weixin_68074170的博客

因为JWT是无状态的，去中心化的，在服务器端无法清除，服务器一旦进行颁发，就只能等待自动过期 才会失效，所以需要redis配合才能完成登录状态的记录。实现思路： 登录后在redis中添加一个白名单，把认证成功的用户的JWT添加到redis中。保存至redis时，加上截止时间。（2）退出后台代码实现。

创建exception包，在exception包下创建自定义CustomerAuthenticationException类，继承 AuthenticationException类/*** 自定义 认证 验证异常类*/

在SpringSecurity中，会使用默认的FilterSecurityInterceptor来进行权限校验。在 FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication，然后获取其中的 权限信息。当前用户是否拥有访问当前资源所需的权限。所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。然后设置我们的资源所需 要的权限即可。

修改UsernamePasswordAuthenticationFilter上图最右边的授权部分。@Autowiredreturn R.ok().message("登陆成功").data("token", jwt);return R.error().message("登陆失败");（1）在接口中我们通过AuthenticationManager的authenticate方法来进行用户认证,所以需要在 SecurityConfig中配置把AuthenticationManager注入容器。