锦中融合门户系统

小明：最近我在学习Java Web开发，听说Spring Boot很适合做企业级应用，我想尝试做一个学校的在线服务大厅，你觉得可行吗？

小李：当然可以！Spring Boot是一个很好的选择，它简化了Spring应用的初始搭建和开发。不过你要先明确需求，比如这个服务大厅需要提供哪些功能？

小明：我打算做一个统一的入口，让师生可以查询课程、成绩、通知等信息，还能提交一些申请。听起来有点像一个门户系统。

小李：没错，这就是所谓的“服务大厅门户”。我们可以用Spring Boot来构建后端，前端可以用Vue.js或者React，实现前后端分离架构。你有没有想过系统的整体结构？

小明：说实话，我对系统架构不太清楚。你能给我讲讲吗？

小李：好的，我们先从框架设计开始。Spring Boot本身就是一个轻量级的框架，但要构建一个完整的门户系统，我们需要引入一些其他组件，比如Spring Security用于权限控制，Spring Data JPA用于数据库操作，以及Swagger用于API文档。

小明：听起来挺复杂的，但我对这些技术都有一点了解。那我可以先创建一个Spring Boot项目，然后逐步添加模块。

小李：是的，建议你使用Spring Initializr来生成项目结构。你可以选择Web、JPA、Security等依赖，这样能节省很多时间。

小明：好的，那我先试试看。接下来我应该怎么做？

小李：首先，你需要设计数据库模型。比如用户表、角色表、权限表，还有各个业务实体，如课程、通知、申请等。然后使用Spring Data JPA来实现数据访问层。

小明：那权限管理怎么处理呢？我不想让普通学生看到管理员的功能。

小李：这就要用到Spring Security了。我们可以为每个请求定义权限，比如只有管理员才能访问某些接口。另外，还可以结合JWT（JSON Web Token）来实现无状态的认证。

小明：JWT？那是什么？

小李：JWT是一种开放标准，用于在各方之间安全地传输信息。它通常用于身份验证和信息交换。在Spring Boot中，我们可以使用Spring Security和JWT库来实现登录认证。

小明：明白了。那我可以先写一个简单的登录接口，返回一个JWT令牌。

小李：很好。接下来，你可以考虑API的设计。每个业务模块都应该有对应的REST API，比如获取课程列表、提交申请等。

小明：那我要怎么组织这些API呢？是不是应该按模块来分组？

小李：是的，建议你按照功能模块划分Controller类，例如CourseController、ApplicationController等。同时，使用Swagger来生成API文档，方便前后端协作。

小明：那我还需要考虑前端部分吗？

小李：当然需要。前端可以用Vue.js或React，与后端进行通信。你可以使用Axios或Fetch API来调用后端接口，并展示数据。

小明：那前端和后端如何配合？是不是需要跨域问题？

小李：是的，跨域问题是常见的问题。可以在Spring Boot中配置CORS，允许前端域名访问后端接口。或者使用Nginx作为反向代理来解决。

小明：听起来不错。那我可以先写一个简单的前端页面，展示课程信息。

小李：没问题。不过要注意，前端和后端最好分开部署，这样更有利于维护和扩展。

小明：那整个系统的核心框架应该怎么设计呢？有没有什么最佳实践？

小李：框架设计方面，建议采用分层架构：Controller层负责接收请求，Service层处理业务逻辑，Repository层负责数据访问。此外，可以引入Spring AOP来做日志记录、权限检查等通用功能。

小明：明白了。那我可以开始编写代码了吗？

小李：可以，但建议你先画出系统架构图，明确各模块之间的关系。然后按照模块逐步开发。

小明：那我先写一个简单的Spring Boot项目结构。

小李：好的，下面我给你一个基本的Spring Boot项目结构示例：

    src/
      main/
        java/
          com.example.schoolportal/
            SchoolPortalApplication.java
            config/
              SecurityConfig.java
              SwaggerConfig.java
            controller/
              AuthController.java
              CourseController.java
            service/
              AuthService.java
              CourseService.java
            repository/
              UserRepository.java
              CourseRepository.java
            model/
              User.java
              Course.java
            dto/
              UserDTO.java
              CourseDTO.java
        resources/
          application.properties
          static/
          templates/
    

小明：这个结构看起来很清楚。那我可以先从AuthController开始，实现登录功能。

小李：是的，登录功能是关键。下面是一个简单的登录接口示例：

    @RestController
    @RequestMapping("/api/auth")
    public class AuthController {

        @Autowired
        private AuthService authService;

        @PostMapping("/login")
        public ResponseEntity<String> login(@RequestBody LoginRequest request) {
            String token = authService.login(request.getUsername(), request.getPassword());
            return ResponseEntity.ok(token);
        }
    }
    

小明：那AuthService是怎么实现的呢？

小李：AuthService会验证用户名和密码，如果正确，就生成一个JWT令牌。下面是AuthService的一个简单实现：

    @Service
    public class AuthService {

        @Autowired
        private UserRepository userRepository;

        @Autowired
        private JwtUtil jwtUtil;

        public String login(String username, String password) {
            User user = userRepository.findByUsername(username);
            if (user == null || !user.getPassword().equals(password)) {
                throw new RuntimeException("Invalid credentials");
            }
            return jwtUtil.generateToken(user.getUsername());
        }
    }
    

小明：那JWT工具类是怎么写的？

小李：下面是一个简单的JwtUtil类示例，使用HMAC-SHA256算法生成和解析JWT令牌：

    @Component
    public class JwtUtil {

        private String secretKey = "your-secret-key";

        public String generateToken(String username) {
            return Jwts.builder()
                    .setSubject(username)
                    .setExpiration(new Date(System.currentTimeMillis() + 86400000)) // 1天
                    .signWith(SignatureAlgorithm.HS256, secretKey)
                    .compact();
        }

        public String extractUsername(String token) {
            return Jwts.parser()
                    .setSigningKey(secretKey)
                    .parseClaimsJws(token)
                    .getBody().getSubject();
        }

        public boolean validateToken(String token) {
            try {
                Jwts.parser().setSigningKey(secretKey).parseClaimsJws(token);
                return true;
            } catch (Exception e) {
                return false;
            }
        }
    }
    

小明：太好了，我现在知道怎么开始写了。那接下来我该怎么测试这个接口？

小李：你可以使用Postman或curl发送POST请求来测试登录接口。例如，发送一个包含username和password的JSON对象。

小明：那如果我要限制某些接口只能由管理员访问怎么办？

小李：这需要在Spring Security中配置权限控制。可以通过注解@PreAuthorize来实现，例如：

    @PreAuthorize("hasRole('ADMIN')")
    @GetMapping("/courses")
    public List getAllCourses() {
        return courseService.getAllCourses();
    }
    

小明：明白了。那我可以继续扩展其他功能了。

小李：是的，接下来你可以设计其他模块，比如课程管理、通知发布、申请提交等。每个模块都可以按照相同的模式进行开发。

小明：那整个系统的框架是不是已经初步成型了？

小李：是的，你现在有了一个基于Spring Boot的完整服务大厅门户框架。接下来只需要不断扩展和完善即可。

小明：谢谢你，小李！我现在对这个项目更有信心了。

小李：不客气！如果你遇到问题，随时可以来找我讨论。