接上篇，后端接收到“/code”请求并将其转发至ValidateCodeHandler处理

生成验证码

进入ValidateCodeServiceImpl#createCaptcha

这块代码比较简单，就不多赘述

/**
* 生成验证码
*/
@Override
public AjaxResult createCaptcha() throws IOException, CaptchaException {AjaxResult ajax = AjaxResult.success();// 获取配置文件中配置的验证码开关boolean captchaEnabled = captchaProperties.getEnabled();ajax.put("captchaEnabled", captchaEnabled);if (!captchaEnabled) {return ajax;}String uuid = IdUtils.simpleUUID();// 生成验证key，作为稍后存到redis中的keyString verifyKey = CacheConstants.CAPTCHA_CODE_KEY + uuid;String capStr = null, code = null;BufferedImage image = null;// 获取配置文件中配置的验证码类型String captchaType = captchaProperties.getType();// 生成验证码if ("math".equals(captchaType)) {// 生成验证码表达式和对应值String capText = captchaProducerMath.createText();// 截取验证码表达式capStr = capText.substring(0, capText.lastIndexOf("@"));// 截取值code = capText.substring(capText.lastIndexOf("@") + 1);// 将表达式转换成图片image = captchaProducerMath.createImage(capStr);}else if ("char".equals(captchaType)) {capStr = code = captchaProducer.createText();image = captchaProducer.createImage(capStr);}redisService.setCacheObject(verifyKey, code, Constants.CAPTCHA_EXPIRATION, TimeUnit.MINUTES);// 转换流信息写出FastByteArrayOutputStream os = new FastByteArrayOutputStream();try{ImageIO.write(image, "jpg", os);}catch (IOException e){return AjaxResult.error(e.getMessage());}ajax.put("uuid", uuid);ajax.put("img", Base64.encode(os.toByteArray()));return ajax;
}

发送登录请求

前端handleLogin方法，将用户信息放入cookie，调用login.js的login方法，请求路径为“/auth/login”

处理登录请求

客户端向 Spring Cloud Gateway 发出请求。如果Gateway Handler Mapping确定请求与路由匹配，则将其发送到Gateway Web Handler 处理程序。此处理程序通过特定于请求的Fliter链运行请求

在filter包下有几个过滤器链，首先会进入AuthFilter，过滤配置文件中配置的白名单，然后进入ValidateCodeFilter校验验证码

进入ValidateCodeServiceImpl#checkCaptcha方法，从redis中取出验证码表达式的值和前端传过来的做比对，逻辑较简单

验证码校验通过，经过一连串的Filter之后会将请求转发到auth模块下的TokenController#login，开始验证用户信息并创建令牌

进入login方法，经过几个必要的判断后，第28行开始查询用户信息，这里用feign远程调用了ruoyi-modules-system模块下的SysUserController#info接口，然后将密码错误重试日志入库，并将重试次数存入redis，最后保存登录日志

/*** 登录*/
public LoginUser login(String username, String password) throws Exception {//前端密码解密password = RsaUtils.decryptByPrivateKey(password);// 用户名或密码为空 错误if (StringUtils.isAnyBlank(username, password)){recordLogService.recordLogininfor(username, Constants.LOGIN_FAIL, "用户/密码必须填写");throw new ServiceException("用户/密码必须填写");}// 密码如果不在指定范围内 错误if (password.length() < UserConstants.PASSWORD_MIN_LENGTH|| password.length() > UserConstants.PASSWORD_MAX_LENGTH){recordLogService.recordLogininfor(username, Constants.LOGIN_FAIL, "用户密码不在指定范围");throw new ServiceException("用户密码不在指定范围");}// 用户名不在指定范围内 错误if (username.length() < UserConstants.USERNAME_MIN_LENGTH|| username.length() > UserConstants.USERNAME_MAX_LENGTH){recordLogService.recordLogininfor(username, Constants.LOGIN_FAIL, "用户名不在指定范围");throw new ServiceException("用户名不在指定范围");}// 查询用户信息，feign调用接口R userResult = remoteUserService.getUserInfo(username, SecurityConstants.INNER);if (StringUtils.isNull(userResult) || StringUtils.isNull(userResult.getData())){recordLogService.recordLogininfor(username, Constants.LOGIN_FAIL, "登录用户不存在");throw new ServiceException("登录用户：" + username + " 不存在");}if (R.FAIL == userResult.getCode()){throw new ServiceException(userResult.getMsg());}LoginUser userInfo = userResult.getData();SysUser user = userResult.getData().getSysUser();if (UserStatus.DELETED.getCode().equals(user.getDelFlag())){recordLogService.recordLogininfor(username, Constants.LOGIN_FAIL, "对不起，您的账号已被删除");throw new ServiceException("对不起，您的账号：" + username + " 已被删除");}if (UserStatus.DISABLE.getCode().equals(user.getStatus())){recordLogService.recordLogininfor(username, Constants.LOGIN_FAIL, "用户已停用，请联系管理员");throw new ServiceException("对不起，您的账号：" + username + " 已停用");}// 登录账户密码错误次数缓存键名passwordService.validate(user, password);// 记录登录信息recordLogService.recordLogininfor(username, Constants.LOGIN_SUCCESS, "登录成功");return userInfo;
}

看下查询用户信息的代码

获取用户权限，admin拥有所有权限，如果是其他角色根据userid查询

获取用户菜单权限，admin拥有所有权限，其他用户如果有多角色，则要给该用户所属的每个角色设置权限

login方法执行完后回到TokenController，下一步就是获取登录token，进入具体方法ruoyi-common-security模块下的TokenService#createToken

该方法主要操作：生成随机uuid作为token、刷新令牌有效期、jwt对数据进行加密并返回

其他代码一目了然，只需要再看下refreshToken方法，将 token 和用户的角色权限信息存储到 redis

登录功能到这里就结束了，总的来说做了两件事，一是验证用户信息，二是创建token并返回给前端，当前端再发起任意请求时都会携带token到后端，后端将token转化为userId、userName存储到请求头中；根据 token 查询redis缓存中的权限并和目标资源上标注的权限名称做比对，比对成功即鉴权成功。后面这部分我们以若依中获取用户信息为例来走一遍流程

首先还是来到AuthFIlter

@Override
public Mono filter(ServerWebExchange exchange, GatewayFilterChain chain)
{ServerHttpRequest request = exchange.getRequest();ServerHttpRequest.Builder mutate = request.mutate();String url = request.getURI().getPath();// 不需要验证的路径直接执行过滤器链，白名单中配置，如loginif (StringUtils.matches(url, ignoreWhite.getWhites())){return chain.filter(exchange);}// 从请求头中获取tokenString token = getToken(request);if (StringUtils.isEmpty(token)){return unauthorizedResponse(exchange, "令牌不能为空");}// 从令牌中获取数据声明Claims claims = JwtUtils.parseToken(token);if (claims == null){return unauthorizedResponse(exchange, "令牌已过期或验证不正确！");}// 从令牌中获取用户标识，userkey即为登录时作为token的uuidString userkey = JwtUtils.getUserKey(claims);// 判断令牌是否过期，getTokenKey方法内拼接login_tokens:uuid，这就是登录时存到redis中的key，value为用户信息boolean islogin = redisService.hasKey(getTokenKey(userkey));if (!islogin){return unauthorizedResponse(exchange, "登录状态已过期");}// 从数据声明中获取用户信息String userid = JwtUtils.getUserId(claims);String username = JwtUtils.getUserName(claims);if (StringUtils.isEmpty(userid) || StringUtils.isEmpty(username)){return unauthorizedResponse(exchange, "令牌验证失败");}// 设置用户信息到请求，后面拦截器会从请求header中获取token，并根据token去redis中获取user保存到SecurityContextHolder，// 也因此我们可以在其他地方用SecurityUtils.getLoginUser()直接获取用户信息addHeader(mutate, SecurityConstants.USER_KEY, userkey);addHeader(mutate, SecurityConstants.DETAILS_USER_ID, userid);addHeader(mutate, SecurityConstants.DETAILS_USERNAME, username);// 内部请求来源参数清除removeHeader(mutate, SecurityConstants.FROM_SOURCE);return chain.filter(exchange.mutate().request(mutate.build()).build());
}

执行完过滤器之后会进入WebMvcConfig，该类实现了WebMvcConfigurer，WebMvcConfigurer是一个mvc的配置类，我们可以在里面进行自定义拦截器、视图解析器、静态资源处理等操作，附上sprngmvc流程图

进入HeaderInterceptor，该类顶级接口是HandlerInterceptor，它是SpringWebMVC的处理器拦截器，类似于Servlet开发中的过滤器Filter，用于处理器进行预处理和后处理

在preHandle方法里从请求头中获取userid,username和userkey保存到SecurityContextHolder，然后获取token，并根据token去redis中获取user，验证用户有效期，最后将完整user对象保存到SecurityContextHolder，SecurityContextHolder中的方法都是静态方法，所以我们后面可以全局获取用户信息

拦截器执行完之后，接下来就进入controller执行具体的业务逻辑了，到此若依的登录流程源码分析完毕