登入生成token
主要思想
- springSecurity使用
UsernamePasswordAuthenticationToken类来封装用户名和密码的认证信息
代码实现
发起登入请求后,进入到login()方法
/*** 在接口中我们通过AuthenticationManager的authenticate方法来进行用户认证,* 所以需要在SecurityConfig中配置把AuthenticationManager注入容器。* @param user* @return*/@Overridepublic ResponseResult login(User user) {//通过AuthenticationManager的authenticate方法来进行用户认证UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(user.getUserName(),user.getPassword());Authentication authenticate = authenticationManager.authenticate(token);//如果没通过,给出对应的提示if(Objects.isNull(authenticate)){throw new RuntimeException("用户名或密码错误");}//如果通过了,使用userId生成一个jwt,存入ResponseResult返回LoginUser loginUser = (LoginUser)authenticate.getPrincipal();String id = loginUser.getUser().getId().toString();//根据用户id生成tokenString jwt = JwtUtil.createJWT(id);//把完整的用户信息存入redis,使用userId作为keyredisCache.setCacheObject("login:"+id,loginUser);ResponseResult responseResult = new ResponseResult();responseResult.setCode(200);responseResult.setMsg("登入成功");Map<String,String> map = new HashMap<>();map.put("token",jwt);responseResult.setData(map);return responseResult;}
在执行 Authentication authenticate = authenticationManager.authenticate(token);时,会调用security框架的loadUserByUsername方法查询用户信息,这里我们重写loadUserByUsername方法
@Service
public class UserDetailsServiceImpl implements UserDetailsService {@Autowiredprivate UserMapper userMapper;@Autowiredprivate MenuMapper menuMapper;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {//查询用户信息LambdaQueryWrapper<User> lambdaQueryWrapper = new LambdaQueryWrapper<>();lambdaQueryWrapper.eq(User::getUserName,username);User user = userMapper.selectOne(lambdaQueryWrapper);//如果没有查询到用户就抛出异常if (Objects.isNull(user)){throw new RuntimeException("用户名或密码错误");}//查询对应的权限信息List<String> list = menuMapper.selectPermsByUserId(user.getId());//把数据封装成UserDetails返回return new LoginUser(user,list);}
}
这样执行完loadUserByUsername方法之后,就把权限信息封装到LoginUser中
效果展示
调用接口之后返回一个token信息
{"code": 200,"msg": "登入成功","data": {"token": "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiJiODhkZmIxZjExMDg0NmZhOTJlN2I5OTM4M2Q3ZTQ5NyIsInN1YiI6IjQiLCJpc3MiOiJ3aHMiLCJpYXQiOjE3MTg2MjQyMTAsImV4cCI6MTcxODYyNzgxMH0.Z-qa-1rD6dIOxKSaeZ_wjHFKs_TY31hFgZnl2Yld4M4"}
}
题外话
看以下UsernamePasswordAuthenticationToken源码的实现思想
public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken {}public abstract class AbstractAuthenticationToken implements Authentication, CredentialsContainer {}
这段代码同时可以参考ArrayList的实现思想
public class ArrayList<E> extends AbstractList<E> implements List<E>, RandomAccess, Cloneable, java.io.Serializable{
}public abstract class AbstractList<E> extends AbstractCollection<E> implements List<E> {
}
思想理论基础
- 抽象类是一种特殊的类,它的方法体包含抽象方法和非抽象方法
- 抽象方法是一种没有具体实现的方法,必须在子类被重写实现
- 非抽象方法是有具体实现的方法,可以在子类中被继承使用
- 抽象类的主要目的是为了被继承和重写,而不是被实例化
- 当一个类继承了一个抽象类和实现了一个接口之后,如果抽象类和接口都有方法A(),这个类是否需要实现方法A()呢?
- 答案是不需要。因为当抽象类和接口中含有相同的方法名、参数列表和返回类型时候,这个类并不需要强制重写这个方法。
- 接口默认方法和抽象类中的抽象方法是不同的概念,它们可以共存而不会产生冲突
优点
- extends抽象类提供了基础实现
抽象类可以包含部分已实现的方法和成员变量,使子类能够继承这些实现,减少重复代码。例如:
abstract class Animal {String name;void sleep() {System.out.println(name + " is sleeping.");}abstract void makeSound();
}- implements接口提供了灵活性
接口定义了一组方法,子类必须实现这些方法。这强制子类提供具体实现,同时接口可以用于实现多重继承,因为一个类可以实现多个接口。例如:
interface Pet {void play();
}
- 组合使用的话:
抽象类提供基础功能,接口提供额外功能
public class Dog extends Animal implements Pet {public Dog(String name) {this.name = name;}@Overridevoid makeSound() {System.out.println(name + " says: Woof!");}@Overridepublic void play() {System.out.println(name + " is playing.");}
}- 灵活的接口实现
通过实现接口,一个类可以被视为实现该接口的对象类型,这使得代码更加灵活和松耦合
public class Main {public static void main(String[] args) {Dog dog = new Dog("Buddy");dog.sleep(); // Animal类的方法dog.makeSound(); // Dog类实现的抽象方法dog.play(); // Pet接口的方法Pet pet = dog; // 可以用接口类型引用对象pet.play(); // 接口的方法}
}
- 设计模式的支持
这种组合模式在策略模式和模板方法模式得到了广泛应用。抽象类可以提供通用的算法结构,接口可以定义可替换的行为。
总结
- 代码复用:继承抽象类可以重用父类的代码。
- 灵活性:实现接口可以实现多重继承,提供额外功能。
- 松耦合:接口使得代码更加灵活和易于扩展。
- 支持设计模式:这种组合在很多设计模式中被广泛应用,提高代码的可维护性和可扩展性。
请求解析token
前端登入获取token之后,之后其他请求在访问接口时候都需要带上token
主要思想
- 在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。
- 所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。然后设置我们的资源所需要的权限即可。
代码实现
开启配置
在SecurityConfig类上加上如下注解
@EnableGlobalMethodSecurity(prePostEnabled = true)
在接口上加@PreAuthorize注解
/*** 测试* @return*/@RequestMapping("/hello")@PreAuthorize("ex.hasAuthority('sysytem:dept:list')")public String hello(){return "hello";}
重写认证过滤器,解析token
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {@Autowiredprivate RedisCache redisCache;@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {//获取tokenString token = request.getHeader("token");if(!StringUtils.hasText(token)){//放行filterChain.doFilter(request,response);return;}//解析tokenString userId;try {Claims claims = JwtUtil.parseJWT(token);userId= claims.getSubject();} catch (Exception e) {throw new RuntimeException("token非法");}//从redis中获取用户信息String redisKey = "login:"+userId;LoginUser loginUser = redisCache.getCacheObject(redisKey);if(Objects.isNull(loginUser)){throw new RuntimeException("用户未登入");}//存入SecurityContextHolder//获取权限信息,封装到Authentication中UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser,null,loginUser.getAuthorities());SecurityContextHolder.getContext().setAuthentication(authenticationToken);//放行filterChain.doFilter(request,response);}
}
效果展示
在header加上token之后可以请求到正确结果
如果不加token,则会报错401
后台回复springSecurity获取项目完整代码
