SpringBoot实战电商项目mall(25k star)地址:
https://github.com/macrozheng/mall
摘要
学习过我的mall项目的应该知道,mall-admin模块是使用SpringSecurity JWT来实现登录认证的,而mall-portal模块是使用的SpringSecurity基于Session的默认机制来实现登陆认证的。很多小伙伴都找不到mall-portal的登录接口,最近我把这两个模块的登录认证给统一了,都使用SpringSecurity JWT的形式实现。
主要是通过把登录认证的通用逻辑抽取到了mall-security模块来实现的,下面我们讲讲如何使用mall-security模块来实现登录认证,仅需四步即可。
整合步骤
这里我们以mall-portal改造为例来说说如何实现。
- 第一步,给需要登录认证的模块添加mall-security依赖:
<dependency>
<groupId>com.macro.mallgroupId>
<artifactId>mall-securityartifactId>
dependency>
- 第二步,添加MallSecurityConfig配置类,继承mall-security中的SecurityConfig配置,并且配置一个UserDetailsService接口的实现类,用于获取登录用户详情:
/**
* mall-security模块相关配置
* Created by macro on 2019/11/5.
*/
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class MallSecurityConfig extends SecurityConfig {
@Autowired
private UmsMemberService memberService;
@Bean
public UserDetailsService userDetailsService() {
//获取登录用户信息
return username -> memberService.loadUserByUsername(username);
}
}
- 第三步,在application.yml中配置下不需要安全保护的资源路径:
secure:
ignored:
urls: #安全路径白名单
- /swagger-ui.html
- /swagger-resources/**
- /swagger/**
- /**/v2/api-docs
- /**/*.js
- /**/*.css
- /**/*.png
- /**/*.ico
- /webjars/springfox-swagger-ui/**
- /druid/**
- /actuator/**
- /sso/**
- /home/**
- 第四步,在UmsMemberController中实现登录和刷新token的接口:
/**
* 会员登录注册管理Controller
* Created by macro on 2018/8/3.
*/
@Controller
@Api(tags = "UmsMemberController", description = "会员登录注册管理")
@RequestMapping("/sso")
public class UmsMemberController {
@Value("${jwt.tokenHeader}")
private String tokenHeader;
@Value("${jwt.tokenHead}")
private String tokenHead;
@Autowired
private UmsMemberService memberService;
@ApiOperation("会员登录")
@RequestMapping(value = "/login", method = RequestMethod.POST)
@ResponseBody
public CommonResult login(@RequestParam String username,
@RequestParam String password) {
String token = memberService.login(username, password);
if (token == null) {
return CommonResult.validateFailed("用户名或密码错误");
}
Map<String, String> tokenMap = new HashMap<>();
tokenMap.put("token", token);
tokenMap.put("tokenHead", tokenHead);
return CommonResult.success(tokenMap);
}
@ApiOperation(value = "刷新token")
@RequestMapping(value = "/refreshToken", method = RequestMethod.GET)
@ResponseBody
public CommonResult refreshToken(HttpServletRequest request) {
String token = request.getHeader(tokenHeader);
String refreshToken = memberService.refreshToken(token);
if (refreshToken == null) {
return CommonResult.failed("token已经过期!");
}
Map<String, String> tokenMap = new HashMap<>();
tokenMap.put("token", refreshToken);
tokenMap.put("tokenHead", tokenHead);
return CommonResult.success(tokenMap);
}
}
实现原理
将SpringSecurity JWT的代码封装成通用模块后,就可以方便其他需要登录认证的模块来使用,下面我们来看看它是如何实现的,首先我们看下mall-security的目录结构。
目录结构
mall-security
├── component
| ├── JwtAuthenticationTokenFilter -- JWT登录授权过滤器
| ├── RestAuthenticationEntryPoint -- 自定义返回结果:未登录或登录过期
| └── RestfulAccessDeniedHandler -- 自定义返回结果:没有权限访问时
├── config
| ├── IgnoreUrlsConfig -- 用于配置不需要安全保护的资源路径
| └── SecurityConfig -- SpringSecurity通用配置
└── util
└── JwtTokenUtil -- JWT的token处理工具类
做了哪些变化
其实我也就添加了两个类,一个IgnoreUrlsConfig,用于从application.yml中获取不需要安全保护的资源路径。一个SecurityConfig提取了一些SpringSecurity的通用配置。
- IgnoreUrlsConfig中的代码:
/**
* 用于配置不需要保护的资源路径
* Created by macro on 2018/11/5.
*/
@Getter
@Setter
@ConfigurationProperties(prefix = "secure.ignored")
public class IgnoreUrlsConfig {
private List<String> urls = new ArrayList<>();
}
- SecurityConfig中的代码:
/**
* 对SpringSecurity的配置的扩展,支持自定义白名单资源路径和查询用户逻辑
* Created by macro on 2019/11/5.
*/
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
ExpressionUrlAuthorizationConfigurer.ExpressionInterceptUrlRegistry registry = httpSecurity
.authorizeRequests();
//不需要保护的资源路径允许访问
for (String url : ignoreUrlsConfig().getUrls()) {
registry.antMatchers(url).permitAll();
}
//允许跨域请求的OPTIONS请求
registry.antMatchers(HttpMethod.OPTIONS)
.permitAll();
// 任何请求需要身份认证
registry.and()
.authorizeRequests()
.anyRequest()
.authenticated()
// 关闭跨站请求防护及不使用session
.and()
.csrf()
.disable()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
// 自定义权限拒绝处理类
.and()
.exceptionHandling()
.accessDeniedHandler(restfulAccessDeniedHandler())
.authenticationEntryPoint(restAuthenticationEntryPoint())
// 自定义权限拦截器JWT过滤器
.and()
.addFilterBefore(jwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class);
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService())
.passwordEncoder(passwordEncoder());
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Bean
public JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter() {
return new JwtAuthenticationTokenFilter();
}
@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
@Bean
public RestfulAccessDeniedHandler restfulAccessDeniedHandler() {
return new RestfulAccessDeniedHandler();
}
@Bean
public RestAuthenticationEntryPoint restAuthenticationEntryPoint() {
return new RestAuthenticationEntryPoint();
}
@Bean
public IgnoreUrlsConfig ignoreUrlsConfig() {
return new IgnoreUrlsConfig();
}
@Bean
public JwtTokenUtil jwtTokenUtil() {
return new JwtTokenUtil();
}
}
项目源码地址
https://github.com/macrozheng/mall
内容出处:,
声明:本网站所收集的部分公开资料来源于互联网,转载的目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。文章链接:http://www.yixao.com/share/23265.html
微信扫一扫
支付宝扫一扫
相关推荐
-
NProgress.js–JavaScript爆款进度条组件
简要介绍 NProgress.js是一款JavaScript展示进度条效果的组件。名字中的大写字母N,全称是nanoscopic,意思是纳米级。实际的效果就是超细的进度条。这是一个…
-
Xvue-UI:响应式Vue.js前端组件化框架
今天给小伙伴们推荐一款超不错的Vue轻量级组件框架XVueUI。 xvue-ui 基于vue2.x构建的响应式前端组件化框架。轻量级、易于上手,提供一系列丰富的css和js组件。 …
-
Linux Lab v0.5正式发布 功能强大、用法简单
Linux Lab 是一套用于 Linux 内核学习、开发和测试的即时实验室,可以极速搭建和使用,功能强大,用法简单! 可以用它来高效地学习处理器架构、Linux 内核、嵌入式 L…
-
查看显示器拖影的网站
有的朋友买到笔记本感觉屏幕有拖影,其实可以上这个网站测试一下。这个网站可以让你比较不同帧数下的画面,有30帧/60帧等对比,包括游戏画面和文本浏览等对比。右上角Chase Squa…
-
Wave–适用于Python的实时Web应用程序和仪表板
介绍 H2O Wave是一个软件堆栈,可完全使用Python构建美观,低延迟,实时,基于浏览器的应用程序和仪表板,而无需使用HTML,Javascript或CSS。H2O Wave…
-
Vue移动端UI组件库Zarm-Vue
今天给小伙伴们分享一款为用户体验而生的Vue手机端组件库ZARM-VUE。 zarm-vue 众安科技推出的一款基于 vue2.0 的Mobile组件库。提供了30 多个常用组件。…
-
MyUI–超优秀的Vue+ElementUI桌面端一站式框架
今天给大家推荐一款超高效的Vue项目一站式解决方案MyUI v4.x。 my-ui 新德汇推出的基于vue.js element-ui 构建的web前端项目工程框架。专注于中后台系…
-
gopup:GitHub上一个比较实用的开源库
GitHub 上一个比较实用的开源库:gopup,里面采集了互联网上,不同行业的各项公开数据源,以便开发者更好的进行学术研究。GitHub:https://github.com/j…
