本节开始讲认证相关的东西、注意事项,出现问题的对应的解决方案。

先写用户注册的服务,注册一些用户信息进去。注册也是我们安全体系的一部分

注册

UserController里面的create方法

先修改实体类,加上username和password

因为我们已经在配置文件内配置了generate-ddl为true,启动的时候jpa会自动把这两个属性加到数据库里,这样就不用我们自己手动去数据库里加属性。

设置主键的策略,这里设置的是根据当前数据库的类型策略,例如当前是mysql数据库,那么就会按照mysql数据库的策略。自增的字段策略。

@GeneratedValue(strategy = GenerationType.IDENTITY)

strategy

美 ['strætədʒi]
英 ['strætədʒi]

  • n.策略;战略;策划;战略部署
  • 网络策略模式;谋略;计谋

创建userInfo对象

复制user这个类,改个名字叫做userInfo。
这里把@Entity去掉。因为它不是实体,也就是不和数据库内的表对应。UserInfo用来封装我们服务的请求和响应。
保留@Data注解,这回帮我们生成get和set方法。

UserController里面凡事用到user的地方都改成UserInfo


那么为什么要这么改呢?这两个对象从现在来看,属性是一模一样的,为什么要分成两个呢?这就是编程里面比较常见的一个概念,关注点分离。
也叫做单一职责原则。任何一个类或者方法它应该只关注一个事,或者说只对一个事负责,只有当这个事变化的时候,我才需要改这个类或者这个方法,如果我们用User类来作为Controller的输入或者输出,那么User这个实际上就负责了两件事。第一件事是跟我么的数据库表做映射,这个对象反映出来我们数据库有哪些字段,那个字段是主键等等这些信息,它是负责跟数据库里的表做映射的。
而我们Controoler里面的方法 他的用参和出参实际上是服务的输入和输出。这个实际上是两个概念。 如果我们在这两个关注点上用同一个类。都用User的话,那么User负责的事情就会变多。这个类负责的事情变多就会导致,每一个事变化的时候我都要去改User,就会发生一些问题。
比如数据库结构发生变化的时候,我要去改User,当创建用户或者修改用户的服务发生它的输入和输出发生变化的时候,我也需要去改User
。这个时候User这个类 它的职责就不清晰了。这不是一个好的编程概念。

举个例子,例如用户表里面加一个积分字段。 这个是一个很常见的需求。

如果我加了积分字段,在Controller里面还用User对象作为输入或者输出,就意味着我的注册方法组要的字段里面也多了个积分字段。但是注册的时候,基本没有要求你填写积分信息的吧???所以这就是我们为什么要建这个UserInfo对象的原因。这就是关注点分离。

大家在编程的时候也要注意这一点。它会让你设计出良好的程序。

服务层Service


也就是我们常说的Service层。


在创建Service的实现类


controller层暴露app服务,app服务进来后交给service层,service层再去调用DAO也就是Repository做数据库操作。这样职责就完全区分开了

service层负责实现业务逻辑,Repository专门负责数据库的操作,一般情况下Repository也不会有什么业务逻辑

声明service内的方法。和controller内是对应的

在Service的Impl类里面都 实现这些方法。

把实现类声明称Spring的Service对象,也就是Spring的一个Bean

Controller内调用Service层的方法


写Create方法。使用BeanUtils里面的方法,把传进来的UserInfo对象的值都复制到User这个对象里面。

把user对象保存后的id,复制给info对象,再返回回去。这样前天就能拿到你最终创建的这个用户的id是多少。

这样一个简单的注册就写完了

运行测试


返回的状态码是200。返回的信息就是注册的时候填写的信息,同时还有数据库最终生成的主键自增的id

日志里面打印出了insert语句

数据库内的记录

下面继续写认证的逻辑

先明确几个概念,我们现在讲的是认证,还不是登陆。

认证是验证用户的身份是否合法的这样一个过程。认证这个事 不管 成没成功,它都要往下走。它和登陆不一样。登陆一旦有问题就断掉了。比如说你登陆的时候用户名和填错了。那么我就直接抛异常了,不会再往下走了。认证的时候,如果你传进来的用户身份有问题,仍然要往下走,给下面的审核去记录,记录你这次的身份认证的结果是什么样子的。最终这个请求是不是可以被通过,要由授权来决定。不是由认证来决定的。
明确好了这些概念。就可以写代码。

结束

Spring cloud微服务安全实战-3-4 API安全机制之认证(1)的更多相关文章

  1. 《Spring Cloud微服务 入门 实战与进阶》

    很少在周末发文,还是由于昨晚刚收到实体书,还是耐不住性子马上发文了. 一年前,耗时半年多的时间,写出了我的第一本书<Spring Cloud微服务-全栈技术与案例解析>. 时至今日,一年的 ...

  2. Spring Cloud微服务安全实战_00_前言

    一.前言: 一直以来对服务安全都很感兴趣,所以就学习.这是学习immoc的 jojo老师的 <Spring Cloud微服务安全实战课程>的笔记,讲的很好. 课程简介:  二.最终形成的架 ...

  3. Spring cloud微服务安全实战_汇总

    Spring cloud微服务安全实战 https://coding.imooc.com/class/chapter/379.html#Anchor Spring Cloud微服务安全实战-1-1 课 ...

  4. Spring Cloud微服务安全实战_4-5_搭建OAuth2资源服务器

    上一篇搭建了一个OAuth2认证服务器,可以生成token,这篇来改造下之前的订单微服务,使其能够认这个token令牌. 本篇针对订单服务要做三件事: 1,要让他知道自己是资源服务器,他知道这件事后, ...

  5. Spring Cloud微服务安全实战_4-3_订单微服务&价格微服务

    实现一个场景: 订单微服务: POM: <?xml version="1.0" encoding="UTF-8"?> <project xml ...

  6. Spring cloud微服务安全实战 最新完整教程

    课程资料获取链接:点击这里 采用流行的微服务架构开发,应用程序访问安全将会面临更多更复杂的挑战,尤其是开发者最关心的三大问题:认证授权.可用性.可视化.本课程从简单的API安全入手,过渡到复杂的微服务 ...

  7. Spring Cloud微服务安全实战_4-4_OAuth2协议与微服务安全

    接上篇文章,在这个流程中,PostMan可以代表客户端应用,订单服务是资源服务器,唯一缺少的是 认证服务器 ,下面来搭建认证服务器 项目结构: Pom.xml : DependencyManager ...

  8. Spring cloud微服务安全实战-6-8sentinel限流实战

    阿里2018年开源的. 简单来说就是干三件事,最终的结果就是保证你的服务可用,不会崩掉.保证服务高可用. 流控 先从最简单的场景来入手. 1.引用一个依赖, 2,声明一个资源. 3.声明一个规则 注意 ...

  9. Spring cloud微服务安全实战-6-4权限控制改造

    授权,权限的控制 令牌里的scope包含fly就有权限访问.根据Oauth的scope来做权限控制, 要让@PreAuthorize生效,就要在启动类里面写一个注解. 里面有一个属性叫做,就是在方法的 ...

  10. Spring cloud微服务安全实战-6-2JWT认证之认证服务改造

    首先来解决认证的问题. 1.效率低,每次认证都要去认证服务器调一次服务. 2.传递用户身份,在请求头里面, 3.服务之间传递请求头比较麻烦. jwt令牌. spring提供了工具,帮你在微服务之间传递 ...

随机推荐

  1. destoon二次开发-用户名、邮箱、手机账号中间字符串以*隐藏 扩展

    因为dt里面有用户名.邮箱.手机账号等,所以想办法进行隐藏保护用户隐私,所以个人就试着写了这个代码. 在api/extend.func.php文件下增加以下代码: //用户名.邮箱.手机账号中间字符串 ...

  2. Mysql 根据时间取出每组数据中最新的一条

    下策——查询出结果后将时间排序后取第一条 select * from a where create_time<="2017-03-29 19:30:36"order by c ...

  3. Kafka 通过python简单的生产消费实现

    使用CentOS6.5.python3.6.kafkaScala 2.10  - kafka_2.10-0.8.2.2.tgz (asc, md5) 一.下载kafka 下载地址 https://ka ...

  4. stos指令

    mov ecx,30mov eax,0cccccccchrep stos dword prt es:[edi]stos指令,它的功能是将eax中的数据放入的edi所指的地址中,同时,edi会增加4个字 ...

  5. 正确使用Java读写锁

    JDK8中引入了高性能的读写锁StampedLock,它的核心思想在于,在读的时候如果发生了写,应该通过重试的方式来获取新的值,而不应该阻塞写操作.这种模式也就是典型的无锁编程思想,和CAS自旋的思想 ...

  6. BZOJ 1406: [AHOI2007]密码箱

    二次联通门 : BZOJ 1406: [AHOI2007]密码箱 /* BZOJ 1406: [AHOI2007]密码箱 数论 要求 x^2 ≡ 1 (mod n) 可以转换为 x ^ 2 - k * ...

  7. 留言板welcome here friends!

    欢迎留言!!! 另附本人信息栏 \(cnblogs\): ShineEternal \(洛谷\):vercont \(CSDN\) \(blog\): ShineEternal \(github\) ...

  8. 网络请求之get post

    ——http get和post的区别? 1.get用于获取数据,post用于提交数据 2.get提交参数追加在url后面,post参数可以通过http body提交 3.get的url会有长度上的限制 ...

  9. 《挑战30天C++入门极限》C++运算符重载转换运算符

        C++运算符重载转换运算符 为什么需要转换运算符? 大家知道对于内置类型的数据我们可以通过强制转换符的使用来转换数据,例如(int)2.1f;自定义类也是类型,那么自定义类的对象在很多情况下也 ...

  10. Linux下的crontab定时执行任务命令

    0x00 简介 在LINUX中,周期执行的任务一般由cron这个守护进程来处理[ps -ef|grep cron].cron读取一个或多个配置文件,这些配置文件中包含了命令行及其调用时间. cron的 ...