Spring Security框架用于实现登录
同时还可以将当前登录用户的权限信息保存
@PreAuthorize:
验证当前用户是否具备某个权限时,可在控制器方法代码前添加@PreAuthorize(“[权限名称]”),SpringSecurity在运行该方法之前进行核查.
不具备该权限返回403状态码!
单点登录
微服务中会话保持问题:
上图问题描述:
在用户模块登录,只是将用户信息保存在用户模块的session中,不会和其他模块共享,所以在我们访问其他模块时,通过sessionid并不能获得在用户模块中登录成功的信息,这样会丢失用户信息,不能完成业务
单点登录:
市面上现在大多使用JWT来实现微服务架构下的会话保持,也就是在一个
服务器上登录成功后,微服务的其他模块也能识别用户的登录信息
解决方法:
Session共享
核心思想是将用户的登录信息共享给其他模块,适用于小型的,用户量不大的微服务项目
将登录成功的用户信息共享给Redis
其他模块根据sessionId获得Redis中保存的用户信息即可
缺点:
内存严重冗余,不适合大量用户的微服务项目
JWT令牌:
最大的优点: 不占用内存
生成的JWT由客户端自己保存,不占用服务器内存
在需要表明自己用户身份\信息时,将JWT信息保存到请求头中发送请求即可