[TOC] ## 一、登录 ``` http://127.0.0.1:8066 admin/admin ```   ## 二、访问后端api需带上token ``` 放header方式: Authorization:Bearer xxx ​ 放参数方式: http://localhost:9900/api-user/users?access_token=xxx ```   ## 三、后端api方法不做认证方式 ```yml zlt: security:   ignore: httpUrls: '不想认证拦截的url' ``` ![](images/screenshot_1549772635310.png)   ## 四、获取当前登录人对象 * 请求的方法参数SysUser上添加该注解,则注入当前登录人信息 ```java //例1:只有id、username 和 roles public void test(@LoginUser SysUser user) ​ //例2:能获取SysUser对象的所有信息 public void test(@LoginUser(isFull = true) SysUser user) ```   ## 五、认证token类型切换 * 本项目token类型支持3种方式:`db`、`redis`、`jwt` * 其中因为jwt使用的是非对称加密,所以认证服务(zlt-uaa)需要配置为`authJwt`为私钥加密,其他服务(例如网关)配置为`resJwt`为公钥解密; * 通过修改`zlt.oauth2.token.store.type`变量即可改变 ![](https://box.kancloud.cn/ad71947f438747aeb053c2851c413a25_243x164.png) * 例如现在为jwt方式,需要修改为redis方式,只修改`zlt-uaa`和`zuul-gateway`或者`sc-gateway`的`zlt.oauth2.token.store.type`变量为`redis`即可   ## 六、无网络隔离的系统环境下认证修改 * 因为当前的代码是api网关统一认证的架构,适配有网络隔离的环境下使用 * 而如果无网络隔离的环境下代码需求进行调整,将api网关的认证相关内容移去各个微服务里,架构可参考 [无网络隔离认证设计] ![](https://box.kancloud.cn/162ccbec23d5392ec8abe01cdf567a66_606x805.png) 具体步骤: ### 6.1. 把一下内容从api网关移去各个微服务里: * `zlt-auth-client-spring-boot-starter` jar包依赖 * `ResourceServerConfiguration` 资源服务配置 * 删除`UserInfoHeaderFilter`类 * 配置文件里面认证相关配置 ![](https://box.kancloud.cn/5606a2a6c696a425122731eee0539be3_555x666.png) * `pubkey.txt`公钥 ### 6.2. 修改`TokenArgumentResolver`类 改为通过SecurityContextHolder获取用户信息 ![](https://box.kancloud.cn/77efaeab972cf45aa4e8a900a7528a86_1060x632.png)   ## 七、token自动续签 * 目前续签功能只支持`redis token`模式,请先确保授权服务器和认证服务器的`zlt.oauth2.token.store.type=redis` * **认证服务器**开启自动续签功能`zlt.security.auth.renew.enable=true` * 白名单与非名单功能是**非必填项**,不配置默认所有应用的token都会续签 ![](https://box.kancloud.cn/16434d90e5f90ffdf9bdaae56a047d03_557x441.png) >[info]自动续签原理:[系统设计-认证设计-token自动续签设计](https://www.kancloud.cn/zlt2000/microservices-platform/1165104)   ## 八、url级权限 该功能默认关闭,开启需要在网关添加url权限相关配置 ![](https://img.kancloud.cn/7e/1d/7e1d219b24c7e2c9f95cba6c4e99348d_1343x408.png) ### 8.1. 打开网关认证配置 `zlt.security.auth.urlPermission.enable`设置为`true` ### 8.2. 配置只认证登录,登录后所有角色都能访问的url(可选项) `zlt.security.auth.urlPermission.ignoreUrls` ### 8.3. 配置白名单/黑名单(可选项) `zlt.security.auth.urlPermission.includeClientIds` `zlt.security.auth.urlPermission.exclusiveClientIds` 详情查看:[url级权限控制](https://www.kancloud.cn/zlt2000/microservices-platform/1202397)