基于 Spring Security 和 JWT 的权限系统设计

mqUjIjb.jpg!web

文章共 1209字，阅读大约需要 5分钟，文尾有计时器可自行对时！

写在前面

关于 Spring Security

Web系统的认证和权限模块也算是一个系统的基础设施了，几乎任何的互联网服务都会涉及到这方面的要求。在Java EE领域，成熟的安全框架解决方案一般有 Apache Shiro、Spring Security等两种技术选型。Apache Shiro简单易用也算是一大优势，但其功能还是远不如 Spring Security强大。Spring Security可以为 Spring 应用提供声明式的安全访问控制，起通过提供一系列可以在 Spring应用上下文中可配置的Bean，并利用 Spring IoC和 AOP等功能特性来为应用系统提供声明式的安全访问控制功能，减少了诸多重复工作。

关于JWT

JSON Web Token (JWT)，是在网络应用间传递信息的一种基于 JSON的开放标准（(RFC 7519)，用于作为JSON对象在不同系统之间进行安全地信息传输。主要使用场景一般是用来在身份提供者和服务提供者间传递被认证的用户身份信息。关于JWT的科普，可以看看阮一峰老师的《JSON Web Token 入门教程》。

本文则结合 Spring Security和 JWT两大利器来打造一个简易的权限系统。

另外本文实验代码置于文尾，需要自取！

本文实验环境如下：

Spring Boot版本：2.0.6.RELEASE
IDE：IntelliJ IDEA 2018.2.4

注：本文首发于作者 公众号 CodeSheep ，可长按 / 扫描下面的 小心心 来订阅 ↓ ↓ ↓

ZRJvmqu.jpg!web

设计用户和角色

本文实验为了简化考虑，准备做如下设计：

设计一个最简角色表 role ，包括 角色ID 和 角色名称

RrmMZ3Q.png!web

设计一个最简用户表 user ，包括 用户ID ， 用户名 ， 密码

7fMz2iB.png!web

再设计一个用户和角色一对多的关联表 user_roles 一个用户可以拥有多个角色

创建Spring Security和JWT加持的Web工程

pom.xml 中引入 Spring Security和 JWT所必需的依赖

项目配置文件中加入数据库和 JPA等需要的配置

创建用户、角色实体

用户实体 User：

此处所创建的 User类继承了 Spring Security的 UserDetails接口，从而成为了一个符合 Security安全的用户，即通过继承 UserDetails，即可实现 Security中相关的安全功能。

角色实体 Role：

创建JWT工具类

主要用于对 JWT Token进行各项操作，比如生成Token、验证Token、刷新Token等

创建Token过滤器，用于每次外部对接口请求时的Token处理

Service业务编写

主要包括用户登录和注册两个主要的业务

Spring Security配置类编写（ 非常重要 ）

这是一个高度综合的配置类，主要是通过重写 WebSecurityConfigurerAdapter 的部分 configure 配置，来实现用户自定义的部分。

编写测试 Controller

登录和注册的 Controller：

再编写一个测试权限的 Controller：

这里给出两个测试接口用于测试权限相关问题，其中接口 /normal/test 需要用户具备普通角色（ ROLE_NORMAL ）即可访问，而接口 /admin/test 则需要用户具备管理员角色（ ROLE_ADMIN ）才可以访问。

接下来启动工程，实验测试看看效果

实验验证

在文章开头我们即在用户表 user 中插入了一条用户名为 codesheep 的记录，并在用户-角色表 user_roles 中给用户 codesheep 分配了普通角色（ ROLE_NORMAL ）和管理员角色（ ROLE_ADMIN ）
接下来进行用户登录，并获得后台向用户颁发的JWT Token