mall :sa-token项目源码解析

本文涉及的产品
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: mall :sa-token项目源码解析

一、mall开源项目

1.1 来源

mall学习教程,架构、业务、技术要点全方位解析。mall项目(50k+star)是一套电商系统,使用现阶段主流技术实现。涵盖了SpringBoot 2.3.0、MyBatis 3.4.6、Elasticsearch 7.6.2、RabbitMQ 3.7.15、Redis 5.0、MongoDB 4.2.5、Mysql5.7等技术,采用Docker容器化部署。

项目github地址:mall开源项目

1.2 项目转移

可以把github上的项目转移到gitee上,方便克隆到idea。

具体步骤如下:

1.3 项目克隆

由于github部署在国外,虽然idea也支持从github上拉取,但是克隆速度太慢,所以才推荐上述导入gitee后在克隆项目到idea。

具体的克隆步骤过于简单和常规化,读者可自行完成,或百度一下~

二、Sa-Toekn框架

2.1 Sa-Token 简介

Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证权限认证单点登录OAuth2.0分布式Session会话微服务网关鉴权 等一系列权限相关问题。

Sa-Token 目前主要五大功能模块:登录认证、权限认证、单点登录、OAuth2.0、微服务鉴权。

功能概览图如下:

sa-token开发文档地址:sa-token.cc

2.2 分布式后端项目的使用流程

下图是结合项目经历,外加百度查找资料,自行总结的基本使用流程。

sa-token的使用流程图如下:

2.3 分布式后端项目的使用场景

下图是结合项目经历,外加百度查找资料,自行总结的基本使用场景。

sa-token的使用场景图如下:

三、源码解析

看源码自我总结出来的看新项目时的基本步骤,首先先看集成和配置,在从业务的角度来分析,结合集成的框架和组件,来依次剥削系统的架构。

解析内容:下方的解析内容大部分在图中解释,外面就不做过多的阐述。

3.1 集成与配置

直接拿源码分析,只分析与sa-token有关的部分,其它部分读者请,自行看源码分析。

项目启动:只需要启动mall-tiny-sa-token模块的部分即可。

启动所需:启动mysql5的服务,创建数据库,并导入表(sql文件位置在,项目同级目录的document文件夹里)。

ps:记得修改数据库连接的配置信息。

3.1.1 导入依赖

pom文件中导入sa-token的相关依赖。

3.1.2 添加配置

application.yml中添加sa-token的相关配置,项目支持前后端分离项目,关闭从 cookie 中读取 token,改为从 head 中读取 token的配置。

3.1.3 异常处理

对于处理未登录的、没有权限的、没有角色的异常,需要全局处理一下。

拿登录来做个小例子:由于未登录状态下访问接口,Sa-Token 会抛出NotLoginException异常,此时会根据自定义的返回信息,返回状态码401和响应信息未提供token(异常处理的结果信息)。

3.1.4 存储用户信息

有两个用户,admin用户具有ROLE_ADMIN角色,macro用户具有ROLE_USER角色。

**ps:**模拟数据库两张表的关联信息是根据id来关联的,也就是给用户分配角色。

3.2 登录认证

3.2.1 配置黑白名单

在管理系统中,除了登录接口,基本上都需要登录认证,在 sa-token中使用路由拦截鉴权是最方便的,也就是说给sa-token配置拦截器,实现WebMvcConfigurer接口,配置黑白名单。

ps:自定义的白名单是从application.yml文件中获取到的信息。

3.2.2 登录业务代码解读

1.首先是控制层, 在UmsAdminController中添加一个登录接口login

2.接着业务层, 在UmsAdminServiceImpl添加登录的具体逻辑,先验证密码,然后调用StpUtil.login(adminUser.getId())即可实现登录。

3.2.3 测试登录

方式一:使用Postman测试

方式二:使用swagger接口文档测试(建议使用,以及编写好,直接访问即可测试,访问地址为: Swagger UI ),由于已经拿到token,就不做重复测试了,直接测另一个接口,查询当前登录状态的接口。

3.3 角色认证

紧接上文,我来实现一下吧!对于角色认证也就是定义好一套访问接口的规则,比如ROLE-ADMIN角色可以访问/brand下的所有资源,而ROLE_USER角色只能访问/brand/listAll下的资源。

配置全局异常:见副标题3.1.3有所描述,不做过多陈诉。

当用户不是被允许的角色访问时,Sa-Token会抛出NotRoleException异常。

3.3.1 权限验证接口扩展

扩展 sa-token的StpInterface接口,重写方法来返回用户的角色名称和角色权限列表。

由于StpInterfaceImpl实现了StpInterface接口,重写了里面的方法。所以在SaTokenConfig的配置文件中的StpUtil.checkRole("ROLE_ADMIN")才能匹配到模拟的数据库的角色信息。权限信息也是同理,不一一列举了。

3.3.2 配置拦截器

在拦截器中配置路由规则,ROLE_ADMIN角色可以访问所有路径,而ROLE_USER只能访问/brand/listAll路径。

3.3.3 测试角色

对于 admin用户具有ROLE_ADMIN角色,macro用户具有ROLE_USER角色 。

  • 使用admin账号访问/brand/{id}接口可以正常访问
  • 使用macro账号访问/brand/{id}接口无法正常访问,返回code403

这里就不对admin进行测试展示了,下方是对macro用户进行测试,查看没有权限的效果。

3.4 权限认证

当给角色分配好权限,然后给用户分配好角色后,用户就拥有了这些权限。

对于权限认证,也可以为每个接口分配不同的权限,拥有该权限的用户就可以访问该接口。

配置全局异常:见副标题3.1.3有所描述,不做过多陈诉。

用户无权限访问时,Sa-Token 会抛出NotPermissionException异常。

3.4.1 配置拦截器

给拦截器配置路由规则admin用户可以访问所有路径,而macro用户只有读取的权限,没有写、改、删的权限。

3.4.2 测试权限

对于 admin用户可以访问所有路径,而macro用户只有读取的权限,没有写、改、删的权限。

  • 使用admin账号访问/brand/delete接口可以正常访问
  • 使用macro账号访问/brand/delete无法正常访问,返回code403

这里就不对admin进行测试展示了,下方是对macro用户进行测试,查看没有权限的效果。

四、总结

本文是有我先从实际项目中获取需求,从而对SpringSecurityOath2的学习,结合源码来学习,到另一个项目由于鉴权已经部署在不同的ip,项目使用调用即可,项目中使用了 Sa-Token 是一个轻量级 Java 权限认证框架 ,看官网是看的明白,但是不懂如何入手,就有了此文,从mall开源项目中学习sa-token,感觉收获颇深,希望这篇文章对你们也会有所帮助。

后续我也会结合该框架学习一下其他的技术栈。

~盈若安好,便是晴天

目录
相关文章
|
1月前
|
安全 虚拟化
在数字化时代,网络项目的重要性日益凸显。本文从前期准备、方案内容和注意事项三个方面,详细解析了如何撰写一个优质高效的网络项目实施方案,帮助企业和用户实现更好的体验和竞争力
在数字化时代,网络项目的重要性日益凸显。本文从前期准备、方案内容和注意事项三个方面,详细解析了如何撰写一个优质高效的网络项目实施方案,帮助企业和用户实现更好的体验和竞争力。通过具体案例,展示了方案的制定和实施过程,强调了目标明确、技术先进、计划周密、风险可控和预算合理的重要性。
42 5
|
1月前
|
监控 Java 应用服务中间件
高级java面试---spring.factories文件的解析源码API机制
【11月更文挑战第20天】Spring Boot是一个用于快速构建基于Spring框架的应用程序的开源框架。它通过自动配置、起步依赖和内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。本文将深入探讨Spring Boot的背景历史、业务场景、功能点以及底层原理,并通过Java代码手写模拟Spring Boot的启动过程,特别是spring.factories文件的解析源码API机制。
71 2
|
2月前
|
缓存 Java 程序员
Map - LinkedHashSet&Map源码解析
Map - LinkedHashSet&Map源码解析
76 0
|
2月前
|
算法 Java 容器
Map - HashSet & HashMap 源码解析
Map - HashSet & HashMap 源码解析
62 0
|
2月前
|
存储 Java C++
Collection-PriorityQueue源码解析
Collection-PriorityQueue源码解析
66 0
|
2月前
|
安全 Java 程序员
Collection-Stack&Queue源码解析
Collection-Stack&Queue源码解析
86 0
|
15天前
|
PyTorch Shell API
Ascend Extension for PyTorch的源码解析
本文介绍了Ascend对PyTorch代码的适配过程,包括源码下载、编译步骤及常见问题,详细解析了torch-npu编译后的文件结构和三种实现昇腾NPU算子调用的方式:通过torch的register方式、定义算子方式和API重定向映射方式。这对于开发者理解和使用Ascend平台上的PyTorch具有重要指导意义。
|
20天前
|
缓存 监控 Java
Java线程池提交任务流程底层源码与源码解析
【11月更文挑战第30天】嘿,各位技术爱好者们,今天咱们来聊聊Java线程池提交任务的底层源码与源码解析。作为一个资深的Java开发者,我相信你一定对线程池并不陌生。线程池作为并发编程中的一大利器,其重要性不言而喻。今天,我将以对话的方式,带你一步步深入线程池的奥秘,从概述到功能点,再到背景和业务点,最后到底层原理和示例,让你对线程池有一个全新的认识。
50 12
|
1月前
|
存储 安全 Linux
Golang的GMP调度模型与源码解析
【11月更文挑战第11天】GMP 调度模型是 Go 语言运行时系统的核心部分,用于高效管理和调度大量协程(goroutine)。它通过少量的操作系统线程(M)和逻辑处理器(P)来调度大量的轻量级协程(G),从而实现高性能的并发处理。GMP 模型通过本地队列和全局队列来减少锁竞争,提高调度效率。在 Go 源码中,`runtime.h` 文件定义了关键数据结构,`schedule()` 和 `findrunnable()` 函数实现了核心调度逻辑。通过深入研究 GMP 模型,可以更好地理解 Go 语言的并发机制。
|
1月前
|
消息中间件 缓存 安全
Future与FutureTask源码解析,接口阻塞问题及解决方案
【11月更文挑战第5天】在Java开发中,多线程编程是提高系统并发性能和资源利用率的重要手段。然而,多线程编程也带来了诸如线程安全、死锁、接口阻塞等一系列复杂问题。本文将深度剖析多线程优化技巧、Future与FutureTask的源码、接口阻塞问题及解决方案,并通过具体业务场景和Java代码示例进行实战演示。
51 3

推荐镜像

更多