小李：嘿，老王，最近我在研究一个叫“统一身份认证平台”的系统，听起来挺高大上的，但我不太明白它到底是怎么回事。

老王：哦，统一身份认证平台其实就是用来集中管理用户身份信息的系统。比如你登录多个应用时，不用每次都输入用户名和密码，而是通过一个统一的入口来认证。

小李：那这个平台是怎么工作的呢？有没有什么具体的例子或者代码可以参考？

老王：当然有。我们可以用Spring Security或者OAuth2来做统一身份认证。不过如果你想从零开始写一个简单的版本，我可以给你讲讲思路。

小李：太好了！那我们先从最基础的开始吧。

老王：好的，首先我们要设计一个用户表，存储用户的基本信息，比如用户名、密码、角色等。

小李：那数据库怎么设计？是不是要建一个user表？

老王：对，可以这样设计。下面是一个简单的SQL语句：

CREATE TABLE user (
    id INT PRIMARY KEY AUTO_INCREMENT,
    username VARCHAR(50) NOT NULL UNIQUE,
    password VARCHAR(100) NOT NULL,
    role VARCHAR(20) NOT NULL
);
    

小李：明白了。那接下来是不是要处理用户的登录请求？

老王：没错。我们需要一个登录接口，接收用户名和密码，然后验证是否正确。

小李：那我可以用Java写个简单的Servlet来实现吗？

老王：当然可以。下面是一个简单的Servlet示例，用于处理登录请求：

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebServlet("/login")
public class LoginServlet extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        String username = request.getParameter("username");
        String password = request.getParameter("password");

        // 这里应该连接数据库进行验证
        boolean isValidUser = validateUser(username, password);

        if (isValidUser) {
            response.getWriter().write("登录成功！");
        } else {
            response.getWriter().write("用户名或密码错误！");
        }
    }

    private boolean validateUser(String username, String password) {
        // 模拟数据库查询
        return "admin".equals(username) && "123456".equals(password);
    }
}
    

小李：这个代码看起来很基础，但是确实能实现基本的登录功能。

老王：是的，这只是最基础的版本。在实际项目中，我们会使用更安全的方式存储密码，比如使用BCrypt加密。

小李：那怎么用BCrypt呢？有没有示例代码？

老王：当然有。下面是一个使用BCrypt加密密码的Java示例：

import org.mindrot.jbcrypt.BCrypt;

public class PasswordUtil {
    public static String hashPassword(String plainTextPassword) {
        return BCrypt.hashpw(plainTextPassword, BCrypt.gensalt());
    }

    public static boolean checkPassword(String plainTextPassword, String hashedPassword) {
        return BCrypt.checkpw(plainTextPassword, hashedPassword);
    }
}
    

小李：原来如此，这样就能保证密码不会以明文形式存储了。

老王：对，这是最基本的安全措施之一。接下来，我们可以考虑如何实现用户会话管理。

小李：会话管理是什么意思？

老王：就是当用户登录后，服务器需要记住用户的状态，以便后续请求可以识别用户身份。通常我们会使用Session或者JWT（JSON Web Token）来实现。

小李：那如果用Session的话，代码应该怎么写？

老王：下面是一个使用Session的简单示例：

protected void doPost(HttpServletRequest request, HttpServletResponse response)
        throws ServletException, IOException {
    String username = request.getParameter("username");
    String password = request.getParameter("password");

    if (validateUser(username, password)) {
        HttpSession session = request.getSession();
        session.setAttribute("username", username);
        response.sendRedirect("dashboard.jsp");
    } else {
        response.getWriter().write("登录失败！");
    }
}
    

小李：明白了。那如果用JWT的话，又有什么不同呢？

老王：JWT是一种无状态的认证方式，适合分布式系统。用户登录成功后，服务器生成一个Token返回给客户端，之后每次请求都需要带上这个Token。

小李：那能不能给我看一个JWT的示例代码？

老王：当然可以。下面是一个使用JJWT库生成和验证JWT的示例：

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;
import java.security.Key;
import java.util.Date;

public class JwtUtil {
    private static final Key SECRET_KEY = Keys.secretKeyFor(SignatureAlgorithm.HS256);
    private static final long EXPIRATION_TIME = 86400000; // 24小时

    public static String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
                .signWith(SECRET_KEY)
                .compact();
    }

    public static String getUsernameFromToken(String token) {
        return Jwts.parserBuilder()
                .setSigningKey(SECRET_KEY)
                .build()
                .parseClaimsJws(token)
                .getBody()
                .getSubject();
    }
}
    

小李：这个代码看起来不错，但需要引入JJWT库，对吧？

老王：是的，你需要在项目中添加JJWT依赖，比如Maven的依赖项：

    io.jsonwebtoken
    jjwt-api
    0.11.5


    io.jsonwebtoken
    jjwt-impl
    0.11.5
    runtime


    io.jsonwebtoken
    jjwt-jackson
    0.11.5
    runtime

    

小李：明白了。那现在问题来了，如果我要实现一个完整的统一身份认证平台，除了这些，还需要做些什么呢？

老王：这涉及很多方面，比如权限控制、多租户支持、第三方登录（如微信、QQ、Google等）、日志审计、安全性加固等。

小李：那权限控制是怎么实现的？

老王：权限控制通常是基于角色的访问控制（RBAC）。每个用户属于一个或多个角色，每个角色拥有特定的权限。你可以通过数据库来管理这些关系。

小李：那数据库怎么设计？是不是要建一个role表和permission表？

老王：没错，可以这样设计。下面是一个简单的示例：

CREATE TABLE role (
    id INT PRIMARY KEY AUTO_INCREMENT,
    name VARCHAR(50) NOT NULL UNIQUE
);

CREATE TABLE permission (
    id INT PRIMARY KEY AUTO_INCREMENT,
    name VARCHAR(50) NOT NULL UNIQUE
);

CREATE TABLE role_permission (
    role_id INT,
    permission_id INT,
    FOREIGN KEY (role_id) REFERENCES role(id),
    FOREIGN KEY (permission_id) REFERENCES permission(id),
    PRIMARY KEY (role_id, permission_id)
);
    

小李：明白了。那用户登录后，系统如何判断用户是否有权限访问某个资源？

老王：通常会在请求处理时检查用户的权限。例如，在Spring Security中，可以通过注解来限制访问权限。

小李：那有没有代码示例？

老王：当然有。下面是一个使用Spring Security的示例，限制只有管理员才能访问某个接口：

@RestController
@RequestMapping("/api/admin")
@PreAuthorize("hasRole('ADMIN')")
public class AdminController {
    @GetMapping("/data")
    public String getAdminData() {
        return "这是管理员数据";
    }
}
    

小李：这样就可以控制权限了。那如果想支持多租户呢？

老王：多租户是指一个系统可以同时为多个组织或用户提供服务，每个租户的数据是隔离的。实现多租户通常需要在数据库层面进行分库或分表，或者在请求中识别租户ID。

小李：那代码上该怎么处理？

老王：可以通过拦截器或过滤器获取租户信息，然后动态切换数据源或加上租户ID作为查询条件。

小李：看来统一身份认证平台不仅仅是登录那么简单，还涉及到很多复杂的模块。

老王：没错，它是整个系统安全的核心。一个好的统一身份认证平台可以提升系统的安全性、可维护性和用户体验。

小李：谢谢你的讲解，我现在对统一身份认证平台有了更清晰的认识。

老王：不客气，如果你有兴趣，我们可以一起做一个完整的项目来实践这些知识。

小李：太好了，我期待着！