阅读这篇文章,跟着笔者一起从0到1开始写一个模拟Spring Security框架的工具。 读完文章,你将了解Spring Security核心原理。 本文demo是在Java架构师方案宝典系列中的jackdking-login-redis-token项目基础上衍生出来的。
在导读中,笔者说这篇文章demo是在jackdking-login-redis-token项目基础上开发的,这个项目的具体是如何建立的可查看Java架构师方案宝典系列的这篇文章:Java架构师方案—分布式session基于redis的共享机制(附完整项目代码)。 详细讲解了项目的从0到1的建设过程。
认证 在demo里,笔者没有添加对数据库的访问,而是直接将两种用户admin/admin、user/user放在代码中,通过下面的方式来实现认证逻辑,正常情况下是:先根据用户名来访问数据库,查出用户信息后再比对密码完成认证。
Security的userdetail是要求开发者完整实现访问数据库并完成认证逻辑的。
if(!(username.equals("admin")&&password.equals("admin"))&&!(username.equals("user")&&password.equals("user")))
{
return RestResponseBo.fail("用户名或者密码不正确!");
}
分配权限
在demo中,用户的session信息会保存在redis中,用户的cookie中只保存sessionId,每次访问都会根据sessionId来取出session信息。其中权限信息就会保存在sessin信息中。
admin:管理员 user: 普通用户
if(username.equals("admin")) {
UserDetail userDetail = new UserDetail();
userDetail.setUsername(username);
List<String> roles = new ArrayList<String>();
roles.add("admin");
roles.add("user");
userDetail.setRoles(roles);
operator.set(JdkApiInterceptor.USER_REDIS_DETAIL + ":" + username, JSONUtil.toJsonStr(userDetail));
}
if(username.equals("user")){
UserDetail userDetail = new UserDetail();
userDetail.setUsername(username);
List<String> roles = new Arr