springSecurity(二)：实现登入获取token与解析token

登入生成token

主要思想

1. springSecurity使用UsernamePasswordAuthenticationToken类来封装用户名和密码的认证信息

代码实现

发起登入请求后，进入到login()方法

/**
   * 在接口中我们通过AuthenticationManager的authenticate方法来进行用户认证,
   * 所以需要在SecurityConfig中配置把AuthenticationManager注入容器。
   * @param user
   * @return
   */@OverridepublicResponseResultlogin(User user){//通过AuthenticationManager的authenticate方法来进行用户认证UsernamePasswordAuthenticationToken token =newUsernamePasswordAuthenticationToken(user.getUserName(),user.getPassword());Authentication authenticate = authenticationManager.authenticate(token);//如果没通过，给出对应的提示if(Objects.isNull(authenticate)){thrownewRuntimeException("用户名或密码错误");}//如果通过了，使用userId生成一个jwt，存入ResponseResult返回LoginUser loginUser =(LoginUser)authenticate.getPrincipal();String id = loginUser.getUser().getId().toString();//根据用户id生成tokenString jwt =JwtUtil.createJWT(id);//把完整的用户信息存入redis，使用userId作为key
    redisCache.setCacheObject("login:"+id,loginUser);ResponseResult responseResult =newResponseResult();
    responseResult.setCode(200);
    responseResult.setMsg("登入成功");Map<String,String> map =newHashMap<>();
    map.put("token",jwt);
    responseResult.setData(map);return responseResult;}

在执行 Authentication authenticate = authenticationManager.authenticate(token);时，会调用security框架的

loadUserByUsername

方法查询用户信息，这里我们重写

loadUserByUsername

方法

@ServicepublicclassUserDetailsServiceImplimplementsUserDetailsService{@AutowiredprivateUserMapper userMapper;@AutowiredprivateMenuMapper menuMapper;@OverridepublicUserDetailsloadUserByUsername(String username)throwsUsernameNotFoundException{//查询用户信息LambdaQueryWrapper<User> lambdaQueryWrapper =newLambdaQueryWrapper<>();
    lambdaQueryWrapper.eq(User::getUserName,username);User user = userMapper.selectOne(lambdaQueryWrapper);//如果没有查询到用户就抛出异常if(Objects.isNull(user)){thrownewRuntimeException("用户名或密码错误");}//查询对应的权限信息List<String> list = menuMapper.selectPermsByUserId(user.getId());//把数据封装成UserDetails返回returnnewLoginUser(user,list);}}

这样执行完

loadUserByUsername

方法之后，就把权限信息封装到LoginUser中

效果展示

调用接口之后返回一个token信息

{"code":200,"msg":"登入成功","data":{"token":"eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiJiODhkZmIxZjExMDg0NmZhOTJlN2I5OTM4M2Q3ZTQ5NyIsInN1YiI6IjQiLCJpc3MiOiJ3aHMiLCJpYXQiOjE3MTg2MjQyMTAsImV4cCI6MTcxODYyNzgxMH0.Z-qa-1rD6dIOxKSaeZ_wjHFKs_TY31hFgZnl2Yld4M4"}}

题外话

看以下

UsernamePasswordAuthenticationToken

源码的实现思想

publicclassUsernamePasswordAuthenticationTokenextendsAbstractAuthenticationToken{}publicabstractclassAbstractAuthenticationTokenimplementsAuthentication,CredentialsContainer{}

这段代码同时可以参考ArrayList的实现思想

publicclassArrayList<E>extendsAbstractList<E>implementsList<E>,RandomAccess,Cloneable,java.io.Serializable{}publicabstractclassAbstractList<E>extendsAbstractCollection<E>implementsList<E>{}

思想理论基础

• 抽象类是一种特殊的类，它的方法体包含抽象方法和非抽象方法 - 抽象方法是一种没有具体实现的方法，必须在子类被重写实现- 非抽象方法是有具体实现的方法，可以在子类中被继承使用- 抽象类的主要目的是为了被继承和重写，而不是被实例化
• 当一个类继承了一个抽象类和实现了一个接口之后，如果抽象类和接口都有方法A()，这个类是否需要实现方法A()呢？ - 答案是不需要。因为当抽象类和接口中含有相同的方法名、参数列表和返回类型时候，这个类并不需要强制重写这个方法。- 接口默认方法和抽象类中的抽象方法是不同的概念，它们可以共存而不会产生冲突

优点

1. extends抽象类提供了基础实现 抽象类可以包含部分已实现的方法和成员变量，使子类能够继承这些实现，减少重复代码。例如：

abstractclassAnimal{String name;voidsleep(){System.out.println(name +" is sleeping.");}abstractvoidmakeSound();}

1. implements接口提供了灵活性 接口定义了一组方法，子类必须实现这些方法。这强制子类提供具体实现，同时接口可以用于实现多重继承，因为一个类可以实现多个接口。例如：

interfacePet{voidplay();}

1. 组合使用的话：抽象类提供基础功能，接口提供额外功能

publicclassDogextendsAnimalimplementsPet{publicDog(String name){this.name = name;}@OverridevoidmakeSound(){System.out.println(name +" says: Woof!");}@Overridepublicvoidplay(){System.out.println(name +" is playing.");}}

1. 灵活的接口实现 通过实现接口，一个类可以被视为实现该接口的对象类型，这使得代码更加灵活和松耦合

publicclassMain{publicstaticvoidmain(String[] args){Dog dog =newDog("Buddy");
        dog.sleep();// Animal类的方法
        dog.makeSound();// Dog类实现的抽象方法
        dog.play();// Pet接口的方法Pet pet = dog;// 可以用接口类型引用对象
        pet.play();// 接口的方法}}

1. 设计模式的支持这种组合模式在策略模式和模板方法模式得到了广泛应用。抽象类可以提供通用的算法结构，接口可以定义可替换的行为。

总结

• 代码复用：继承抽象类可以重用父类的代码。
• 灵活性：实现接口可以实现多重继承，提供额外功能。
• 松耦合：接口使得代码更加灵活和易于扩展。
• 支持设计模式：这种组合在很多设计模式中被广泛应用，提高代码的可维护性和可扩展性。

请求解析token

前端登入获取token之后，之后其他请求在访问接口时候都需要带上token

主要思想

• 在SpringSecurity中，会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication，然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。
• 所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。然后设置我们的资源所需要的权限即可。

代码实现

开启配置

在SecurityConfig类上加上如下注解

@EnableGlobalMethodSecurity(prePostEnabled =true)

在接口上加@PreAuthorize注解

/**
   * 测试
   * @return
   */@RequestMapping("/hello")@PreAuthorize("ex.hasAuthority('sysytem:dept:list')")publicStringhello(){return"hello";}

重写认证过滤器，解析token

@ComponentpublicclassJwtAuthenticationTokenFilterextendsOncePerRequestFilter{@AutowiredprivateRedisCache redisCache;@OverrideprotectedvoiddoFilterInternal(HttpServletRequest request,HttpServletResponse response,FilterChain filterChain)throwsServletException,IOException{//获取tokenString token = request.getHeader("token");if(!StringUtils.hasText(token)){//放行
      filterChain.doFilter(request,response);return;}//解析tokenString userId;try{Claims claims =JwtUtil.parseJWT(token);
      userId= claims.getSubject();}catch(Exception e){thrownewRuntimeException("token非法");}//从redis中获取用户信息String redisKey ="login:"+userId;LoginUser loginUser = redisCache.getCacheObject(redisKey);if(Objects.isNull(loginUser)){thrownewRuntimeException("用户未登入");}//存入SecurityContextHolder//获取权限信息，封装到Authentication中UsernamePasswordAuthenticationToken authenticationToken =newUsernamePasswordAuthenticationToken(loginUser,null,loginUser.getAuthorities());SecurityContextHolder.getContext().setAuthentication(authenticationToken);//放行
    filterChain.doFilter(request,response);}}

效果展示

在header加上token之后可以请求到正确结果

如果不加token，则会报错401

后台回复

springSecurity

获取项目完整代码