登入生成token

主要思想

1. springSecurity使用UsernamePasswordAuthenticationToken类来封装用户名和密码的认证信息
   

代码实现

发起登入请求后，进入到login()方法

/**   * 在接口中我们通过AuthenticationManager的authenticate方法来进行用户认证,   * 所以需要在SecurityConfig中配置把AuthenticationManager注入容器。   * @param user   * @return   */@OverridepublicResponseResultlogin(Useruser){ //通过AuthenticationManager的authenticate方法来进行用户认证UsernamePasswordAuthenticationTokentoken =newUsernamePasswordAuthenticationToken(user.getUserName(),user.getPassword());Authenticationauthenticate =authenticationManager.authenticate(token);//如果没通过，给出对应的提示if(Objects.isNull(authenticate)){ thrownewRuntimeException("用户名或密码错误");}//如果通过了，使用userId生成一个jwt，存入ResponseResult返回LoginUserloginUser =(LoginUser)authenticate.getPrincipal();Stringid =loginUser.getUser().getId().toString();//根据用户id生成tokenStringjwt =JwtUtil.createJWT(id);//把完整的用户信息存入redis，使用userId作为keyredisCache.setCacheObject("login:"+id,loginUser);ResponseResultresponseResult =newResponseResult();responseResult.setCode(200);responseResult.setMsg("登入成功");Map<String,String>map =newHashMap<>();map.put("token",jwt);responseResult.setData(map);returnresponseResult;}

在执行 Authentication authenticate = authenticationManager.authenticate(token);时，会调用security框架的loadUserByUsername方法查询用户信息，这里我们重写loadUserByUsername方法

@ServicepublicclassUserDetailsServiceImplimplementsUserDetailsService{ @AutowiredprivateUserMapperuserMapper;@AutowiredprivateMenuMappermenuMapper;@OverridepublicUserDetailsloadUserByUsername(Stringusername)throwsUsernameNotFoundException{ //查询用户信息LambdaQueryWrapper<User>lambdaQueryWrapper =newLambdaQueryWrapper<>();lambdaQueryWrapper.eq(User::getUserName,username);Useruser =userMapper.selectOne(lambdaQueryWrapper);//如果没有查询到用户就抛出异常if(Objects.isNull(user)){ thrownewRuntimeException("用户名或密码错误");}//查询对应的权限信息List<String>list =menuMapper.selectPermsByUserId(user.getId());//把数据封装成UserDetails返回returnnewLoginUser(user,list);}}

这样执行完loadUserByUsername方法之后，就把权限信息封装到LoginUser中

效果展示

调用接口之后返回一个token信息

{ "code":200,"msg":"登入成功","data":{ "token":"eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiJiODhkZmIxZjExMDg0NmZhOTJlN2I5OTM4M2Q3ZTQ5NyIsInN1YiI6IjQiLCJpc3MiOiJ3aHMiLCJpYXQiOjE3MTg2MjQyMTAsImV4cCI6MTcxODYyNzgxMH0.Z-qa-1rD6dIOxKSaeZ_wjHFKs_TY31hFgZnl2Yld4M4"}}

题外话

看以下UsernamePasswordAuthenticationToken源码的实现思想

publicclassUsernamePasswordAuthenticationTokenextendsAbstractAuthenticationToken{ }publicabstractclassAbstractAuthenticationTokenimplementsAuthentication,CredentialsContainer{ }

这段代码同时可以参考ArrayList的实现思想

publicclassArrayList<E>extendsAbstractList<E>implementsList<E>,RandomAccess,Cloneable,java.io.Serializable{ }publicabstractclassAbstractList<E>extendsAbstractCollection<E>implementsList<E>{ }

思想理论基础

• 抽象类是一种特殊的类，它的方法体包含抽象方法和非抽象方法
  • 抽象方法是一种没有具体实现的方法，必须在子类被重写实现
  • 非抽象方法是有具体实现的方法，可以在子类中被继承使用
  • 抽象类的主要目的是为了被继承和重写，而不是被实例化
• 当一个类继承了一个抽象类和实现了一个接口之后，如果抽象类和接口都有方法A()，这个类是否需要实现方法A()呢？
  • 答案是不需要。因为当抽象类和接口中含有相同的方法名、参数列表和返回类型时候，这个类并不需要强制重写这个方法。
  • 接口默认方法和抽象类中的抽象方法是不同的概念，它们可以共存而不会产生冲突
    

优点

1. extends抽象类提供了基础实现
   抽象类可以包含部分已实现的方法和成员变量，使子类能够继承这些实现，减少重复代码。例如：

abstractclassAnimal{ Stringname;voidsleep(){ System.out.println(name +" is sleeping.");}abstractvoidmakeSound();}

2. implements接口提供了灵活性
   接口定义了一组方法，子类必须实现这些方法。这强制子类提供具体实现，同时接口可以用于实现多重继承，因为一个类可以实现多个接口。例如：

interfacePet{ voidplay();}

3. 组合使用的话：
   抽象类提供基础功能，接口提供额外功能

publicclassDogextendsAnimalimplementsPet{ publicDog(Stringname){ this.name =name;}@OverridevoidmakeSound(){ System.out.println(name +" says: Woof!");}@Overridepublicvoidplay(){ System.out.println(name +" is playing.");}}

4. 灵活的接口实现
   通过实现接口，一个类可以被视为实现该接口的对象类型，这使得代码更加灵活和松耦合

publicclassMain{ publicstaticvoidmain(String[]args){ Dogdog =newDog("Buddy");dog.sleep();// Animal类的方法dog.makeSound();// Dog类实现的抽象方法dog.play();// Pet接口的方法Petpet =dog;// 可以用接口类型引用对象pet.play();// 接口的方法}}

5. 设计模式的支持
   这种组合模式在策略模式和模板方法模式得到了广泛应用。抽象类可以提供通用的算法结构，接口可以定义可替换的行为。
   

总结

• 代码复用：继承抽象类可以重用父类的代码。
• 灵活性：实现接口可以实现多重继承，提供额外功能。
• 松耦合：接口使得代码更加灵活和易于扩展。
• 支持设计模式：这种组合在很多设计模式中被广泛应用，提高代码的可维护性和可扩展性。
  

请求解析token

前端登入获取token之后，之后其他请求在访问接口时候都需要带上token

主要思想

• 在SpringSecurity中，会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication，然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。
• 所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。然后设置我们的资源所需要的权限即可。
  

代码实现

开启配置

在SecurityConfig类上加上如下注解

@EnableGlobalMethodSecurity(prePostEnabled =true)

在接口上加@PreAuthorize注解

/**   * 测试   * @return   */@RequestMapping("/hello")@PreAuthorize("ex.hasAuthority('sysytem:dept:list')")publicStringhello(){ return"hello";}

重写认证过滤器，解析token

@ComponentpublicclassJwtAuthenticationTokenFilterextendsOncePerRequestFilter{ @AutowiredprivateRedisCacheredisCache;@OverrideprotectedvoiddoFilterInternal(HttpServletRequestrequest,HttpServletResponseresponse,FilterChainfilterChain)throwsServletException,IOException{ //获取tokenStringtoken =request.getHeader("token");if(!StringUtils.hasText(token)){ //放行filterChain.doFilter(request,response);return;}//解析tokenStringuserId;try{ Claimsclaims =JwtUtil.parseJWT(token);userId=claims.getSubject();}catch(Exceptione){ thrownewRuntimeException("token非法");}//从redis中获取用户信息StringredisKey ="login:"+userId;LoginUserloginUser =redisCache.getCacheObject(redisKey);if(Objects.isNull(loginUser)){ thrownewRuntimeException("用户未登入");}//存入SecurityContextHolder//获取权限信息，封装到Authentication中UsernamePasswordAuthenticationTokenauthenticationToken =newUsernamePasswordAuthenticationToken(loginUser,null,loginUser.getAuthorities());SecurityContextHolder.getContext().setAuthentication(authenticationToken);//放行filterChain.doFilter(request,response);}}

效果展示

在header加上token之后可以请求到正确结果

如果不加token，则会报错401

后台回复springSecurity获取项目完整代码