label_backend/src/main/java/com/label/controller/AuthController.java

package com.label.controller;

import com.label.annotation.RequireAuth;
import com.label.common.auth.TokenPrincipal;
import com.label.common.result.Result;
import com.label.dto.LoginRequest;
import com.label.dto.LoginResponse;
import com.label.dto.UserInfoResponse;
import com.label.service.AuthService;
import io.swagger.v3.oas.annotations.Operation;
import io.swagger.v3.oas.annotations.tags.Tag;
import jakarta.servlet.http.HttpServletRequest;
import lombok.RequiredArgsConstructor;
import org.springframework.web.bind.annotation.*;

/**
 * 认证接口：登录、退出、获取当前用户。
 *
 * 路由设计：
 * - POST /api/auth/login   → 匿名（AuthInterceptor 跳过）
 * - POST /api/auth/logout  → 需要有效 Token（AuthInterceptor 校验）
 * - GET  /api/auth/me      → 需要有效 Token（AuthInterceptor 校验）
 */
@Tag(name = "认证管理", description = "登录、退出和当前用户信息")
@RestController
@RequestMapping("/api/auth")
@RequiredArgsConstructor
public class AuthController {

    private final AuthService authService;

    /**
     * 登录接口（匿名，无需 Token）。
     */
    @Operation(summary = "用户登录，返回 Bearer Token")
    @PostMapping("/login")
    public Result<LoginResponse> login(@RequestBody LoginRequest request) {
        return Result.success(authService.login(request));
    }

    /**
     * 退出登录，立即删除 Redis Token。
     */
    @Operation(summary = "退出登录并立即失效当前 Token")
    @PostMapping("/logout")
    @RequireAuth
    public Result<Void> logout(HttpServletRequest request) {
        String token = extractToken(request);
        authService.logout(token);
        return Result.success(null);
    }

    /**
     * 获取当前登录用户信息。
     * TokenPrincipal 由 AuthInterceptor 写入请求属性 "__token_principal__"。
     */
    @Operation(summary = "获取当前登录用户信息")
    @GetMapping("/me")
    @RequireAuth
    public Result<UserInfoResponse> me(HttpServletRequest request) {
        TokenPrincipal principal = (TokenPrincipal) request.getAttribute("__token_principal__");
        return Result.success(authService.me(principal));
    }

    /** 从 Authorization 头提取 Bearer token 字符串 */
    private String extractToken(HttpServletRequest request) {
        String authHeader = request.getHeader("Authorization");
        if (authHeader != null && authHeader.startsWith("Bearer ")) {
            return authHeader.substring(7).trim();
        }
        return null;
    }
}
-												refactor: flatten controller packages

											
										
										
											2026-04-14 13:47:38 +08:00
+								package com.label.controller;
-												Phase 2/3 完成：修复 Shiro javax/jakarta 兼容性，实现 US1 认证模块

修复：
- TokenFilter 改继承 OncePerRequestFilter（jakarta.servlet），
  移除 PathMatchingFilter（javax.servlet）依赖，解决 Lombok 级联失败
- ShiroConfig 用 FilterRegistrationBean 替代 ShiroFilterFactoryBean，
  避免 javax/jakarta Filter 类型不兼容；securityManager 调用
  SecurityUtils.setSecurityManager() 确保 @RequiresRoles AOP 可用
- LabelBackendApplication 排除 ShiroWeb 自动配置（WebAutoConfiguration、
  WebFilterConfiguration、WebMvcAutoConfiguration）
- SysUserMapper @InterceptorIgnore 修正为 mybatis-plus 包路径

新增（Phase 2 尾声）：
- SysCompany / SysCompanyMapper
- SysUser / SysUserMapper
- ShiroFilterIntegrationTest（无 Token→401、过期→401、角色不足→403、满足→200）

新增（Phase 3 / US1）：
- LoginRequest / LoginResponse / UserInfoResponse DTO
- AuthService（login + logout + me；BCrypt 校验；Redis Hash 存 Token）
- AuthController（POST /api/auth/login、POST /logout、GET /me）
- AuthIntegrationTest（正确密码→token、错误密码→401、退出后→401）

											
										
										
											2026-04-09 15:16:49 +08:00
-												去掉shiro框架

											
										
										
											2026-04-14 16:33:34 +08:00
+								import com.label.annotation.RequireAuth;
 								import com.label.common.auth.TokenPrincipal;
-												Phase 2/3 完成：修复 Shiro javax/jakarta 兼容性，实现 US1 认证模块

修复：
- TokenFilter 改继承 OncePerRequestFilter（jakarta.servlet），
  移除 PathMatchingFilter（javax.servlet）依赖，解决 Lombok 级联失败
- ShiroConfig 用 FilterRegistrationBean 替代 ShiroFilterFactoryBean，
  避免 javax/jakarta Filter 类型不兼容；securityManager 调用
  SecurityUtils.setSecurityManager() 确保 @RequiresRoles AOP 可用
- LabelBackendApplication 排除 ShiroWeb 自动配置（WebAutoConfiguration、
  WebFilterConfiguration、WebMvcAutoConfiguration）
- SysUserMapper @InterceptorIgnore 修正为 mybatis-plus 包路径

新增（Phase 2 尾声）：
- SysCompany / SysCompanyMapper
- SysUser / SysUserMapper
- ShiroFilterIntegrationTest（无 Token→401、过期→401、角色不足→403、满足→200）

新增（Phase 3 / US1）：
- LoginRequest / LoginResponse / UserInfoResponse DTO
- AuthService（login + logout + me；BCrypt 校验；Redis Hash 存 Token）
- AuthController（POST /api/auth/login、POST /logout、GET /me）
- AuthIntegrationTest（正确密码→token、错误密码→401、退出后→401）

											
										
										
											2026-04-09 15:16:49 +08:00
+								import com.label.common.result.Result;
-												refactor: flatten dto entity and mapper packages

											
										
										
											2026-04-14 13:39:24 +08:00
+								import com.label.dto.LoginRequest;
 								import com.label.dto.LoginResponse;
 								import com.label.dto.UserInfoResponse;
-												refactor: flatten service packages

											
										
										
											2026-04-14 13:45:15 +08:00
+								import com.label.service.AuthService;
-												修改mybatis版本启动报错，swagger注解问题

											
										
										
											2026-04-12 00:15:59 +08:00
+								import io.swagger.v3.oas.annotations.Operation;
 								import io.swagger.v3.oas.annotations.tags.Tag;
-												Phase 2/3 完成：修复 Shiro javax/jakarta 兼容性，实现 US1 认证模块

修复：
- TokenFilter 改继承 OncePerRequestFilter（jakarta.servlet），
  移除 PathMatchingFilter（javax.servlet）依赖，解决 Lombok 级联失败
- ShiroConfig 用 FilterRegistrationBean 替代 ShiroFilterFactoryBean，
  避免 javax/jakarta Filter 类型不兼容；securityManager 调用
  SecurityUtils.setSecurityManager() 确保 @RequiresRoles AOP 可用
- LabelBackendApplication 排除 ShiroWeb 自动配置（WebAutoConfiguration、
  WebFilterConfiguration、WebMvcAutoConfiguration）
- SysUserMapper @InterceptorIgnore 修正为 mybatis-plus 包路径

新增（Phase 2 尾声）：
- SysCompany / SysCompanyMapper
- SysUser / SysUserMapper
- ShiroFilterIntegrationTest（无 Token→401、过期→401、角色不足→403、满足→200）

新增（Phase 3 / US1）：
- LoginRequest / LoginResponse / UserInfoResponse DTO
- AuthService（login + logout + me；BCrypt 校验；Redis Hash 存 Token）
- AuthController（POST /api/auth/login、POST /logout、GET /me）
- AuthIntegrationTest（正确密码→token、错误密码→401、退出后→401）

											
										
										
											2026-04-09 15:16:49 +08:00
+								import jakarta.servlet.http.HttpServletRequest;
 								import lombok.RequiredArgsConstructor;
 								import org.springframework.web.bind.annotation.*;
 								/**
-												Revert "refactor: flatten dto entity and mapper packages"

This reverts commit 29766ebd280d0b5251b563eda7bc82f6cc6fa5ee.

											
										
										
											2026-04-14 13:31:50 +08:00
+								 * 认证接口：登录、退出、获取当前用户。
 								 *
 								 * 路由设计：
-												去掉shiro框架

											
										
										
											2026-04-14 16:33:34 +08:00
+								 * - POST /api/auth/login   → 匿名（AuthInterceptor 跳过）
 								 * - POST /api/auth/logout  → 需要有效 Token（AuthInterceptor 校验）
 								 * - GET  /api/auth/me      → 需要有效 Token（AuthInterceptor 校验）
-												Revert "refactor: flatten dto entity and mapper packages"

This reverts commit 29766ebd280d0b5251b563eda7bc82f6cc6fa5ee.

											
										
										
											2026-04-14 13:31:50 +08:00
+								 */
 								@Tag(name = "认证管理", description = "登录、退出和当前用户信息")
-												Phase 2/3 完成：修复 Shiro javax/jakarta 兼容性，实现 US1 认证模块

修复：
- TokenFilter 改继承 OncePerRequestFilter（jakarta.servlet），
  移除 PathMatchingFilter（javax.servlet）依赖，解决 Lombok 级联失败
- ShiroConfig 用 FilterRegistrationBean 替代 ShiroFilterFactoryBean，
  避免 javax/jakarta Filter 类型不兼容；securityManager 调用
  SecurityUtils.setSecurityManager() 确保 @RequiresRoles AOP 可用
- LabelBackendApplication 排除 ShiroWeb 自动配置（WebAutoConfiguration、
  WebFilterConfiguration、WebMvcAutoConfiguration）
- SysUserMapper @InterceptorIgnore 修正为 mybatis-plus 包路径

新增（Phase 2 尾声）：
- SysCompany / SysCompanyMapper
- SysUser / SysUserMapper
- ShiroFilterIntegrationTest（无 Token→401、过期→401、角色不足→403、满足→200）

新增（Phase 3 / US1）：
- LoginRequest / LoginResponse / UserInfoResponse DTO
- AuthService（login + logout + me；BCrypt 校验；Redis Hash 存 Token）
- AuthController（POST /api/auth/login、POST /logout、GET /me）
- AuthIntegrationTest（正确密码→token、错误密码→401、退出后→401）

											
										
										
											2026-04-09 15:16:49 +08:00
+								@RestController
 								@RequestMapping("/api/auth")
 								@RequiredArgsConstructor
 								public class AuthController {
 								    private final AuthService authService;
 								    /**
-												Revert "refactor: flatten dto entity and mapper packages"

This reverts commit 29766ebd280d0b5251b563eda7bc82f6cc6fa5ee.

											
										
										
											2026-04-14 13:31:50 +08:00
+								     * 登录接口（匿名，无需 Token）。
 								     */
 								    @Operation(summary = "用户登录，返回 Bearer Token")
-												Phase 2/3 完成：修复 Shiro javax/jakarta 兼容性，实现 US1 认证模块

修复：
- TokenFilter 改继承 OncePerRequestFilter（jakarta.servlet），
  移除 PathMatchingFilter（javax.servlet）依赖，解决 Lombok 级联失败
- ShiroConfig 用 FilterRegistrationBean 替代 ShiroFilterFactoryBean，
  避免 javax/jakarta Filter 类型不兼容；securityManager 调用
  SecurityUtils.setSecurityManager() 确保 @RequiresRoles AOP 可用
- LabelBackendApplication 排除 ShiroWeb 自动配置（WebAutoConfiguration、
  WebFilterConfiguration、WebMvcAutoConfiguration）
- SysUserMapper @InterceptorIgnore 修正为 mybatis-plus 包路径

新增（Phase 2 尾声）：
- SysCompany / SysCompanyMapper
- SysUser / SysUserMapper
- ShiroFilterIntegrationTest（无 Token→401、过期→401、角色不足→403、满足→200）

新增（Phase 3 / US1）：
- LoginRequest / LoginResponse / UserInfoResponse DTO
- AuthService（login + logout + me；BCrypt 校验；Redis Hash 存 Token）
- AuthController（POST /api/auth/login、POST /logout、GET /me）
- AuthIntegrationTest（正确密码→token、错误密码→401、退出后→401）

											
										
										
											2026-04-09 15:16:49 +08:00
+								    @PostMapping("/login")
 								    public Result<LoginResponse> login(@RequestBody LoginRequest request) {
 								        return Result.success(authService.login(request));
 								    }
 								    /**
-												Revert "refactor: flatten dto entity and mapper packages"

This reverts commit 29766ebd280d0b5251b563eda7bc82f6cc6fa5ee.

											
										
										
											2026-04-14 13:31:50 +08:00
+								     * 退出登录，立即删除 Redis Token。
 								     */
 								    @Operation(summary = "退出登录并立即失效当前 Token")
-												Phase 2/3 完成：修复 Shiro javax/jakarta 兼容性，实现 US1 认证模块

修复：
- TokenFilter 改继承 OncePerRequestFilter（jakarta.servlet），
  移除 PathMatchingFilter（javax.servlet）依赖，解决 Lombok 级联失败
- ShiroConfig 用 FilterRegistrationBean 替代 ShiroFilterFactoryBean，
  避免 javax/jakarta Filter 类型不兼容；securityManager 调用
  SecurityUtils.setSecurityManager() 确保 @RequiresRoles AOP 可用
- LabelBackendApplication 排除 ShiroWeb 自动配置（WebAutoConfiguration、
  WebFilterConfiguration、WebMvcAutoConfiguration）
- SysUserMapper @InterceptorIgnore 修正为 mybatis-plus 包路径

新增（Phase 2 尾声）：
- SysCompany / SysCompanyMapper
- SysUser / SysUserMapper
- ShiroFilterIntegrationTest（无 Token→401、过期→401、角色不足→403、满足→200）

新增（Phase 3 / US1）：
- LoginRequest / LoginResponse / UserInfoResponse DTO
- AuthService（login + logout + me；BCrypt 校验；Redis Hash 存 Token）
- AuthController（POST /api/auth/login、POST /logout、GET /me）
- AuthIntegrationTest（正确密码→token、错误密码→401、退出后→401）

											
										
										
											2026-04-09 15:16:49 +08:00
+								    @PostMapping("/logout")
-												去掉shiro框架

											
										
										
											2026-04-14 16:33:34 +08:00
+								    @RequireAuth
-												Phase 2/3 完成：修复 Shiro javax/jakarta 兼容性，实现 US1 认证模块

修复：
- TokenFilter 改继承 OncePerRequestFilter（jakarta.servlet），
  移除 PathMatchingFilter（javax.servlet）依赖，解决 Lombok 级联失败
- ShiroConfig 用 FilterRegistrationBean 替代 ShiroFilterFactoryBean，
  避免 javax/jakarta Filter 类型不兼容；securityManager 调用
  SecurityUtils.setSecurityManager() 确保 @RequiresRoles AOP 可用
- LabelBackendApplication 排除 ShiroWeb 自动配置（WebAutoConfiguration、
  WebFilterConfiguration、WebMvcAutoConfiguration）
- SysUserMapper @InterceptorIgnore 修正为 mybatis-plus 包路径

新增（Phase 2 尾声）：
- SysCompany / SysCompanyMapper
- SysUser / SysUserMapper
- ShiroFilterIntegrationTest（无 Token→401、过期→401、角色不足→403、满足→200）

新增（Phase 3 / US1）：
- LoginRequest / LoginResponse / UserInfoResponse DTO
- AuthService（login + logout + me；BCrypt 校验；Redis Hash 存 Token）
- AuthController（POST /api/auth/login、POST /logout、GET /me）
- AuthIntegrationTest（正确密码→token、错误密码→401、退出后→401）

											
										
										
											2026-04-09 15:16:49 +08:00
+								    public Result<Void> logout(HttpServletRequest request) {
 								        String token = extractToken(request);
 								        authService.logout(token);
 								        return Result.success(null);
 								    }
 								    /**
-												Revert "refactor: flatten dto entity and mapper packages"

This reverts commit 29766ebd280d0b5251b563eda7bc82f6cc6fa5ee.

											
										
										
											2026-04-14 13:31:50 +08:00
+								     * 获取当前登录用户信息。
-												去掉shiro框架

											
										
										
											2026-04-14 16:33:34 +08:00
+								     * TokenPrincipal 由 AuthInterceptor 写入请求属性 "__token_principal__"。
-												Revert "refactor: flatten dto entity and mapper packages"

This reverts commit 29766ebd280d0b5251b563eda7bc82f6cc6fa5ee.

											
										
										
											2026-04-14 13:31:50 +08:00
+								     */
 								    @Operation(summary = "获取当前登录用户信息")
-												Phase 2/3 完成：修复 Shiro javax/jakarta 兼容性，实现 US1 认证模块

修复：
- TokenFilter 改继承 OncePerRequestFilter（jakarta.servlet），
  移除 PathMatchingFilter（javax.servlet）依赖，解决 Lombok 级联失败
- ShiroConfig 用 FilterRegistrationBean 替代 ShiroFilterFactoryBean，
  避免 javax/jakarta Filter 类型不兼容；securityManager 调用
  SecurityUtils.setSecurityManager() 确保 @RequiresRoles AOP 可用
- LabelBackendApplication 排除 ShiroWeb 自动配置（WebAutoConfiguration、
  WebFilterConfiguration、WebMvcAutoConfiguration）
- SysUserMapper @InterceptorIgnore 修正为 mybatis-plus 包路径

新增（Phase 2 尾声）：
- SysCompany / SysCompanyMapper
- SysUser / SysUserMapper
- ShiroFilterIntegrationTest（无 Token→401、过期→401、角色不足→403、满足→200）

新增（Phase 3 / US1）：
- LoginRequest / LoginResponse / UserInfoResponse DTO
- AuthService（login + logout + me；BCrypt 校验；Redis Hash 存 Token）
- AuthController（POST /api/auth/login、POST /logout、GET /me）
- AuthIntegrationTest（正确密码→token、错误密码→401、退出后→401）

											
										
										
											2026-04-09 15:16:49 +08:00
+								    @GetMapping("/me")
-												去掉shiro框架

											
										
										
											2026-04-14 16:33:34 +08:00
+								    @RequireAuth
-												Phase 2/3 完成：修复 Shiro javax/jakarta 兼容性，实现 US1 认证模块

修复：
- TokenFilter 改继承 OncePerRequestFilter（jakarta.servlet），
  移除 PathMatchingFilter（javax.servlet）依赖，解决 Lombok 级联失败
- ShiroConfig 用 FilterRegistrationBean 替代 ShiroFilterFactoryBean，
  避免 javax/jakarta Filter 类型不兼容；securityManager 调用
  SecurityUtils.setSecurityManager() 确保 @RequiresRoles AOP 可用
- LabelBackendApplication 排除 ShiroWeb 自动配置（WebAutoConfiguration、
  WebFilterConfiguration、WebMvcAutoConfiguration）
- SysUserMapper @InterceptorIgnore 修正为 mybatis-plus 包路径

新增（Phase 2 尾声）：
- SysCompany / SysCompanyMapper
- SysUser / SysUserMapper
- ShiroFilterIntegrationTest（无 Token→401、过期→401、角色不足→403、满足→200）

新增（Phase 3 / US1）：
- LoginRequest / LoginResponse / UserInfoResponse DTO
- AuthService（login + logout + me；BCrypt 校验；Redis Hash 存 Token）
- AuthController（POST /api/auth/login、POST /logout、GET /me）
- AuthIntegrationTest（正确密码→token、错误密码→401、退出后→401）

											
										
										
											2026-04-09 15:16:49 +08:00
+								    public Result<UserInfoResponse> me(HttpServletRequest request) {
 								        TokenPrincipal principal = (TokenPrincipal) request.getAttribute("__token_principal__");
 								        return Result.success(authService.me(principal));
 								    }
-												Revert "refactor: flatten dto entity and mapper packages"

This reverts commit 29766ebd280d0b5251b563eda7bc82f6cc6fa5ee.

											
										
										
											2026-04-14 13:31:50 +08:00
+								    /** 从 Authorization 头提取 Bearer token 字符串 */
-												Phase 2/3 完成：修复 Shiro javax/jakarta 兼容性，实现 US1 认证模块

修复：
- TokenFilter 改继承 OncePerRequestFilter（jakarta.servlet），
  移除 PathMatchingFilter（javax.servlet）依赖，解决 Lombok 级联失败
- ShiroConfig 用 FilterRegistrationBean 替代 ShiroFilterFactoryBean，
  避免 javax/jakarta Filter 类型不兼容；securityManager 调用
  SecurityUtils.setSecurityManager() 确保 @RequiresRoles AOP 可用
- LabelBackendApplication 排除 ShiroWeb 自动配置（WebAutoConfiguration、
  WebFilterConfiguration、WebMvcAutoConfiguration）
- SysUserMapper @InterceptorIgnore 修正为 mybatis-plus 包路径

新增（Phase 2 尾声）：
- SysCompany / SysCompanyMapper
- SysUser / SysUserMapper
- ShiroFilterIntegrationTest（无 Token→401、过期→401、角色不足→403、满足→200）

新增（Phase 3 / US1）：
- LoginRequest / LoginResponse / UserInfoResponse DTO
- AuthService（login + logout + me；BCrypt 校验；Redis Hash 存 Token）
- AuthController（POST /api/auth/login、POST /logout、GET /me）
- AuthIntegrationTest（正确密码→token、错误密码→401、退出后→401）

											
										
										
											2026-04-09 15:16:49 +08:00
+								    private String extractToken(HttpServletRequest request) {
 								        String authHeader = request.getHeader("Authorization");
 								        if (authHeader != null && authHeader.startsWith("Bearer ")) {
 								            return authHeader.substring(7).trim();
 								        }
 								        return null;
 								    }
 								}