spring-cloud-security_spring cloud security

说在前面

• 劳资有代码洁癖，就追求用最少的代码，最整齐的代码完成功能和达到要求的性能，原来的项目是的认证和授权是集成在单个业务模块里的，这样就导致增加一个工程就搬一次认证和授权的代码，很不爽，又不想为了认证和授权单独写一个服务。有机会接手一个全新的项目，打算把网关和认证授权集成在一个工程，但是原来的认证和授权是spring-boot-security，是基于servlet的web容器的，而spring-gateway是基于webflux的，没有servlet，好，那就搞spring-cloud-security吧，他也是基于webflux的。
• 此篇暂时只有spring-cloud-security，spring-cloud-gateway的代码后期补上，（已经补上了，spring-cloud-gateway看我的另一篇博客，整合代码连接在最后）。
• 看了网上好多的帖子，有基于 AuthenticationManager做认证的，有集成

  ServerSecurityContextRepository 然后认证和授权的，有单独定义一个webFilter 来做认证和授权的，还有的认证不通过也会走到鉴权流程，总之感觉不是我想要的

• 我想要的，认证不通过返回 401，认证通过了但是鉴权不通过返回 403，认证和授权都通过了正确返回。

架构

• 前后端分离的工程，登录不用spring-cloud-security默认的表单，用restful风格的post请求，登录成功后创建认证和授权信息（代码里就是 UsernamePasswordAuthenticationToken），然后之后所有的请求都带 access_token 请求头过来进行认证和授权。
• 缓存用redis_cluster，数据库就mysql。

表结构

工程代码里的sql文件夹里，简单的写入一条用户，一个role（admin），和相关的关联关系。

先看效果

登录，成功返回token

 带上登录返回的token，请求/demo，正确返回