以下只是自己的想法,提供参考
首先我们使用 JWT ,是为了解决单点登录的问题,比如 在分布式系统中登录
1.jwt + springsecurity + redis
这个方案核心是redis,有springsecurity,
在用户登录的时候去生成Token,把 Token 作为key,用户对象(roles,id 等)作为value 保存在redis中(设置一个过期时间),
同时 springsecurity 中也有 用户对象, 配置在 UsernamePasswordAuthenticationFilter 前执行 TokenFilter,
而TokerFilter 的作用就是,拿着请求携带的 Token 去redis 中查询 user对象并赋值给springsecurity,这样security 就有user信息了;
这样就算关了浏览器,重新打开页面,他会拿着token去获取user信息,
那么为什么请求都会带着token呢,你可以放在cookie 或者localstorege 中,每次发送请求获取这个值;
具体的角色与资源的问题:可以使用注解的方式解决
2.jwt
是我自己的方案,不用redis,也不用springsecurity,直接设置token的过期时间,在每个具体的服务中添加一个自定义的filter,
它的作用就是获取token,解析 判断有没有访问这个资源的权限;我感觉这样就行了,没必要 搞redis了