紙上得來(lái)終覺(jué)淺，覺(jué)知此事要躬行。

楔子

本文適合：對(duì)Spring Security有一點(diǎn)了解或者跑過(guò)簡(jiǎn)單demo但是對(duì)整體運(yùn)行流程不明白的同學(xué)，對(duì)SpringSecurity有興趣的也可以當(dāng)作你們的入門教程，示例代碼中也有很多注釋。

本文代碼：碼云地址  GitHub地址

大家在做系統(tǒng)的時(shí)候，一般做的第一個(gè)模塊就是認(rèn)證與授權(quán)模塊，因?yàn)檫@是一個(gè)系統(tǒng)的入口，也是一個(gè)系統(tǒng)最重要最基礎(chǔ)的一環(huán)，在認(rèn)證與授權(quán)服務(wù)設(shè)計(jì)搭建好了之后，剩下的模塊才得以安全訪問(wèn)。

市面上一般做認(rèn)證授權(quán)的框架就是shiro和Spring Security，也有大部分公司選擇自己研制。出于之前看過(guò)很多Spring Security的入門教程，但都覺(jué)得講的不是太好，所以我這兩天在自己鼓搗Spring Security的時(shí)候萌生了分享一下的想法，希望可以幫助到有興趣的人。

Spring Security框架我們主要用它就是解決一個(gè)認(rèn)證授權(quán)功能，所以我的文章主要會(huì)分為兩部分：

• 第一部分認(rèn)證（本篇）
• 第二部分授權(quán)（放在下一篇）

我會(huì)為大家用一個(gè)Spring Security + JWT + 緩存的一個(gè)demo來(lái)展現(xiàn)我要講的東西，畢竟腦子的東西要體現(xiàn)在具體事物上才可以更直觀的讓大家去了解去認(rèn)識(shí)。

學(xué)習(xí)一件新事物的時(shí)候，我推薦使用自頂向下的學(xué)習(xí)方法，這樣可以更好的認(rèn)識(shí)新事物，而不是盲人摸象。

注：只涉及到用戶認(rèn)證授權(quán)不涉及oauth2之類的第三方授權(quán)。

1. :book:SpringSecurity的工作流程

想上手 Spring Security 一定要先了解它的工作流程，因?yàn)樗幌窆ぞ甙粯?，拿?lái)即用，必須要對(duì)它有一定的了解，再根據(jù)它的用法進(jìn)行自定義操作。

我們可以先來(lái)看看它的工作流程：

在Spring Security的官方文檔上有這么一句話：

Spring Security's web infrastructure is based entirely on standard servlet filters.

Spring Security 的web基礎(chǔ)是Filters。

這句話展示了Spring Security的設(shè)計(jì)思想：即通過(guò)一層層的Filters來(lái)對(duì)web請(qǐng)求做處理。

放到真實(shí)的Spring Security中，用文字表述的話可以這樣說(shuō):

一個(gè)web請(qǐng)求會(huì)經(jīng)過(guò)一條過(guò)濾器鏈，在經(jīng)過(guò)過(guò)濾器鏈的過(guò)程中會(huì)完成認(rèn)證與授權(quán)，如果中間發(fā)現(xiàn)這條請(qǐng)求未認(rèn)證或者未授權(quán)，會(huì)根據(jù)被保護(hù)API的權(quán)限去拋出異常，然后由異常處理器去處理這些異常。

用圖片表述的話可以這樣畫(huà)，這是我在百度找到的一張圖片：

如上圖，一個(gè)請(qǐng)求想要訪問(wèn)到API就會(huì)以從左到右的形式經(jīng)過(guò)藍(lán)線框框里面的過(guò)濾器，其中綠色部分是我們本篇主要講的負(fù)責(zé)認(rèn)證的過(guò)濾器，藍(lán)色部分負(fù)責(zé)異常處理，橙色部分則是負(fù)責(zé)授權(quán)。

圖中的這兩個(gè)綠色過(guò)濾器我們今天不會(huì)去說(shuō)，因?yàn)檫@是Spring Security對(duì)form表單認(rèn)證和Basic認(rèn)證內(nèi)置的兩個(gè)Filter，而我們的demo是JWT認(rèn)證方式所以用不上。

如果你用過(guò)Spring Security就應(yīng)該知道配置中有兩個(gè)叫formLogin和httpBasic的配置項(xiàng)，在配置中打開(kāi)了它倆就對(duì)應(yīng)著打開(kāi)了上面的過(guò)濾器。

• formLogin對(duì)應(yīng)著你form表單認(rèn)證方式，即UsernamePasswordAuthenticationFilter。
• httpBasic對(duì)應(yīng)著B(niǎo)asic認(rèn)證方式，即BasicAuthenticationFilter。

換言之，你配置了這兩種認(rèn)證方式，過(guò)濾器鏈中才會(huì)加入它們，否則它們是不會(huì)被加到過(guò)濾器鏈中去的。

因?yàn)?code>Spring Security自帶的過(guò)濾器中是沒(méi)有針對(duì)JWT這種認(rèn)證方式的，所以我們的demo中會(huì)寫(xiě)一個(gè)JWT的認(rèn)證過(guò)濾器，然后放在綠色的位置進(jìn)行認(rèn)證工作。

2. :memo:SpringSecurity的重要概念

知道了Spring Security的大致工作流程之后，我們還需要知道一些非常重要的概念也可以說(shuō)是組件：

• SecurityContext：上下文對(duì)象，Authentication對(duì)象會(huì)放在里面。
• SecurityContextHolder：用于拿到上下文對(duì)象的靜態(tài)工具類。
• Authentication：認(rèn)證接口，定義了認(rèn)證對(duì)象的數(shù)據(jù)形式。
• AuthenticationManager：用于校驗(yàn)Authentication，返回一個(gè)認(rèn)證完成后的Authentication對(duì)象。

1.SecurityContext

上下文對(duì)象，認(rèn)證后的數(shù)據(jù)就放在這里面，接口定義如下：

public interface SecurityContext extends Serializable {
 // 獲取Authentication對(duì)象
 Authentication getAuthentication();

 // 放入Authentication對(duì)象
 void setAuthentication(Authentication authentication);
}

這個(gè)接口里面只有兩個(gè)方法，其主要作用就是get or setAuthentication。

2. SecurityContextHolder

public class SecurityContextHolder {

 public static void clearContext() {
 strategy.clearContext();
 }

 public static SecurityContext getContext() {
 return strategy.getContext();
 }
  
  public static void setContext(SecurityContext context) {
 strategy.setContext(context);
 }

}

可以說(shuō)是SecurityContext的工具類，用于get or set or clearSecurityContext，默認(rèn)會(huì)把數(shù)據(jù)都存儲(chǔ)到當(dāng)前線程中。

3. Authentication

public interface Authentication extends Principal, Serializable {
 
 Collection<? extends GrantedAuthority> getAuthorities();
 Object getCredentials();
 Object getDetails();
 Object getPrincipal();
 boolean isAuthenticated();
 void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}

這幾個(gè)方法效果如下：

• getAuthorities: 獲取用戶權(quán)限，一般情況下獲取到的是用戶的角色信息。
• getCredentials: 獲取證明用戶認(rèn)證的信息，通常情況下獲取到的是密碼等信息。
• getDetails: 獲取用戶的額外信息，（這部分信息可以是我們的用戶表中的信息）。
• getPrincipal: 獲取用戶身份信息，在未認(rèn)證的情況下獲取到的是用戶名，在已認(rèn)證的情況下獲取到的是 UserDetails。
• isAuthenticated: 獲取當(dāng)前Authentication是否已認(rèn)證。setAuthenticated: 設(shè)置當(dāng)前Authentication是否已認(rèn)證（true or false）。

Authentication只是定義了一種在SpringSecurity進(jìn)行認(rèn)證過(guò)的數(shù)據(jù)的數(shù)據(jù)形式應(yīng)該是怎么樣的，要有權(quán)限，要有密碼，要有身份信息，要有額外信息。

4. AuthenticationManager

public interface AuthenticationManager {
 // 認(rèn)證方法
 Authentication authenticate(Authentication authentication)
  throws AuthenticationException;
}

AuthenticationManager定義了一個(gè)認(rèn)證方法，它將一個(gè)未認(rèn)證的Authentication傳入，返回一個(gè)已認(rèn)證的Authentication，默認(rèn)使用的實(shí)現(xiàn)類為：ProviderManager。

接下來(lái)大家可以構(gòu)思一下如何將這四個(gè)部分，串聯(lián)起來(lái)，構(gòu)成Spring Security進(jìn)行認(rèn)證的流程：

1. :point_right:先是一個(gè)請(qǐng)求帶著身份信息進(jìn)來(lái)

2. :point_right:經(jīng)過(guò)AuthenticationManager的認(rèn)證，

3. :point_right:再通過(guò)SecurityContextHolder獲取SecurityContext，

4. :point_right:最后將認(rèn)證后的信息放入到SecurityContext。

3. :page_with_curl:代碼前的準(zhǔn)備工作

真正開(kāi)始講訴我們的認(rèn)證代碼之前，我們首先需要導(dǎo)入必要的依賴，數(shù)據(jù)庫(kù)相關(guān)的依賴可以自行選擇什么JDBC框架，我這里用的是國(guó)人二次開(kāi)發(fā)的myabtis-plus。

  <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-validation</artifactId>
    </dependency>
    
    <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.9.0</version>
    </dependency>
    
    <dependency>
      <groupId>com.baomidou</groupId>
      <artifactId>mybatis-plus-boot-starter</artifactId>
      <version>3.3.0</version>
    </dependency>
    
    <dependency>
      <groupId>mysql</groupId>
      <artifactId>mysql-connector-java</artifactId>
      <version>5.1.47</version>
    </dependency>

接著，我們需要定義幾個(gè)必須的組件。

由于我用的Spring-Boot是2.X所以必須要我們自己定義一個(gè)加密器：

1. 定義加密器Bean

 @Bean
  public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
  }

這個(gè)Bean是不必可少的，Spring Security在認(rèn)證操作時(shí)會(huì)使用我們定義的這個(gè)加密器，如果沒(méi)有則會(huì)出現(xiàn)異常。

2. 定義AuthenticationManager

@Bean
  public AuthenticationManager authenticationManager() throws Exception {
    return super.authenticationManager();
  }

這里將Spring Security自帶的authenticationManager聲明成Bean，聲明它的作用是用它幫我們進(jìn)行認(rèn)證操作，調(diào)用這個(gè)Bean的authenticate方法會(huì)由Spring Security自動(dòng)幫我們做認(rèn)證。

3. 實(shí)現(xiàn)UserDetailsService

public class CustomUserDetailsService implements UserDetailsService {
  @Autowired
  private UserService userService;
  @Autowired
  private RoleInfoService roleInfoService;
  @Override
  public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
    log.debug("開(kāi)始登陸驗(yàn)證，用戶名為: {}",s);

    // 根據(jù)用戶名驗(yàn)證用戶
    QueryWrapper<UserInfo> queryWrapper = new QueryWrapper<>();
    queryWrapper.lambda().eq(UserInfo::getLoginAccount,s);
    UserInfo userInfo = userService.getOne(queryWrapper);
    if (userInfo == null) {
      throw new UsernameNotFoundException("用戶名不存在，登陸失敗。");
    }

    // 構(gòu)建UserDetail對(duì)象
    UserDetail userDetail = new UserDetail();
    userDetail.setUserInfo(userInfo);
    List<RoleInfo> roleInfoList = roleInfoService.listRoleByUserId(userInfo.getUserId());
    userDetail.setRoleInfoList(roleInfoList);
    return userDetail;
  }
}

實(shí)現(xiàn)UserDetailsService的抽象方法并返回一個(gè)UserDetails對(duì)象，認(rèn)證過(guò)程中SpringSecurity會(huì)調(diào)用這個(gè)方法訪問(wèn)數(shù)據(jù)庫(kù)進(jìn)行對(duì)用戶的搜索，邏輯什么都可以自定義，無(wú)論是從數(shù)據(jù)庫(kù)中還是從緩存中，但是我們需要將我們查詢出來(lái)的用戶信息和權(quán)限信息組裝成一個(gè)UserDetails返回。

UserDetails也是一個(gè)定義了數(shù)據(jù)形式的接口，用于保存我們從數(shù)據(jù)庫(kù)中查出來(lái)的數(shù)據(jù)，其功能主要是驗(yàn)證賬號(hào)狀態(tài)和獲取權(quán)限，具體實(shí)現(xiàn)可以查閱我倉(cāng)庫(kù)的代碼。

4. TokenUtil

由于我們是JWT的認(rèn)證模式，所以我們也需要一個(gè)幫我們操作Token的工具類，一般來(lái)說(shuō)它具有以下三個(gè)方法就夠了：

• 創(chuàng)建token
• 驗(yàn)證token
• 反解析token中的信息

在下文我的代碼里面，JwtProvider充當(dāng)了Token工具類的角色，具體實(shí)現(xiàn)可以查閱我倉(cāng)庫(kù)的代碼。

4. ✍代碼中的具體實(shí)現(xiàn)

有了前面的講解之后，大家應(yīng)該都知道用SpringSecurity做JWT認(rèn)證需要我們自己寫(xiě)一個(gè)過(guò)濾器來(lái)做JWT的校驗(yàn)，然后將這個(gè)過(guò)濾器放到綠色部分。

在我們編寫(xiě)這個(gè)過(guò)濾器之前，我們還需要進(jìn)行一個(gè)認(rèn)證操作，因?yàn)槲覀円仍L問(wèn)認(rèn)證接口拿到token，才能把token放到請(qǐng)求頭上，進(jìn)行接下來(lái)請(qǐng)求。

如果你不太明白，不要緊，先接著往下看我會(huì)在這節(jié)結(jié)束再次梳理一下。

1. 認(rèn)證方法

訪問(wèn)一個(gè)系統(tǒng)，一般最先訪問(wèn)的是認(rèn)證方法，這里我寫(xiě)了最簡(jiǎn)略的認(rèn)證需要的幾個(gè)步驟，因?yàn)閷?shí)際系統(tǒng)中我們還要寫(xiě)登錄記錄啊，前臺(tái)密碼解密啊這些操作。

@Override
  public ApiResult login(String loginAccount, String password) {
    // 1 創(chuàng)建UsernamePasswordAuthenticationToken
    UsernamePasswordAuthenticationToken usernameAuthentication = new UsernamePasswordAuthenticationToken(loginAccount, password);
    // 2 認(rèn)證
    Authentication authentication = this.authenticationManager.authenticate(usernameAuthentication);
    // 3 保存認(rèn)證信息
    SecurityContextHolder.getContext().setAuthentication(authentication);
    // 4 生成自定義token
    UserDetail userDetail = (UserDetail) authentication.getPrincipal();
    AccessToken accessToken = jwtProvider.createToken((UserDetails) authentication.getPrincipal());

    // 5 放入緩存
    caffeineCache.put(CacheName.USER, userDetail.getUsername(), userDetail);
    return ApiResult.ok(accessToken);
  }

這里一共五個(gè)步驟，大概只有前四步是比較陌生的：

• 傳入用戶名和密碼創(chuàng)建了一個(gè)UsernamePasswordAuthenticationToken對(duì)象，這是我們前面說(shuō)過(guò)的Authentication的實(shí)現(xiàn)類，傳入用戶名和密碼做構(gòu)造參數(shù)，這個(gè)對(duì)象就是我們創(chuàng)建出來(lái)的未認(rèn)證的Authentication對(duì)象。
• 使用我們先前已經(jīng)聲明過(guò)的Bean-authenticationManager調(diào)用它的authenticate方法進(jìn)行認(rèn)證，返回一個(gè)認(rèn)證完成的Authentication對(duì)象。
• 認(rèn)證完成沒(méi)有出現(xiàn)異常，就會(huì)走到第三步，使用SecurityContextHolder獲取SecurityContext之后，將認(rèn)證完成之后的Authentication對(duì)象，放入上下文對(duì)象。
• 從Authentication對(duì)象中拿到我們的UserDetails對(duì)象，之前我們說(shuō)過(guò)，認(rèn)證后的Authentication對(duì)象調(diào)用它的getPrincipal()方法就可以拿到我們先前數(shù)據(jù)庫(kù)查詢后組裝出來(lái)的UserDetails對(duì)象，然后創(chuàng)建token。
• 把UserDetails對(duì)象放入緩存中，方便后面過(guò)濾器使用。

這樣的話就算完成了，感覺(jué)上很簡(jiǎn)單，因?yàn)橹饕J(rèn)證操作都會(huì)由authenticationManager.authenticate()幫我們完成。

接下來(lái)我們可以看看源碼，從中窺得Spring Security是如何幫我們做這個(gè)認(rèn)證的（省略了一部分）：

// AbstractUserDetailsAuthenticationProvider

public Authentication authenticate(Authentication authentication){

 // 校驗(yàn)未認(rèn)證的Authentication對(duì)象里面有沒(méi)有用戶名
 String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
  : authentication.getName(); 
  
   boolean cacheWasUsed = true;
   // 從緩存中去查用戶名為XXX的對(duì)象
 UserDetails user = this.userCache.getUserFromCache(username);

   // 如果沒(méi)有就進(jìn)入到這個(gè)方法
 if (user == null) {
  cacheWasUsed = false;

  try {
        // 調(diào)用我們重寫(xiě)UserDetailsService的loadUserByUsername方法
        // 拿到我們自己組裝好的UserDetails對(duì)象
  user = retrieveUser(username,
   (UsernamePasswordAuthenticationToken) authentication);
  }
  catch (UsernameNotFoundException notFound) {
  logger.debug("User '" + username + "' not found");

  if (hideUserNotFoundExceptions) {
   throw new BadCredentialsException(messages.getMessage(
    "AbstractUserDetailsAuthenticationProvider.badCredentials",
    "Bad credentials"));
  }
  else {
   throw notFound;
  }
  }

  Assert.notNull(user,
   "retrieveUser returned null - a violation of the interface contract");
 }
  
  try {
     // 校驗(yàn)賬號(hào)是否禁用
  preAuthenticationChecks.check(user);
     // 校驗(yàn)數(shù)據(jù)庫(kù)查出來(lái)的密碼，和我們傳入的密碼是否一致
  additionalAuthenticationChecks(user,
   (UsernamePasswordAuthenticationToken) authentication);
 }


}

看了源碼之后你會(huì)發(fā)現(xiàn)和我們平常寫(xiě)的一樣，其主要邏輯也是查數(shù)據(jù)庫(kù)然后對(duì)比密碼。

登錄之后效果如下：

我們返回token之后，下次請(qǐng)求其他API的時(shí)候就要在請(qǐng)求頭中帶上這個(gè)token，都按照J(rèn)WT的標(biāo)準(zhǔn)來(lái)做就可以。

2. JWT過(guò)濾器

有了token之后，我們要把過(guò)濾器放在過(guò)濾器鏈中，用于解析token，因?yàn)槲覀儧](méi)有session，所以我們每次去辨別這是哪個(gè)用戶的請(qǐng)求的時(shí)候，都是根據(jù)請(qǐng)求中的token來(lái)解析出來(lái)當(dāng)前是哪個(gè)用戶。

所以我們需要一個(gè)過(guò)濾器去攔截所有請(qǐng)求，前文我們也說(shuō)過(guò)，這個(gè)過(guò)濾器我們會(huì)放在綠色部分用來(lái)替代UsernamePasswordAuthenticationFilter，所以我們新建一個(gè)JwtAuthenticationTokenFilter，然后將它注冊(cè)為Bean，并在編寫(xiě)配置文件的時(shí)候需要加上這個(gè)：

@Bean
  public JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter() {
    return new JwtAuthenticationTokenFilter();
  }

@Override
  protected void configure(HttpSecurity http) throws Exception {
    http.addFilterBefore(jwtAuthenticationTokenFilter(),
            UsernamePasswordAuthenticationFilter.class);
  }

addFilterBefore的語(yǔ)義是添加一個(gè)Filter到XXXFilter之前，放在這里就是把JwtAuthenticationTokenFilter放在UsernamePasswordAuthenticationFilter之前，因?yàn)閒ilter的執(zhí)行也是有順序的，我們必須要把我們的filter放在過(guò)濾器鏈中綠色的部分才會(huì)起到自動(dòng)認(rèn)證的效果。

接下來(lái)我們可以看看JwtAuthenticationTokenFilter的具體實(shí)現(xiàn)了：

@Override
  protected void doFilterInternal(@NotNull HttpServletRequest request,
                  @NotNull HttpServletResponse response,
                  @NotNull FilterChain chain) throws ServletException, IOException {
    log.info("JWT過(guò)濾器通過(guò)校驗(yàn)請(qǐng)求頭token進(jìn)行自動(dòng)登錄...");

    // 拿到Authorization請(qǐng)求頭內(nèi)的信息
    String authToken = jwtProvider.getToken(request);

    // 判斷一下內(nèi)容是否為空且是否為(Bearer )開(kāi)頭
    if (StrUtil.isNotEmpty(authToken) && authToken.startsWith(jwtProperties.getTokenPrefix())) {
      // 去掉token前綴(Bearer )，拿到真實(shí)token
      authToken = authToken.substring(jwtProperties.getTokenPrefix().length());

      // 拿到token里面的登錄賬號(hào)
      String loginAccount = jwtProvider.getSubjectFromToken(authToken);

      if (StrUtil.isNotEmpty(loginAccount) && SecurityContextHolder.getContext().getAuthentication() == null) {
        // 緩存里查詢用戶，不存在需要重新登陸。
        UserDetail userDetails = caffeineCache.get(CacheName.USER, loginAccount, UserDetail.class);

        // 拿到用戶信息后驗(yàn)證用戶信息與token
        if (userDetails != null && jwtProvider.validateToken(authToken, userDetails)) {

          // 組裝authentication對(duì)象，構(gòu)造參數(shù)是Principal Credentials 與 Authorities
          // 后面的攔截器里面會(huì)用到 grantedAuthorities 方法
          UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, userDetails.getPassword(), userDetails.getAuthorities());

          // 將authentication信息放入到上下文對(duì)象中
          SecurityContextHolder.getContext().setAuthentication(authentication);

          log.info("JWT過(guò)濾器通過(guò)校驗(yàn)請(qǐng)求頭token自動(dòng)登錄成功, user : {}", userDetails.getUsername());
        }
      }
    }

    chain.doFilter(request, response);
  }

代碼里步驟雖然說(shuō)的很詳細(xì)了，但是可能因?yàn)榇a過(guò)長(zhǎng)不利于閱讀，我還是簡(jiǎn)單說(shuō)說(shuō)，也可以直接去倉(cāng)庫(kù)查看源碼：

• 拿到Authorization請(qǐng)求頭對(duì)應(yīng)的token信息
• 去掉token的頭部(Bearer )
• 解析token，拿到我們放在里面的登陸賬號(hào)
• 因?yàn)槲覀冎暗顷戇^(guò)，所以我們直接從緩存里面拿我們的UserDetail信息即可
• 查看是否UserDetail為null，以及查看token是否過(guò)期，UserDetail用戶名與token中的是否一直。
• 組裝一個(gè)authentication對(duì)象，把它放在上下文對(duì)象中，這樣后面的過(guò)濾器看到我們上下文對(duì)象中有authentication對(duì)象，就相當(dāng)于我們已經(jīng)認(rèn)證過(guò)了。

這樣的話，每一個(gè)帶有正確token的請(qǐng)求進(jìn)來(lái)之后，都會(huì)找到它的賬號(hào)信息，并放在上下文對(duì)象中，我們可以使用SecurityContextHolder很方便的拿到上下文對(duì)象中的Authentication對(duì)象。

完成之后，啟動(dòng)我們的demo，可以看到過(guò)濾器鏈中有以下過(guò)濾器，其中我們自定義的是第5個(gè)：

:cat:‍ 就醬，我們登錄完了之后獲取到的賬號(hào)信息與角色信息我們都會(huì)放到緩存中，當(dāng)帶著token的請(qǐng)求來(lái)到時(shí)，我們就把它從緩存中拿出來(lái)，再次放到上下文對(duì)象中去。

結(jié)合認(rèn)證方法，我們的邏輯鏈就變成了：

登錄:point_right:拿到token:point_right:請(qǐng)求帶上token:point_right:JWT過(guò)濾器攔截:point_right:校驗(yàn)token:point_right:將從緩存中查出來(lái)的對(duì)象放到上下文中

這樣之后，我們認(rèn)證的邏輯就算完成了。

4. 代碼優(yōu)化

認(rèn)證和JWT過(guò)濾器完成后，這個(gè)JWT的項(xiàng)目其實(shí)就可以跑起來(lái)了，可以實(shí)現(xiàn)我們想要的效果，如果想讓程序更健壯，我們還需要再加一些輔助功能，讓代碼更友好。

1. 認(rèn)證失敗處理器

當(dāng)用戶未登錄或者token解析失敗時(shí)會(huì)觸發(fā)這個(gè)處理器，返回一個(gè)非法訪問(wèn)的結(jié)果。

2. 權(quán)限不足處理器

當(dāng)用戶本身權(quán)限不滿足所訪問(wèn)API需要的權(quán)限時(shí)，觸發(fā)這個(gè)處理器，返回一個(gè)權(quán)限不足的結(jié)果。

3. 退出方法

用戶退出一般就是清除掉上下文對(duì)象和緩存就行了，你也可以做一下附加操作，這兩步是必須的。

4. token刷新

JWT的項(xiàng)目token刷新也是必不可少的，這里刷新token的主要方法放在了token工具類里面，刷新完了把緩存重載一遍就行了，因?yàn)榫彺媸怯杏行诘模匦聀ut可以重置失效時(shí)間。

后記

這篇文我從上周日就開(kāi)始構(gòu)思了，為了能講的老嫗?zāi)芙?，修修改改了幾遍才發(fā)出來(lái)。

Spring Security的上手的確有點(diǎn)難度，在我第一次去了解它的時(shí)候看的是尚硅谷的教程，那個(gè)視頻的講師拿它和Thymeleaf結(jié)合，這就導(dǎo)致網(wǎng)上也有很多博客去講Spring Security的時(shí)候也是這種方式，而沒(méi)有去關(guān)注前后端分離。

也有教程做過(guò)濾器的時(shí)候是直接繼承UsernamePasswordAuthenticationFilter，這樣的方法也是可行的，不過(guò)我們了解了整體的運(yùn)行流程之后你就知道沒(méi)必要這樣做，不需要去繼承XXX，只要寫(xiě)個(gè)過(guò)濾器然后放在那個(gè)位置就可以了。

本文代碼：碼云地址 GitHub地址

到此這篇關(guān)于解析SpringSecurity+JWT認(rèn)證流程實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)SpringSecurity+JWT認(rèn)證內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論