微服务版的单点登陆系统设计及实现

　　简介背景分析
　　传统的登录系统中，每个站点都实现了自己的专用登录模块。各站点的登录状态相互不认可，各站点需要逐一手工登录。例如：
　　这样的系统，我们又称之为多点登陆系统。应用起来相对繁琐（每次访问资源服务都需要重新登陆认证和授权）。与此同时，系统代码的重复也比较高。由此单点登陆系统诞生。单点登陆系统
　　单点登录，英文是 Single Sign On（缩写为 SSO）。即多个站点共用一台认证授权服务器，用户在其中任何一个站点登录后，可以免登录访问其他所有站点。而且，各站点间可以通过该登录状态直接交互。例如：
　　快速入门实践工程结构如下
　　基于资源服务工程添加单点登陆认证和授权服务，工程结构定义如下：
　　创建认证授权工程
　　添加项目依赖           org.springframework.boot         spring-boot-starter-web                   org.springframework.cloud         spring-cloud-starter-oauth2                   com.alibaba.cloud         spring-cloud-starter-alibaba-nacos-discovery                   com.alibaba.cloud         spring-cloud-starter-alibaba-nacos-config     构建项目配置文件
　　在sca-auth工程中创建bootstrap.yml文件，例如： server:   port: 8071 spring:   application:     name: sca-auth   cloud:     nacos:       discovery:         server-addr: localhost:8848       config:         server-addr: localhost:8848添加项目启动类package com.jt;  import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication;  @SpringBootApplication public class ResourceAuthApplication {     public static void main(String[] args) {         SpringApplication.run(ResourceAuthApplication.class, args);     } }启动并访问项目
　　项目启动时，系统会默认生成一个登陆密码，例如：
　　其中，默认用户名为user，密码为系统启动时，在控制台呈现的密码。执行登陆测试,登陆成功进入如下界面（因为没有定义登陆页面，所以会出现404）：
　　自定义登陆逻辑业务描述
　　我们的单点登录系统最终会按照如下结构进行设计和实现,例如:
　　我们在实现登录时,会在UI工程中,定义登录页面(login.html),然后在页面中输入自己的登陆账号，登陆密码,将请求提交给网关,然后网关将请求转发到auth工程,登陆成功和失败要返回json数据,在这个章节我们会按这个业务逐步进行实现定义安全配置类
　　修改SecurityConfig配置类,添加登录成功或失败的处理逻辑,例如:package com.jt.auth.config;  import com.fasterxml.jackson.databind.ObjectMapper; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.web.authentication.AuthenticationFailureHandler; import org.springframework.security.web.authentication.AuthenticationSuccessHandler;  import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.io.PrintWriter; import java.util.HashMap; import java.util.Map;  @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter {     /**初始化密码加密对象*/     @Bean     public BCryptPasswordEncoder passwordEncoder(){         return new BCryptPasswordEncoder();     }     /**在这个方法中定义登录规则      * 1)对所有请求放行(当前工程只做认证)      * 2)登录成功信息的返回      * 3)登录失败信息的返回      * */     @Override     protected void configure(HttpSecurity http) throws Exception {         //关闭跨域工具         http.csrf().disable();         //放行所有请求         http.authorizeRequests().anyRequest().permitAll();         //登录成功与失败的处理         http.formLogin()                 .successHandler(successHandler())                 .failureHandler(failureHandler());     }      @Bean     public AuthenticationSuccessHandler successHandler(){ //        return new AuthenticationSuccessHandler() { //            @Override //            public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException { // //            } //        }         return (request,response,authentication) ->{             //1.构建map对象,封装响应数据             Map map=new HashMap<>();             map.put(＂state＂,200);             map.put(＂message＂,＂login ok＂);             //2.将map对象写到客户端             writeJsonToClient(response,map);         };     }     @Bean     public AuthenticationFailureHandler failureHandler(){         return (request,response, e)-> {             //1.构建map对象,封装响应数据             Map map=new HashMap<>();             map.put(＂state＂,500);             map.put(＂message＂,＂login failure＂);             //2.将map对象写到客户端             writeJsonToClient(response,map);         };     }     private void writeJsonToClient(HttpServletResponse response,                                    Object object) throws IOException {         //1.将对象转换为json         //将对象转换为json有3种方案:         //1)Google的Gson-->toJson  (需要自己找依赖)         //2)阿里的fastjson-->JSON (spring-cloud-starter-alibaba-sentinel)         //3)Springboot web自带的jackson-->writeValueAsString (spring-boot-starter-web)         //我们这里借助springboot工程中自带的jackson         //jackson中有一个对象类型为ObjectMapper,它内部提供了将对象转换为json的方法         //例如:         String jsonStr=new ObjectMapper().writeValueAsString(object);         //3.将json字符串写到客户端         PrintWriter writer = response.getWriter();         writer.println(jsonStr);         writer.flush();     } }定义用户信息处理对象
　　在spring security应用中底层会借助UserDetailService对象获取数据库信息,并进行封装,最后返回给认证管理器,完成认证操作,例如: package com.jt.auth.service;  import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.authority.AuthorityUtils; import org.springframework.security.core.userdetails.User; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.core.userdetails.UsernameNotFoundException; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.stereotype.Service;  import java.util.List;  /**  * 登录时用户信息的获取和封装会在此对象进行实现,  * 在页面上点击登录按钮时,会调用这个对象的loadUserByUsername方法,  * 页面上输入的用户名会传给这个方法的参数  */ @Service public class UserDetailsServiceImpl implements UserDetailsService {     @Autowired     private BCryptPasswordEncoder passwordEncoder;     //UserDetails用户封装用户信息(认证和权限信息)      @Override     public UserDetails loadUserByUsername(String username)             throws UsernameNotFoundException {         //1.基于用户名查询用户信息(用户名,用户状态,密码,....)         //Userinfo userinfo=userMapper.selectUserByUsername(username);         String encodedPassword=passwordEncoder.encode(＂123456＂);         //2.查询用户权限信息(后面会访问数据库)         //这里先给几个假数据         List authorities =         AuthorityUtils.createAuthorityList(//这里的权限信息先这么写,后面讲                 ＂sys:res:create＂, ＂sys:res:retrieve＂);         //3.对用户信息进行封装         return new User(username,encodedPassword,authorities);     } }网关中登陆路由配置
　　在网关配置文件中添加登录路由配置,例如  - id: router02    uri: lb://sca-auth  #lb表示负载均衡,底层默认使用ribbon实现    predicates: #定义请求规则(请求需要按照此规则设计)       - Path=/auth/login/** #请求路径设计    filters:       - StripPrefix=1 #转发之前去掉path中第一层路径基于Postman进行访问测试
　　启动sca-gateway，sca-auth服务，然后基于postman访问网关,执行登录测试，例如：
　　自定义登陆页面
　　在sca-resource-ui工程的static目录中定义登陆页面，例如：                                         
Please Login
            
　　启动sca-resource-ui服务后，进入登陆页面，输入用户名jack,密码123456进行登陆测试。颁发登陆成功令牌构建令牌配置对象
　　本次我们借助JWT(Json Web Token-是一种json格式）方式将用户相关信息进行组织和加密,并作为响应令牌(Token),从服务端响应到客户端,客户端接收到这个JWT令牌之后,将其保存在客户端(例如localStorage),然后携带令牌访问资源服务器,资源服务器获取并解析令牌的合法性,基于解析结果判定是否允许用户访问资源.package com.jt.auth.config;  import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.oauth2.provider.token.TokenStore; import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter; import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;  @Configuration public class TokenConfig {     //定义签名key,在执行令牌签名需要这个key,可以自己指定.      private String SIGNING_KEY = ＂auth＂;      //定义令牌生成策略.     @Bean     public TokenStore tokenStore() {         return new JwtTokenStore(jwtAccessTokenConverter());     }     //定义Jwt转换器,负责生成jwt令牌,解析令牌内容     @Bean     public JwtAccessTokenConverter jwtAccessTokenConverter(){         JwtAccessTokenConverter converter=new JwtAccessTokenConverter();         //设置加密/解密口令         converter.setSigningKey(SIGNING_KEY);         return converter;     }  }定义认证授权核心配置
　　第一步：在SecurityConfig中添加如下方法（创建认证管理器对象，后面授权服务器会用到）：  @Bean     public AuthenticationManager authenticationManagerBean()             throws Exception {         return super.authenticationManagerBean();     }
　　第二步：所有零件准备好了开始拼装最后的主体部分，这个主体部分就是授权服务器的核心配置 package com.jt.auth.config;  import lombok.AllArgsConstructor; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.http.HttpMethod; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer; import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter; import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer; import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer; import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer; import org.springframework.security.oauth2.provider.token.AuthorizationServerTokenServices; import org.springframework.security.oauth2.provider.token.DefaultTokenServices; import org.springframework.security.oauth2.provider.token.TokenEnhancerChain; import org.springframework.security.oauth2.provider.token.TokenStore; import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;  import java.util.Arrays;  /**  * 完成所有配置的组装,在这个配置类中完成认证授权,JWT令牌签发等配置操作  * 1)SpringSecurity (安全认证和授权)  * 2)TokenConfig  * 3)Oauth2(暂时不说)  */  @AllArgsConstructor @Configuration @EnableAuthorizationServer //开启认证和授权服务 public class Oauth2Config extends AuthorizationServerConfigurerAdapter {     //此对象负责完成认证管理     private AuthenticationManager authenticationManager;     //TokenStore负责完成令牌创建,信息读取     private TokenStore tokenStore;     //JWT令牌转换器(基于用户信息构建令牌,解析令牌)     private JwtAccessTokenConverter jwtAccessTokenConverter;     //密码加密匹配器对象     private PasswordEncoder passwordEncoder;     //负责获取用户信息信息     private UserDetailsService userDetailsService;      //设置认证端点的配置(/oauth/token),客户端通过这个路径获取JWT令牌     @Override     public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {         endpoints         //配置认证管理器         .authenticationManager(authenticationManager)         //验证用户的方法获得用户详情         .userDetailsService(userDetailsService)         //要求提交认证使用post请求方式,提高安全性         .allowedTokenEndpointRequestMethods(HttpMethod.POST,HttpMethod.GET)         //要配置令牌的生成,由于令牌生成比较复杂,下面有方法实现         .tokenServices(tokenService());//这个不配置,默认令牌为UUID.randomUUID().toString()     }      //定义令牌生成策略     @Bean     public AuthorizationServerTokenServices tokenService(){         //这个方法的目标就是获得一个令牌生成器         DefaultTokenServices services=new DefaultTokenServices();         //支持令牌刷新策略(令牌有过期时间)         services.setSupportRefreshToken(true);         //设置令牌生成策略(tokenStore在TokenConfig配置了,本次我们应用JWT-定义了一种令牌格式)         services.setTokenStore(tokenStore);         //设置令牌增强(允许设置令牌生成策略,默认是非jwt方式,现在设置为jwt方式,并在令牌Payload部分允许添加扩展数据,例如用户权限信息)         TokenEnhancerChain chain=new TokenEnhancerChain();         chain.setTokenEnhancers(Arrays.asList(jwtAccessTokenConverter));         services.setTokenEnhancer(chain);         //设置令牌有效期         services.setAccessTokenValiditySeconds(3600);//1小时         //刷新令牌应用场景：一般在用户登录系统后，令牌快过期时，系统自动帮助用户刷新令牌，提高用户的体验感         services.setRefreshTokenValiditySeconds(3600*72);//3天         return services;     }      //设置客户端详情类似于用户详情     @Override     public void configure(ClientDetailsServiceConfigurer clients) throws Exception {         clients.inMemory()         //客户端id (客户端访问时需要这个id)         .withClient(＂gateway-client＂)         //客户端秘钥(客户端访问时需要携带这个密钥)         .secret(passwordEncoder.encode(＂123456＂))         //设置权限         .scopes(＂all＂)//all只是个名字而已和写abc效果相同         //允许客户端进行的操作  这里的认证方式表示密码方式,里面的字符串千万不能写错         .authorizedGrantTypes(＂password＂,＂refresh_token＂);     }     // 认证成功后的安全约束配置,对指定资源的访问放行,我们登录时需要访问/oauth/token,需要对这样的url进行放行     @Override     public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {         //认证通过后,允许客户端进行哪些操作         security         //公开oauth/token_key端点         .tokenKeyAccess(＂permitAll()＂)         //公开oauth/check_token端点         .checkTokenAccess(＂permitAll()＂)         //允许提交请求进行认证(申请令牌)         .allowFormAuthenticationForClients();     } }配置网关认证的URL  - id: router02       uri: lb://sca-auth       predicates:         #- Path=/auth/login/**  #没要令牌之前,以前是这样配置         - Path=/auth/oauth/**   #微服务架构下,需要令牌,现在要这样配置       filters:         - StripPrefix=1Postman访问测试
　　第一步：启动服务
　　依次启动sca-auth服务，sca-resource-gateway服务。
　　第二步：检测sca-auth服务控制台的Endpoints信息，例如:
　　第三步：打开postman进行登陆访问测试
　　登陆成功会在控制台显示令牌信息，例如：  {     ＂access_token＂: ＂eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2Mjk5OTg0NjAsInVzZXJfbmFtZSI6ImphY2siLCJhdXRob3JpdGllcyI6WyJzeXM6cmVzOmNyZWF0ZSIsInN5czpyZXM6cmV0cmlldmUiXSwianRpIjoiYWQ3ZDk1ODYtMjUwYS00M2M4LWI0ODYtNjIyYjJmY2UzMDNiIiwiY2xpZW50X2lkIjoiZ2F0ZXdheS1jbGllbnQiLCJzY29wZSI6WyJhbGwiXX0.-Zcmxwh0pz3GTKdktpr4FknFB1v23w-E501y7TZmLg4＂,     ＂token_type＂: ＂bearer＂,     ＂refresh_token＂: ＂eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJqYWNrIiwic2NvcGUiOlsiYWxsIl0sImF0aSI6ImFkN2Q5NTg2LTI1MGEtNDNjOC1iNDg2LTYyMmIyZmNlMzAzYiIsImV4cCI6MTYzMDI1NDA2MCwiYXV0aG9yaXRpZXMiOlsic3lzOnJlczpjcmVhdGUiLCJzeXM6cmVzOnJldHJpZXZlIl0sImp0aSI6IjIyOTdjMTg2LWM4MDktNDZiZi1iNmMxLWFiYWExY2ExZjQ1ZiIsImNsaWVudF9pZCI6ImdhdGV3YXktY2xpZW50In0.1Bf5IazROtFFJu31Qv3rWAVEtFC1NHWU1z_DsgcnSX0＂,     ＂expires_in＂: 3599,     ＂scope＂: ＂all＂,     ＂jti＂: ＂ad7d9586-250a-43c8-b486-622b2fce303b＂ }登陆页面登陆方法设计
　　登陆成功以后，将token存储到localStorage中,修改登录页面的doLogin方法,例如   doLogin() {     //1.定义url      let url = ＂http://localhost:9000/auth/oauth/token＂     //2.定义参数       let params = new URLSearchParams()        params.append(＂username＂,this.username);        params.append(＂password＂,this.password);        params.append(＂client_id＂,＂gateway-client＂);        params.append(＂client_secret＂,＂123456＂);        params.append(＂grant_type＂,＂password＂);       //3.发送异步请求        axios.post(url, params).then((response) => {           alert(＂login ok＂);            let result=response.data;            localStorage.setItem(＂accessToken＂,result.access_token);             location.href=＂/fileupload.html＂;           }).catch((error)=>{                     console.log(error);          })        }资源服务器配置添加依赖
　　打开资源服务的pom.xml文件，添加oauth2依赖。      org.springframework.cloud     spring-cloud-starter-oauth2 令牌处理器配置package com.jt.auth.config;  import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.oauth2.provider.token.TokenStore; import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter; import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;  /**  * 创建JWT令牌配置类,基于这个类实现令牌对象的创建和解析.  * JWT令牌的构成有三部分构成:  * 1)HEADER (头部信息:令牌类型,签名算法)  * 2)PAYLOAD (数据信息-用户信息,权限信息,令牌失效时间,...)  * 3)SIGNATURE (签名信息-对header和payload部分进行加密签名)  */ @Configuration public class TokenConfig {     //定义令牌签发口令(暗号),这个口令自己定义即可     //在对header和PAYLOAD部分进行签名时,需要的一个口令     private String SIGNING_KEY= ＂auth＂;     //初始化令牌生成策略(默认生成策略 UUID)     //这里我们采用JWT方式生成令牌     @Bean     public TokenStore tokenStore(){         return new JwtTokenStore(jwtAccessTokenConverter());     }     //构建JWT令牌转换器对象,基于此对象创建令牌,解析令牌     @Bean     public JwtAccessTokenConverter jwtAccessTokenConverter(){         JwtAccessTokenConverter converter=new JwtAccessTokenConverter();         converter.setSigningKey(SIGNING_KEY);         return converter;     } }资源服务令牌解析配置package com.jt.resource.config;  import com.fasterxml.jackson.databind.ObjectMapper; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer; import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter; import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer; import org.springframework.security.oauth2.provider.token.TokenStore; import org.springframework.security.web.access.AccessDeniedHandler;  import javax.servlet.http.HttpServletResponse; import java.io.PrintWriter; import java.util.HashMap; import java.util.Map;  @Configuration @EnableResourceServer @EnableGlobalMethodSecurity(prePostEnabled = true) public class ResourceServerConfig extends ResourceServerConfigurerAdapter {      @Autowired     private TokenStore tokenStore;     /**      * token服务配置      */     @Override     public void configure(ResourceServerSecurityConfigurer resources) throws Exception {         resources.tokenStore(tokenStore);     }     /**      * 路由安全认证配置      */     @Override     public void configure(HttpSecurity http) throws Exception {         http.csrf().disable();         http.exceptionHandling()                 .accessDeniedHandler(accessDeniedHandler());         http.authorizeRequests().anyRequest().permitAll();      }     //没有权限时执行此处理器方法     public AccessDeniedHandler accessDeniedHandler() {         return (request, response, e) -> {             Map map = new HashMap<>();             map.put(＂state＂, HttpServletResponse.SC_FORBIDDEN);//SC_FORBIDDEN的值是403             map.put(＂message＂, ＂没有访问权限,请联系管理员＂);             //1设置响应数据的编码             response.setCharacterEncoding(＂utf-8＂);             //2告诉浏览器响应数据的内容类型以及编码             response.setContentType(＂application/json;charset=utf-8＂);             //3获取输出流对象             PrintWriter out=response.getWriter();             //4 输出数据             String result=                     new ObjectMapper().writeValueAsString(map);             out.println(result);             out.flush();         };     }  }资源服务令牌解析配置package com.jt.resource.config;  import com.fasterxml.jackson.databind.ObjectMapper; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer; import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter; import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer; import org.springframework.security.oauth2.provider.token.TokenStore; import org.springframework.security.web.access.AccessDeniedHandler;  import javax.servlet.http.HttpServletResponse; import java.io.PrintWriter; import java.util.HashMap; import java.util.Map;  @Configuration @EnableResourceServer @EnableGlobalMethodSecurity(prePostEnabled = true) public class ResourceServerConfig extends ResourceServerConfigurerAdapter {      @Autowired     private TokenStore tokenStore;     /**      * token服务配置      */     @Override     public void configure(ResourceServerSecurityConfigurer resources) throws Exception {         resources.tokenStore(tokenStore);     }     /**      * 路由安全认证配置      */     @Override     public void configure(HttpSecurity http) throws Exception {         http.csrf().disable();         http.exceptionHandling()                 .accessDeniedHandler(accessDeniedHandler());         http.authorizeRequests().anyRequest().permitAll();      }     //没有权限时执行此处理器方法     public AccessDeniedHandler accessDeniedHandler() {         return (request, response, e) -> {             Map map = new HashMap<>();             map.put(＂state＂, HttpServletResponse.SC_FORBIDDEN);//SC_FORBIDDEN的值是403             map.put(＂message＂, ＂没有访问权限,请联系管理员＂);             //1设置响应数据的编码             response.setCharacterEncoding(＂utf-8＂);             //2告诉浏览器响应数据的内容类型以及编码             response.setContentType(＂application/json;charset=utf-8＂);             //3获取输出流对象             PrintWriter out=response.getWriter();             //4 输出数据             String result=                     new ObjectMapper().writeValueAsString(map);             out.println(result);             out.flush();         };     }  }ResourceController 方法配置
　　在controller的上传方法上添加 @PreAuthorize(＂hasAuthority(‘sys:res:create’)＂)注解，用于告诉底层框架方法此方法需要具备的权限，例如   @PreAuthorize(＂hasAuthority(＂sys:res:create＂)＂)   @PostMapping(＂/upload/＂)    public String uploadFile(MultipartFile uploadFile) throws IOException {        ...    }启动服务访问测试第一步:启动服务（sca-auth,sca-resource-gateway,sca-resource)第二步:执行登陆获取access_token令牌第三步:携带令牌访问资源(url中的前缀＂sca＂是在资源服务器中自己指定的,你的网关怎么配置的,你就怎么写)
　　设置请求头(header)，要携带令牌并指定请求的内容类型，例如
　　设置请求体(body)，设置form-data，key要求为file类型，参数名与你服务端controller文件上传方法的参数名相同，值为你选择的文件，例如
　　上传成功会显示你访问文件需要的路径，假如没有权限会提示你没有访问权限。 文件上传JS方法设计 function upload(file){         //定义一个表单         let form=new FormData();         //将图片添加到表单中         form.append(＂uploadFile＂,file);         let url=＂http://localhost:9000/sca/resource/upload/＂;         //异步提交方式1         axios.post(url,form,{headers:{＂Authorization＂:＂Bearer ＂+localStorage.getItem(＂accessToken＂)}})              .then(function (response){                  let result=response.data;                  if(result.state==403){                      alert(result.message);                      return;                  }                  alert(＂upload ok＂);              })     }技术摘要应用实践说明背景分析
　　企业中数据是最重要的资源,对于这些数据而言,有些可以直接匿名访问,有些只能登录以后才能访问,还有一些你登录成功以后,权限不够也不能访问.总之这些规则都是保护系统资源不被破坏的一种手段.几乎每个系统中都需要这样的措施对数据(资源)进行保护.我们通常会通过软件技术对这样业务进行具体的设计和实现.早期没有统一的标准,每个系统都有自己独立的设计实现,但是对于这个业务又是一个共性,后续市场上就基于共性做了具体的落地实现,例如Spring Security,Apache shiro，JWT，Oauth2等技术诞生了.Spring Security 技术
　　Spring Security 是一个企业级安全框架,由spring官方推出,它对软件系统中的认证,授权,加密等功能进行封装,并在springboot技术推出以后,配置方面做了很大的简化.现在市场上分布式架构中的安全控制，正在逐步的转向Spring Security。Spring Security 在企业中实现认证和授权业务时,底层构建了大量的过滤器，如图所示：
　　其中:
　　图中绿色部分为认证过滤器,黄色部分为授权过滤器。Spring Security就是通过这些过滤器然后调用相关对象一起完成认证和授权操作.Jwt 数据规范
　　JWT(JSON WEB Token)是一个标准，采用数据自包含方式进行json格式数据设计，实现各方安全的信息传输，其官方网址为：https://jwt.io/。官方JWT规范定义，它构成有三部分，分别为Header(头部)，Payload(负载)，Signature(签名),其格式如下：xxxxx.yyyyy.zzzzz
　　Header 部分是一个 JSON 对象，描述 JWT 的元数据，通常是下面的样子。 {   ＂alg＂: ＂HS256＂,   ＂typ＂: ＂JWT＂ }
　　上面代码中，alg属性表示签名的算法（algorithm），默认是 HMAC SHA256（简写HS256）；typ属性表示这个令牌（token）的类型（type），JWT 令牌统一写为JWT。最后，将这个 JSON 对象使用 Base64URL 算法（详见后文）转成字符串。
　　Payload部分
　　Payload 部分也是一个 JSON 对象，用来存放实际需要传递的数据。JWT规范中规定了7个官方字段，供选用。iss (issuer)：签发人exp (expiration time)：过期时间sub (subject)：主题aud (audience)：受众nbf (Not Before)：生效时间iat (Issued At)：签发时间jti (JWT ID)：编号除了官方字段，你还可以在这个部分定义私有字段，下面就是一个例子。{   ＂sub＂: ＂1234567890＂,   ＂name＂: ＂John Doe＂,   ＂admin＂: true }
　　注意，JWT 默认是不加密的，任何人都可以读到，所以不要把秘密信息放在这个部分。
　　这个 JSON 对象也要使用 Base64URL 算法转成字符串。
　　Signature部分
　　Signature 部分是对前两部分的签名，其目的是防止数据被篡改。
　　首先，需要指定一个密钥（secret）。这个密钥只有服务器才知道，不能泄露给用户。然后，使用 Header 里面指定的签名算法（默认是 HMAC SHA256），按照下面的公式产生签名。HMACSHA256(   base64UrlEncode(header) + ＂.＂ +   base64UrlEncode(payload),   secret)
　　算出签名以后，把 Header、Payload、Signature 三个部分拼成一个字符串，每个部分之间用＂点＂（.）分隔，就可以返回给用户。 Oauth2规范
　　oauth2定义了一种认证授权协议，一种规范，此规范中定义了四种类型的角色：
　　1)资源有者(User)
　　2)认证授权服务器(jt-auth)
　　3)资源服务器(jt-resource)
　　4)客户端应用(jt-ui)
　　同时，在这种协议中规定了认证授权时的几种模式：
　　1)密码模式 (基于用户名和密码进行认证)
　　2)授权码模式(就是我们说的三方认证：QQ，微信，微博，…)
　　3)…总结（Summary）重难点分析
　　单点登陆系统的设计架构（微服务架构） 服务的设计及划分(资源服务器，认证服务器，网关服务器，客户端服务） 认证及资源访问的流程(资源访问时要先认证再访问) 认证和授权时的一些关键技术(Spring Security,Jwt,Oauth2) FAQ 分析为什么要单点登陆（分布式系统，再访问不同服务资源时，不要总是要登陆，进而改善用户体验）单点登陆解决方案？(市场常用两种: spring security+jwt+oauth2,spring securit+redis+oauth2)Spring Security 是什么？（spring框架中的一个安全默认，实现了认证和授权操作）JWT是什么？（一种令牌格式，一种令牌规范，通过对JSON数据采用一定的编码，加密进行令牌设计）OAuth2是什么？（一种认证和授权规范，定义了单点登陆中服务的划分方式，认证的相关类型）
　　…Bug 分析401 : 访问资源时没有认证。 403 : 访问资源时没有权限。 404：访问的资源找不到（一定要检查你访问资源的url） 405: 请求方式不匹配（客户端请求方式是GET，服务端处理请求是Post就是这个问题） 500: 不看后台无法解决？（error,warn） …