“
在demo里,笔者没有添加对数据库的访问,而是直接将两种用户admin/admin、user/user放在代码中,通过下面的方式来实现认证逻辑,正常情况下是:先根据用户名来访问数据库,查出用户信息后再比对密码完成认证。 Security的userdetail是要求开发者完整实现访问数据库并完成认证逻辑的。
前沿科技bot 技术专栏作品,你想学的都在这里
作者:JackD
” 阅读这篇文章,跟着笔者一起从0到1开始写一个模拟Spring Security框架的工具吧! 读完本文,你将了解Spring Security核心原理。 本文demo是在Java架构师方案宝典系列中的jackdking-login-redis-token项目基础上衍生出来的。 目录 01 核心的组件和逻辑 02 运行测试 03 Spring Security分析总结 01 核心的组件和逻辑在导读中,笔者说这篇文章demo是在jackdking-login-redis-token项目基础上开发的,这个项目的具体是如何建立的可查看这篇文章:
Java架构师方案—分布式session基于redis的共享机制(附完整项目代码)
详细讲解这个项目的从0到1的建设过程。
认证在demo里,笔者没有添加对数据库的访问,而是直接将两种用户admin/admin、user/user放在代码中,通过下面的方式来实现认证逻辑,正常情况下是:先根据用户名来访问数据库,查出用户信息后再比对密码完成认证。 Security的userdetail是要求开发者完整实现访问数据库并完成认证逻辑的。
if(!(username.equals("admin")&&password.equals("admin"))&&!(username.equals("user")&&password.equals("user")))
{
return RestResponseBo.fail("用户名或者密码不正确!");
}
分配权限 在demo中,用户的session信息会保存在redis中,用户的cookie中只保存sessionId,每次访问都会根据sessionId来取出session信息。其中权限信息就会保存在sessin信息中。 admin:管理员 user: 普通用户
if(username.equals("admin")) {
UserDetail userDetail = new UserDetail();
userDetail.setUsername(username);
List roles = new ArrayList();
roles.add("admin");
roles.add("user");
userDetail.setRoles(roles);
operator.set(JdkApiInterceptor.USER_R