樂優商城（12）–授權中心

一、無狀態登錄原理

1.1、什么是有狀態？

有狀態服務，即服務端需要記錄每次會話的客戶端信息，從而識別客戶端身份，根據用戶身份進行請求的處理，典型的設計如tomcat中的session。

例如登錄：用戶登錄后，把登錄者的信息保存在服務端session中，并且給用戶一個cookie值，記錄對應的session。然后下次請求，用戶攜帶cookie值來，就能識別到對應session，從而找到用戶的信息。

缺點是什么？

• 服務端保存大量數據，增加服務端壓力
• 服務端保存用戶狀態，無法進行水平擴展
• 客戶端請求依賴服務端，多次請求必須訪問同一臺服務器

1.2、什么是無狀態

微服務集群中的每個服務，對外提供的都是Rest風格的接口。而Rest風格的一個最重要的規范就是：服務的無狀態性，即：

• 服務端不保存任何客戶端請求者信息
• 客戶端的每次請求必須具備自描述信息，通過這些信息識別客戶端身份

帶來的好處是什么呢？

• 客戶端請求不依賴服務端的信息，任何多次請求不需要必須訪問到同一臺服務
• 服務端的集群和狀態對客戶端透明
• 服務端可以任意的遷移和伸縮
• 減小服務端存儲壓力

1.3、如何實現無狀態

無狀態登錄的流程：

• 當客戶端第一次請求服務時，服務端對用戶進行信息認證（登錄）
• 認證通過，將用戶信息進行加密形成token，返回給客戶端，作為登錄憑證
• 以后每次請求，客戶端都攜帶認證的token
• 服務的對token進行解密，判斷是否有效。

流程圖：

整個登錄過程中，最關鍵的點是什么？

token的安全性

token是識別客戶端身份的唯一標示，如果加密不夠嚴密，被人偽造那就完犢子了。

采用何種方式加密才是安全可靠的呢？

這里采用**JWT + RSA非對稱加密**

1.4、JWT

1.4.1、簡介

JWT，全稱是Json Web Token， 是JSON風格輕量級的授權和身份認證規范，可實現無狀態、分布式的Web應用授權；官網：https://jwt.io

GitHub上jwt的java客戶端：https://github.com/jwtk/jjwt

1.4.2、數據格式

JWT包含三部分數據：

• Header：頭部，通常頭部有兩部分信息：

  • 聲明類型，這里是JWT

  會對頭部進行base64編碼，得到第一部分數據

• Payload：載荷，就是有效數據，一般包含下面信息：

  • 用戶身份信息（注意，這里因為采用base64編碼，可解碼，因此不要存放敏感信息）
  • 注冊聲明：如token的簽發時間，過期時間，簽發人等

  這部分也會采用base64編碼，得到第二部分數據

• Signature：簽名，是整個數據的認證信息。一般根據前兩步的數據，再加上服務的的密鑰（secret）（不要泄漏，最好周期性更換），通過加密算法生成。用于驗證整個數據完整和可靠性

生成的數據格式：token==個人證件 jwt=個人身份證

可以看到分為3段，每段就是上面的一部分數據

1.4.3、JWT交互流程

流程圖：

步驟解釋：

• 1、用戶登錄
• 2、服務的認證，通過后根據secret生成token
• 3、將生成的token返回給瀏覽器
• 4、用戶每次請求攜帶token
• 5、服務端利用公鑰解讀jwt簽名，判斷簽名有效后，從Payload中獲取用戶信息
• 6、處理請求，返回響應結果

因為JWT簽發的token中已經包含了用戶的身份信息，并且每次請求都會攜帶，這樣服務的就無需保存用戶信息，甚至無需去數據庫查詢，完全符合了Rest的無狀態規范。

1.4.4、非對稱加密

加密技術是對信息進行編碼和解碼的技術，編碼是把原來可讀信息（又稱明文）譯成代碼形式（又稱密文），其逆過程就是解碼（解密），加密技術的要點是加密算法，加密算法可以分為三類：

• 對稱加密，如AES
  • 基本原理：將明文分成N個組，然后使用密鑰對各個組進行加密，形成各自的密文，最后把所有的分組密文進行合并，形成最終的密文。
  • 優勢：算法公開、計算量小、加密速度快、加密效率高
  • 缺陷：雙方都使用同樣密鑰，安全性得不到保證
• 非對稱加密，如RSA
  • 基本原理：同時生成兩把密鑰：私鑰和公鑰，私鑰隱秘保存，公鑰可以下發給信任客戶端
    • 私鑰加密，持有私鑰或公鑰才可以解密
    • 公鑰加密，持有私鑰才可解密
  • 優點：安全，難以破解
  • 缺點：算法比較耗時
• 不可逆加密，如MD5，SHA
  • 基本原理：加密過程中不需要使用密鑰，輸入明文后由系統直接經過加密算法處理成密文，這種加密后的數據是無法被解密的，無法根據密文推算出明文。

1.5、結合Gateway的鑒權流程

需要注意的是：secret是簽名的關鍵，因此一定要保密，所以放到鑒權中心保存，其它任何服務中都不能獲取secret。

1.5.1、沒有RSA加密時

在微服務架構中，可以把服務的鑒權操作放到網關中，將未通過鑒權的請求直接攔截，如圖：

• 1、用戶請求登錄
• 2、gateway將請求轉發到授權中心，請求授權
• 3、授權中心校驗完成，頒發JWT憑證
• 4、客戶端請求其它功能，攜帶JWT
• 5、gateway將jwt交給授權中心校驗，通過后放行
• 6、用戶請求到達微服務
• 7、微服務將jwt交給鑒權中心，鑒權同時解析用戶信息
• 8、鑒權中心返回用戶數據給微服務
• 9、微服務處理請求，返回響應

缺點：

每次鑒權都需要訪問鑒權中心，系統間的網絡請求頻率過高，效率略差，鑒權中心的壓力較大。

1.5.2、結合RSA的鑒權

流程圖：

• 首先利用RSA生成公鑰和私鑰。私鑰保存在授權中心，公鑰保存在gateway和各個微服務
• 用戶請求登錄
• 授權中心校驗，通過后用私鑰對JWT進行簽名加密
• 返回jwt給用戶
• 用戶攜帶JWT訪問
• gateway直接通過公鑰解密JWT，進行驗證，驗證通過則放行
• 請求到達微服務，微服務直接用公鑰解析JWT，獲取用戶信息，無需訪問授權中心

二、授權中心

2.1、創建授權中心

授權中心的主要職責：

• 用戶鑒權：
  • 接收用戶的登錄請求，通過用戶中心的接口進行校驗，通過后生成JWT
  • 使用私鑰生成JWT并返回
• 服務鑒權：微服務間的調用不經過gateway，會有風險，需要鑒權中心進行認證
  • 原理與用戶鑒權類似，但邏輯稍微復雜一些（此處不做實現）

因為生成jwt，解析jwt這樣的行為以后在其它微服務中也會用到，因此抽取成工具。把鑒權中心進行聚合，一個工具module，一個提供服務的module

2.1.1、創建父module

先創建父module，名稱為：leyou-auth

將pom打包方式改為pom：即<packaging>pom</packaging>

2.1.2、通用module

然后是授權服務的通用模塊：leyou-auth-common：

2.1.3、授權服務

pom.xml:

<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"><parent><artifactId>leyou-auth</artifactId><groupId>com.leyou.auth</groupId><version>0.0.1-SNAPSHOT</version></parent><modelVersion>4.0.0</modelVersion><artifactId>leyou-auth-service</artifactId><properties><maven.compiler.source>8</maven.compiler.source><maven.compiler.target>8</maven.compiler.target></properties><dependencies><dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId></dependency><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-openfeign</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>com.leyou.common</groupId><artifactId>leyou-common</artifactId><version>0.0.1-SNAPSHOT</version></dependency><dependency><groupId>com.leyou.auth</groupId><artifactId>leyou-auth-common</artifactId><version>0.0.1-SNAPSHOT</version></dependency></dependencies></project>

啟動類

@SpringBootApplication @EnableDiscoveryClient @EnableFeignClients public class LeyouAuthApplication {public static void main(String[] args) {SpringApplication.run(LeyouAuthApplication.class,args);} }

application.yml

server:port: 8087 spring:application:name: auth-servicecloud:nacos:discovery:server-addr: ip地址:8848username: nacospassword: nacos

在leyou-gateway工程的application.yml中，添加路由：

2.2、JWT工具類

在leyou-auth-common中導入工具類和相關依賴：

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-L8OneSTv-1630548177955)(F:\MyProject\樂優商城筆記\assets\12\12-11.png)]

<dependencies><dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.0</version></dependency><dependency><groupId>org.apache.commons</groupId><artifactId>commons-lang3</artifactId><version>3.9</version></dependency><dependency><groupId>joda-time</groupId><artifactId>joda-time</artifactId><version>2.10.4</version></dependency> </dependencies>

2.3、測試工具類

在leyou-auth-common中編寫測試類：

public class JwtTest {//公鑰私鑰生成的文件地址private static final String pubKeyPath = "F:\\leyou\\rsa\\rsa.pub";private static final String priKeyPath = "F:\\leyou\\rsa\\rsa.pri";private PublicKey publicKey;private PrivateKey privateKey;//生成公鑰私鑰@Testpublic void testCreateRsa() throws Exception {RsaUtils.generateKey(pubKeyPath,priKeyPath,"123456");}//獲取到本地文件的公鑰私鑰//運行第一個測試案例需將該注解注釋@Beforepublic void testGetRsa() throws Exception {this.publicKey = RsaUtils.getPublicKey(pubKeyPath);this.privateKey = RsaUtils.getPrivateKey(priKeyPath);}//生成token@Testpublic void testGenerateToken() throws Exception {String token = JwtUtils.generateToken(new UserInfo(20L, "Tom"), privateKey, 5);System.out.println(token);/*eyJhbGciOiJSUzI1NiJ9.eyJpZCI6MjAsInVzZXJuYW1lIjoiVG9tIiwiZXhwIjoxNjI4NzY4MTEyfQ.I-pFuyDTGiu2VG7uEURECsEpntuyDJAHTh4xJFmRqdyzuxpkwb13v0FhoWGiJ-ZqwWobDlMQG3VMZ-YEvH0W-n3ehdIXxPyQNrAr1UOHZXSurVeJaoHXVfU83SdCC4TgKqU9t2xjkw44V5wALRUrAebAVuitSasBDxSjCnldiWs*/}@Testpublic void testParseToken() throws Exception {String token = "eyJhbGciOiJSUzI1NiJ9.eyJpZCI6MjAsInVzZXJuYW1lIjoiVG9tIiwiZXhwIjoxNjI4NzY4MTEyfQ.I-pFuyDTGiu2VG7uEURECsEpntuyDJAHTh4xJFmRqdyzuxpkwb13v0FhoWGiJ-ZqwWobDlMQG3VMZ-YEvH0W-n3ehdIXxPyQNrAr1UOHZXSurVeJaoHXVfU83SdCC4TgKqU9t2xjkw44V5wALRUrAebAVuitSasBDxSjCnldiWs";//解析tokeUserInfo user = JwtUtils.getInfoFromToken(token, publicKey);System.out.println(user.getId());System.out.println(user.getUsername());} }

注：運行第一個測試案例需將注解@before注釋

2.4、編寫登錄授權接口

2.4.1、生成公鑰和私鑰

接下來，在leyou-auth-servcice編寫一個接口，對外提供登錄授權服務。基本流程如下：

• 客戶端攜帶用戶名和密碼請求登錄
• 授權中心調用用戶中心接口，根據用戶名和密碼查詢用戶信息
• 如果用戶名密碼正確，能獲取用戶，否則為空，則登錄失敗
• 如果校驗成功，則生成JWT并返回

需要在授權中心生成真正的公鑰和私鑰。必須有一個生成公鑰和私鑰的secret，這個可以配置到application.yml中：

然后編寫屬性類，加載這些數據：

@ConfigurationProperties(prefix = "leyou.jwt") public class JwtProperties {private String secret; // 密鑰private String pubKeyPath;// 公鑰private String priKeyPath;// 私鑰private int expire;// token過期時間private PublicKey publicKey; // 公鑰private PrivateKey privateKey; // 私鑰private static final Logger logger = LoggerFactory.getLogger(JwtProperties.class);/*** @PostContruct：在構造方法執行之后執行該方法*/@PostConstructpublic void init(){try {File pubKey = new File(pubKeyPath);File priKey = new File(priKeyPath);if (!pubKey.exists() || !priKey.exists()) {// 生成公鑰和私鑰RsaUtils.generateKey(pubKeyPath, priKeyPath, secret);}// 獲取公鑰和私鑰this.publicKey = RsaUtils.getPublicKey(pubKeyPath);this.privateKey = RsaUtils.getPrivateKey(priKeyPath);} catch (Exception e) {logger.error("初始化公鑰和私鑰失敗！", e);throw new RuntimeException();}}// getter setter ... }

注：這里類的上方會報紅，這里導入依賴解決：

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-configuration-processor</artifactId><optional>true</optional> </dependency>

2.4.2、AuthController

編寫授權接口，接收用戶名和密碼，校驗成功后，寫入cookie中。

• 請求方式：post
• 請求路徑：/accredit
• 請求參數：username和password
• 返回結果：無

@RestController @RequestMapping("/auth") @EnableConfigurationProperties(JwtProperties.class) public class AuthController {@Autowiredprivate JwtProperties prop;@Autowiredprivate AuthService authService;/*** 登錄授權* @param username* @param password* @param request* @param response* @return*/@PostMapping("/accredit")public ResponseEntity<Void> authentication(@RequestParam("username") String username,@RequestParam("password") String password,HttpServletRequest request,HttpServletResponse response){//獲取token信息String token = this.authService.authentication(username,password);if (StringUtils.isBlank(token)){return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();}// 將token寫入cookie,并指定httpOnly為true，防止通過JS獲取和修改CookieUtils.setCookie(request,response,prop.getCookieName(),token,prop.getExpire() * 60,"utf-8",true);return ResponseEntity.ok().build();} }

這里的cookieName和，配置到屬性文件：application.yml：

然后在JwtProperties中添加屬性：

注意，這里使用了CookieUtils

作用是將生成好的token放入到cookie中，返回到客戶端。

2.4.3、UserClient

接下來要對用戶密碼進行校驗，所以需要通過FeignClient去訪問 user-service微服務：

在leyou-auth中引入user-service-interface依賴：

<dependency><groupId>com.leyou.user</groupId><artifactId>leyou-user-interface</artifactId><version>0.0.1-SNAPSHOT</version> </dependency>

在leyou-auth-service中編寫FeignClient：

@FeignClient(value = "user-service") public interface UserClient extends UserApi { }

在leyou-user-interface工程中添加api接口：

@RequestMapping("/user") public interface UserApi {@PostMapping("/query")User queryUser(@RequestParam("username") String username,@RequestParam("password") String password); }

2.4.4、AuthService

public interface AuthService {/*** 登錄授權* @param username* @param password* @return*/String authentication(String username, String password); }

實現類：

@Service public class AuthServiceImpl implements AuthService {@Autowiredprivate UserClient userClient;@Autowiredprivate JwtProperties prop;/*** 登錄授權* @param username* @param password* @return*/@Overridepublic String authentication(String username, String password) {try {//查詢用戶User user = this.userClient.queryUser(username, password);//用戶不存在，直接返回nullif (null == user) return null;//用戶存在，生成token信息UserInfo userInfo = new UserInfo(user.getId(), user.getUsername());return JwtUtils.generateToken(userInfo, prop.getPrivateKey(), prop.getExpire());} catch (Exception e) {e.printStackTrace();}return null;} }

項目完整結構：

2.4.5、測試

登錄頁面

看看登錄頁面，是否能夠正確的發出請求。

發現請求的路徑不對，實際認證接口是：/api/auth/accredit

打開login.html，修改路徑信息：

然后再次登錄，成功跳轉首頁。

2.5、cookie寫入問題

查看首頁cookie信息：

空空如也！

2.5.1、問題分析

之前測試時，看到了響應頭中，有Set-Cookie屬性，為什么在這里卻什么都沒有？

因為涉及到跨域問題。跨域請求cookie生效的條件：

• 服務的響應頭中需要攜帶Access-Control-Allow-Credentials并且為true。
• 響應頭中的Access-Control-Allow-Origin一定不能為*，必須是指定的域名
• 瀏覽器發起ajax需要指定withCredentials 為true

查看服務端cors配置：

沒問題！

看客戶端瀏覽器的ajax配置，在js/common.js中對axios進行了統一配置：

也沒問題！

那說明，問題一定出在響應的set-cookie頭中。仔細查看剛才的響應頭：

可以發現cookie的 domain屬性似乎不對。

其實cookie也是有域 的限制，一個網頁，只能操作當前域名下的cookie，但是現在看到的地址是0.0.1（為什么是0.0.1，因為前端的地址是www.leyou.com，通過nginx反向代理到127.0.0.1，通過計算得到domain為0.0.1），與頁面www.leyou.com域名不匹配，cookie設置所以失敗了！

2.5.2、解決問題

那么問題來了：為什么這里的請求serverName變成了：127.0.0.1:8087呢？

這里的server name其實就是請求時的主機名：Host，之所以改變，有兩個原因：

• 使用了nginx反向代理，當監聽到api.leyou.com的時候，會自動將請求轉發至127.0.0.1:10010，即Gateway。
• 而后請求到達我網關Gateway，Gateway就會根據路徑匹配，請求是/api/auth，根據規則被轉發到了 127.0.0.1:8087 ，即授權中心。

所以，先更改nginx配置，讓它不要修改host：proxy_set_header Host $host;

nginx重新啟動：nginx -s reload

然后再去解決Gateway的問題，因為Gateway還會有一次轉發，所以要去修改網關的配置（leyou-gateway）：

注：這里啟用了開啟從注冊中心動態創建路由的功能，利用微服務名進行路由

gateway:discovery:locator:enabled: true #開啟從注冊中心動態創建路由的功能，利用微服務名進行路由routes:- id: item-routeruri: lb://item-servicepredicates:- Path=/api/item/**filters:- StripPrefix=2- id: upload-routeruri: lb://upload-servicepredicates:- Path=/api/upload/**filters:- StripPrefix=1- id: search-routeruri: lb://search-servicepredicates:- Path=/api/search/**filters:- StripPrefix=1- id: user-routeruri: lb://user-servicepredicates:- Path=/api/user/**filters:- StripPrefix=1- id: auth-routeruri: lb://auth-servicepredicates:- Path=/api/auth/**filters:- StripPrefix=1- PreserveHostHeader #發送網關原始主機頭

2.5.3、再次測試

通過ApiPost訪問下看看：

頁面登陸看看：

三、首頁判斷登錄狀態

雖然cookie已經成功寫入，但是首頁的頂部，登錄狀態依然沒能判斷出用戶信息：

這里需要向后臺發起請求，根據cookie獲取當前用戶的信息。

3.1、頁面JS代碼

頁面的頂部已經被封裝為一個獨立的Vue組件，在/js/pages/shortcut.js中

打開js，發現在created函數中，有查詢用戶信息的請求：

查看網絡控制臺，發現發起了請求：

因為token在cookie中，因此本次請求肯定會攜帶token信息在頭中。

3.2、實現校驗用戶接口

在leyou-auth-service中定義用戶的校驗接口，通過cookie獲取token，然后校驗通過返回用戶信息。

• 請求方式：GET
• 請求路徑：/verify
• 請求參數：無，不過需要從cookie中獲取token信息
• 返回結果：UserInfo，校驗成功返回用戶信息；校驗失敗，則返回401

/*** 驗證用戶信息* @param token* @return*/ @GetMapping("verify") public ResponseEntity<UserInfo> verifyUser(@CookieValue("LY_TOKEN")String token){try {// 從token中解析token信息UserInfo userInfo = JwtUtils.getInfoFromToken(token, this.prop.getPublicKey());// 解析成功返回用戶信息return ResponseEntity.ok(userInfo);} catch (Exception e) {e.printStackTrace();}// 出現異常則，響應401，未授權return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build(); }

3.3、測試

頁面效果：

3.4、刷新token

每當用戶在頁面進行新的操作，都應該刷新token的過期時間，否則30分鐘后用戶的登錄信息就無效了。而刷新其實就是重新生成一份token，然后寫入cookie即可。

那么問題來了：怎么知道用戶有操作呢？

事實上，每當用戶來查詢其個人信息，就證明他正在瀏覽網頁，此時刷新cookie是比較合適的時機。因此可以對校驗用戶登錄狀態的接口進行改進，加入刷新token的邏輯。

@GetMapping("/verify") public ResponseEntity<UserInfo> verify(@CookieValue("LY_TOKEN") String token,HttpServletRequest request,HttpServletResponse response){try {//從token中解析用戶的信息UserInfo userInfo = JwtUtils.getInfoFromToken(token, this.prop.getPublicKey());//考慮到用戶會長時間操作頁面，所以需要將token、cookie的存活時間加長//為空，說明未正常登錄if (null == userInfo) {return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();}//重新生成tokentoken = JwtUtils.generateToken(userInfo,this.prop.getPrivateKey(), prop.getExpire());//重新設置cookieCookieUtils.setCookie(request,response,this.prop.getCookieName(),token,prop.getExpire() * 60,"utf-8",true);// 解析成功返回用戶信息return ResponseEntity.ok(userInfo);} catch (Exception e) {e.printStackTrace();}return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build(); }

四、網關的登錄攔截器

在Gateway中編寫攔截器，對用戶的token進行校驗，如果發現未登錄，則進行攔截。

4.1、引入jwt相關配置

既然是登錄攔截，一定是前置攔截器，在leyou-gateway中定義。

首先在pom.xml中，引入所需要的依賴：

<dependency><groupId>com.leyou.auth</groupId><artifactId>leyou-auth-common</artifactId><version>0.0.1-SNAPSHOT</version> </dependency><dependency><groupId>com.leyou.common</groupId><artifactId>leyou-common</artifactId><version>0.0.1-SNAPSHOT</version> </dependency>

然后編寫application.yml屬性文件，添加如下內容：

leyou:jwt:pubKeyPath: F:\\leyou\\rsa\\rsa.pub # 公鑰地址cookieName: LY_TOKEN

將properties導入進來：

@ConfigurationProperties(prefix = "leyou.jwt") public class JwtProperties {private String pubKeyPath; //公鑰路徑private PublicKey publicKey; // 公鑰private String cookieName; //cookie名稱private static final Logger logger = LoggerFactory.getLogger(JwtProperties.class);@PostConstructpublic void init(){try {//初始化公鑰this.publicKey = RsaUtils.getPublicKey(pubKeyPath);} catch (Exception e) {logger.error("初始化公鑰失敗！", e);throw new RuntimeException();}}public String getPubKeyPath() {return pubKeyPath;}public void setPubKeyPath(String pubKeyPath) {this.pubKeyPath = pubKeyPath;}public String getCookieName() {return cookieName;}public void setCookieName(String cookieName) {this.cookieName = cookieName;}public PublicKey getPublicKey() {return publicKey;}}

4.2、編寫過濾器邏輯

基本邏輯：

• 獲取cookie中的token
• 通過JWT對token進行校驗
• 通過：則放行；不通過：則重定向到登錄頁

@Component @EnableConfigurationProperties(JwtProperties.class) public class AuthGatewayFilter implements GlobalFilter, Ordered {@Autowiredprivate JwtProperties prop;@Overridepublic Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {// 獲取request和response，注意：不是HttpServletRequest及HttpServletResponseServerHttpRequest request = exchange.getRequest();ServerHttpResponse response = exchange.getResponse();//獲取所有cookiesMultiValueMap<String, HttpCookie> cookies = request.getCookies();// 如果cookies為空或者不包含指定的token，則相應認證未通過if (CollectionUtils.isEmpty(cookies) || !cookies.containsKey(this.prop.getCookieName())){// 響應未認證！response.setStatusCode(HttpStatus.UNAUTHORIZED);//結束請求return response.setComplete();}//獲取cookieHttpCookie cookie = cookies.getFirst(this.prop.getCookieName());if (null == cookie){// 響應未認證！response.setStatusCode(HttpStatus.UNAUTHORIZED);//結束請求return response.setComplete();}try {//校驗cookieJwtUtils.getInfoFromToken(cookie.getValue(),this.prop.getPublicKey());} catch (Exception e) {e.printStackTrace();//校驗失敗，響應未認證response.setStatusCode(HttpStatus.UNAUTHORIZED);//結束請求return response.setComplete();}// 認證通過放行return chain.filter(exchange);}//數值越小，優先級越高@Overridepublic int getOrder() {return 2;} }

這里配置完成后，啟動網關會報錯，提示剔除spring-boot-starter-web相關依賴：

這里有兩個地方的依賴需要剔除：

<dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-gateway</artifactId><exclusions><exclusion><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></exclusion></exclusions> </dependency> <dependency><groupId>com.leyou.common</groupId><artifactId>leyou-common</artifactId><version>0.0.1-SNAPSHOT</version><exclusions><exclusion><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></exclusion></exclusions> </dependency>

問題

重啟，刷新頁面，發現請求校驗的接口也被攔截了：

證明攔截器生效了，但是，這個路徑是不應該被攔截，需要白名單。

4.3、白名單

要注意，并不是所有的路徑都需要攔截，例如：

• 登錄校驗接口：/auth/**
• 注冊接口：/user/register
• 數據校驗接口：/user/check/**
• 發送驗證碼接口：/user/code
• 搜索接口：/search/**

另外，跟后臺管理相關的接口，因為沒有做登錄和權限，因此暫時都放行，但是生產環境中要做登錄校驗：

• 后臺商品服務：/item/**

所以，需要在攔截時，配置一個白名單，如果在名單內，則不進行攔截。

在application.yaml中添加規則：

leyou:filter:allowPaths:- /auth- /search- /user/register- /user/check- /user/code- /item

然后讀取這些屬性：

@ConfigurationProperties(prefix = "leyou.filter") public class FilterProperties {private List<String> allowPaths;public List<String> getAllowPaths(){return allowPaths;}public void setAllowPaths(List<String> allowPaths) {this.allowPaths = allowPaths;} }

在自定義全局過濾器中添加邏輯判斷：

再次測試：

五、用戶退出

刪除cookie中的token即可。

logout() {// 刪除cookie中的token即可Cookies.remove("LY_TOKEN",{path:"/",domain:"leyou.com"});window.location = 'http://www.leyou.com' }

總結

以上是生活随笔為你收集整理的乐优商城（12）--授权中心的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。