暢購商城(十):購物車
好好學習,天天向上
本文已收錄至我的Github倉庫DayDayUP:github.com/RobodLee/DayDayUP,歡迎Star,更多文章請前往:目錄導航
- 暢購商城(一):環境搭建
- 暢購商城(二):分散式檔案系統FastDFS
- 暢購商城(三):商品管理
- 暢購商城(四):Lua、OpenResty、Canal實現廣告快取與同步
- 暢購商城(五):Elasticsearch實現商品搜尋
- 暢購商城(六):商品搜尋
- 暢購商城(七):Thymeleaf實現靜態頁
- 暢購商城(八):微服務閘道器和JWT令牌
- 暢購商城(九):Spring Security Oauth2
- 暢購商城(十):購物車
OAuth2.0對接使用者微服務
上一篇文章中提到過,訪問資源服務的時候,需要攜帶令牌去進行許可權校驗。那麼使用者微服務也是資源服務,所以需要對其進行配置,首先新增OAuth2.0的依賴。
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
然後把之前匯出的public.key放到使用者微服務的resources目錄下。最後新增一個配置類即可,配置類上需要新增@EnableResourceServer
@Configuration @EnableResourceServer @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)//啟用方法上的PreAuthorize註解 public class ResourceServerConfig extends ResourceServerConfigurerAdapter { private static final String PUBLIC_KEY = "public.key";//公鑰 /*** * 定義JwtTokenStore * @param jwtAccessTokenConverter * @return */ @Bean public TokenStore tokenStore(JwtAccessTokenConverter jwtAccessTokenConverter) { return new JwtTokenStore(jwtAccessTokenConverter); } /*** * 定義JJwtAccessTokenConverter * @return */ @Bean public JwtAccessTokenConverter jwtAccessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setVerifierKey(getPublicKey()); return converter; } /** * 獲取非對稱加密公鑰 Key * @return 公鑰 Key */ private String getPublicKey() { Resource resource = new ClassPathResource(PUBLIC_KEY); try { InputStreamReader inputStreamReader = new InputStreamReader(resource.getInputStream()); BufferedReader br = new BufferedReader(inputStreamReader); return br.lines().collect(Collectors.joining("\n")); } catch (IOException ioe) { return null; } } /*** * Http安全配置,對每個到達系統的http請求連結進行校驗 * @param http * @throws Exception */ @Override public void configure(HttpSecurity http) throws Exception { //所有請求必須認證通過 http.authorizeRequests() //下邊的路徑放行 .antMatchers("/user/add,user/load/*").permitAll() //配置 /user/add /user/load/*不需要許可權 .anyRequest().authenticated(); //其他地址需要認證授權 } }
這樣配置類就配置好了,在添加了@EnableGlobalMethodSecurity註解後,就可以在指定的方法上面添加註解來進行許可權控制。
比如:
@PreAuthorize("hasAnyAuthority('admin')") //表示該方法只有admin才能訪問
@PutMapping(value = "/{id}")
public Result update(@RequestBody User user, @PathVariable String id) {
………………
這樣使用者微服務就配置好了。
閘道器配置
訪問微服務的JWT令牌是放在請求頭中一個叫“Authorization”的引數中。以“bearer”開頭。因為請求是通過閘道器轉發給相應的微服務,所以可以對閘道器進行配置。之前在閘道器微服務中寫了一個過濾器叫AuthorizeFilter,裡面的filter()方法寫的是分別從請求頭、引數、Cookie中獲取token資訊,然後進行校驗。現在稍微修改一下,現在不校驗了,只判斷有無token資訊並進行簡單處理。
還有一點就是有些請求比如登入註冊等不需要token的就直接放行。
@Override
public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
…………
if (needlessToken(request.getURI().toString())) {
return chain.filter(exchange); //如果是不需要token的請求就直接放行
}
//還是沒有Token就攔截
if (StringUtils.isEmpty(token)){
response.setStatusCode(HttpStatus.UNAUTHORIZED);
return response.setComplete();
} else {
if (!hasTokenInHeader) {
if (!(token.startsWith("brarer ") || token.startsWith("Bearer "))) {
token = "Bearer " + token;
}
request.mutate().header("Authorization",token);
}
}
//Token不為空就校驗Token
// try {
// JwtUtil.parseJWT(token);
// } catch (Exception e) {
// //報異常說明Token是錯誤的,攔截
// response.setStatusCode(HttpStatus.UNAUTHORIZED);
// return response.setComplete();
// }
return chain.filter(exchange);
}
//判斷指定的uri是否不需要token就可以訪問,true表示不需要
public boolean needlessToken(String uri) {
String[] uris = new String[]{
"/api/user/add",
"/api/user/login"
};
for (String s : uris) {
if (s.equals(uri)) {
return true;
}
}
return false;
}
程式碼的意思就是如果請求頭中有token的資訊就不去管它,如果token在引數或者Cookie中,就看是不是以“**Bearer **”開頭,不是的話就新增“Bearer ”,然後存入請求頭中。如果是指定的不需要token的請求就直接放行。為什麼現在不校驗呢?因為校驗的工作交給對應的微服務去處理了,閘道器不負責。
OAuth2.0從資料庫載入資料
在之前的配置中,客戶端的資訊是配置在記憶體中的。使用者也是在記憶體中指定的。現在來改造一下,從資料庫中載入資料。首先是客戶端資訊,修改AuthorizationServerConfig中的configure()方法。
// 客戶端資訊配置
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.jdbc(dataSource).clients(clientDetails());
}
//客戶端配置
@Bean
public ClientDetailsService clientDetails() {
return new JdbcClientDetailsService(dataSource);
}
我們給客戶端配置了一個JdbcClientDetailsService。
然後就可以從oauth_client_details中載入資料了。
咦?好像沒有在任何地方指定這張表呀,怎麼就能從這張表裡面載入資料???前面不是配了個JdbcClientDetailsService麼。點進去看看
哦~ 原來是在JdbcClientDetailsService的內部指定好了呀。
現在就是從資料庫中載入了客戶端的資訊,那怎麼載入使用者的資訊呢?這裡使用Feign介面去呼叫使用者微服務查詢出使用者的資訊。
//使用者微服務中的UserController
@GetMapping({"/{id}","/load/{id}"})
public Result<User> findById(@PathVariable String id) {
//呼叫UserService實現根據主鍵查詢User
User user = userService.findById(id);
return new Result<User>(true, StatusCode.OK, "查詢成功", user);
}
我們給這個方法配置一個“load/{id}”的路徑。之前已經配置過這個路徑放行了。
然後在使用者的api微服務中新增一個Feign介面。
@FeignClient("user")
@RequestMapping("/user")
public interface UserFeign {
//根據ID查詢User資料
@GetMapping({"/load/{id}"})
Result<User> findById(@PathVariable String id);
}
這樣在認證微服務的UserDetailsServiceImpl的loadUserByUsername()方法中就可以呼叫Feign去資料庫中查詢使用者資訊了。
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
/*客戶端資訊認證*/
//取出身份,如果身份為空說明沒有認證
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
//沒有認證統一採用httpbasic認證,httpbasic中儲存了client_id和client_secret,開始認證client_id和client_secret
if(authentication==null){
ClientDetails clientDetails = clientDetailsService.loadClientByClientId(username);
if(clientDetails!=null){
//祕鑰
String clientSecret = clientDetails.getClientSecret();
//資料庫查詢方式
return new User(username,clientSecret, AuthorityUtils.commaSeparatedStringToAuthorityList(""));
}
}
/*使用者資訊認證*/
if (StringUtils.isEmpty(username)) {
return null;
}
com.robod.user.pojo.User user = userFeign.findById(username).getData(); //查詢使用者
if (user == null ) {
return null;
}
//根據使用者名稱查詢使用者資訊
String pwd = user.getPassword();
//建立User物件
String permissions = "goods_list,seckill_list";
UserJwt userDetails = new UserJwt(username,pwd,
AuthorityUtils.commaSeparatedStringToAuthorityList(permissions));
return userDetails;
}
這樣就OK了,來測試一下。
這個robod使用者是儲存在資料庫中的,可以正常登入,說明我們的配置是沒有問題的。
微服務之間的令牌傳遞
在實現購物車功能之前,要先明確一個問題,只有登入過的使用者才可以訪問自己的購物車。所以我們在訪問微服務的時候必須要攜帶令牌,但是還涉及到微服務之間的Feign介面呼叫,令牌該怎麼傳遞過去呢?令牌不是放在名為“Authorization”的請求頭中嗎,所以加一個過濾器在Feign呼叫前呼叫,將當前請求的請求頭資訊封裝到Feign請求的請求頭中。但是呢,這個過濾器是很多微服務共用的,所以可以將這個過濾器放在common工程中,哪個微服務需要就直接注入到Spring容器中。
public class FeignHeaderInterceptor implements RequestInterceptor {
//Feign呼叫前呼叫
@Override
public void apply(RequestTemplate template) {
ServletRequestAttributes requestAttributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
if (requestAttributes != null) {
HttpServletRequest request = requestAttributes.getRequest();
Enumeration<String> headerNames = request.getHeaderNames();//所有請求頭的名字集合
if (headerNames != null) {
while (headerNames.hasMoreElements()) {
String headerName = headerNames.nextElement();
String headerValue = request.getHeader(headerName);
template.header(headerName,headerValue);
}
}
}
}
}
如果哪個微服務想要呼叫的話,就直接在啟動類中注入即可。
@Bean
public FeignHeaderInterceptor feignHeaderInterceptor() {
return new FeignHeaderInterceptor();
}
這樣就可以實現令牌在不同微服務之間的傳遞。
購物車
現在就可以來實現購物車的功能了,因為購物車畢竟是用來下單的,所以就將購物車功能寫在訂單微服務中。建立一個訂單微服務changgou-service-order以及一個訂單的api工程changgou-service-order-api。
從令牌中獲取使用者名稱
新增到購物車的流程就是使用者從前端將商品的id和數量以及令牌傳過來。然後解析令牌,拿到使用者名稱。然後拿著商品的id用Feign呼叫Goods微服務將Sku和Spu查詢出來,然後封裝成一個OrderItem物件,存入Reids中。這個時候Feign介面的呼叫就涉及到微服務之間的令牌傳遞問題了,把FeignHeaderInterceptor注入即可。
這裡還有一個問題,就是令牌解析,很簡單,使用公鑰解析即可,封裝一個工具類com.robod.order.utils.TokenDecodeUtil
@Component
public class TokenDecodeUtil {
//公鑰路徑
private static final String PUBLIC_KEY_PATH = "public.key";
//公鑰的內容
private static String publicKey="";
/***
* 獲取使用者資訊
* @return
*/
public Map<String,String> getUserInfo() {
//獲取授權資訊
OAuth2AuthenticationDetails authentication =
(OAuth2AuthenticationDetails) SecurityContextHolder.getContext().getAuthentication().getDetails();
//令牌解碼
return decodeToken(authentication.getTokenValue());
}
/***
* 讀取令牌資料
*/
public Map<String,String> decodeToken(String token){
//校驗Jwt
Jwt jwt = JwtHelper.decodeAndVerify(token, new RsaVerifier(getPubKey()));
//獲取Jwt原始內容
String claims = jwt.getClaims();
return JSON.parseObject(claims,Map.class);
}
/**
* 獲取非對稱加密公鑰 Key
* @return 公鑰 Key
*/
public String getPubKey() {
if(!StringUtils.isEmpty(publicKey)){
return publicKey;
}
Resource resource = new ClassPathResource(PUBLIC_KEY_PATH);
try {
InputStreamReader inputStreamReader = new InputStreamReader(resource.getInputStream());
BufferedReader br = new BufferedReader(inputStreamReader);
publicKey = br.lines().collect(Collectors.joining("\n"));
return publicKey;
} catch (IOException ioe) {
return null;
}
}
}
準備工作做好以後就可以編寫相應的邏輯了。
新增到購物車
// CartController
@GetMapping("/add")
public Result add(long id,int num) {
String username = tokenDecodeUtil.getUserInfo().get("username");
cartService.add(id,num,username);
return new Result(true, StatusCode.OK,"成功新增到購物車");
}
//-----------------------------------------------------------------------
// CartServiceImpl
@Override
public void add(long id, int num, String username) {
BoundHashOperations boundHashOperations = redisTemplate.boundHashOps("Cart_" + username);
if (num <= 0){
boundHashOperations.delete(id);
Long size = boundHashOperations.size();
if (size == null || size<=0) {
redisTemplate.delete("Cart_" + username);
}
return;
}
Sku sku = skuFeign.findById(id).getData();
if (sku == null) {
throw new RuntimeException("未查詢到商品資訊");
}
Spu spu = spuFeign.findById(sku.getSpuId()).getData();
if (spu == null) {
throw new RuntimeException("資料庫中資料異常");
}
OrderItem orderItem = createOrderItem(spu,sku,num);
boundHashOperations.put(id,orderItem);
}
private OrderItem createOrderItem(Spu spu,Sku sku,int num) {
OrderItem orderItem = new OrderItem();
orderItem.setCategoryId1(spu.getCategory1Id());
orderItem.setCategoryId2(spu.getCategory2Id());
orderItem.setCategoryId3(spu.getCategory3Id());
orderItem.setSpuId(spu.getId());
orderItem.setSkuId(sku.getId());
orderItem.setName(sku.getName());
orderItem.setNum(num);
orderItem.setPrice(sku.getPrice());
orderItem.setMoney(num * sku.getPrice());
orderItem.setImage(spu.getImage());
return orderItem;
}
但是現在訪問的話還存在問題,FeignHeaderInterceptor裡面ServletRequestAttributes的資料
這是因為現在的feign的隔離策略是THREAD(執行緒池隔離),這時候使用Feign的時候是單獨開啟一個執行緒的,不是之前的執行緒,所以獲取不到資料。要想使用同一個執行緒去使用feign,可以把隔離策略設定成SEMAPHORE(訊號量隔離)。在order微服務的配置檔案中新增一段配置
#hystrix 配置
hystrix:
command:
default:
execution:
isolation:
thread:
timeoutInMilliseconds: 10000
strategy: SEMAPHORE
這兩種隔離策略的區別是
執行緒池隔離 | 訊號量隔離 | |
---|---|---|
執行緒 | 與呼叫執行緒非相同執行緒 | 與呼叫執行緒相同(jetty執行緒) |
開銷 | 排隊、排程、上下文開銷等 | 無執行緒切換,開銷低 |
非同步 | 支援 | 不支援 |
併發支援 | 支援(最大執行緒池大小) | 支援(最大訊號量上限) |
這樣就可以正常地新增資料到購物車了。
查詢購物車
查詢購物車的功能很簡單,前端攜帶著令牌向伺服器傳送請求,Controller呼叫相應的方法解析令牌拿到使用者名稱,然後呼叫Service層從Redis中獲取到對應的資料。
// CartController
@GetMapping("/list")
public Result<List<OrderItem>> list() {
String username = tokenDecodeUtil.getUserInfo().get("username");
List<OrderItem> orderItems = cartService.list(username);
return new Result<>(true,StatusCode.OK,"查詢購物車成功",orderItems);
}
//--------------------------------------------------------------------------
// CartServiceImpl
@Override
public List<OrderItem> list(String username) {
return (List<OrderItem>) redisTemplate.boundHashOps("Cart_" + username).values();
}
許可權控制
雖然購物車的功能已經實現了,但是還存在一個問題,就是沒有對使用者進行許可權校驗,我們可以去限制某個方法只能由擁有特定許可權的使用者去訪問,要是不進行許可權控制的話,任何人都可以訪問就會很不安全。這裡我準備對購物車用到的四個方法新增“USER”許可權的控制。
首先為訂單微服務和商品微服務新增OAuth2.0的依賴
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
然後將之前提取出來的public.key檔案新增到這兩個微服務的resources目錄下。最後新增資源服務的配置類。
@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)//啟用方法上的PreAuthorize註解
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
private static final String PUBLIC_KEY = "public.key";//公鑰
/***
* 定義JwtTokenStore
* @param jwtAccessTokenConverter
* @return
*/
@Bean
public TokenStore tokenStore(JwtAccessTokenConverter jwtAccessTokenConverter) {
return new JwtTokenStore(jwtAccessTokenConverter);
}
/***
* 定義JJwtAccessTokenConverter
* @return
*/
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter() {
JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
converter.setVerifierKey(getPublicKey());
return converter;
}
/**
* 獲取非對稱加密公鑰 Key
* @return 公鑰 Key
*/
private String getPublicKey() {
Resource resource = new ClassPathResource(PUBLIC_KEY);
try {
InputStreamReader inputStreamReader = new InputStreamReader(resource.getInputStream());
BufferedReader br = new BufferedReader(inputStreamReader);
return br.lines().collect(Collectors.joining("\n"));
} catch (IOException ioe) {
return null;
}
}
/***
* Http安全配置,對每個到達系統的http請求連結進行校驗
* @param http
* @throws Exception
*/
@Override
public void configure(HttpSecurity http) throws Exception {
//所有請求必須認證通過
http.authorizeRequests()
.anyRequest().permitAll();//.authenticated(); //其他地址需要認證授權
}
}
這裡限制所有的請求都必須通過驗證。然後我們在相應的方法上添加註解即可。
// SkuController
@GetMapping("/{id}")
@PreAuthorize("hasAnyAuthority('USER')")
public Result<Sku> findById(@PathVariable Long id){
// SpuController
@GetMapping("/{id}")
@PreAuthorize("hasAnyAuthority('USER')")
public Result<Spu> findById(@PathVariable Long id){
// CartController
@GetMapping("/add")
@PreAuthorize("hasAnyAuthority('USER')")
public Result add(long id,int num) {
@GetMapping("/list")
@PreAuthorize("hasAnyAuthority('USER')")
public Result<List<OrderItem>> list() {
這四個方法限制了只有擁有USER許可權才可以訪問,如果沒有相應的許可權請求就會被拒絕。
訂單微服務對接閘道器
現在就差最後一步了,就是將訂單微服務對接到閘道器,然後就可以通過閘道器將請求轉發到訂單微服務了。
在閘道器微服務的配置檔案中新增訂單微服務的路由配置
spring:
cloud:
routes:
- id: changgou_order_route
uri: http://localhost:18089
predicates:
-Path=/api/cart/**,/api/categoryReport/**,/api/orderConfig/**,
/api/order/**,/api/orderItem/**,/api/orderLog/**,/api/preferential/**,
/api/returnCause/**,/api/returnOrder/**,/api/returnOrderItem/**
filters:
- StripPrefix=1
這樣就OK了。
總結
原本的程式碼中,OAuth2.0是從記憶體中獲取資料,文章的開頭先是改了程式碼從資料庫中獲取資料。然後實現了購物車的功能並實現了許可權控制。最後將訂單微服務對接到了閘道器中,實現了通過閘道器去訪問相應的微服務。
如果我的文章對你有些幫助,不要忘了點贊,收藏,轉發,關注。要是有什麼好的意見歡迎在下方留言。讓我們下期再見!