springboot3微服务下结合springsecurity的认证授权实现_springboot3 security

1. 简介

在微服务架构中，系统被拆分成许多小型、独立的服务，每个服务负责一个功能模块。这种架构风格带来了一系列的优势，如服务的独立性、弹性、可伸缩性等。然而，它也带来了一些挑战，特别是在安全性方面。这时候就体现出认证服务器的重要性，它可以在网关服务器的基础上做登录认证，权限认证等功能。本篇文章就以如下结构实现一个demo供大家参考选择，整体逻辑如下图所示

1. 当客户端第一次发起资源请求（一般前端会处理好逻辑，比如vue中实现未登录的用户无法访问系统资源等）
2. gateway拦截到请求并检查请求头中是否携带token，有则放行没有则无权限无法访问（返回401）
3. 客户端接拦截到响应并解析出当前响应状态码是401，则会redirect到登录页面（未登录的用户请先登录）gateway拦截到请求后判断当前是登录url则放行，转发到认证服务器进行登录操作
4. 根据email / username判断是否存在数据库，存在则取出数据对登录密码进行加密比对，比对通过则代表成功登录生成token，并且获取该用户所对应角色的权限信息，并将其存在redis中
5. 用户端拦截到登录响应数据，从其中获取到token和一些用户信息保存到本地（session，localStorage等）
6. 登录后的每次请求发送前都会在请求头中添加token信息（本次实现鉴权逻辑不写在认证服务器中，由每个资源服务器引入jar包依赖各自鉴权）
7. 通过@PreAuthorize注解进行判断当前用户是否有执行该方法相应的权限，如果有则顺利执行方法返回结果，否则无权限返回code401

2. 认证服务器实现

由于本次实现中，认证服务器负责的功能就是登录（查询用户信息，登出） 、 查找权限、对token的签发、刷新管理，所以该服务器就不考虑集成springsecurity，只需引入mybatis相关依赖和nacos服务注册发现的

2.1 微服务配置

2.1.1 改pom

<dependencies>
 <!-- nacos -->
   <dependency>
       <groupId>com.alibaba.cloud</groupId>
       <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId>
   </dependency>
   <!-- 支持负载均衡 -->
   <dependency>
       <groupId>org.springframework.cloud</groupId>
       <artifactId>spring-cloud-starter-loadbalancer</artifactId>
   </dependency>
   <!--mybatis和springboot整合-->
   <dependency>
       <groupId>org.mybatis.spring.boot</groupId>
       <artifactId>mybatis-spring-boot-starter</artifactId>
   </dependency>
   <!--Mysql数据库驱动8 -->
   <dependency>
       <groupId>mysql</groupId>
       <artifactId>mysql-connector-java</artifactId>
   </dependency>
   <!--persistence-->
   <dependency>
       <groupId>javax.persistence</groupId>
       <artifactId>persistence-api</artifactId>
   </dependency>
   <!--通用Mapper4-->
   <dependency>
       <groupId>tk.mybatis</groupId>
       <artifactId>mapper</artifactId>
   </dependency>
   <!--SpringBoot集成druid连接池-->
   <dependency>
       <groupId>com.alibaba</groupId>
       <artifactId>druid-spring-boot-starter</artifactId>
   </dependency>
   <!--lombok-->
   <dependency>
       <groupId>org.projectlombok</groupId>
       <artifactId>lombok</artifactId>
       <version>1.18.28</version>
       <scope>provided</scope>
   </dependency>
   <!--cloud_commons_utils-->
   <dependency>
       <groupId>com.simple.cloud</groupId>
       <artifactId>simpleCloud_api_commons</artifactId>
       <version>1.0-SNAPSHOT</version>
   </dependency>
   <dependency>
       <groupId>org.springframework.boot</groupId>
       <artifactId>spring-boot-starter-web</artifactId>
       <scope>provided </scope>
   </dependency>
		<!-- redis -->
   <dependency>
       <groupId>org.springframework.boot</groupId>
       <artifactId>spring-boot-starter-data-redis</artifactId>
   </dependency>
</dependencies>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60

2.1.2 application.yml 配置

server:
  port: 10001

spring:
  application:
    name: auth-server
  cloud:
    nacos:
      discovery:
        server-addr: localhost:8848
  data:
    redis:
      host: localhost
      port: 6379
      database: 0
      timeout: 1800000
      password:
      jedis:
        pool:
          max-active: 20 #最大连接数
          max-wait: -1    #最大阻塞等待时间(负数表示没限制)
          max-idle: 5    #最大空闲
          min-idle: 0     #最小空闲

  datasource:
    type: com.alibaba.druid.pool.DruidDataSource
    driver-class-name: com.mysql.cj.jdbc.Driver # 用户登录表所在的数据库
    url: jdbc:mysql://localhost:3306/seata_system?characterEncoding=utf8&useSSL=false&serverTimezone=GMT%2B8&rewriteBatchedStatements=true&allowPublicKeyRetrieval=true
    username: root
    password: abc123

# ========================mybatis===================
mybatis:
  mapper-locations: classpath:mapper/*.xml
  type-aliases-package: com.simple.cloud.entities
  configuration:
    map-underscore-to-camel-case: true
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37

2.1.3 主启动

@SpringBootApplication
@EnableDiscoveryClient
@MapperScan("com.simple.cloud.mapper")
public class AuthMain10001 {
    public static void main(String[] args) {
        SpringApplication.run(AuthMain10001.class , args);
    }
}
1
2
3
4
5
6
7
8

2.2 需求功能实现

跟springsecurity的逻辑一样，我们需要提供一个加密器和一个UserDetailService并定义findByUsername方法，话不多说下面就跟我一起一一实现吧

2.2.1 utils工具类

2.2.1.1 SHA-256 加密器

在选择加密或哈希算法时，更推荐使用SHA-256或SHA-3这两个方法都属于SHA（安全散列算法）系列，它们提供了比MD5更强的安全性。SHA-256生成的是256位的哈希值，而SHA-3是最新的成员，提供了与SHA-2类似的安全性，但采用了不同的算法设计。这些算法在生成数字签名和验证数据完整性方面被广泛使用。本篇教程基于SHA-256实现密码加密

当然如果作者想基于对称加密是西安，AES（高级加密标准）是目前推荐的算法。感兴趣的读者可以去了解了解