peanut/happy-life-star
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

增加后台管理模块

Browse Source
This commit is contained in:
peanut_hzm
2025-10-27 23:57:31 +08:00
parent 3c1ba8e801
commit 0016453f20
420 changed files with 5650 additions and 1449 deletions
Download Patch File Download Diff File Expand all files Collapse all files
backend-single/docs/ADMIN_AUTH.md
+223
View File
@@ -0,0 +1,223 @@
# 管理员登录认证系统设计文档
## 概述
本系统实现了普通用户和管理员用户的双重登录认证机制,两者相互独立,互不影响。
## 系统架构
### 用户类型区分
系统通过JWT Token中的`userType`字段区分用户类型:
- `user`: 普通用户
- `admin`: 管理员用户
### 核心组件
1. **JwtUtil** - JWT工具类
- 支持生成带用户类型的Token
- 支持从Token中提取用户类型
2. **AdminAuthService** - 管理员认证服务
- 管理员登录(账号+密码)
- Token生成和验证
- 登录信息记录
3. **AdminAuthInterceptor** - 管理员拦截器
- 拦截所有`/admin/**`路径
- 验证Token的有效性
- 验证用户类型为admin
4. **JwtAuthInterceptor** - 普通用户拦截器
- 拦截除管理员路径外的所有请求
- 验证普通用户Token
## API接口
### 管理员登录
```
POST /api/admin/auth/login
Content-Type: application/json
{
"account": "admin",
"password": "admin123"
}
响应:
{
"code": 200,
"message": "登录成功",
"data": {
"accessToken": "eyJhbGc...",
"refreshToken": "eyJhbGc...",
"expiresIn": 86400,
"adminInfo": {
"id": "xxx",
"account": "admin",
"username": "系统管理员",
"role": "super_admin",
...
},
"loginTime": "2025-10-27 10:00:00"
}
}
```
### 获取管理员信息
```
GET /api/admin/auth/info
Authorization: Bearer {accessToken}
响应:
{
"code": 200,
"message": "操作成功",
"data": {
"id": "xxx",
"account": "admin",
"username": "系统管理员",
"role": "super_admin",
...
}
}
```
### 管理员登出
```
POST /api/admin/auth/logout
Authorization: Bearer {accessToken}
响应:
{
"code": 200,
"message": "登出成功",
"data": null
}
```
### 刷新Token
```
POST /api/admin/auth/refreshToken
Content-Type: application/json
{
"refreshToken": "eyJhbGc..."
}
响应:
{
"code": 200,
"message": "令牌刷新成功",
"data": {
"accessToken": "eyJhbGc...",
"refreshToken": "eyJhbGc...",
"expiresIn": 86400,
...
}
}
```
## 默认管理员账号
系统初始化时会创建一个默认的超级管理员账号:
- **账号**: admin
- **密码**: admin123
- **角色**: super_admin
- **邮箱**: admin@emotion-museum.com
- **手机**: 13800138000
**重要提示**: 生产环境部署后请立即修改默认密码!
## 拦截器配置
### 管理员拦截器
- **拦截路径**: `/admin/**`
- **排除路径**:
- `/admin/auth/login` - 登录接口
- `/admin/auth/refreshToken` - 刷新Token接口
- **优先级**: 1(最高)
### 普通用户拦截器
- **拦截路径**: `/**`
- **排除路径**:
- `/auth/**` - 用户认证相关
- `/admin/**` - 管理员路径(由管理员拦截器处理)
- `/health` - 健康检查
- `/ws/**` - WebSocket
- `/swagger-ui/**` - API文档
- **优先级**: 2
## Token存储
### Redis存储
- **管理员AccessToken**: `admin_token:{adminId}` (24小时)
- **管理员RefreshToken**: `admin_refresh_token:{adminId}` (7天)
- **普通用户Token**: `token:{userId}` (24小时)
- **普通用户RefreshToken**: `refresh_token:{userId}` (7天)
## 安全特性
1. **密码加密**: 使用BCrypt算法加密存储
2. **Token隔离**: 管理员和普通用户Token完全隔离
3. **权限验证**: 管理员接口强制验证userType
4. **登录记录**: 记录最后登录时间、IP和登录次数
5. **状态检查**: 登录时检查账号状态
## 使用示例
### 前端调用示例
```javascript
// 管理员登录
async function adminLogin(account, password) {
const response = await fetch('/api/admin/auth/login', {
method: 'POST',
headers: {
'Content-Type': 'application/json'
},
body: JSON.stringify({ account, password })
});
const result = await response.json();
if (result.code === 200) {
// 保存Token
localStorage.setItem('adminToken', result.data.accessToken);
localStorage.setItem('adminRefreshToken', result.data.refreshToken);
return result.data;
}
throw new Error(result.message);
}
// 调用管理员接口
async function callAdminApi(url, options = {}) {
const token = localStorage.getItem('adminToken');
const response = await fetch(url, {
...options,
headers: {
...options.headers,
'Authorization': `Bearer ${token}`
}
});
return await response.json();
}
```
## 注意事项
1. **不要混用Token**: 管理员Token只能访问管理员接口,普通用户Token只能访问用户接口
2. **及时刷新Token**: Token过期前使用refreshToken刷新
3. **安全存储**: 前端应安全存储Token,避免XSS攻击
4. **HTTPS**: 生产环境必须使用HTTPS传输
5. **修改默认密码**: 部署后立即修改默认管理员密码
## 扩展功能
后续可以扩展的功能:
- 管理员角色权限细分
- 操作日志记录
- 多因素认证(MFA
- IP白名单限制
- 登录失败次数限制
backend-single/docs/ADMIN_AUTH_TEST.md
+262
View File
@@ -0,0 +1,262 @@
# 管理员登录功能测试指南
## 测试前准备
### 1. 执行数据库脚本
确保已执行 `sql/emotion_museum.sql` 脚本,该脚本会:
- 创建 `t_admin`
- 初始化默认管理员账号
### 2. 启动应用
```bash
cd backend-single
mvn spring-boot:run
```
## 测试用例
### 测试1: 管理员登录
**请求**:
```bash
curl -X POST http://localhost:8080/api/admin/auth/login \
-H "Content-Type: application/json" \
-d '{
"account": "admin",
"password": "admin123"
}'
```
**预期响应**:
```json
{
"code": 200,
"message": "登录成功",
"data": {
"accessToken": "eyJhbGciOiJIUzUxMiJ9...",
"refreshToken": "eyJhbGciOiJIUzUxMiJ9...",
"expiresIn": 86400,
"adminInfo": {
"id": "xxx",
"account": "admin",
"username": "系统管理员",
"email": "admin@emotion-museum.com",
"phone": "13800138000",
"role": "super_admin",
"status": 1
},
"loginTime": "2025-10-27 10:00:00"
},
"timestamp": 1698393600000
}
```
### 测试2: 错误的密码
**请求**:
```bash
curl -X POST http://localhost:8080/api/admin/auth/login \
-H "Content-Type: application/json" \
-d '{
"account": "admin",
"password": "wrongpassword"
}'
```
**预期响应**:
```json
{
"code": 500,
"message": "账号或密码错误",
"data": null,
"timestamp": 1698393600000
}
```
### 测试3: 获取管理员信息
**请求**:
```bash
curl -X GET http://localhost:8080/api/admin/auth/info \
-H "Authorization: Bearer {从登录接口获取的accessToken}"
```
**预期响应**:
```json
{
"code": 200,
"message": "操作成功",
"data": {
"id": "xxx",
"account": "admin",
"username": "系统管理员",
"email": "admin@emotion-museum.com",
"role": "super_admin",
"status": 1
},
"timestamp": 1698393600000
}
```
### 测试4: 访问管理员接口(分页查询管理员)
**请求**:
```bash
curl -X GET "http://localhost:8080/api/admin/page?current=1&size=10" \
-H "Authorization: Bearer {accessToken}"
```
**预期响应**:
```json
{
"code": 200,
"message": "操作成功",
"data": {
"records": [
{
"id": "xxx",
"account": "admin",
"username": "系统管理员",
"role": "super_admin",
...
}
],
"total": 1,
"current": 1,
"size": 10,
"pages": 1
},
"timestamp": 1698393600000
}
```
### 测试5: 普通用户Token访问管理员接口(应该被拒绝)
**请求**:
```bash
# 先用普通用户登录获取Token
curl -X POST http://localhost:8080/api/auth/login \
-H "Content-Type: application/json" \
-d '{
"phone": "13800138001",
"smsCode": "123456"
}'
# 使用普通用户Token访问管理员接口
curl -X GET http://localhost:8080/api/admin/page \
-H "Authorization: Bearer {普通用户的accessToken}"
```
**预期响应**:
```json
{
"code": 403,
"message": "无权限访问",
"data": null
}
```
### 测试6: 管理员登出
**请求**:
```bash
curl -X POST http://localhost:8080/api/admin/auth/logout \
-H "Authorization: Bearer {accessToken}"
```
**预期响应**:
```json
{
"code": 200,
"message": "登出成功",
"data": null,
"timestamp": 1698393600000
}
```
### 测试7: 刷新Token
**请求**:
```bash
curl -X POST http://localhost:8080/api/admin/auth/refreshToken \
-H "Content-Type: application/json" \
-d '{
"refreshToken": "{从登录接口获取的refreshToken}"
}'
```
**预期响应**:
```json
{
"code": 200,
"message": "令牌刷新成功",
"data": {
"accessToken": "新的accessToken",
"refreshToken": "新的refreshToken",
"expiresIn": 86400,
...
},
"timestamp": 1698393600000
}
```
## 使用Postman测试
### 1. 导入环境变量
创建环境变量:
- `baseUrl`: http://localhost:8080/api
- `adminToken`: (登录后自动设置)
### 2. 管理员登录请求配置
- **Method**: POST
- **URL**: `{{baseUrl}}/admin/auth/login`
- **Headers**:
- Content-Type: application/json
- **Body** (raw JSON):
```json
{
"account": "admin",
"password": "admin123"
}
```
- **Tests** (自动保存Token):
```javascript
if (pm.response.code === 200) {
const response = pm.response.json();
pm.environment.set("adminToken", response.data.accessToken);
}
```
### 3. 其他请求配置
在需要认证的请求中添加Header
- **Key**: Authorization
- **Value**: Bearer {{adminToken}}
## 验证要点
1. ✅ 管理员可以使用账号密码登录
2. ✅ 登录成功返回带有userType=admin的Token
3. ✅ 管理员Token可以访问 `/admin/**` 路径
4. ✅ 普通用户Token无法访问管理员接口(返回403)
5. ✅ 管理员Token无法访问普通用户接口
6. ✅ 登录信息被正确记录(最后登录时间、登录次数)
7. ✅ Token刷新功能正常
8. ✅ 登出功能正常
## 常见问题
### Q1: 登录返回401
**原因**: 账号或密码错误
**解决**: 检查账号密码是否正确,确认数据库中有初始管理员数据
### Q2: 访问接口返回403
**原因**: 使用了错误类型的Token
**解决**: 确保使用管理员Token访问管理员接口
### Q3: Token验证失败
**原因**: Token过期或无效
**解决**: 重新登录或使用refreshToken刷新
### Q4: 数据库连接失败
**原因**: Redis或MySQL未启动
**解决**: 确保Redis和MySQL服务正常运行
backend-single/docs/ADMIN_IMPLEMENTATION_SUMMARY.md
+239
View File
@@ -0,0 +1,239 @@
# 管理员登录功能实现总结
## 实现概述
本次实现了完整的管理员登录认证系统,与现有的普通用户登录系统完全独立,互不影响。
## 已创建的文件
### 1. 数据库层
-`sql/emotion_museum.sql` - 新增t_admin表及初始数据
### 2. Entity层
-`entity/Admin.java` - 管理员实体类
### 3. Mapper层
-`mapper/AdminMapper.java` - 管理员Mapper接口
### 4. DTO层
**Request**:
-`dto/request/AdminCreateRequest.java` - 创建管理员请求
-`dto/request/AdminUpdateRequest.java` - 更新管理员请求
-`dto/request/AdminPageRequest.java` - 分页查询请求
-`dto/request/AdminLoginRequest.java` - 登录请求
**Response**:
-`dto/response/AdminResponse.java` - 管理员响应
-`dto/response/AdminAuthResponse.java` - 认证响应
-`dto/response/AdminInfoResponse.java` - 管理员信息响应
### 5. Service层
-`service/AdminService.java` - 管理员服务接口
-`service/impl/AdminServiceImpl.java` - 管理员服务实现
-`service/AdminAuthService.java` - 管理员认证服务接口
-`service/impl/AdminAuthServiceImpl.java` - 管理员认证服务实现
### 6. Controller层
-`controller/AdminController.java` - 管理员CRUD控制器
-`controller/AdminAuthController.java` - 管理员认证控制器
### 7. 拦截器层
-`interceptor/AdminAuthInterceptor.java` - 管理员认证拦截器
### 8. 工具类
-`util/JwtUtil.java` - 扩展支持userType字段
### 9. 配置类
-`config/WebMvcConfig.java` - 配置管理员拦截器
### 10. 文档
-`docs/ADMIN_AUTH.md` - 系统设计文档
-`docs/ADMIN_AUTH_TEST.md` - 测试指南
-`docs/ADMIN_IMPLEMENTATION_SUMMARY.md` - 实现总结
## 核心功能
### 1. 管理员CRUD
- ✅ 分页查询管理员列表
- ✅ 根据ID查询管理员详情
- ✅ 创建管理员(密码自动加密)
- ✅ 更新管理员信息
- ✅ 删除管理员(逻辑删除)
### 2. 管理员认证
- ✅ 账号密码登录
- ✅ Token生成(带userType标识)
- ✅ Token验证
- ✅ Token刷新
- ✅ 登出功能
- ✅ 获取当前管理员信息
### 3. 权限控制
- ✅ 管理员专用拦截器
- ✅ userType验证
- ✅ 普通用户无法访问管理员接口
- ✅ 管理员无法访问普通用户接口
## 技术特点
### 1. 安全性
- 密码使用BCrypt加密
- Token存储在Redis中
- 支持Token刷新机制
- 登录状态检查
### 2. 隔离性
- 独立的登录接口
- 独立的Token存储
- 独立的拦截器
- 完全不影响现有用户系统
### 3. 可扩展性
- 支持角色字段(super_admin/admin/operator
- 支持权限列表(JSON格式)
- 预留部门、职位字段
- 记录登录信息
## API接口列表
### 管理员认证接口
| 接口 | 方法 | 路径 | 说明 |
|------|------|------|------|
| 管理员登录 | POST | /admin/auth/login | 账号密码登录 |
| 获取管理员信息 | GET | /admin/auth/info | 获取当前登录管理员信息 |
| 管理员登出 | POST | /admin/auth/logout | 退出登录 |
| 刷新Token | POST | /admin/auth/refreshToken | 刷新访问令牌 |
| 验证Token | GET | /admin/auth/validateToken | 验证Token有效性 |
### 管理员管理接口
| 接口 | 方法 | 路径 | 说明 |
|------|------|------|------|
| 分页查询 | GET | /admin/page | 分页查询管理员列表 |
| 查询详情 | GET | /admin/detail | 根据ID查询详情 |
| 创建管理员 | POST | /admin/create | 创建新管理员 |
| 更新管理员 | PUT | /admin/update | 更新管理员信息 |
| 删除管理员 | DELETE | /admin/delete | 删除管理员 |
## 默认账号
系统初始化时会创建默认管理员账号:
- **账号**: admin
- **密码**: admin123
- **角色**: super_admin
## 使用流程
### 1. 管理员登录
```
POST /api/admin/auth/login
{
"account": "admin",
"password": "admin123"
}
```
### 2. 获取Token
响应中包含:
- accessToken: 访问令牌(24小时有效)
- refreshToken: 刷新令牌(7天有效)
### 3. 访问管理员接口
在请求头中添加:
```
Authorization: Bearer {accessToken}
```
### 4. Token过期处理
使用refreshToken刷新:
```
POST /api/admin/auth/refreshToken
{
"refreshToken": "{refreshToken}"
}
```
## 与现有系统的关系
### 普通用户系统
- **登录接口**: `/auth/login`
- **Token类型**: userType=user
- **拦截器**: JwtAuthInterceptor
- **访问路径**: 除 `/admin/**` 外的所有路径
### 管理员系统
- **登录接口**: `/admin/auth/login`
- **Token类型**: userType=admin
- **拦截器**: AdminAuthInterceptor
- **访问路径**: `/admin/**`
### 隔离机制
1. 不同的登录接口
2. Token中包含userType标识
3. 独立的拦截器验证
4. Redis中不同的存储前缀
## 测试验证
### 已验证功能
- ✅ 管理员登录成功
- ✅ 错误密码登录失败
- ✅ Token生成正确
- ✅ Token验证正确
- ✅ 管理员接口访问正常
- ✅ 普通用户Token无法访问管理员接口
- ✅ 登录信息记录正常
### 测试方法
详见 `docs/ADMIN_AUTH_TEST.md`
## 后续优化建议
### 1. 权限细化
- 实现基于角色的权限控制(RBAC
- 细化操作权限(增删改查)
- 实现权限注解
### 2. 安全增强
- 添加登录失败次数限制
- 添加IP白名单功能
- 实现多因素认证(MFA
- 添加操作日志记录
### 3. 功能扩展
- 管理员密码修改
- 管理员密码重置
- 管理员角色管理
- 管理员权限管理
### 4. 监控告警
- 登录异常告警
- Token异常使用告警
- 权限越权告警
## 注意事项
1. **生产环境部署**
- 必须修改默认管理员密码
- 启用HTTPS
- 配置合适的Token过期时间
2. **安全建议**
- 定期更换密钥
- 监控异常登录
- 限制登录失败次数
3. **性能优化**
- Redis连接池配置
- Token缓存策略
- 数据库索引优化
## 总结
本次实现完成了一个完整、安全、独立的管理员登录认证系统,具有以下特点:
1. **完全独立**: 与现有用户系统完全隔离,互不影响
2. **安全可靠**: 密码加密、Token验证、权限控制
3. **易于扩展**: 预留角色、权限字段,便于后续扩展
4. **文档完善**: 提供详细的设计文档和测试指南
系统已经可以投入使用,后续可根据实际需求进行功能扩展和优化。