项目前台跟后台的认证和授权都是依靠的SpringSecurity。
思路分析:
一、认证
-
登录:
①自定义一个类实现UserDetailsService
-
改为查询数据库,将查询到的用户信息以及权限信息封装到一个UserDatails对象(自定义一个类实现UserDetails,后面做授权的时候还需要返回用户权限信息)中。
-
配置passwordEncoder密码校验为BCrptPasswordEncoder
②自定义登录接口
-
调用ProviderManger的方法验证用户名跟密码是否正确(项目中使用它的实现类AuthenticationManager,需要在配置类继承WebSecurityConfigurerAdapter来完成注入)
-
验证通过的话获取userid生成token
-
将userid作为key,用户信息作为value存储到redis中
-
响应给用户一个token。
-
-
校验:
①自定义Jwt认证过滤器
获取token
解析token获取userid
根据userid去redis中查询对应用户信息
存入SecurityContextHolder
②将自定义的Jwt认证过滤器添加到过滤器链中
二、授权
前台系统暂无需求,后面设计后台管理系统时再考虑授权
三、认证授权失败处理
分别实现:
-
AuthenticationEntryPoint 认证失败处理器
-
AccessDeniedHandler 授权失败处理器
然后在Securityconfig中配置异常处理器
四、退出登录接口
获取SecurityContext中的认证信息,然后删除redis中对应的数据即可
@Override
public ResponseResult logout() {
//获取token 解析获取userid
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
LoginUser loginUser = (LoginUser) authentication.getPrincipal();
//获取userid
Long userId = loginUser.getUser().getId();
//删除redis中的用户信息
redisCache.deleteObject("bloglogin:"+userId);
return ResponseResult.okResult();
}在Securityconfig中配置:
-
关闭Security自身的退出接口
-
注销接口需要认证才能访问
http.logout().disable();
//注销接口需要认证才能访问
http.antMatchers("/logout").authenticated()
5923
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
