all_matches_non_greedy = re.findall(non_greedy_pattern, text)
print(f"所有非贪婪匹配: {all_matches_non_greedy}")
# 输出: 所有非贪婪匹配: ['', '', '', '']

何时使用非贪婪模式？

当需要匹配从某个开始标记到 最近的 结束标记之间的内容时，通常需要使用非贪婪量词 (*?, +?, ??, {n,}?, {n,m}?)。

13.5.4 分组与捕获

使用圆括号 () 可以将模式的一部分组合起来，形成一个 分组 (Group)。分组有几个重要作用：

应用量词: 将量词作用于整个分组，如 (abc)+ 匹配 abc, abcabc 等。
限制 | 范围: 如 gr(a|e)y 匹配 gray 或 grey。
捕获内容: 默认情况下，每个分组会 捕获 (Capture) 其匹配到的子字符串，以便后续引用或提取。

场景: 从 “Name: John Doe, Age: 30” 中提取姓名和年龄。

import re

text = "Name: John Doe, Age: 30; Name: Jane Smith, Age: 25"

# 定义带有捕获组的模式
# 第一个组 (\w+\s+\w+) 捕获姓名
# 第二个组 (\d+) 捕获年龄
pattern_capture = r"Name: (\w+\s+\w+), Age: (\d+)"

# 使用 findall 查找所有匹配项
# findall 返回一个列表，如果模式中有捕获组，列表元素是包含所有捕获组内容的元组
matches = re.findall(pattern_capture, text)
print(f"\n--- 使用 findall 提取分组 ---")
print(matches) # 输出: [('John Doe', '30'), ('Jane Smith', '25')]

# 使用 finditer 获取 Match 对象，可以更灵活地访问分组
print("\n--- 使用 finditer 访问分组 ---")
for match_obj in re.finditer(pattern_capture, text):
    # match_obj.group(0) 或 group() 获取整个匹配
    print(f"整个匹配: {match_obj.group(0)}")
    # match_obj.group(1) 获取第一个捕获组的内容 (姓名)
    print(f"  姓名 (组 1): {match_obj.group(1)}")
    # match_obj.group(2) 获取第二个捕获组的内容 (年龄)
    print(f"  年龄 (组 2): {match_obj.group(2)}")
    # match_obj.groups() 获取所有捕获组组成的元组
    print(f"  所有分组: {match_obj.groups()}")

# 非捕获组 (?:...)
# 如果只想分组而不捕获内容，可以使用非捕获组
pattern_non_capture = r"Name: (?:\w+\s+\w+), Age: (\d+)" # 第一个组不捕获
matches_nc = re.findall(pattern_non_capture, text)
print(f"\n--- 使用非捕获组的 findall ---")
print(matches_nc) # 输出: ['30', '25'] (只包含捕获组的内容)

反向引用 (Backreferences): 可以在模式内部或替换字符串中使用 \1, \2, … 来引用前面捕获组匹配到的文本。

场景: 查找重复的单词，如 “the the”。

text_repeat = "This is the the test sentence with repeated repeated words."
# \b 确保是完整的单词
# (\w+) 捕获第一个单词
# \s+ 匹配中间的空白
# \1 引用第一个捕获组匹配的内容
pattern_repeat = r"\b(\w+)\s+\1\b"
repeated_words = re.findall(pattern_repeat, text_repeat)
print(f"\n--- 查找重复单词 ---")
print(f"找到的重复单词: {repeated_words}") # 输出: ['the', 'repeated']

# 使用 sub 进行替换
# 将重复的单词替换为单个单词
corrected_text = re.sub(pattern_repeat, r"\1", text_repeat) # 使用 \1 引用捕获组
print(f"修正后的文本: {corrected_text}")
# 输出: This is the test sentence with repeated words.

13.5.5 `re` 模块核心函数

Python 的 re 模块提供了以下核心函数来执行正则表达式操作：

函数	描述	返回值	主要用途
`re.match(p, s, flags=0)`	从字符串 `s` 的开头尝试匹配模式 `p`。	匹配成功返回 `Match` 对象，失败返回 `None`。	验证字符串是否以特定模式开始。
`re.search(p, s, flags=0)`	在整个字符串 `s` 中搜索模式 `p` 的第一个匹配项。	匹配成功返回 `Match` 对象，失败返回 `None`。	在字符串中查找模式是否存在，并获取第一个匹配项的信息。
`re.findall(p, s, flags=0)`	在字符串 `s` 中查找模式 `p` 的所有非重叠匹配项。	返回一个列表。如果模式无捕获组，列表元素是匹配的字符串；如果有捕获组，列表元素是包含各捕获组内容的元组。	提取字符串中所有符合模式的子串或捕获组内容。
`re.finditer(p, s, flags=0)`	与 `findall` 类似，但返回一个迭代器 (iterator)，迭代器中的每个元素都是一个 `Match` 对象。	返回一个迭代器，每个元素是 `Match` 对象。	处理大量匹配结果时更内存高效，因为不需要一次性存储所有结果。可以方便地访问每个匹配的详细信息（如位置）。
`re.sub(p, repl, s, count=0, flags=0)`	在字符串 `s` 中查找模式 `p` 的所有匹配项，并用 `repl` 替换它们。`repl` 可以是字符串（支持 `\g` 或 `\1` 等反向引用）或函数。`count` 指定最大替换次数。	返回替换后的新字符串。	执行查找和替换操作。`repl` 可以是函数，实现更复杂的替换逻辑。
`re.split(p, s, maxsplit=0, flags=0)`	使用模式 `p` 作为分隔符来分割字符串 `s`。`maxsplit` 指定最大分割次数。	返回一个列表，包含分割后的子字符串。如果模式中有捕获组，捕获的内容也会包含在列表中。	根据复杂的模式分割字符串。
`re.compile(p, flags=0)`	编译正则表达式模式 `p` 为一个模式对象 (Pattern Object)。	返回一个 `Pattern` 对象。	当一个模式需要被多次使用时，预先编译可以提高性能。模式对象拥有与 `re` 模块函数同名的方法（如 `pattern.search(s)`）。

代码示例:

import re

text = "The quick brown fox jumps over the lazy dog. Phone: 123-456-7890. Email: test@example.com."

# 1. re.match() - 检查开头
pattern_start = r"The"
match_result = re.match(pattern_start, text)
if match_result:
    print(f"match(): 字符串以 '{pattern_start}' 开头。匹配内容: '{match_result.group(0)}'")
else:
    print(f"match(): 字符串不以 '{pattern_start}' 开头。")

match_fail = re.match(r"quick", text) # 不从开头匹配，所以失败
print(f"match() 失败示例: {match_fail}") # None

# 2. re.search() - 查找第一个匹配
pattern_word = r"fox"
search_result = re.search(pattern_word, text)
if search_result:
    print(f"search(): 找到单词 '{pattern_word}'。 起始位置: {search_result.start()}, 结束位置: {search_result.end()}")
else:
    print(f"search(): 未找到单词 '{pattern_word}'。")

# 3. re.findall() - 查找所有匹配
pattern_digits = r"\d+" # 查找所有数字序列
all_digits = re.findall(pattern_digits, text)
print(f"findall(): 找到的所有数字序列: {all_digits}") # ['123', '456', '7890']

pattern_email = r"(\w+)@(\w+\.\w+)" # 查找邮箱并捕获用户名和域名
email_parts = re.findall(pattern_email, text)
print(f"findall() 捕获组: {email_parts}") # [('test', 'example.com')]

# 4. re.finditer() - 迭代查找匹配对象
pattern_words_o = r"\b\w*o\w*\b" # 查找所有包含字母'o'的单词
print("finditer(): 查找包含 'o' 的单词:")
for match in re.finditer(pattern_words_o, text, re.IGNORECASE): # 使用 IGNORECASE 标志
    print(f"  找到: '{match.group(0)}' at position {match.span()}")

# 5. re.sub() - 替换
pattern_phone = r"\d{3}-\d{3}-\d{4}"
# 将电话号码替换为 [REDACTED]
censored_text = re.sub(pattern_phone, "[REDACTED]", text)
print(f"sub() 替换电话号码: {censored_text}")

# 使用函数进行替换
def mask_email(match_obj):
    username = match_obj.group(1)
    domain = match_obj.group(2)
    return f"{username[0]}***@{domain}" # 用户名只显示第一个字符

censored_email_text = re.sub(pattern_email, mask_email, text)
print(f"sub() 使用函数替换邮箱: {censored_email_text}")

# 6. re.split() - 分割
pattern_punct = r"[.,:;]\s*" # 按标点符号和后面的空格分割
parts = re.split(pattern_punct, text)
print(f"split(): 按标点分割: {parts}")

# 7. re.compile() - 编译模式
compiled_pattern = re.compile(r"l\w*y", re.IGNORECASE) # 编译查找以l开头y结尾的词
# 多次使用编译后的模式
match1 = compiled_pattern.search(text)
if match1:
    print(f"compile() & search(): 找到 '{match1.group(0)}'")
match2 = compiled_pattern.findall("Actually, Lily is lovely.")
print(f"compile() & findall(): 找到 {match2}") # ['Lily', 'lovely']

13.5.6 Match 对象详解

当 re.match(), re.search() 或 re.finditer() 中的一项成功匹配时，它们会返回一个 Match 对象。这个对象包含了关于匹配结果的详细信息。

Match 对象方法/属性	描述	示例 (假设 `m = re.search(r"(\w+) (\d+)", "Order P123 45")`)
`m.group(0)` 或 `m.group()`	返回整个匹配的字符串。	`'P123 45'`
`m.group(n)`	返回第 `n` 个捕获组匹配的字符串 (从 1 开始计数)。	`m.group(1)` 返回 `'P123'`, `m.group(2)` 返回 `'45'`
`m.groups()`	返回一个包含所有捕获组匹配内容的元组。	`('P123', '45')`
`m.groupdict()`	如果模式中使用了命名捕获组 `(?P...)`，返回一个包含组名和匹配内容的字典。	(需要命名组，如下例)
`m.start([group])`	返回整个匹配或指定 `group` 的起始索引 (包含)。	`m.start()` 返回 6, `m.start(1)` 返回 6, `m.start(2)` 返回 11
`m.end([group])`	返回整个匹配或指定 `group` 的结束索引 (不包含)。	`m.end()` 返回 13, `m.end(1)` 返回 10, `m.end(2)` 返回 13
`m.span([group])`	返回一个包含 `(start, end)` 索引的元组。	`m.span()` 返回 `(6, 13)`, `m.span(1)` 返回 `(6, 10)`
`m.string`	传递给 `match()` 或 `search()` 的原始字符串。	`'Order P123 45'`
`m.re`	匹配时使用的已编译的模式对象 (`Pattern` object)。

命名捕获组示例:

import re

text = "Product ID: ABC-987, Quantity: 50"
# 使用 ?P 定义命名捕获组
pattern_named = r"Product ID: (?P[A-Z]+-\d+), Quantity: (?P\d+)"

match = re.search(pattern_named, text)
if match:
    print("\n--- 使用命名捕获组 ---")
    # 通过组名访问捕获的内容
    print(f"产品 ID: {match.group('product_id')}") # ABC-987
    print(f"数量: {match.group('quantity')}")   # 50
    # groupdict() 返回包含所有命名组的字典
    print(f"捕获字典: {match.groupdict()}") # {'product_id': 'ABC-987', 'quantity': '50'}

13.5.7 正则表达式标志 (Flags)

标志可以修改正则表达式的匹配行为。可以在 re 函数的 flags 参数中指定，或在编译时指定。多个标志可以使用 | (按位或) 组合。

标志	简写	描述
`re.IGNORECASE`	`re.I`	进行不区分大小写的匹配。
`re.MULTILINE`	`re.M`	使 `^` 和 `$` 匹配每行的开头和结尾，而不仅仅是整个字符串的开头和结尾。
`re.DOTALL`	`re.S`	使元字符 `.` 能够匹配包括换行符 `\n` 在内的任何字符。
`re.VERBOSE`	`re.X`	详细模式。允许在模式字符串中添加空白和注释以提高可读性，此时模式中的空白会被忽略，`#` 后到行尾的内容视为注释。
`re.ASCII`	`re.A`	使 `\w`, `\W`, `\b`, `\B`, `\s`, `\S` 只匹配 ASCII 字符，而不是完整的 Unicode 字符集 (Python 3 默认匹配 Unicode)。
`re.UNICODE` (默认)	`re.U`	使 `\w`, `\W`, `\b`, `\B`, `\s`, `\S`, `\d`, `\D` 匹配完整的 Unicode 字符集。这是 Python 3 的默认行为。

示例:

import re

text_multi = """first line
second line
THIRD line"""

# re.I (忽略大小写)
print(f"\n--- Flags 示例 ---")
print(f"re.I: {re.findall(r'line', text_multi, re.IGNORECASE)}") # ['line', 'line', 'line']

# re.M (多行模式)
print(f"re.M (^): {re.findall(r'^s.*', text_multi, re.MULTILINE | re.IGNORECASE)}") # ['second line']
print(f"re.M ($): {re.findall(r'line$', text_multi, re.MULTILINE | re.IGNORECASE)}") # ['line', 'line', 'line']

# re.S (DOTALL)
text_dot = "Hello\nWorld"
print(f"re.S (.): {re.search(r'Hello.World', text_dot, re.DOTALL)}") # 匹配成功
print(f"No re.S (.): {re.search(r'Hello.World', text_dot)}")      # 匹配失败 (None)

# re.X (VERBOSE)
# 一个复杂的邮箱模式，使用 VERBOSE 模式添加注释和空格
pattern_verbose = r"""
  ^                  # 匹配字符串开头
  [\w\.\-]+          # 用户名部分 (字母、数字、下划线、点、连字符)
  @                  # @ 符号
  ([\w\-]+\.)+       # 域名部分 (允许子域名，如 mail.example.)
  [a-zA-Z]{2,7}      # 顶级域名 (如 .com, .org)
  $                  # 匹配字符串结尾
"""
email = "test.user-1@sub.example.com"
match_verbose = re.match(pattern_verbose, email, re.VERBOSE)
print(f"re.X (VERBOSE): {'匹配成功' if match_verbose else '匹配失败'}") # 匹配成功

13.5.8 实际应用场景示例

场景 1: 验证中国大陆手机号 (简单示例)

import re

def is_valid_china_mobile(phone_number: str) -> bool:
    """简单验证中国大陆手机号码 (11位数字，常见号段)"""
    # 模式解释:
    # ^            匹配字符串开头
    # (?:...)      非捕获组
    # 1[3-9]       第一位是1，第二位是3到9
    # \d{9}        后面跟9位数字
    # $            匹配字符串结尾
    pattern = r"^(?:1[3-9])\d{9}$"
    if re.match(pattern, phone_number):
        return True
    else:
        return False

print("\n--- 手机号验证 ---")
print(f"13812345678: {is_valid_china_mobile('13812345678')}") # True
print(f"12012345678: {is_valid_china_mobile('12012345678')}") # False (号段不对)
print(f"1381234567: {is_valid_china_mobile('1381234567')}")  # False (位数不够)
print(f"138123456789: {is_valid_china_mobile('138123456789')}")# False (位数太多)

注意: 实际手机号验证可能需要更复杂的规则或查询号段数据库。

场景 2: 从 Apache/Nginx 日志中提取 IP 地址和请求路径

import re

log_line = '192.168.1.101 - - [03/May/2025:17:20:01 +0900] "GET /index.html HTTP/1.1" 200 1542 "-" "Mozilla/5.0..."'

# 模式解释:
# ^([\d\.]+)      捕获开头的 IP 地址 (数字和点的组合)
# \s+-\s+-\s+      匹配中间的 ' - - ' 部分
# \[.*?\]        匹配并忽略方括号内的时间戳 (非贪婪)
# \s+"           匹配时间戳后的空格和双引号
# (GET|POST|PUT|DELETE|HEAD) \s+  捕获请求方法 (GET, POST 等) 和空格
# ([^\s"]+)      捕获请求路径 (非空格、非双引号的字符)
# \s+HTTP/[\d\.]+" 捕获 HTTP 版本部分
# .* 匹配剩余部分
pattern_log = r'^([\d\.]+) \s+-\s+-\s+ \[.*?\] \s+"(GET|POST|PUT|DELETE|HEAD)\s+([^\s"]+)\s+HTTP/[\d\.]+" .*'

match = re.match(pattern_log, log_line)
if match:
    ip_address = match.group(1)
    method = match.group(2)
    path = match.group(3)
    print("\n--- 日志解析 ---")
    print(f"IP 地址: {ip_address}") # 192.168.1.101
    print(f"请求方法: {method}")   # GET
    print(f"请求路径: {path}")     # /index.html
else:
    print("日志格式不匹配")

场景 3: 将 Markdown 样式的链接 [text](url) 转换为 HTML 标签

import re

markdown_text = "这是一个链接 [Google](https://www.google.com) 和另一个 [Python 官网](http://python.org) 的例子。"

# 模式解释:
# \[        匹配字面量 '['
# ([^\]]+)  捕获链接文本 (不是 ']' 的任意字符一次或多次)
# \]        匹配字面量 ']'
# \(        匹配字面量 '('
# ([^\)]+)  捕获 URL (不是 ')' 的任意字符一次或多次)
# \)        匹配字面量 ')'
pattern_md_link = r'\[([^\]]+)\]\(([^\)]+)\)'

# 使用 re.sub 和反向引用 \1, \2 进行替换
html_text = re.sub(pattern_md_link, r'\1', markdown_text)

print("\n--- Markdown 转 HTML 链接 ---")
print(f"原始 Markdown: {markdown_text}")
print(f"转换后 HTML: {html_text}")
# 输出: 这是一个链接 Google 和另一个 Python 官网 的例子。