Sa-Token框架中登录超时配置的优先级解析

概述

在Sa-Token权限认证框架中，登录会话的超时控制是一个核心功能。开发者可以通过多种方式配置会话的有效期，包括全局配置和登录时动态指定。本文将深入分析Sa-Token中timeout、activityTimeout参数与SaLoginModel的关系，帮助开发者更好地掌握会话生命周期管理。

超时配置的两种方式

Sa-Token提供了两种主要的会话超时配置途径：

1. 全局配置：在框架配置文件中设置的默认值
2. 动态配置：通过SaLoginModel在登录时指定的临时值

参数详解

timeout参数

timeout参数决定了会话的绝对有效期，即从登录时刻开始计算，无论用户是否活跃，超过这个时间后会话都会失效。

activityTimeout参数

activityTimeout参数控制会话的活跃有效期。如果用户在这段时间内没有任何操作，会话将变为临时过期状态。这个参数不会影响timeout的绝对过期时间。

配置优先级

当同时存在全局配置和SaLoginModel动态配置时，Sa-Token遵循以下规则：

1. timeout优先级：如果在SaLoginModel中明确设置了timeout值，则该值会覆盖全局配置中的timeout；如果未设置，则使用全局配置的timeout值。

2. activityTimeout独立性：activityTimeout参数独立于timeout配置，无论采用哪种方式设置timeout，activityTimeout都会按照自己的规则工作。

实际应用示例

假设框架全局配置为：

• timeout = 1天
• activityTimeout = 30分钟

当使用以下代码登录时：

StpUtil.login("10000", new SaLoginModel()
    .setDevice("web")
    .setTimeout(60 * 60 * 24 * 7)); // 7天

实际效果将是：

• 会话绝对有效期：7天（SaLoginModel设置优先）
• 会话活跃有效期：30分钟（仍使用全局配置）

最佳实践建议

1. 明确需求：根据业务场景决定是使用全局配置还是动态配置。对于统一过期策略的应用，使用全局配置更合适；对于需要差异化处理的场景，使用SaLoginModel更灵活。

2. 参数组合：合理搭配timeout和activityTimeout可以实现复杂的会话控制逻辑，例如：

   • 长期会话+短期不活跃保护
   • 短期会话+活跃续期机制

3. 测试验证：在实际部署前，建议通过单元测试验证不同配置组合的实际效果，确保符合预期。

通过理解这些配置机制，开发者可以更精准地控制Sa-Token中的会话生命周期，为应用提供既安全又用户友好的认证体验。