SpringSecurity+Web3.0签名验证

N17选用SpringSecurity技术来解决平台安全性问题。SpringSecurity基于Spring框架，提供了一套Web应用安全性的完整解决方案。一般来说，Web 应用的安全性包括用户认证（Authentication）和用户授权（Authorization）两个部分。

DAPP中调用中心化数据或者操作某些中心化功能的时候通过DAPP调用MetaMask钱包对数据进行签名传递给后台，后台验证签名数据是否是否当前用户钱包地址签名的数据实现鉴权。

（a）用户认证：验证某个用户是否为系统中的合法主体，也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程，这里结合Dapp前端入口用Web3.0签名数据，后端使用使用Web3.0结合用户认证二次校验数据。

（b）用户授权：验证某个用户是否有权限执行某个操作。在一个系统中，不同用户所具有的权限是不同的。比如对一个文件来说，有的用户只能进行读取，而有的用户可以进行修改。一般来说，系统会为不同的用户分配不同的角色，而每个角色则对应一系列的权限。

如果系统的模块众多，每个模块都需要就行授权与认证。所以N17平台选择基于token的形式进行授权与认证，用户根据用户名密码认证成功，然后获取当前用户角色的一系列权限值，并以用户名为key。权限列表为value的形式存入redis缓存中，根据用户名相关信息生成token返回。浏览器将token记录到cookie中，每次调用api接口都默认将token携带到header请求头中。SpringSecurity 解析header获取token信息，解析token获取当前用户名，根据用户名就可以从redis中获取权限列表。这样，SpringSecurity 就能够判断当前请求是否有权限访问。图解如下：