## 授权校验流程 为了确保系统的安全与获取用户信息,一般情况下都是用token解决的,那么我们的系统,token是如何生成,又是如何校验的呢? ### token的生成 在 `com.mall4j.cloud.auth.manager.TokenStore` 有几个方法 ```java public class TokenStore { /** * 将用户的部分信息存储在token中,并返回token信息 * @param userInfoInToken 用户在token中的信息 * @return token信息 */ public TokenInfoBO storeAccessToken(UserInfoInTokenBO userInfoInToken) {} /** * 根据accessToken 获取用户信息 * @param accessToken accessToken * @param needDecrypt 是否需要解密 * @return 用户信息 */ public ServerResponseEntity getUserInfoByAccessToken(String accessToken, boolean needDecrypt) {} /** * 刷新token,并返回新的token * @param refreshToken * @return */ public ServerResponseEntity refreshToken(String refreshToken) {} } ``` 在`com.mall4j.cloud.auth.controller.LoginController#login()` 方法中,登录完毕之后使用`storeAccessToken`将登录的用户信息保存在redis中 ### token的校验 在我们的设计当中,会一个授权中心,专门用于用户的授权登录,并校验token。从而不需要在每个服务都去创建自身的授权方法。 我们用商品的服务`mall4cloud-product`来举例,我们可以发现在`pom.xml`中依赖了`mall4cloud-common-security`模块。 在模块中有个过滤器`AuthFilter`,里面有这么一段 ```java tokenFeignClient.checkToken(accessToken) ``` 其中`tokenFeignClient` 是 `mall4cloud-api-auth` 模块的方法,该接口其实是`feign`的一个接口,而实现就是`mall4cloud-auth`进行实现。因为我们说过,我们的认证授权应该是一个统一的服务来的,而这个服务就是`mall4cloud-auth`服务。也就是说项目启动,几乎是必须启动该项目先的。 ### 配置不需要授权就能访问的url 其实并不是所有url都应该登录才能够被用户所访问到的,如浏览商品,搜索商品的时候,用户是不需要登录就能进行的操作,这个时候该怎么办呢?我们在回到我们的`AuthFilter`,里面有一段 ```java List excludePathPatterns = authConfigAdapter.excludePathPatterns(); ``` 这里边有个`authConfigAdapter`其实实现该类就能将对应的连接设置为可以访问,或不可以访问了。 ### 用户角色权限 在用户角色权限的模型中,一个用户的权限往往是需要登录才能知道的。也细化到每个url,每个方法某个用户是否能够访问。我们的系统有的需要rbac模型,有的不需要,所以我们提取了一个rbac模型的服务`mall4cloud-rbac`。我们回到`AuthFilter`,里面有一段 ```java // 省略... authConfigAdapter.needRbac() && !checkRbac(userInfoInToken, req.getRequestURI(), req.getMethod()) // 省略... permissionFeignClient.checkPermission(checkPermissionDTO) // 省略... ``` 这里面的`permissionFeignClient` 其实也是一个feign服务,用于连接 `mall4cloud-rbac` 这个服务,进行rbac模型的校验。