[TOC] ## 一、登录 ``` http://127.0.0.1:8066 admin/admin ```   ## 二、访问后端api需带上token ``` 放header方式： Authorization:Bearer xxx ​ 放参数方式： http://localhost:9900/api-user/users?access_token=xxx ```   ## 三、后端api方法不做认证方式 ```yml zlt: security:   ignore: httpUrls: '不想认证拦截的url' ```   ## 四、获取当前登录人对象 有以下两种方式选择 ### 4.1. 注解获取 在 `controller` 层请求的方法参数 `SysUser` 上添加 `@LoginUser` 注解，则注入当前登录人信息。 ```java //例1：只有id、username 和 roles public void test(@LoginUser SysUser user) ​ //例2：能获取SysUser对象的所有信息 public void test(@LoginUser(isFull = true) SysUser user) ``` ### 4.2. 方法获取 在被 `access_token` 鉴权过的请求的任意层任意方法中使用 `LoginUserContextHolder.getUser` 方式获取。 ```java SysUser user = LoginUserContextHolder.getUser() ``` >[warning] 无论在 contoller、service 或者 dao 层使用该方法都可以，需要服务满足以下两个条件： > 1. 服务依赖 zlt-common-spring-boot-starter > 2. 请求的入口方法需要鉴权   ## 五、获取当前登录的租户 * 请求的方法参数上添加 @LoginClient 注解，则注入租户id信息 ```java //例子： public void test(@LoginClien String clientId) ```   ## 六、认证token类型切换 * 本项目token类型支持3种方式：`db`、`redis`、`jwt` * 其中因为jwt使用的是非对称加密，所以认证服务(zlt-uaa)需要配置为`authJwt`为私钥加密，其他服务(例如网关)配置为`resJwt`为公钥解密； * 通过修改`zlt.oauth2.token.store.type`变量即可改变  * 例如现在为jwt方式，需要修改为redis方式，只修改`zlt-uaa`和`zuul-gateway`或者`sc-gateway`的`zlt.oauth2.token.store.type`变量为`redis`即可   ## 七、无网络隔离的系统环境下认证修改 * 因为当前的代码是api网关统一认证的架构，适配有网络隔离的环境下使用 * 而如果无网络隔离的环境下代码需求进行调整，将api网关的认证相关内容移去各个微服务里，架构可参考 [无网络隔离认证设计](https://www.kancloud.cn/zlt2000/microservices-platform/1153640)  具体步骤： ### 7.1. 把一下内容从api网关移去各个微服务里： * `zlt-auth-client-spring-boot-starter` jar包依赖 * `ResourceServerConfiguration` 资源服务配置 * 删除`UserInfoHeaderFilter`类 * 配置文件里面认证相关配置  * `pubkey.txt`公钥 ### 7.2. 修改`TokenArgumentResolver`类 改为通过SecurityContextHolder获取用户信息    ## 八、token自动续签 * 目前续签功能只支持`redis token`模式，请先确保授权服务器和认证服务器的`zlt.oauth2.token.store.type=redis` * **认证服务器**开启自动续签功能`zlt.security.auth.renew.enable=true` * 白名单与黑名单功能是**非必填项**，不配置默认所有应用的token都会续签  >[info]自动续签原理：[系统设计-认证设计-token自动续签设计](https://www.kancloud.cn/zlt2000/microservices-platform/1165104)   ## 九、url级权限 该功能默认关闭，开启需要在网关添加url权限相关配置  ### 9.1. 打开网关认证配置 `zlt.security.auth.urlPermission.enable`设置为`true` ### 9.2. 配置只认证登录，登录后所有角色都能访问的url(可选项) `zlt.security.auth.urlPermission.ignoreUrls` ### 9.3. 配置白名单/黑名单(可选项) `zlt.security.auth.urlPermission.includeClientIds` `zlt.security.auth.urlPermission.exclusiveClientIds` 详情查看：[url级权限控制](https://www.kancloud.cn/zlt2000/microservices-platform/1202397)   ## 十、登录同应用同账号互踢 实现了在同一个应用id下，不同的浏览器使用相同的用户名登录，相互互踢。 在 `zlt-uaa` 中通过参数 `isSingleLogin` 来配置是否开启功能，默认为 `false` 为可以同时登录，改为 `true` 则会互踢 ```yaml zlt: security: auth: isSingleLogin: true ```   ## 十一、单点登录与单点登出 在 `zlt-uaa` 工程中通过参数 `unifiedLogout` 来配置是否开启单点登出功能，默认为 `false` ```yaml zlt: security: auth: unifiedLogout: true ``` ### 11.1. demo样例 - **zlt-demo\ss-sso**：使用springSecurity来实现自动单点登录，非前后端分离 - **zlt-demo\web-sso**：前后端分离的单点登录与单点登出 - **zlt-demo\oidc-sso**：拥有独立用户体系的系统，使用OIDC协议的单点登录与单点登出 ### 11.2. 相关文章 - [单点登录详解](https://www.kancloud.cn/zlt2000/microservices-platform/2278849) - [前后端分离的单点登录](https://www.kancloud.cn/zlt2000/microservices-platform/2278850) - [OIDC协议单点登录](https://www.kancloud.cn/zlt2000/microservices-platform/2278851) - [单点登出详解](https://www.kancloud.cn/zlt2000/microservices-platform/2539642)   ## 十二、手动token鉴权工具 `zlt-auth-client-spring-boot-starter` 依赖只会对 `http` 请求进行拦截鉴权。 对于其他协议如 `webSocket`、`dubbo`、`MQ`等如果需要进行 token 鉴权，可手动使用以下方法： ```java SysUser user = AuthUtils.checkAccessToken(String accessTokenValue) ```   ## 十三、数据权限 在服务的 `application.yml` 配置中添加以下内容： ```yml zlt: datascope: # 开启数据权限，默认为 false enabled: true ``` 详细说明请看：[数据权限](https://www.kancloud.cn/zlt2000/microservices-platform/2278849)