基于 Spring Boot 3.5 + Spring Security + JWT + MyBatis Plus 的商城后端管理系统,实现了完整的用户认证授权、RBAC 权限管理功能。
- Java 17
- Spring Boot 3.5.10
- Spring Security 6.x - 安全框架
- JWT (JJWT 0.12.6) - Token 认证
- MyBatis Plus 3.5.5 - ORM 框架
- MySQL 8.x - 数据库
- Redis - 缓存与 Token 黑名单
- Lombok - 简化开发
- SpringDoc OpenAPI - API 文档(可选)
- 用户注册(自动分配默认角色)
- 用户登录(JWT Token 生成)
- 用户登出(Token 黑名单机制)
- 密码加密存储(BCrypt)
- 5 表设计:用户、角色、权限、用户-角色、角色-权限
- 动态权限加载
- 基于角色的访问控制
- 注册时自动分配 USER 角色
- 获取用户信息
- 更新用户资料
- 修改密码
- 查询用户角色
- 查询用户权限
- 商品评价发布、分页查询(按商品 ID)
- 评价详情(含回复列表、点赞数、当前用户是否已点赞)
- 评价回复(用户回复、商家回复)
- 评价点赞与取消点赞
- 评价举报
- 评价筛选(按评分 1–5、按时间/评分排序)
- 创建支付订单(支持多种支付方式)
- 查询支付详情
- 查询支付记录列表(支持多条件筛选和分页)
- 支付回调处理(模拟支付宝、微信支付回调)
- 发起退款
- 查询退款状态
- 添加商品到购物车、修改购物项数量、删除购物项
- 支持从购物车直接下单(选择项下单)
- 用户收货地址的增删改查,支持设置默认地址(设置默认时会将该用户其他地址设为非默认)
- 订单创建:支持从购物车(selected 项)创建或直接传商品项创建,生成订单、订单项与支付记录
- 订单查询:按用户、按订单状态查询(支持分页)
- 订单状态流转:待支付 -> 已支付 -> 已发货 -> 已完成;支持用户取消订单
- 订单详情展示:提供订单基本信息(可扩展返回订单项、支付记录与状态历史)
- 订单统计:按状态统计当前用户订单数量
- id: 用户ID(主键,自增)
- username: 用户名(唯一)
- password: 密码(BCrypt 加密)
- email: 邮箱
- status: 状态(1=启用,0=禁用)
- created_at: 创建时间
- updated_at: 更新时间
- role_id: 角色ID(主键,自增)
- role_name: 角色名称
- role_code: 角色代码(ADMIN/EDITOR/USER)
- description: 描述
- status: 状态
- create_at: 创建时间
- update_at: 更新时间
- permission_id: 权限ID(主键,自增)
- permission_name: 权限名称
- permission_code: 权限代码(如:product:view)
- resource: 资源类型
- action: 操作类型
- description: 描述
- id: 主键
- user_id: 用户ID(外键)
- role_id: 角色ID(外键)
- create_at: 创建时间
- id: 主键
- role_id: 角色ID(外键)
- permission_id: 权限ID(外键)
product_reviews(商品评价表,见 product_schema.sql)
- id: 主键
- product_id: 商品ID(外键)
- user_id: 用户ID
- order_item_id: 订单项ID(可选)
- rating: 评分 1-5
- content: 评价内容
- images: 图片 JSON
- reply: 商家回复内容
- status: 1=显示, 0=隐藏
- created_at: 创建时间
review_replies(评价回复表)
- id: 主键
- review_id: 评价ID(外键)
- user_id: 用户ID
- content: 回复内容
- created_at: 创建时间
review_likes(评价点赞表)
- id: 主键
- review_id: 评价ID(外键)
- user_id: 用户ID
- created_at: 创建时间
- 唯一约束: (review_id, user_id)
review_reports(评价举报表)
- id: 主键
- review_id: 评价ID(外键)
- user_id: 用户ID
- reason: 举报原因
- status: 0=待处理, 1=已处理, 2=已驳回
- created_at: 创建时间
addresses(地址表)
- id: 主键
- user_id: 用户ID(外键)
- receiver_name: 收件人姓名
- phone: 联系电话
- province, city, district, detail: 地址字段
- is_default: 是否默认(0/1)
- created_at, updated_at: 时间戳
cart(购物车表)
- id: 主键
- user_id: 用户ID(外键)
- product_id: 商品ID(外键)
- quantity: 商品数量
- selected: 是否选中用于下单(0/1)
- created_at, updated_at: 时间戳
orders(订单表)
- id: 主键
- order_no: 订单号(唯一)
- user_id: 用户ID(外键)
- address_id: 收货地址ID
- total_amount: 订单总金额
- status: 订单状态(PENDING_PAYMENT/PAID/SHIPPED/COMPLETED/CANCELLED)
- payment_status: 支付状态(UNPAID/PAID/CANCELLED)
- remark: 备注
- created_at, updated_at: 时间戳
order_items(订单明细表)
- id: 主键
- order_id: 订单ID(外键)
- product_id: 商品ID
- product_name: 商品名称(冗余)
- sku_info: 规格信息
- price: 单价
- quantity: 数量
- total_amount: 小计金额
payments(支付记录)
- id: 主键
- order_id: 订单ID(外键)
- amount: 支付金额
- method: 支付方式
- status: 支付状态(PENDING/SUCCESS/FAILED)
- transaction_id: 第三方交易号
- paid_at: 支付时间
order_status_history(订单状态历史)
- id: 主键
- order_id: 订单ID(外键)
- status: 状态
- remark: 备注
- created_at: 时间戳
payments(支付记录表,见 payment_schema.sql)
- id: 主键
- order_id: 订单ID(外键)
- user_id: 用户ID(外键)
- payment_method: 支付方式(alipay/wechat/bank_card)
- payment_amount: 支付金额
- payment_status: 支付状态(pending/success/failed/refunded)
- transaction_id: 第三方交易ID
- payment_time: 支付时间
- refund_amount: 退款金额
- refund_time: 退款时间
- refund_reason: 退款原因
- callback_data: 回调数据(JSON)
- created_at: 创建时间
- updated_at: 更新时间
| 角色 | 角色代码 | 权限 |
|---|---|---|
| 系统管理员 | ADMIN | 所有权限(编辑报表、编辑商品、查看报表、查看商品、删除商品) |
| 编辑 | EDITOR | 查看、编辑商品和报表权限 |
| 普通用户 | USER | 查看商品和报表权限 |
- JDK 17+
- Maven 3.6+
- MySQL 8.0+
- Redis 6.0+
# 1. 创建数据库
CREATE DATABASE shop DEFAULT CHARACTER SET utf8mb4;
# 2. 执行初始化脚本
mysql -u root -p shop < sql/rbac_init.sql
# 3. 若使用商品与评论模块,再执行(需先有 products、users 等表)
mysql -u root -p shop < sql/product_schema.sql
mysql -u root -p shop < sql/review_schema.sql
# 4. 若使用支付模块,再执行
mysql -u root -p shop < sql/payment_schema.sql
编辑 src/main/resources/application.properties:
spring.datasource.username=your_username spring.datasource.password=your_password
spring.data.redis.host=localhost spring.data.redis.port=6379 spring.data.redis.password=
jwt.secret=your-secret-key-change-this-in-production-environment-minimum-256-bits jwt.access-token-expiration=7200 jwt.refresh-token-expiration=604800
server.port=8080
### 4. 运行项目
```bash
# 使用 Maven 运行
mvn spring-boot:run
# 或打包后运行
mvn clean package
java -jar target/demo1-0.0.1-SNAPSHOT.jar
- 应用地址:http://localhost:8080
- Swagger 文档:http://localhost:8080/swagger-ui.html
- Base URL:
http://localhost:8080 - Content-Type:
application/json - Authorization:
Bearer {token}(登录后需要)
POST /user/registerUser
Content-Type: application/json
{
"username": "test",
"password": "123456"
}
响应示例:
{
"code": 200,
"msg": "注册成功",
"data": null
}
POST /auth/login
Content-Type: application/json
{
"username": "test",
"password": "123456"
}
响应示例:
{
"code": 200,
"msg": "操作成功",
"data": {
"id": 1,
"username": "test",
"token": "eyJhbGciOiJIUzI1NiJ9...",
"refreshToken": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
"loginTime": "2026-01-25"
}
}
当 Access Token 过期时,可以使用 Refresh Token 换取新的 Access Token,Refresh Token 的有效期默认为 7 天(可通过 jwt.refresh-token-expiration 配置调整)。
POST /auth/refresh
Content-Type: application/x-www-form-urlencoded
refreshToken=<refreshToken>
响应示例:
{
"code": 200,
"msg": "操作成功",
"data": {
"accessToken": "eyJhbGciOiJIUzI1NiJ9...",
"refreshToken": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
"tokenType": "Bearer",
"expiresIn": 7200
}
}
注意:刷新接口允许匿名访问(/auth/refresh 已加入安全白名单),但 refresh token 本身必须有效且与服务器在 Redis 中保存的值匹配。
GET /auth/logout
Authorization: Bearer {token}
响应示例:
{
"code": 200,
"msg": "操作成功",
"data": {
"message": "登出成功",
"logoutTime": "2026-01-25"
}
}
GET /auth/profile
Authorization: Bearer {token}
响应示例:
{
"code": 200,
"msg": "操作成功",
"data": {
"id": 1,
"name": "test",
"email": "test@example.com",
"status": 1,
"nowTime": "2026-01-25"
}
}
POST /user/update
Authorization: Bearer {token}
Content-Type: application/json
{
"email": "newemail@example.com"
}
POST /user/changePassword
Authorization: Bearer {token}
Content-Type: application/json
{
"oldPassword": "123456",
"newPassword": "654321"
}
GET /user/permissions
Authorization: Bearer {token}
响应示例:
{
"code": 200,
"msg": "操作成功",
"data": {
"userId": 1,
"username": "test",
"email": null,
"roles": [
{
"roleId": 2,
"roleName": "普通用户",
"roleCode": "USER",
"description": "普通用户",
"status": 1
}
],
"permissions": [
{
"permissionId": 1,
"permissionName": "查看商品",
"permissionCode": "product:view",
"resource": "product",
"action": "view",
"description": "查看商品权限"
},
{
"permissionId": 4,
"permissionName": "查看报表",
"permissionCode": "report:view",
"resource": "report",
"action": "view",
"description": "查看报表权限"
}
]
}
}
GET /user/roles
Authorization: Bearer {token}
GET /user/permissions/list
Authorization: Bearer {token}
商品模块提供标准的 CRUD 接口,支持分页查询与模糊搜索。
Base URL: http://localhost:8080
请求头(通用):
Content-Type: application/json(POST/PUT)Authorization: Bearer {token}(需要鉴权的接口)
- 创建商品
POST /product
Headers: Authorization: Bearer {token}
Body (JSON):
{
"categoryId": 1,
"sku": "PHN-0001",
"name": "示例手机 A1",
"subtitle": "全面屏 / 128GB",
"description": "示例手机 A1,性能均衡。",
"price": 1999.00,
"originalPrice": 2499.00,
"stock": 120,
"status": 1,
"isFeatured": 1,
"coverUrl": "https://example.com/images/phone_a1.jpg",
"weight": 0.18
}
必填字段:name, categoryId, price, stock。
写操作权限:需要 EDITOR 或 ADMIN 角色(后端根据 RBAC 检查 product:create/product:edit 权限)。
示例 curl:
curl -X POST "http://localhost:8080/product" \
-H "Authorization: Bearer ${TOKEN}" \
-H "Content-Type: application/json" \
-d '{"categoryId":1,"sku":"PHN-0001","name":"示例手机 A1","price":1999.00,"stock":120}'
成功响应示例:
{
"code":200,
"msg":"操作成功",
"data":{
"id":101,
"name":"示例手机 A1"
}
}
- 获取单个商品
GET /product/{id}
Path param: id (Long)
Headers: Authorization: Bearer {token}
- 分页查询商品
GET /product?page=1&size=10&name=手机
Headers: Authorization: Bearer {token}
Query params:
- page: integer, 默认 1
- size: integer, 默认 10
- name: string, 可选,按 name 模糊匹配
- 更新商品(部分更新,PATCH)
PATCH /product/{id}
Headers: Authorization: Bearer {token}
Body: 与创建接口相同的 JSON 结构,但只需要包含要修改的字段(只会合并非 null 字段)
示例:只修改价格和库存
{
"price": 1899.00,
"stock": 100
}
说明:
- 如果客户端无法发送
PATCH /product/{id},后端可能同时支持PATCH /product?id={id}或在请求体中包含id(兼容性由后端决定)。 - 部分更新不会把未包含的字段设为 null;仅覆盖非 null 字段。
- 写操作需要
EDITOR或ADMIN角色;查看需要登录(USER及以上)。
- 删除商品
DELETE /product/{id}
Headers: Authorization: Bearer {token}
- 设置商品上下架
PATCH /product/{id}/status?status=1
Headers: Authorization: Bearer {token}
Query params:
- status: integer, 必选,`1`=上架,`0`=下架
说明:写操作需要 EDITOR 或 ADMIN 角色。示例:把 id=101 的商品下架
curl -X PATCH "http://localhost:8080/product/101/status?status=0" \
-H "Authorization: Bearer ${TOKEN}"
成功响应示例:
{
"code":200,
"msg":"设置成功",
"data":null
}
评论模块提供商品评价的发布、查询、回复、点赞、举报及按评分/时间筛选。
Base URL: http://localhost:8080
请求头(通用):
Content-Type: application/json(POST/PUT)Authorization: Bearer {token}(发布、回复、点赞、举报、商家回复等需登录)
- 发布商品评价
POST /review
Headers: Authorization: Bearer {token}
Body (JSON):
{
"productId": 1,
"rating": 5,
"content": "非常不错,性价比高。",
"images": "[\"https://example.com/1.jpg\"]"
}
必填字段:productId。rating 为 1–5,默认 5;content、images 可选。
成功响应:返回完整评价对象(含 id、点赞数、回复列表等)。
- 分页查询商品评价(支持按评分、时间排序)
GET /review/product/{productId}?page=1&size=10&rating=5&sortBy=time_desc
Query 参数:
page: 页码,默认 1size: 每页条数,默认 10rating: 可选,1–5,仅返回该评分的评价sortBy: 可选,time_desc(默认)|time_asc|rating_desc|rating_asc
无需登录。响应为分页结果,每条包含评价信息、回复列表、点赞数、当前用户是否已点赞(未登录为 false)。
- 查询评价详情
GET /review/{reviewId}
返回单条评价详情(含回复列表、点赞数、当前用户是否已点赞)。无需登录。
- 回复评价
POST /review/reply
Headers: Authorization: Bearer {token}
Body (JSON):
{
"reviewId": 1,
"content": "同意,确实很划算。"
}
必填:reviewId、content。成功返回 "回复成功"。
- 商家回复(更新评价主表的商家回复)
PUT /review/{reviewId}/seller-reply
Headers: Authorization: Bearer {token}
Body (JSON):
{
"content": "感谢您的支持,欢迎再次购买。"
}
将内容写入该评价的 reply 字段。成功返回 "回复成功"。
- 点赞 / 取消点赞
POST /review/{reviewId}/like
Headers: Authorization: Bearer {token}
同一用户对同一评价再次请求即取消点赞。响应 data 为 true 表示当前为已点赞状态,false 表示已取消。
- 举报评价
POST /review/report
Headers: Authorization: Bearer {token}
Body (JSON):
{
"reviewId": 1,
"reason": "不当言论"
}
必填:reviewId;reason 可选。成功返回 "举报已提交"。
对外提供多级分类管理接口,支持树形查询与 CRUD(写操作需要鉴权)。
- 创建分类
POST /categories
Headers: Authorization: Bearer {token}
Body (JSON):
{
"parentId": 1, // 可选,顶级分类可为空
"name": "手机",
"slug": "electronics-phones",
"description": "手机分类",
"sortOrder": 1,
"status": 1
}
必填字段:name。
写操作权限:只有 EDITOR 或 ADMIN 可创建/更新/删除分类(后端通过 role/permission 控制)。
重要约束:
slug应保持在同一层级唯一(后端应做唯一性检查)。- 删除分类前会校验是否存在子分类,存在子分类时禁止删除。
示例 curl:
curl -X POST "http://localhost:8080/categories" \
-H "Authorization: Bearer ${TOKEN}" \
-H "Content-Type: application/json" \
-d '{"parentId":0,"name":"电子产品","slug":"electronics","sortOrder":1}'
- 获取单个分类
GET /categories/{id}
Headers: Authorization: Bearer {token}
- 更新分类(部分更新)
PATCH /categories/{id}
Headers: Authorization: Bearer {token}
Body: 只包含需要修改的字段,例如:
{
"name": "手机及配件",
"sortOrder": 2
}
- 删除分类(若存在子分类将禁止删除)
DELETE /categories/{id}
Headers: Authorization: Bearer {token}
- 获取分类树(多级)
GET /categories/tree
Headers: Authorization: Bearer {token}
- 平铺查询(可按 parentId 查询子分类)
GET /categories?parentId=1
Headers: Authorization: Bearer {token}
说明:返回的分类对象包含 children 字段(数组)表示下级分类。
示例响应片段:
{
"code":200,
"msg":"操作成功",
"data":[
{
"id":1,
"name":"电子产品",
"children":[
{"id":2,"name":"手机"},
{"id":3,"name":"笔记本"}
]
}
]
}
下面列出项目中已实现的购物车、地址与订单相关接口、请求示例与说明。
注意:需要登录的接口请在请求头中带上
Authorization: Bearer {token}。
- 添加商品到购物车
POST /cart/add
Content-Type: application/json
Authorization: Bearer {token}
{
"productId": 1,
"quantity": 2
}
- 修改购物项数量
POST /cart/update
Content-Type: application/json
Authorization: Bearer {token}
{
"id": 10,
"quantity": 3
}
- 删除购物项
DELETE /cart/{id}
Authorization: Bearer {token}
- 获取当前用户购物车列表
GET /cart/list
Authorization: Bearer {token}
- 添加收货地址
POST /address/add
Content-Type: application/json
Authorization: Bearer {token}
{
"receiverName": "张三",
"phone": "13800000000",
"province": "广东省",
"city": "深圳市",
"district": "南山区",
"detail": "科技园路100号",
"isDefault": 1
}
- 更新收货地址
POST /address/update
Content-Type: application/json
Authorization: Bearer {token}
{
"id": 1,
"receiverName": "张三",
"phone": "13800000000",
"province": "广东省",
"city": "深圳市",
"district": "南山区",
"detail": "科技园路101号",
"isDefault": 1
}
- 删除地址
DELETE /address/{id}
Authorization: Bearer {token}
- 列表
GET /address/list
Authorization: Bearer {token}
当添加或更新地址并设置 isDefault=1 时,系统会将该用户其它地址设为非默认。
支持从购物车下单或直接传入商品项下单,支持分页查询、订单详情、状态流转和统计。
- 创建订单(从购物车或传入 items)
POST /order/create
Content-Type: application/json
Authorization: Bearer {token}
{
"items": [ { "productId": 1, "quantity": 2 } ], // 可选,若为空则使用购物车 selected=1 的项
"addressId": 1,
"remark": "请尽快发货"
}
返回:创建的 Order 实体(包含 orderNo, totalAmount, status 等)。
- 查询(按用户、按状态,支持分页)
GET /order/list?pageNum=1&pageSize=10&status=PAID
Authorization: Bearer {token}
- 订单详情(当前返回
Order实体)
GET /order/{id}
Authorization: Bearer {token}
- 订单状态流转(示例)
POST /order/{id}/pay // 标记为已支付
POST /order/{id}/ship // 标记为已发货
POST /order/{id}/complete // 标记为已完成
POST /order/{id}/cancel // 取消订单
- 订单统计
GET /order/stats
Authorization: Bearer {token}
返回当前用户各状态订单数量(PENDING_PAYMENT、PAID、SHIPPED、COMPLETED、CANCELLED)。
35/F,Tencent Building,Kejizhongyi Avenue,Nanshan District,Shenzhen
