弦上的梦

spring-boot项目引入第三方依赖，如何打包

2020-03-08T14:08:37.000Z

项目环境：

spring-boot
maven多模块项目
需要引入的外部jar包

目录结构图如下：

方式一，打war包：

1. 在对应子模块的`pom.xml`文件中引入jar包，本例因为在common和web 模块都引入了，因此则都需要分分别引入，common的pom.xml配置如下：

groupId、artifactId、version都是可以自己随意填的，当然最好还是按照一定得规律填写，方便区分，上图中红框中的部分就是需要特别注意的地方，scope 只能填写 system,systemPath则填写被引入jar包在项目中的位置。

注意：
${project.basedir}和${basedir}都表示项目根目录，即包含pom.xml文件的目录，这两个都是maven预定义的内置属性,用户可以直接使用。

`common`层`pom.xml`的全部内容：


<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <parent>
        <artifactId>libii-identityartifactId>
        <groupId>com.libii.ssogroupId>
        <version>0.0.1-SNAPSHOTversion>
    parent>
    <modelVersion>4.0.0modelVersion>
    <artifactId>commonartifactId>

    <dependencies>
        <dependency>
            <groupId>com.libii.ssogroupId>
            <artifactId>bcprov-jdk16-1.46.jarartifactId>
            <version>0.0.1-SNAPSHOTversion>
            <scope>systemscope>
            <systemPath>${basedir}/lib/bcprov-jdk16-1.46.jarsystemPath>
        dependency>
        <dependency>
            <groupId>com.libii.ssogroupId>
            <artifactId>commons-beanutils-1.8.0.jarartifactId>
            <version>0.0.1-SNAPSHOTversion>
            <scope>systemscope>
            <systemPath>${basedir}/lib/commons-beanutils-1.8.0.jarsystemPath>
        dependency>
    dependencies>
project>

2. 配置`web`模块`pom.xml`


<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <parent>
        <artifactId>libii-identityartifactId>
        <groupId>com.libii.ssogroupId>
        <version>0.0.1-SNAPSHOTversion>
    parent>
    <modelVersion>4.0.0modelVersion>
    <artifactId>webartifactId>
     
    <packaging>warpackaging>

    
    <properties>
        <skipTests>trueskipTests>
    properties>
    <dependencies>
        
        <dependency>
            <groupId>org.springframework.bootgroupId>
            <artifactId>spring-boot-starter-tomcatartifactId>
            <scope>providedscope>
        dependency>
        <dependency>
            <groupId>com.libii.ssogroupId>
            <artifactId>commonartifactId>
            <version>0.0.1-SNAPSHOTversion>
            <scope>compilescope>
        dependency>
        <dependency>
            <groupId>com.libii.ssogroupId>
            <artifactId>backendartifactId>
            <version>0.0.1-SNAPSHOTversion>
            <scope>compilescope>
        dependency>
        
        
<dependency>
            <groupId>com.libii.ssogroupId>
            <artifactId>junit-4.12.jarartifactId>
            <version>0.0.1-SNAPSHOTversion>
            <scope>systemscope>
            <systemPath>${basedir}/lib/junit-4.12.jarsystemPath>
        dependency>
    dependencies>
    
    <build>
        <finalName>identityfinalName>
        <plugins>
            <plugin>
           
                <groupId>org.apache.maven.pluginsgroupId>
                <artifactId>maven-war-pluginartifactId>
                <configuration>
                    <webResources>
                    
                    
                        <resource>
                            <directory>libdirectory>
                            <targetPath>WEB-INF/lib/targetPath>
                            <includes>
                                <include>**/*.jarinclude>
                            includes>
                        resource>
                        
                        <resource>
                        
                            <directory>../common/libdirectory>
                            <targetPath>WEB-INF/lib/targetPath>
                            <includes>
                                <include>**/*.jarinclude>
                            includes>
                        resource>
                    webResources>
                configuration>
            plugin>
            
            
        plugins>
    build>
project>

使用误区：
1. 将jar包只放在web层，如果是其他子模块需要使用时候，则编译会出问题。
2. 将jar包只放在使用的模块，很多人会出现打包打不进去，因为你配置打包插件时没有使用子模块的相对路径，默认会使用当前模块的地址，
3. web模块和使用的模块都引入一次，打包能成功，使用也没问题，但是你不觉得很冗余吗，不够优雅。
最佳的方式：只在使用的模块引入jar包，在web层的pom.xml中配置子模块的jar包资源路径就行了

方式二，打jar包：

1. 在用到此jar包的模块引入，同方式一的第一点类似。

2. 修改`web`模块的打包方式为 `jar`

3. 为打包插件配置`configuration`属性

<plugin>
 <groupId>org.springframework.bootgroupId>
    <artifactId>spring-boot-maven-pluginartifactId>
    <configuration>
        <executable>trueexecutable>
        <includeSystemScope>trueincludeSystemScope>
    configuration>
plugin>

web模块完整的pom.xml文件：


<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <parent>
        <artifactId>libii-identityartifactId>
        <groupId>com.libii.ssogroupId>
        <version>0.0.1-SNAPSHOTversion>
    parent>
    <modelVersion>4.0.0modelVersion>
    <artifactId>webartifactId>
    <packaging>jarpackaging>
    <dependencies>
        
        <dependency>
            <groupId>org.springframework.bootgroupId>
            <artifactId>spring-boot-devtoolsartifactId>
            <optional>trueoptional>
        dependency>
        <dependency>
            <groupId>com.libii.ssogroupId>
            <artifactId>commonartifactId>
            <version>0.0.1-SNAPSHOTversion>
            <scope>compilescope>
        dependency>
        <dependency>
            <groupId>com.libii.ssogroupId>
            <artifactId>backendartifactId>
            <version>0.0.1-SNAPSHOTversion>
            <scope>compilescope>
        dependency>

        
        <dependency>
            <groupId>com.libii.ssogroupId>
            <artifactId>junit-4.12.jarartifactId>
            <version>0.0.1-SNAPSHOTversion>
            <scope>systemscope>
            <systemPath>${basedir}/lib/junit-4.12.jarsystemPath>
        dependency>
    dependencies>
    <build>
        <finalName>identityfinalName>
        <plugins>
           <plugin>
                <groupId>org.springframework.bootgroupId>
                <artifactId>spring-boot-maven-pluginartifactId>
                <configuration>
                    <executable>trueexecutable>
                    <includeSystemScope>trueincludeSystemScope>
                configuration>
            plugin>
        plugins>
    build>
project>

参考博客：https://blog.csdn.net/J080624/article/details/81505937

UTC、GMT、时间戳之间的关系

2020-03-08T14:08:10.000Z

时区

世界时区的划分以本初子午线为标准，向东12个时区，向西12个时区，子午线所在区为0时区，东十二区和西十二区重合，所以一共是24个时区。

GMT和UTC

GMT： 即格林威治时间（Greenwich Mean Time），也是0时区的标准时间。指太阳横穿格林威治子午线（本初子午线）时的时间。但由于地球自转不均匀不规则，导致GMT不精确，现在已经不再作为世界标准时间使用。
UTC： 即协调世界时间（Coordinated Universal Time）。UTC是以原子时秒长为基础，在时刻上尽量接近于GMT的一种时间计量系统。UTC现在作为世界标准时间使用。

所以，UTC与GMT基本上等同，误差不超过0.9秒。

时间戳

UNIX时间戳：是从UTC时间1970年1月1日起到现在的秒数，不考虑闰秒，一天有86400秒，它是和时区无关的，无论在地球上的那个角落，同一时刻，UNIX时间戳都是一样的，计算机的本地时间就是根据 Unix时间戳 + 时区差转换而来的。

本地时间

本地时间 = UTC + 时区差
时区差：东为正，西为负。在此，把东八区时区差记为 +0800， UTC 是标准时间参照，GMT（格林威治时间）、CST（北京时间）、PST（太平洋时间）等等是具体的时区，兑换如下：

1
2
3

GMT: UTC +0    =    GMT: GMT +0
CST: UTC +8    =    CST: GMT +8
PST: UTC -8    =    PST: GMT -8

总结：

涉及到多个时区的转换，统一使用unix时间戳存储或交互，或者使用带有时区信息的字符串。
尽量在上层的代码层面修改时区配置，不要修改系统或软件的配置，防止其他程序因为修改受到影响。

Java实现文件的压缩和在浏览器端下载

2020-03-08T14:05:14.000Z

压缩为zip文件

1. 通过java程序输出文件

/**
 * 功能:压缩多个文件成一个zip文件
 * @param srcfile：源文件列表
 * @param zipfile：压缩后的文件
 */
public static void zipFiles(File[] srcfile, File zipfile) {
byte[] buf = new byte[1024];
try {
//ZipOutputStream类：完成文件或文件夹的压缩
ZipOutputStream out = new ZipOutputStream(new FileOutputStream(zipfile));
for (int i = 0; i < srcfile.length; i++) {
FileInputStream in = new FileInputStream(srcfile[i]);
// 给列表中的文件单独命名
out.putNextEntry(new ZipEntry(srcfile[i].getName()));
int len;
while ((len = in.read(buf)) > 0) {
out.write(buf, 0, len);
}
out.closeEntry();
in.close();
}
out.close();
System.out.println("压缩完成.");
} catch (Exception e) {
e.printStackTrace();
}
}

2.1 通过浏览器下载文件(返回文件流) - 方式一

/**
 * 功能:压缩多个文件，输出压缩后的zip文件流
 * @param srcfile：源文件列表
 * @param zipFileName：压缩后的文件名
 * @return
 */
@GetMapping(value = "/downzip")
public ResponseEntity<byte[]> zipFiles(File[] srcfile, String zipFileName) {
    byte[] buf = new byte[1024];
    // 获取输出流
    ByteArrayOutputStream bos = new ByteArrayOutputStream();
    try {
        // ZipOutputStream类：完成文件或文件夹的压缩
        ZipOutputStream out = new ZipOutputStream(bos);
        for (int i = 0; i < srcfile.length; i++) {
        // 此处可用任意其他输入流将FileInputStream取代,outputStream为其他步骤的输出流
        // ByteArrayInputStream in = new ByteArrayInputStream(outputStream.toByteArray());
            FileInputStream in = new FileInputStream(srcfile[i]);
            // 给列表中的文件单独命名
            out.putNextEntry(new ZipEntry(srcfile[i].getName()));
            int len;
            while ((len = in.read(buf)) > 0) {
                out.write(buf, 0, len);
            }
            out.closeEntry();
            in.close();
        }
        out.close();
        bos.close();
        System.out.println("压缩完成.");
    } catch (Exception e) {
        e.printStackTrace();
    }
    // 设置http响应头
    HttpHeaders header = new HttpHeaders();
    header.add("Content-Disposition", "attachment;filename=" + zipFileName + ".zip");
    return new ResponseEntity<byte[]>(bos.toByteArray(), header, HttpStatus.CREATED);
}

2.2 通过浏览器下载文件(返回文件流) - 方式二

/**
 * 功能:压缩多个文件，输出压缩后的zip文件流
 * @param srcfile：源文件列表
 * @param zipFileName：压缩后的文件名
 * @param response: Http响应
 */
@GetMapping(value = "/downzip")
public void zipFiles(File[] srcfile, String zipFileName, HttpServletResponse response) {
    byte[] buf = new byte[1024];
    // 获取输出流
    BufferedOutputStream bos = null;
    try {
        bos = new BufferedOutputStream(response.getOutputStream());
    } catch (IOException e) {
        e.printStackTrace();
    }
    try {
        response.reset(); // 重点突出
        // 不同类型的文件对应不同的MIME类型
        response.setContentType("application/x-msdownload");
        response.setCharacterEncoding("utf-8");
        response.setHeader("Content-disposition", "attachment;filename=" + zipFileName + ".zip");

        // ZipOutputStream类：完成文件或文件夹的压缩
        ZipOutputStream out = new ZipOutputStream(bos);
        for (int i = 0; i < srcfile.length; i++) {
            FileInputStream in = new FileInputStream(srcfile[i]);
            // 给列表中的文件单独命名
            out.putNextEntry(new ZipEntry(srcfile[i].getName()));
            int len;
            while ((len = in.read(buf)) > 0) {
                out.write(buf, 0, len);
            }
            out.closeEntry();
            in.close();
        }
        out.close();
        bos.close();
        System.out.println("压缩完成.");
    } catch (Exception e) {
        e.printStackTrace();
    }
}

以上两种方式，都是以输出文件流的形式，通过浏览器端进行下载，不同的是，第一种将流直接通过接口返回，第二种也是比较常见的一种，将文件流通过response进行输出，两种方式均可，这里留存记录下。

解压缩zip文件

/**
 * 功能:解压缩
 * @param zipfile：需要解压缩的文件
 * @param descDir：解压后的目标目录
 */
public static void unZipFiles(File zipfile, String descDir) {
try {
ZipFile zf = new ZipFile(zipfile);
for (Enumeration entries = zf.entries(); entries.hasMoreElements();) {
ZipEntry entry = (ZipEntry) entries.nextElement();
String zipEntryName = entry.getName();
InputStream in = zf.getInputStream(entry);
OutputStream out = new FileOutputStream(descDir + zipEntryName);
byte[] buf1 = new byte[1024];
int len;
while ((len = in.read(buf1)) > 0) {
out.write(buf1, 0, len);
}
in.close();
out.close();
System.out.println("解压缩完成.");
}
} catch (Exception e) {
e.printStackTrace();
}
}

spring-boot集成mybatis通用mapper和pagehelper

2019-10-07T11:23:06.000Z

1. 项目所需依赖



org.mybatis.spring.boot
mybatis-spring-boot-starter
2.0.1




com.github.pagehelper
pagehelper-spring-boot-starter
1.2.10




tk.mybatis
mapper-spring-boot-starter
2.1.5

2. `yml`文件中的配置

###  Pagehelper  ###
pagehelper:
  helperDialect: mysql
  reasonable: true
  supportMethodsArguments: true
  params: count=countSql
  
###   Mybatis Config  ###
mybatis:
  typeAliasesPackage: com.example.janche.**.domain   # 实体类的包路径
  mapperLocations: classpath:mapper/**/*.xml                # mapper 的文件路径
  
###   通用 Mapper    ###
mapper:
  IDENTITY: mysql
  notEmpty: false
  mappers:                                                           # 此处可以配置多个通用mapper，因为很多时候，一个是无法满足需求的，后文会介绍到
    - com.example.janche.common.core.Mapper
    - com.example.janche.common.core.TkMapper

3. 继承通用 `mapper`

新建两个通用 Mapper的接口，注意此Mapper的路径需要同UserMapper等业务Mapper的位置区分开。

package com.example.janche.common.core;
import tk.mybatis.mapper.common.*;

public interface Mapper<T> extends
        BaseMapper<T>,
        MySqlMapper<T>,
        IdsMapper<T>,
        ConditionMapper<T>,
        ExampleMapper<T>{
}

package com.example.janche.common.core;
import tk.mybatis.mapper.common.*;

public interface TkMapper<T> extends
        BaseMapper<T>,
        MySqlMapper<T>,
        ConditionMapper<T>,
        ExampleMapper<T>{
}

上面两个mapper中，第一个多继承了IdsMapper，其余都是一样的，那为什么需要TkMapper呢，因为继承了IdsMapper的业务Mapper，其实体类中必须且只能有一个主键ID，联合主键或者没有主键都不行，否则启动会报错。

4. 通用Mapper的使用

package com.example.janche.user.dao;

import com.example.janche.common.core.Mapper;
import com.example.janche.user.domain.User;

public interface UserMapper extends Mapper<User> {
}

package com.example.janche.user.dao;

import com.example.janche.common.core.TkMapper;
import com.example.janche.user.domain.UserAndRole;

public interface UserAndRoleMapper extends TkMapper<UserAndRole> {
}

4. PageHelper的使用

4.1 获取用户列表：

// UserController 层接口：
@GetMapping("/list")
public RestResult list(@ApiParam(value = "分页信息") PageParam pageParam,
                       @ApiParam(value = "筛选条件") String query) {
    List list = userService.list(pageParam, query);
    PageInfo pageInfo = new PageInfo(list);
    return ResultGenerator.genSuccessResult(pageInfo);
}
----------------------------------------------------------------------------
// UserServiceImpl 实现类：

@Resource
private UserMapper userMapper; 

@Override
public List list(PageParam pageParam, String query) {
     Example example = new Example(User.class);
     example.or().andLike("username", "%"+query+"%");
     example.or().andLike("actualName", "%"+query+"%");
     example.or().andLike("sex", "%"+query+"%");
     
 // PageHelper 只须在查询语句真正执行前调用即可完成分页
     PageHelper.startPage(pageParam.getPage(), pageParam.getSize(), pageParam.getOrderBy());
     return userMapper.selectByExample(example);
 }

到此，整个接口的调用，不用写一句SQL代码，只要是单表操作，均可通过pagehelper+通用mapper的形式实现。

4.2 批量删除用户

// UserServiceImpl 实现类：
@Resource
private UserMapper userMapper;  // 继承自Mapper
@Resource
private UserAndRoleMapper userAndRoleMapper; // 继承自TkMapper

/**
 * 批量删除用户
 * @param ids
 */
@Override
public void deleteUser(String ids) {
    List Ids = Arrays.stream(ids.split(",")).collect(Collectors.toList());
    // 删除用户和角色的关联
    Example example = new Example(UserAndRole.class);
    example.and().andIn("userId", Ids);
    userAndRoleMapper.deleteByExample(example);
    // 删除用户
    userMapper.deleteByIds(ids);
}
------------------------------------------------------------------------------------
// UserAndRole 实体类
@Table(name = "user_role")
public class UserAndRole implements Serializable {

    @Column(name = "role_id")
    private Long roleId;

    @Column(name = "user_id")
    private Long userId;
}

上面的例子使用到了TkMapper，因为UserAndRole实体类中没有唯一主键ID，它是联合主键，IdsMapper中会根据主键Ids批量删除，因此UserAndRoleMapple不能继承继承过IdsMapper的 Mapper。

一套整合完善的springboot2脚手架工程，源码地址如下：GitHub项目地址

基于Spring-Security-OAuth2的SSO单点登录（客户端）

2019-10-07T11:21:10.000Z

单点登录（服务端）：https://blog.csdn.net/qq_34997906/article/details/97007709

1. 缘起

为什么要把客户端单独拿出来写呢？
博主也参考了网上很多写单点登录的，但基本上都是大同小异，在客户端的自身权限校验和单点退出均未做处理，显然并不满足实际的业务开发。

2. 核心流程

客户端登录：用户访问客户端，客户端 security 发现此请求的用户未登录，于是将请求重定向到服务端认证，服务端检测到此请求的用户未登录，则将此请求跳转到服务端提供的登录页面(前后端分离则是前端登录地址，否则为服务端内置的登录页面)，登录成功后，服务端将系统的权限信息（为了减轻服务端的访问压力）和用户的特有标志（如用户名，记录此用户的登录状态）存入redis，然后服务端会跳回到用户第一次访问客户端的页面。

客户端URL的拦截：每次请求到来时，客户端都去Redis中去取认证中心存入的权限信息和用户特有的登录标志，权限信息只是为了匹配此登录用户是否有权利访问此接口，用户的特有标志则是为了检测该用户是否在其他客户端退出了，如若没有取到，则重定向到服务端的登录页面。

3. 所需依赖



    org.springframework.security.oauth.boot
    spring-security-oauth2-autoconfigure
    2.1.3.RELEASE



    org.springframework.boot
    spring-boot-starter-data-redis
    2.1.4.RELEASE

4. 配置介绍

4.1 security 核心配置

@Configuration
@EnableOAuth2Sso
public class ClientWebsecurityConfigurer extends WebSecurityConfigurerAdapter {

    @Autowired
    @Qualifier("urlFilterInvocationSecurityMetadataSource")
    UrlFilterInvocationSecurityMetadataSource urlFilterInvocationSecurityMetadataSource;

    @Autowired
    @Qualifier("urlAccessDecisionManager")
    AccessDecisionManager urlAccessDecisionManager;

    @Autowired
    @Qualifier("securityAccessDeniedHandler")
    private AccessDeniedHandler securityAccessDeniedHandler;

    @Autowired
    @Qualifier("securityAuthenticationEntryPoint")
    private AuthenticationEntryPoint securityAuthenticationEntryPoint;

    @Value("${auth-server}")
    public String auth_server;

    @Bean
    public RestTemplate restTemplate(){
        return new RestTemplate();
    }

     /**
     * 放行静态资源
     */
    @Override
    public void configure(WebSecurity web) {
        web.ignoring().antMatchers(
                "/css/**",
                 "/js/**",
                 "/favicon.ico",
                  "/static/**",
                  "/error");
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/", "/login").permitAll()
                .anyRequest().authenticated()
                .withObjectPostProcessor(urlObjectPostProcessor());

        http
                .exceptionHandling()
                .authenticationEntryPoint(securityAuthenticationEntryPoint)
                .accessDeniedHandler(securityAccessDeniedHandler);

        http.
                logout()
                .logoutSuccessUrl(auth_server + "/logout")
                .deleteCookies("JSESSIONID");

        // 不加会导致退出 不支持GET方式
        http.csrf().disable();
    }

    public ObjectPostProcessor urlObjectPostProcessor() {
        return new ObjectPostProcessor() {
            @Override
            public  O postProcess(O o) {
                o.setSecurityMetadataSource(urlFilterInvocationSecurityMetadataSource);
                o.setAccessDecisionManager(urlAccessDecisionManager);
                return o;
            }
        };
    }
}

配置说明：
.withObjectPostProcessor(urlObjectPostProcessor()); 此配置表示启用了spring-security的自定义校验，要实现URL的自定义校验，核心就是urlFilterInvocationSecurityMetadataSource,urlAccessDecisionManager这两个类，第一个类主要功能是拿到访问此URL所需要的GrantedAuthority（即需要哪些角色），第二个类主要功能是比较用户有的GrantedAuthority（用户拥有的角色）是否包含此URL需要的GrantedAuthority（角色组），只要有一个匹配上则允许访问，没有匹配上则表示没有权限。

4.2 自定义 FilterInvocationSecurityMetadataSource 的配置

/**
 * @author lirong
 * @ClassName: UrlFilterInvocationSecurityMetadataSource
 * @Description: 获取访问此URL所需要的角色集和
 * @date 2019-07-10 14:36
 */
@Component("urlFilterInvocationSecurityMetadataSource")
@Slf4j
public class UrlFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    @Autowired
    private RedisTemplate redisTemplate;

    public Collection getAttributes(Object o) throws IllegalArgumentException {

        HttpServletRequest request = ((FilterInvocation) o).getHttpRequest();

        // 获取Redis中用户的登录标志 判断此用户有没有在其他客户端退出
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        String username = (String) authentication.getPrincipal();
        String isLogin = (String) redisTemplate.opsForValue().get(Constant.REDIS_PERM_KEY_PREFIX + username);
        if(StringUtils.isEmpty(isLogin)){
            throw new AccountExpiredException("用户已在其他客户端退出");
        }

        // 获取此URL需要的角色集合
        List> menuMap = (List>) redisTemplate.opsForValue().get(Constant.REDIS_PERM_KEY_PREFIX);
        if (null != menuMap) {
            for (Map map : menuMap) {
                for (String url : map.keySet()) {
                    String[] split = url.split(":");
                    AntPathRequestMatcher antPathMatcher = new AntPathRequestMatcher(split[0], split[1]);
                    if(antPathMatcher.matches(request)){
                        return SecurityConfig.createList(map.get(url));
                    }
                }
            }
        }
        // 没有匹配上的资源，都是登录访问
        return SecurityConfig.createList("ROLE_LOGIN");
    }

    public Collection getAllConfigAttributes() {
        return null;
    }

    public boolean supports(Class aClass) {
        return false;
    }
}

为什么返回ROLE_LOGIN ？
ROLE_LOGIN，见名知意，只需要登录即可访问，最后返回只是为了给系统没有纳入权限表的URL加一层校验，当然，你也可以直接返回null，这样没有匹配上的URL访问将不受security的访问限制。

4.3 自定义 AccessDecisionManager的配置

@Component("urlAccessDecisionManager")
public class UrlAccessDecisionManager implements AccessDecisionManager {

    @Autowired
    private RedisTemplate redisTemplate;

    public void decide(Authentication auth, Object o, Collection collection) throws AccessDeniedException, AuthenticationException {
  
        Collection authorities = auth.getAuthorities();
        Iterator iterator = collection.iterator();
        while (iterator.hasNext()) {
            ConfigAttribute ca = iterator.next();
            //当前请求需要的权限
            String needRole = ca.getAttribute();
            if ("ROLE_LOGIN".equals(needRole)) {
                if (auth instanceof AnonymousAuthenticationToken) {
                    throw new BadCredentialsException("用户未登录");
                } else {
                    return;
                }
            }
            //当前用户所具有的权限
            for (GrantedAuthority authority : authorities) {
                if (authority.getAuthority().equals(needRole)) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足!");
    }

    public boolean supports(ConfigAttribute configAttribute) {
        return true;
    }
    public boolean supports(Class aClass) {
        return true;
    }
}

4.4 用户未登录时的处理

/**
 * 用户未登录时的处理
 * @author lirong
 * @date 2019-8-8 17:37:27
 */
@Component("securityAuthenticationEntryPoint")
@Slf4j
public class SecurityAuthenticationEntryPoint implements AuthenticationEntryPoint {

@Value("${auth-server}")
public String auth_server;

@Override
public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException {
log.info("尚未登录:" + authException.getMessage());
response.sendRedirect(request.getContextPath() + "/login");
}
}

配置说明
当在其他客户端退出清掉redis中数据时，此处会产生循环重定向无法跳转到登录页面的问题，我这边的处理是，当前端因为循环重定向拿不到响应时，就直接前端跳转到登录页面，重新登录，不知大家有没有更好的方式。

4.5 用户没有权限时的处理

/**
 * 用户访问没有权限资源的处理
 * @author lirong
 * @date
 */
@Component("securityAccessDeniedHandler")
@Slf4j
public class SecurityAccessDeniedHandler implements AccessDeniedHandler {

@Override
public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException){
log.info(request.getRequestURL()+"没有权限");
ResponseUtils.renderJson(request, response, ResultCode.LIMITED_AUTHORITY, null);
}
}

ResponseUtils封装的是一些返回的JSON信息，包含跨域的请求头等。

5. yml中客户端的配置

auth-server: http://192.168.1.201:9999  // 认证中心的地址
server:
  port: 8086
  servlet:
    session:
      cookie:
        name: UISESSION

security:
  oauth2:
    client:
      client-id: janche
      client-secret: 123456
      user-authorization-uri: ${auth-server}/oauth/authorize
      access-token-uri: ${auth-server}/oauth/token
    resource:
      jwt:
        key-uri: ${auth-server}/oauth/token_key
      userInfoUri: ${auth-server}/user/oauth/sso
      token-info-uri: ${auth-server}/oauth/check_token

spring:
  #redis
  redis:
    database: 0
    # Redis服务器地址
    host: 192.168.1.201
    port: 6379
    password:
    timeout: 5000ms

    jedis:
      pool:
        # 连接池中的最大连接数
        max-active: 8
        # 连接池中的最大空闲连接
        max-idle: 8
        min-idle: 0
        max-wait: -1ms

6. Controller

@Slf4j
@RestController
public class TestController {

    @Autowired
    private RestTemplate restTemplate;

    @Value("${auth-server}")
    public String auth_server;

    @GetMapping("/normal")
    public String normal( ) {
        return "normal permission test success !!!";
    }

    @GetMapping("/medium")
    public String medium() {
        return "mediumpermission test success !!!";
    }

    @GetMapping("/admin")
    public String admin() {
        return "admin permission test success !!!";
    }

    @GetMapping("/user")
    public RestResult getLoginUser(){

        String url = auth_server + "/user/oauth/sso";
        String tokenValue = SecurityUtils.getJwtToken();

        HttpHeaders headers = new HttpHeaders();
        headers.setContentType(MediaType.APPLICATION_JSON);
        headers.set("Authorization", "Bearer " + tokenValue);

        HttpEntity entity = new HttpEntity<>(headers);
        SsoUser user = restTemplate.postForObject(url, entity, SsoUser.class);
        return ResultGenerator.genSuccessResult(user);
    }
}

关于获取登录用户信息
因为是OAuth客户端访问服务端，所以一定得带上服务端给颁发的access_token才能在服务端拿到用户数据，否则服务端无法识别，将标识此次请求为未登录，关于yml 中 userInfoUri 的配置，我也有点疑惑，官方文档也没有给出咋使用。

测试

单点登录测试：

单点退出测试：

项目源码：单点登录服务端、单点登录客户端

参考博客

https://www.baeldung.com/sso-spring-security-oauth2
https://www.linzepeng.com/2018/10/31/sso-note1/

基于Spring Security + OAuth2的SSO单点登录（服务端）

2019-10-07T11:17:50.000Z

传统登录

登录web系统后将用户信息保存在session中，sessionId写入浏览器的cookie中，每次访问系统，浏览器自动携带此cookie，服务端根据此sessionId取到相应的session，若为空则表示登录已失效，不为空则表示用户已登录，不需要用户再次输入用户名密码。

单点登录

单点登录是一种多站点共享登录访问授权机制，访问用户只需要在一个站点登录就可以访问其它站点需要登录访问的资源(url)。用户在任意一个站点注销登录，则其它站点的登录状态也被注销。简而言之就是：一处登录，处处登录。一处注销，处处注销。
spring-security + OAuth2 完美解决了完全跨域的问题。

单点登录时序图

看完上面的时序图，大家应该明白，使用OAuth2整合的单点登录本质上还是利用cookie + session的方式，虽然客户端和（服务端）认证中心交互采用的是JWT的方式，但浏览器和客户端还是采用cookie+session的方式。

整合SSO认证中心

1. 引入核心依赖


   org.springframework.boot
    spring-boot-starter-security


    org.springframework.security.oauth.boot
    spring-security-oauth2-autoconfigure
    2.1.3.RELEASE

2. Security的核心配置文件

@Slf4j
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    @Qualifier("securityAuthenticationProvider")
    private AuthenticationProvider securityAuthenticationProvider;

    @Autowired
    @Qualifier("userLoginSuccessHandler")
    private AuthenticationSuccessHandler userLoginSuccessHandler;

    @Autowired
    @Qualifier("securityAuthenticationFailureHandler")
    private AuthenticationFailureHandler securityAuthenticationFailureHandler;

    @Autowired
    @Qualifier("securityLogoutSuccessHandler")
    private LogoutSuccessHandler securityLogoutSuccessHandler;

    @Autowired
    @Qualifier("securityAccessDeniedHandler")
    private AccessDeniedHandler securityAccessDeniedHandler;

    @Autowired
    @Qualifier("securityAuthenticationEntryPoint")
    private AuthenticationEntryPoint securityAuthenticationEntryPoint;

    @Autowired
    @Qualifier("urlFilterInvocationSecurityMetadataSource")
    UrlFilterInvocationSecurityMetadataSource urlFilterInvocationSecurityMetadataSource;

    @Autowired
    @Qualifier("urlAccessDecisionManager")
    AccessDecisionManager urlAccessDecisionManager;

    /**
     * 访问静态资源
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers(
                "/css/**",
                "/js/**",
                "/images/**",
                "/fonts/**",
                "/favicon.ico",
                "/static/**",
                "/resources/**","/error","/status/*", "/swagger-ui.html", "/v2/**", "/webjars/**", "/swagger-resources/**");
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) {
        auth.authenticationProvider(securityAuthenticationProvider);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http
            .authorizeRequests()
                .anyRequest()
                .authenticated()
                .withObjectPostProcessor(urlObjectPostProcessor())
            .and()
                .formLogin()
                .loginPage("/login") //自定义登录页面
                .loginProcessingUrl("/login")
                .usernameParameter("username")
                .passwordParameter("password")
                .permitAll()
                .failureHandler(securityAuthenticationFailureHandler)
                .successHandler(userLoginSuccessHandler)
            .and()
                .exceptionHandling()
                .authenticationEntryPoint(securityAuthenticationEntryPoint)
                .accessDeniedHandler(securityAccessDeniedHandler)
            .and()
                .logout()
                .deleteCookies("SESSION")
                .logoutUrl("/logout")
                .logoutSuccessHandler(securityLogoutSuccessHandler)
                .permitAll()
            .and()
            // 关闭csrf，还可开放退出的GET请求方式，否则只有POST请求方式
                .csrf().disable();

        http
                .sessionManagement()
                // 无效session跳转
                .invalidSessionUrl("/login")
                .maximumSessions(1)
                // session过期跳转
                .expiredUrl("/login")
                .sessionRegistry(sessionRegistry());
    }

    /**
     * 解决session失效后 sessionRegistry中session没有同步失效的问题
     * @return
     */
    @Bean
    public HttpSessionEventPublisher httpSessionEventPublisher() {
        return new HttpSessionEventPublisher();
    }

    @Bean
    public SessionRegistry sessionRegistry() {
        return new SessionRegistryImpl();
    }

    public ObjectPostProcessor urlObjectPostProcessor() {
        return new ObjectPostProcessor() {
            @Override
            public  O postProcess(O o) {
                o.setSecurityMetadataSource(urlFilterInvocationSecurityMetadataSource);
                o.setAccessDecisionManager(urlAccessDecisionManager);
                return o;
            }
        };
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
       return super.authenticationManagerBean();
    }


    /**
     * 设置加密方式
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

3. 配置基于OAuth2 的授权服务

/**
 * @author lirong
 * Date 2019-3-18 09:04:36
 */
@Configuration
public class OAuth2ServerConfig {

    /**
     * 注册资源服务器，开放给SSO客户端访问的资源
     */
    @Configuration
    @EnableResourceServer
    protected static class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
        private static final String RESOURCE_ID = "libii-sso-server";
        @Override
        public void configure(ResourceServerSecurityConfigurer resources) {
            // 如果关闭 stateless，则 accessToken 使用时的 session id 会被记录，后续请求不携带 accessToken 也可以正常响应
            resources.resourceId(RESOURCE_ID).stateless(false);
        }

        /**
         * 为oauth2单独创建角色，这些角色只具有访问受限资源的权限，可解决token失效的问题
         * @param http
         * @throws Exception
         */
        @Override
        public void configure(HttpSecurity http) throws Exception {
            http
                    // 获取登录用户的 session
                    .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
                    .and()
                    // 资源服务器拦截的路径 注意此路径不要拦截主过滤器放行的URL
                    .requestMatchers().antMatchers("/user/**");
            http
                    .authorizeRequests()
                    // 配置资源服务器已拦截的路径才有效
                    .antMatchers("/user/**").authenticated();
            // .access(" #oauth2.hasScope('select') or hasAnyRole('ROLE_超级管理员', 'ROLE_设备管理员')");

            http
                    .exceptionHandling().accessDeniedHandler(new OAuth2AccessDeniedHandler())
                    .and()
                    .authorizeRequests()
                    .anyRequest()
                    .authenticated();
        }
    }

    @Configuration
    @EnableAuthorizationServer
    protected static class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

        @Autowired
        AuthenticationManager authenticationManager;
        @Autowired
        private DataSource dataSource;
        @Autowired
        SecurityUserService userDetailsService;

        // @Bean
        // public TokenStore tokenStore() {
        //     return new JdbcTokenStore(dataSource);
        // }

        @Bean
        public TokenStore jwtTokenStore() {
            return new JwtTokenStore(jwtAccessTokenConverter());
        }

        @Bean
        public JwtAccessTokenConverter jwtAccessTokenConverter(){
            JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
            converter.setSigningKey("libii-sso-server");
            return converter;
        }

        /**
         * 密码加密
         */
        @Bean
        public PasswordEncoder passwordEncoder() {
            return new BCryptPasswordEncoder();
        }

        @Bean
        public AuthorizationCodeServices authorizationCodeServices(DataSource dataSource) {
            return new JdbcAuthorizationCodeServices(dataSource);
        }


        @Override
        public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
            // 1. 数据库的方式
            clients.jdbc(dataSource);

            // 2. 内存的方式
            // 定义了两个客户端应用的通行证
            // clients.inMemory()
            //         .withClient("moregame")
            //         .secret(new BCryptPasswordEncoder().encode("123456"))
            //         .authorizedGrantTypes("authorization_code", "refresh_token")
            //         .redirectUris("http://www.site2.com/login")
            //         .scopes("all")
            //         .accessTokenValiditySeconds(3600)
            //         .autoApprove(true)
            //
            //         .and()
            //         .withClient("sheep1")
            //         .secret(new BCryptPasswordEncoder().encode("123456"))
            //         .authorizedGrantTypes("authorization_code", "refresh_token")
            //         .redirectUris("http://www.site1.com/login")
            //         .scopes("all")
            //         .accessTokenValiditySeconds(3600)
            //         .autoApprove(true);
        }

        /**
         * 声明授权和token的端点以及token的服务的一些配置信息，
         * 比如采用什么存储方式、token的有效期等
         * @param endpoints
         */
        @Override
        public void configure(AuthorizationServerEndpointsConfigurer endpoints) {

            endpoints
                    .tokenStore(jwtTokenStore())
                    .accessTokenConverter(jwtAccessTokenConverter())
                    .authenticationManager(authenticationManager)
                    .userDetailsService(userDetailsService);
        }

        /**
         * 声明安全约束，哪些允许访问，哪些不允许访问
         * @param security
         */
        @Override
        public void configure(AuthorizationServerSecurityConfigurer security) {
            //允许表单认证
            security.allowFormAuthenticationForClients();
            security.passwordEncoder(passwordEncoder());
            // 对于CheckEndpoint控制器[框架自带的校验]的/oauth/check端点允许所有客户端发送器请求而不会被Spring-security拦截
            security.tokenKeyAccess("isAuthenticated()");
        }
    }
}

配置说明：
1. 此处把授权服务器和资源服务器一起配置了，可分开配置，如若不配置资源服务器，则在客户端无法通过获取的accessToken和服务端交互（登录和登出除外，@EnableOAuth2Sso注解做了自动处理），当然如果你的项目登录、登出够用了，也可不配置。
2. 本文采用的是数据库的方式存储OAuth的客户端信息，内存的方式也在文中提供了，采用JWT的方式实现TokenStore，熟悉OAuth2 的朋友应该知道，有4种方式来配置tokenStore，详情请移步这里tokenStore详解，虽然我们也使用数据库来存储客户端的配置信息，但是因为使用的jwtTokenStore，access_token等信息都蕴藏在JWT里面，所以数据库只需要一张oauth_client_details表就行了，不需要存储授权码和access_token等信息。
3. 引入userDetailsService，是为了将OAuth2签发的access_token和系统的用户绑定起来，这样，此token就具有了系统用户所具有的访问权限。（有人说，这样绑定后，只要系统用户的session没有失效，token就会自动刷新，不会过期，经测试，token还是会过期，但应该还是有某种其他的联系，有兴趣的小伙伴可以深度研究）

4. 单点退出

原理： 用户在某个客户端执行退出操作后，通知认证中心和其他客户端，使他们也触发用户退出的相应操作，这就是单点退出。
遇到的问题： @EnableOAuth2Sso只帮我们实现了通知认证中心退出的操作，此时浏览器和各个客户端建立的session依旧有效，那怎样才能通知客户端呢？。
解决方案： 熟悉spring-security的朋友都知道，security鉴权时会拦截每一个访问的URL，判断用户是否登录，以及用户是否有此URL访问的权限，基于此，我们可在此过程中插入对用户是否在其他客户端退出的判断。在用户登录时，先到认证中心授权认证，登录成功的同时，认证中心将用户具有的权限信息（以用户名为key，权限信息作为value）存入到客户端能够访问的redis中，用户退出时，由认证中心去删除redis该用户的权限信息即可。用户访问客户端期间，一旦客户端的security取不到redis中用户的权限信息了，即表示用户已在其他客户端退出了。
详情可参考我的单点登录客户端这篇博客。

测试

单点登录：

单点退出：

欢迎大家留言讨论
Github源码：单点登录服务端、单点登录客户端

Spring Security + JWT 完成RBAC动态授权

2019-07-24T11:49:19.000Z

此篇文章为spring security系列的第一篇，着重讲解如何通过spring security完成企业级项目的权限控制，以及采用Redis的方式控制JWT的失效。

1. 什么是RBAC

RBAC（Role-Based Access Control ）基于角色的权限控制，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。

2. JWT 和 Spring Security

spring security 授权主要分为两种，一种是security内部负责维护登录用户的session，一种则是采用JWT的方式，不管理session。关于JWT 和 Security的详细资料请小伙伴们自行查阅（相关网址推荐：http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html）
此处就不在赘述，好了下面开始正文吧。

3.1 导入依赖



    org.springframework.boot
    spring-boot-starter-security


    io.jsonwebtoken
    jjwt
    0.9.0

3. security 核心配置类：WebSecurityConfig

@Configuration
@EnableWebSecurity
@EnableConfigurationProperties(CustomConfig.class)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private CustomConfig customConfig;

    @Autowired
    private SecurityUserService securityUserService;

    @Autowired
    @Qualifier("securityAccessDeniedHandler")
    private AccessDeniedHandler securityAccessDeniedHandler;

    @Autowired
    private JwtAuthenticationFilter jwtAuthenticationFilter;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(securityUserService).passwordEncoder(passwordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.cors()
                // 关闭 CSRF
                .and().csrf().disable()
                // 登录行为由自己实现，参考 LoginController#login
                .formLogin().disable()
                .httpBasic().disable()

                // 认证请求
                .authorizeRequests()
                // 所有请求都需要登录访问
                .anyRequest()
                .authenticated()
                // RBAC 动态 url 认证
                .anyRequest()
                .access("@rbacAuthorityService.hasPermission(request,authentication)")

                // 登出行为由自己实现，参考 LoginController#logout
                .and().logout().disable()
                // 异常处理
                .exceptionHandling().accessDeniedHandler(securityAccessDeniedHandler);

        // Session 管理
        http.sessionManagement()
                // 因为使用了JWT，所以这里不管理Session
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        // 添加自定义 JWT 过滤器
        http.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
    }

    /**
     * 放行所有不需要登录就可以访问的请求，参见 AuthController
     * 也可以在 {@link #configure(HttpSecurity)} 中配置
     * {@code http.authorizeRequests().antMatchers("/api/auth/**").permitAll()}
     */
    @Override
    public void configure(WebSecurity web) {
        WebSecurity and = web.ignoring().and();

        // 忽略 GET
        customConfig.getIgnores().getGet().forEach(url -> and.ignoring().antMatchers(HttpMethod.GET, url));

        // 忽略 POST
        customConfig.getIgnores().getPost().forEach(url -> and.ignoring().antMatchers(HttpMethod.POST, url));

        // 忽略 DELETE
        customConfig.getIgnores().getDelete().forEach(url -> and.ignoring().antMatchers(HttpMethod.DELETE, url));

        // 忽略 PUT
        customConfig.getIgnores().getPut().forEach(url -> and.ignoring().antMatchers(HttpMethod.PUT, url));

        // 忽略 HEAD
        customConfig.getIgnores().getHead().forEach(url -> and.ignoring().antMatchers(HttpMethod.HEAD, url));

        // 忽略 PATCH
        customConfig.getIgnores().getPatch().forEach(url -> and.ignoring().antMatchers(HttpMethod.PATCH, url));

        // 忽略 OPTIONS
        customConfig.getIgnores().getOptions().forEach(url -> and.ignoring().antMatchers(HttpMethod.OPTIONS, url));

        // 忽略 TRACE
        customConfig.getIgnores().getTrace().forEach(url -> and.ignoring().antMatchers(HttpMethod.TRACE, url));

        // 按照请求格式忽略
        customConfig.getIgnores().getPattern().forEach(url -> and.ignoring().antMatchers(url));
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * 设置加密方式
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

}

1. AuthenticationManagerBuilder auth主要设置了security的加密方式，（BCryptPasswordEncoder也是目前比较流行安全的一种加密方式，它比MD5效率更高），userDetailsService则负责对用户名、密码的校验和授权。

2. HttpSecurity http 主要是对security核心过滤器链的配置，可配置登录、登出及异常等处理器，因为我们采用的是JWT的方式，因此禁用了security提供的登录和登出，配置了JWT的过滤器，以及RBAC校验的方式。

3. WebSecurity web主要负责配置一些security放行的路径，文中通过customConfig读取在配置文件中设置的放行的URL。

4. 配置JWT 的认证过滤器`JwtAuthenticationFilter`

/**
 * @author lirong
 * @ClassName: JwtAuthenticationFilter
 * @Description: Jwt 认证过滤器
 * @date 2019-07-12 9:50
 */
@Component
@Slf4j
public class JwtAuthenticationFilter extends OncePerRequestFilter {

    @Autowired
    private SecurityUserService userDetailsService;

    @Autowired
    private JwtUtil jwtUtil;

    @Autowired
    private CustomConfig customConfig;

    @Autowired
    private IApplicationConfig applicationConfig;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {

        // 是否为放行的请求
        if (checkIgnores(request)) {
            chain.doFilter(request, response);
            return;
        }

        String jwt = jwtUtil.getJwtFromRequest(request);

        if (StrUtil.isNotBlank(jwt)) {
            try {
                String username = jwtUtil.getUsernameFromJWT(jwt, false);

                UserDetails userDetails = userDetailsService.loadUserByUsername(username);
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));

                SecurityContextHolder.getContext().setAuthentication(authentication);

                chain.doFilter(request, response);
            } catch (CustomException e) {
                ResponseUtils.renderJson(request, response, e, applicationConfig.getOrigins());
            }
        } else {
            ResponseUtils.renderJson(request, response, ResultCode.UNAUTHORIZED, null, applicationConfig.getOrigins());
        }
    }

    /**
     * 请求是否不需要进行权限拦截
     * @param request 当前请求
     * @return true - 忽略，false - 不忽略
     */
    private boolean checkIgnores(HttpServletRequest request) {
        String method = request.getMethod();

        HttpMethod httpMethod = HttpMethod.resolve(method);
        if (ObjectUtil.isNull(httpMethod)) {
            httpMethod = HttpMethod.GET;
        }

        Set ignores = Sets.newHashSet();

        switch (httpMethod) {
            case GET:
                ignores.addAll(customConfig.getIgnores()
                        .getGet());
                break;
            case PUT:
                ignores.addAll(customConfig.getIgnores()
                        .getPut());
                break;
            case HEAD:
                ignores.addAll(customConfig.getIgnores()
                        .getHead());
                break;
            case POST:
                ignores.addAll(customConfig.getIgnores()
                        .getPost());
                break;
            case PATCH:
                ignores.addAll(customConfig.getIgnores()
                        .getPatch());
                break;
            case TRACE:
                ignores.addAll(customConfig.getIgnores()
                        .getTrace());
                break;
            case DELETE:
                ignores.addAll(customConfig.getIgnores()
                        .getDelete());
                break;
            case OPTIONS:
                ignores.addAll(customConfig.getIgnores()
                        .getOptions());
                break;
            default:
                break;
        }

        ignores.addAll(customConfig.getIgnores()
                .getPattern());

        if (CollUtil.isNotEmpty(ignores)) {
            for (String ignore : ignores) {
                AntPathRequestMatcher matcher = new AntPathRequestMatcher(ignore, method);
                if (matcher.matches(request)) {
                    return true;
                }
            }
        }
        return false;
    }
}

此过滤器会拦截访问系统的所有的请求，因此需要放行所有被忽略的URL，包括登录和登出，并将校验通过的JWT的用户信息封装为authentication。

5. RBAC权限匹配器

/**
 * @author lirong
 * @ClassName: JwtAuthenticationFilter
 * @Description: Jwt 认证过滤器
 * @date 2019-07-12 9:50
 */
@Slf4j
@Component
public class RbacAuthorityService {
    @Autowired
    private SecurityUserService userDetails;

    @Autowired
    private RequestMappingHandlerMapping mapping;

    public boolean hasPermission(HttpServletRequest request, Authentication authentication) {
        checkRequest(request);

        Object userInfo = authentication.getPrincipal();
        boolean hasPermission = false;

        if (userInfo instanceof UserDetails) {
            SecurityUser principal = (SecurityUser) userInfo;
            SecurityUser userDTO = (SecurityUser) this.userDetails.loadUserByUsername(principal.getUsername());

            //获取资源，前后端分离，所以过滤页面权限，只保留按钮权限
            List btnPerms = userDTO.getMenus().stream()
                    // 过滤页面权限
                    .filter(menuRight -> menuRight.getGrades() >= 3)
                    // 过滤 URL 为空
                    .filter(menuRight -> StrUtil.isNotBlank(menuRight.getUrl()))
                    // 过滤 METHOD 为空
                    .collect(Collectors.toList());
            for (MenuRight btnPerm : btnPerms) {
                AntPathRequestMatcher antPathMatcher = new AntPathRequestMatcher(btnPerm.getUrl(), btnPerm.getMethod());
                if (antPathMatcher.matches(request)) {
                    hasPermission = true;
                    break;
                }
            }

            return hasPermission;
        } else {
            return false;
        }
    }

    /**
     * 校验请求是否存在
     *
     * @param request 请求
     */
    private void checkRequest(HttpServletRequest request) {
        // 获取当前 request 的方法
        String currentMethod = request.getMethod();
        Multimap urlMapping = allUrlMapping();

        for (String uri : urlMapping.keySet()) {
            // 通过 AntPathRequestMatcher 匹配 url
            // 可以通过 2 种方式创建 AntPathRequestMatcher
            // 1：new AntPathRequestMatcher(uri,method) 这种方式可以直接判断方法是否匹配，因为这里我们把 方法不匹配 自定义抛出，所以，我们使用第2种方式创建
            // 2：new AntPathRequestMatcher(uri) 这种方式不校验请求方法，只校验请求路径
            AntPathRequestMatcher antPathMatcher = new AntPathRequestMatcher(uri);
            if (antPathMatcher.matches(request)) {
                if (!urlMapping.get(uri)
                        .contains(currentMethod)) {
                    throw new CustomException(ResultCode.HTTP_BAD_METHOD);
                } else {
                    return;
                }
            }
        }

        throw new CustomException(ResultCode.REQUEST_NOT_FOUND);
    }

    /**
     * 获取 所有URL Mapping，返回格式为{"/test":["GET","POST"],"/sys":["GET","DELETE"]}
     *
     * @return {@link ArrayListMultimap} 格式的 URL Mapping
     */
    private Multimap allUrlMapping() {
        Multimap urlMapping = ArrayListMultimap.create();

        // 获取url与类和方法的对应信息
        Map handlerMethods = mapping.getHandlerMethods();

        handlerMethods.forEach((k, v) -> {
            // 获取当前 key 下的获取所有URL
            Set url = k.getPatternsCondition()
                    .getPatterns();
            RequestMethodsRequestCondition method = k.getMethodsCondition();

            // 为每个URL添加所有的请求方法
            url.forEach(s -> urlMapping.putAll(s, method.getMethods()
                    .stream()
                    .map(Enum::toString)
                    .collect(Collectors.toList())));
        });

        return urlMapping;
    }
}

此方法看似很多，实则只做了一件事，就是把页面请求的URL和用户拥有的所有权限资源(URL)进行匹配。

6. `UserDetailsService`查询数据库用户信息

/**
 * @author lirong
 * @Date 2019-7-14 22:46:54
 * @Desc 从数据库查询用户数据
 */
@Component("securityUserService")
public class SecurityUserService implements UserDetailsService {
    @Resource
    private UserMapper userMapper;
    @Resource
    private RoleMapper roleMapper;
    @Resource
    private MenuRightMapper menuRightMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        UserDTO userDTO = userMapper.getRolesByUsername(username);
        // 默认用户ID为1的为管理员
        if (null != userDTO){
            if(1L == userDTO.getId()) {
                this.getAdminPermission(userDTO);
            }
            SecurityUser securityUser = new SecurityUser(LoginUserDTO.user2LoginUserDTO(userDTO));
            return securityUser;
        } else {
            throw new UsernameNotFoundException(username + " 用户不存在!");
        }
    }

    /**
     * 为管理员赋所有权限
     * @param userDTO
     * @return
     */
    private UserDTO getAdminPermission(UserDTO userDTO) {
        List roles = roleMapper.selectAll();
        List menuRights = menuRightMapper.selectAll();
        userDTO.setRoles(roles);
        userDTO.setMenus(menuRights);
        return userDTO;
    }
}

7. JWT的刷新和登录用户的注销

众所周知，JWT是无状态的，服务端无法通过解析JWT知道用户是否提前注销，因此借助了Redis的过期机制，来达到通知用户退出的目的。创建JWT时，会将生成的JWT以用户名为前缀存入Redis，退出时，清除Redis中此用户名的JWT，每次访问时解析JWT并判断Redis中是否还存在此用户名的JWT，若不存在，则表示此用户已注销。
JWT的续签，此处采用的是refresh_token的形式，及登录的时候创建两个JWT，一个token，一个refresh_token，refresh_token的过期时间设置比较长，token失效后，前端可调用refresh_token的接口来刷新来达到续签的目的。

/**
 * jwt工具类
 * @author  daiyp
 * @date 2018-9-26
 */
@EnableConfigurationProperties(JwtConfig.class)
@Configuration
@Slf4j
public class JwtUtil {

    @Autowired
    private RedisTemplate redisTemplate;

    @Autowired
    private JwtConfig jwtConfig;

    /**
     * 创建JWT
     *
     * @param authentication 用户认证信息
     * @param rememberMe     记住我
     * @return JWT
     */
    public String createJWT(Authentication authentication, Boolean rememberMe, Boolean isRefresh) {
        SecurityUser user = (SecurityUser) authentication.getPrincipal();
        return createJWT(isRefresh, rememberMe, user.getId(), user.getUsername(), user.getRoles(), user.getMenus(), user.getAuthorities());
    }

    /**
     * 创建JWT
     *
     * @param id          用户id
     * @param subject     用户名
     * @param roles       用户角色
     * @param authorities 用户权限
     * @return JWT
     */
    public String createJWT(Boolean isRefresh,
                            Boolean rememberMe,
                            Long id,
                            String subject,
                            List roles,
                            List menus,
                            Collection authorities) {
        Date now = new Date();
        JwtBuilder builder = Jwts.builder()
                .setId(id.toString())
                .setSubject(subject)
                .setIssuedAt(now)
                .signWith(SignatureAlgorithm.HS256, jwtConfig.getSecret())
                .claim("roles", roles)
                // .claim("perms", menus)
                .claim("authorities", authorities);

        // 设置过期时间
        Long ttl = rememberMe ? jwtConfig.getRemember() : jwtConfig.getTtl();
        String redisKey;
        if (isRefresh){
            ttl *= 3;
            redisKey = Constant.REDIS_JWT_REFRESH_TOKEN_KEY_PREFIX + subject;
        }else{
            redisKey = Constant.REDIS_JWT_TOKEN_KEY_PREFIX + subject;
        }
        if (ttl > 0) {
            builder.setExpiration(DateUtil.offsetMillisecond(now, ttl.intValue()));
        }

        String jwt = builder.compact();
        // 将生成的JWT保存至Redis
        redisTemplate.opsForValue().set(redisKey, jwt, ttl, TimeUnit.MILLISECONDS);
        return jwt;
    }

    /**
     * 解析JWT
     *
     * @param jwt JWT
     * @return {@link Claims}
     */
    public Claims parseJWT(String jwt, Boolean isRefresh) {
        try {
            Claims claims = Jwts.parser()
                    .setSigningKey(jwtConfig.getSecret())
                    .parseClaimsJws(jwt)
                    .getBody();

            String username = claims.getSubject();
            String redisKey = (isRefresh ? Constant.REDIS_JWT_REFRESH_TOKEN_KEY_PREFIX : Constant.REDIS_JWT_TOKEN_KEY_PREFIX)
                    + username;

            // 校验redis中的JWT是否存在
            Long expire = redisTemplate.getExpire(redisKey, TimeUnit.MILLISECONDS);
            if (Objects.isNull(expire) || expire <= 0) {
                throw new CustomException(ResultCode.TOKEN_EXPIRED);
            }

            // 校验redis中的JWT是否与当前的一致，不一致则代表用户已注销/用户在不同设备登录，均代表JWT已过期
            String redisToken = (String) redisTemplate.opsForValue().get(redisKey);
            if (!StrUtil.equals(jwt, redisToken)) {
                throw new CustomException(ResultCode.TOKEN_OUT_OF_CTRL);
            }
            return claims;
        } catch (ExpiredJwtException e) {
            log.error("Token 已过期");
            throw new CustomException(ResultCode.TOKEN_EXPIRED);
        } catch (UnsupportedJwtException e) {
            log.error("不支持的 Token");
            throw new CustomException(ResultCode.TOKEN_PARSE_ERROR);
        } catch (MalformedJwtException e) {
            log.error("Token 无效");
            throw new CustomException(ResultCode.TOKEN_PARSE_ERROR);
        } catch (IllegalArgumentException e) {
            log.error("Token 参数不存在");
            throw new CustomException(ResultCode.TOKEN_PARSE_ERROR);
        }
    }

    /**
     * 设置JWT过期
     *
     * @param request 请求
     */
    public void invalidateJWT(HttpServletRequest request) {
        String jwt = getJwtFromRequest(request);
        String username = getUsernameFromJWT(jwt, false);
        // 从redis中清除JWT
        redisTemplate.delete(Constant.REDIS_JWT_REFRESH_TOKEN_KEY_PREFIX + username);
        redisTemplate.delete(Constant.REDIS_JWT_TOKEN_KEY_PREFIX + username);
    }

    /**
     * 从 request 的 header 中获取 JWT
     *
     * @param request 请求
     * @return JWT
     */
    public String getJwtFromRequest(HttpServletRequest request) {
        String bearerToken = request.getHeader("Authorization");
        if (StrUtil.isNotBlank(bearerToken) && bearerToken.startsWith("Bearer ")) {
            return bearerToken.substring(7);
        }
        return null;
    }

    /**
     * 根据 jwt 获取用户名
     *
     * @param jwt JWT
     * @return 用户名
     */
    public String getUsernameFromJWT(String jwt, Boolean isRefresh) {
        Claims claims = parseJWT(jwt, isRefresh);
        return claims.getSubject();
    }

    public Map refreshJWT(String token) {
        Claims claims = parseJWT(token, true);
        // 获取签发时间
        Date lastTime = claims.getExpiration();
        // 1. 判断refreshToken是否过期
        if (!new Date().before(lastTime)){
            throw new CustomException(ResultCode.TOKEN_EXPIRED);
        }
        // 2. 在redis中删除之前的token和refreshToken
        String username = claims.getSubject();
        // redisTemplate.delete(Constant.REDIS_JWT_REFRESH_TOKEN_KEY_PREFIX + username);
        // redisTemplate.delete(Constant.REDIS_JWT_TOKEN_KEY_PREFIX + username);
        // 3. 创建新的token和refreshToken并存入redis
        String jwtToken = createJWT(false, false, Long.parseLong(claims.getId()), username,
                (List) claims.get("roles"), null, (Collection) claims.get("authorities"));
        String refreshJwtToken = createJWT(true, false, Long.parseLong(claims.getId()), username,
                (List) claims.get("roles"), null, (Collection) claims.get("authorities"));
        Map map = new HashMap<>();
        map.put("token", jwtToken);
        map.put("refreshToken", refreshJwtToken);
        return map;
    }

    /**
     *
     * 功能：生成 jwt token

     * @param name实例名
     * @param param需要保存的参数
     * @param secret秘钥
     * @param expirationtime过期时间(5分钟 5*60*1000)
     * @return
     *
     */
    public static String sign(String name, Map param, String secret, Long expirationtime){
        String JWT = Jwts.builder()
                .setClaims(param)
                .setSubject(name)
                .setExpiration(new Date(System.currentTimeMillis() + expirationtime))
                .signWith(SignatureAlgorithm.HS256,secret)
                .compact();
        return JWT;
    }
    /**
     *
     * 功能：解密 jwt

     * @param JWTtoken字符串
     * @param secret秘钥
     * @return
     * @exception
     *
     */
    public static Claims verify(String JWT, String secret){
        Claims claims = Jwts.parser()
                .setSigningKey(secret)
                .parseClaimsJws(JWT)
                .getBody();
        return claims;
    }

    public static Object getValueFromToken(String jwt,String key, String secret){
        return verify(jwt, secret).get(key);
    }
}

登录和登出的方法

/**
 * @author lirong
 * @ClassName: LoginController
 * @Description: 登录Controller
 * @date 2019-07-12 9:31
 */
@Slf4j
@RestController
@RequestMapping("/")
public class LoginController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private JwtUtil jwtUtil;

    /**
     * 登录
     */
    @PostMapping("/login")
    public RestResult login(@RequestParam String username,
                            @RequestParam String password,
                            @RequestParam(required = false, defaultValue = "false") Boolean rememberMe,
                            HttpServletRequest request,
                            HttpServletResponse response) {
        Authentication authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password));

        SecurityContextHolder.getContext()
                .setAuthentication(authentication);

        String jwt = jwtUtil.createJWT(authentication, rememberMe, false);
        String jwt_refresh = jwtUtil.createJWT(authentication, rememberMe, true);
        Map map = new HashMap<>();
        map.put("token", jwt);
        map.put("refreshToken", jwt_refresh);

        CookieUtils.setCookie(response, "localhost", jwt);
        return ResultGenerator.genSuccessResult().setMessage("登录成功").setData(map);
    }

    /**
     * 退出
     * @param request
     * @return
     */
    @PostMapping("/logout")
    public RestResult logout(HttpServletRequest request) {
        try {
            // 设置JWT过期
            jwtUtil.invalidateJWT(request);
        } catch (CustomException e) {
            throw new CustomException(ResultCode.UNAUTHORIZED);
        }
        return ResultGenerator.genSuccessResult().setMessage("退出成功");
    }

    /**
     * 刷新过期的token
     * @param refreshToken
     * @return
     */
    @PostMapping("/refresh/token")
    public RestResult refreshToken(String refreshToken) {
        Map map;
        try {
            // 刷新
            map = jwtUtil.refreshJWT(refreshToken);
        } catch (CustomException e) {
            throw new CustomException(ResultCode.TOKEN_EXPIRED);
        }
        return ResultGenerator.genSuccessResult().setMessage("token刷新成功").setData(map);
    }
}

7. 效果测试

8. 数据库和源码

上面只是项目的部分核心代码，完整代码和数据库已托管到Github上，请访问源码链接自行下载，觉得有用的话，记得star哦，有什么问题欢迎大家通过issues或者邮件进行交流。

Hexo(yilia)+Github实现相册和音频功能

2019-06-16T15:07:56.000Z

效果图，请先点这里：https://janche.github.io/photos/

1. 需要准备的资料

1. 本文为hexo-theme-yilia主题，其他hexo主题请另行百度
2. GitHub上新建一个仓库存储照片（此仓库的作用除了储存还负责更新hexo博客引用的图片链接地址），为了少走弯路，请直接fork原作者的仓库(https://github.com/lawlite19/Blog-Back-Up.git)，若下载速度太慢，可选择我的备用地址(https://github.com/Janche/Blog-Photo.git)
3. Python环境（安装Python3，并配置环境变量，对照片的处理是通过Python命令来处理的）
4. 在你的hexo博客的source文件夹下(注意不是yilia主题下的source)，新建一个photos文件夹,用于存放照片相关的文件，也可通过命令 hexo new page photos创建

2. 更改储存照片仓库(`Blog-Photo`/`Blog-Back-Up`)中的URL

2.1 仓库目录说明：

2.1.1 修改ins.js

红框中的地址应改为你GitHub存储照片仓库图片的地址(注意一定是点击download后地址栏的url)，如图b
图a：
图b:

2.1.3 修改tool.py文件

将红框处的地址替换为hexo博客刚新建的photos地址，这样每次上传图片后将自动更新到hexo博客中。

2.1.4 照片上传步骤

1. 将blog_photos_copy目录下的5个文件拷贝到hexo博客刚新建的photos目录下，注意，只有第一次配置时需要执行这一步，后续新增照片均不需要。
2. 新加的照片按照YYYY-MM-dd_照片文字描述.jpg格式添加到Blog-Photo的photos目录
3. 运行Python命令：python tool.py，期间可能需要下载部分python的依赖，根据错误，百度下载就好了。

3. 配置hexo博客

3.1 修改`yilia`主题的`_config.yml`

3.2 将empty.png图片也放于之前的`source`目录下

empty.png下载地址：https://raw.githubusercontent.com/Janche/janche.github.io/master/assets/img/empty.png
到这里，终于可以在博客上看到你自己的照片墙啦。

4. 为hexo博客添加音频播放

你没有看错，就只有这三行代码，你想在那篇文章加音乐，直接添加这三行就行了，src后的链接为歌曲的外链地址，很多歌曲都因为版权而无法生成外链地址。

参考文章：

Runtime 调用Process.waitfor导致的阻塞问题

2019-06-16T01:34:20.000Z

1. 关于Runtime类的小知识

1. Runtime.getRuntime()可以取得当前JVM的运行时环境，这也是在Java中唯一一个得到运行时环境的方法
2. Runtime中的exit方法是退出JVM

2. Runtime的几个重要的重载方法

方法名	作用
exec(String command);	在单独的进程中执行指定的字符串命令。
exec(String command, String[] envp)	在指定环境的单独进程中执行指定的字符串命令。
exec(String[] cmdarray, String[] envp, File dir)	在指定环境和工作目录的独立进程中执行指定的命令和变量
exec(String command, String[] envp, File dir)	在有指定环境和工作目录的独立进程中执行指定的字符串命令。

Runtime类的重要的方法还有很多，简单列举几个

1.exit(int status)：终止当前正在运行的 Java 虚拟机
2.freeMemory()：返回 Java 虚拟机中的空闲内存量。
3.load(String filename)：加载作为动态库的指定文件名。
4.loadLibrary(String libname)：加载具有指定库名的动态库。

3. Runtime的使用方式

3.1 错误的使用exitValue()

public static void main(String[] args) throws IOException {
      String command = "ping www.baidu.com";
      Process process = Runtime.getRuntime().exec(command);
      int i = process.exitValue();
      System.out.println("字进程退出值："+i);
  }

输出：

1
2
3

Exception in thread "main" java.lang.IllegalThreadStateException: process has not exited
at java.lang.ProcessImpl.exitValue(ProcessImpl.java:443)
at com.lirong.think.runtime.ProcessUtils.main(ProcessUtils.java:26)

原因：

exitValue()方法是非阻塞的，在调用这个方法时cmd命令并没有返回所以引起异常。阻塞形式的方法是waitFor，它会一直等待外部命令执行完毕，然后返回执行的结果。

修改后的版本：

public static void main(String[] args) throws IOException {
      String command = "javac";
      Process process = Runtime.getRuntime().exec(command);
      process.waitFor();
      process.destroy();
      int i = process.exitValue();
      System.out.println("字进程退出值："+i);
  }

此版本已然可以正常运行，但当主线程和子线程有很多交互的时候还是会出问题，会出现卡死的情况。

4. 卡死原因

主进程中调用Runtime.exec会创建一个子进程，用于执行cmd命令。子进程创建后会和主进程分别独立运行。
因为主进程需要等待脚本执行完成，然后对命令返回值或输出进行处理，所以这里主进程调用Process.waitfor等待子进程完成。
运行此cmd命令可以知道：子进程执行过程就是打印信息。主进程中可以通过Process.getInputStream和Process.getErrorStream获取并处理。
这时候子进程不断向主进程发生数据，而主进程调用Process.waitfor后已挂起。当前子进程和主进程之间的缓冲区塞满后，子进程不能继续写数据，然后也会挂起。
这样子进程等待主进程读取数据，主进程等待子进程结束，两个进程相互等待，最终导致死锁。

5. 解决方案

不断的读取消耗缓冲区的数据，以至子进程不会挂起，下面是具体代码：

/**
 * @author lirong
 * @desc CMD命令测试
 * @date 2019/06/13 20:50
 */
@Slf4j
public class ProcessUtils {
    public static void main(String[] args) throws IOException, InterruptedException {
        String command = "ping www.baidu.com";
        Process process = Runtime.getRuntime().exec(command);
        readStreamInfo(process.getInputStream(), process.getErrorStream());
        int exit = process.waitFor();
        process.destroy();
        if (exit == 0) {
            log.debug("子进程正常完成");
        } else {
            log.debug("子进程异常结束");
        }
    }

    /**
     * 读取RunTime.exec运行子进程的输入流 和 异常流
     * @param inputStreams 输入流
     */
    public static void readStreamInfo(InputStream... inputStreams){
        ExecutorService executorService = Executors.newFixedThreadPool(inputStreams.length);
        for (InputStream in : inputStreams) {
            executorService.execute(new MyThread (in));
        }
        executorService.shutdown();
    }
}

/**
 * @author lirong
 * @desc
 * @date 2019/06/13 21:25
 */
@Slf4j
public class MyThread implements Runnable {

    private InputStream in;
    public MyThread(InputStream in){
        this.in = in;
    }

    @Override
    public void run() {
        try{
            BufferedReader br = new BufferedReader(new InputStreamReader(in, "GBK"));
            String line = null;
            while((line = br.readLine())!=null){
                log.debug(" inputStream: " + line);
            }
        }catch (IOException e){
            e.printStackTrace();
        }finally {
            try {
                in.close();
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
    }
}

写到这里大家以为都结束了哇，并没有，哈哈哈，真实的生成环境总能给你带来很多神奇的问题，Runtime不仅可以直接调用CMD执行命令，还可以调用其他.exe程序执行命令。所以纵使你读取了缓冲区的数据，你的程序依然可能会被卡死，因为有可能你的缓冲区根本就没有数据，而是你的.exe程序卡主了。嗯，所以为你以防万一，你还需要设置超时。

6. Runtime最优雅的调用方式

/**
 * @author lirong
 * @desc
 * @date 2019/06/13 20:50
 */
@Slf4j
public class ProcessUtils {

   /**
     * @param timeout 超时时长
     * @param fileDir 所运行程序路径
     * @param command 程序所要执行的命令
     * 运行一个外部命令，返回状态.若超过指定的超时时间，抛出TimeoutException
     */
    public static int executeProcess(final long timeout, File fileDir, final String[] command)
            throws IOException, InterruptedException, TimeoutException {
        Process process = Runtime.getRuntime().exec(command, null, fileDir);
        Worker worker = new Worker(process);
        worker.start();
        try {
            worker.join(timeout);
            if (worker.exit != null){
                return worker.exit;
            } else{
                throw new TimeoutException();
            }
        } catch (InterruptedException ex) {
            worker.interrupt();
            Thread.currentThread().interrupt();
            throw ex;
        }
        finally {
            process.destroy();
        }
    }
    
    private static class Worker extends Thread {
        private final Process process;
        private Integer exit;

        private Worker(Process process) {
            this.process = process;
        }

        @Override
        public void run() {
            InputStream errorStream = null;
            InputStream inputStream = null;
            try {
                errorStream = process.getErrorStream();
                inputStream = process.getInputStream();
                readStreamInfo(errorStream, inputStream);
                exit = process.waitFor();
                process.destroy();
                if (exit == 0) {
                    log.debug("子进程正常完成");
                } else {
                    log.debug("子进程异常结束");
                }
            } catch (InterruptedException ignore) {
                return;
            }
        }
    }

    /**
     * 读取RunTime.exec运行子进程的输入流 和 异常流
     * @param inputStreams 输入流
     */
    public static void readStreamInfo(InputStream... inputStreams){
        ExecutorService executorService = Executors.newFixedThreadPool(inputStreams.length);
        for (InputStream in : inputStreams) {
            executorService.execute(new MyThread(in));
        }
        executorService.shutdown();
    }
}

为什么要使用serialVersionUID

2019-05-19T09:53:52.000Z

1. 序列化是什么

把对象转换为字节序列的过程称为对象的序列化。
把字节序列恢复为对象的过程称为对象的反序列化。

2. Java中如何使用序列化

只需要让对象实现 Serializable接口即可，如下：

/**
 * @author lirong
 * @desc 序列化类
 * @date 2019/05/18 12:04
 */
public class Person implements Serializable {

    private static final long serialVersionUID = 1L;

    private int id;
    private String name;

    public Person(int id, String name) {
        this.id = id;
        this.name = name;
    }
    
    @Override
    public String toString() {
        return "Person: " +
                ", id: "+ id +
                ", name: " + name;
    }
}

让我们来看看Serializable 接口都帮我们做了什么工作？

If a serializable class does not explicitly declare a serialVersionUID,
  then the serialization runtime will calculate a default 
  serialVersionUID value for that class based on various aspects of the class, 
 as described in the Java(TM) Object Serialization Specification.

大致意思就是：如果没有为Class显示的声明serialVersionUID的话，运行时JVM将默认为Class根据Class的各个字段属性生成一个serialVersionUID，具体生成方式就不做研究了，大致应该是根据各字段的hash值凑成的吧。

3. 测试代码

3.1 序列化测试类：

/**
 * @author lirong
 * @desc 序列化测试类
 * @since 2019/05/18 12:09
 */
public class SerialTest {

    public static void main(String[] args) throws IOException {
        Person person = new Person(1234, "Janche");
        System.out.println("Person Serial" + person);
        FileOutputStream fos = new FileOutputStream("Person.txt");
        ObjectOutputStream oos = new ObjectOutputStream(fos);
        oos.writeObject(person);
        oos.flush();
        oos.close();
    }
}

3.2 反序列化测试类

/**
 * @author lirong
 * @desc 反序列化测试类
 * @date 2019/05/18 12:16
 */
public class DeserialTest {

    public static void main(String[] args) throws IOException, ClassNotFoundException {
        FileInputStream fis = new FileInputStream("Person.txt");
        ObjectInputStream ois = new ObjectInputStream(fis);
        Person person = (Person) ois.readObject();
        ois.close();
        System.out.println("Person Deserial" + person);
    }
}

4. 测试条件
a. 不实现Serializable接口
b. 实现Serializable接口
c. 未自定义serialVersionUID字段
d. 自定义serialVersionUID字段
e. 反序列化前增加字段
f. 反序列化前减少字段
g. 反序列化前修改字段的类型
说明：反序列化前表示在序列化操作完成之后到反序列化开始之前这段时间，更改Person类的字段

5. 测试结果
1.只要有a出现,就会导致java.io.NotSerializableException异常，即无法完成序列化。
2.当条件为 b+c 或者 b+d 时，序列化和反序列化均正常执行。
3.当条件为 b+c+e 或者 b+c+f 时，反序列化时将抛出InvalidClassException异常。
4.当条件为 b+d+e 或者 b+d+f 时，序列化和反序列一切正常，增加字段时，反序列化出来该字段为缺省值，减少字段时，反序列化出来也将没有此字段。
5.当条件包含 g 时，反序列化也将抛出InvalidClassException异常。

6. 测试总结
1. 尽量为每一个需要序列化的类自定义serialVersionUID值，这样可避免因为Class中字段的修改而带来的反序列化异常。
2. 尽量不要修改序列化类中的字段类型，如果一定要修改，请重新序列化后再反序列化。
3. 如果要为序列化的类中忽略某个字段，可添加transient关键字