说在前面
- 劳资有代码洁癖,就追求用最少的代码,最整齐的代码完成功能和达到要求的性能,原来的项目是的认证和授权是集成在单个业务模块里的,这样就导致增加一个工程就搬一次认证和授权的代码,很不爽,又不想为了认证和授权单独写一个服务。有机会接手一个全新的项目,打算把网关和认证授权集成在一个工程,但是原来的认证和授权是spring-boot-security,是基于servlet的web容器的,而spring-gateway是基于webflux的,没有servlet,好,那就搞spring-cloud-security吧,他也是基于webflux的。
- 此篇暂时只有spring-cloud-security,spring-cloud-gateway的代码后期补上,(已经补上了,spring-cloud-gateway看我的另一篇博客,整合代码连接在最后)。
- 看了网上好多的帖子,有基于 AuthenticationManager做认证的,有集成
ServerSecurityContextRepository 然后认证和授权的,有单独定义一个webFilter 来做认证和授权的,还有的认证不通过也会走到鉴权流程,总之感觉不是我想要的
- 我想要的,认证不通过返回 401,认证通过了但是鉴权不通过返回 403,认证和授权都通过了正确返回。
架构
- 前后端分离的工程,登录不用spring-cloud-security默认的表单,用restful风格的post请求,登录成功后创建认证和授权信息(代码里就是 UsernamePasswordAuthenticationToken),然后之后所有的请求都带 access_token 请求头过来进行认证和授权。
- 缓存用redis_cluster,数据库就mysql。
表结构
工程代码里的sql文件夹里,简单的写入一条用户,一个role(admin),和相关的关联关系。
先看效果
登录,成功返回token
带上登录返回的token,请求/demo,正确返回