业务方视角，接入登录账号体系

前言：

上一篇我们介绍过了如何使用php+jwt。讲述如何制作一个一站式登录平台。打通各个业务方之间的账号壁垒。那么现在我就来介绍下。从业务方的角度，如何去接入一个登录中心

流程

用户访问业务方地址

接入登录中心

首先我介绍下域名：

登录中心的url是：tp.login.com:81
接入方的域名是：tp.admin.com:81
两个完全不一样的域名，也不存在session共享什么的。那么，现在我要把我的tp.admin.com:81接入到tp.login.com:81的账号体系中去。
一：设计回调地址的路由
由于我这次写的一个demo。就是直接在index模块下login控制器里写了个callback方法。如果在生产环境下的话还是推荐强制路由。这样url看上去美观点。好那么我们回调地址就是tp.admin.com:81/index.php/index/login/callback（这里有个细节，这个回调的地址，是不需要做登录验证的，因为刚回调回来的时候，cookie中还没有密文。所以这个控制器不继承有登录验证的那个控制器）
二：申请应用
好了，既然都是我写的demo。就不存在申请不申请了。不过正规的流程应该是接入方会向登录中心的管理员，申请。告知回调地址。登录中心的管理员在app中添加回调地址，随机字符串作为秘钥，并获得appid。
三：开始开发
首先呢，我们将登录中心的地址，和分配给我们的appid 和app_key存到配置文件中方便使用

配置文件

随后，我们既然是接入别人的登录中心，那就不用自己写登录了。直接写登录验证。
登录验证一般来说都会是写到一个控制器基类的__construct()方法里面

class Base extends Controller
{
    public $uid;
    public $name;

    public function __construct()
    {
        /**
         * 1.判断是否有cookie
         * 2.没有cookie,拼接回调地址和appid
         * 3.如果有cookie，解密code。验签
         * 4.延签失败删除cookie
         * 5.验签成功，初始化uid,name
         */
        try{
            $request=request();
            $authCode= cookie('authCode');
            if (empty($authCode)) {
                //拼接回调地址和appid
                $appid=config('sso.appid');
                //获取当前请求地址
                $callback_url=$request->url(true);
                //去配置文件中获取登录中心地址
                $login_url=config('sso.login_url');
                //拼接跳转地址
                $url=$login_url."?appid={$appid}&callback_url=".urlencode($callback_url);
                $this->redirect($url);
            }else{
                //如果有cookie
                //解密验签并取得cookie中的uid
                $uid=Auth::getUidByJwt($authCode);
                $this->uid=$uid;
            }
        }catch (Exception $e){
            $this->error($e->getMessage());
        }
    }
}

重点看看验签获取uid的方法。其实这个方法是一个基础方法扩展而成的。直接来看代码

    /**
     * 从jwt中获取某个字段
     * @param $token
     * @param $key
     * @return bool
     * @throws Exception
     */
    public static function getDataByJwt($token, $key)
    {
        //将token字符串初始化 token对象
        $tokenObj = (new Parser())->parse((string)$token);
        //实例化加密对象
        $signer = new Sha256();
        //使用配置中的秘钥验签
        $result = $tokenObj->verify($signer, config('sso.app_key'));
        if (!$result) {
            //验签失败
            //删除cookie，避免无限重定向
            cookie('authCode');
            throw new Exception('验签失败');
        }
        //使用检查过期时间的方法判断登录是否过期
        if ($tokenObj->isExpired()) {
            cookie('authCode');
            throw new Exception('登录过期');
        }
        //获取想要的数据
        $data = $tokenObj->getClaim($key);
        if ($data) {
            return $data;
        } else {
            return false;
        }
    }

    /**
     * 使用基础方法，获取uid
     * @param $token
     * @return bool
     * @throws Exception
     */
    public static function getUidByJwt($token)
    {
        return self::getDataByJwt($token, 'uid');
    }

其实jwt的包提供了非常丰富的方法，基本对密文没有太多的处理，验签之类的方法都准备好了。使用成本相当的低

上面介绍了验证登录的构造函数，还有一个地方别忘了。那就是我们最开始申请应用的那个回调地址。那个方法需要负责以下几个动作

获取登录中心传递过来的参数
验证code签名
将code写入cookie
从定向到用户最初访问的地址

下面来看代码

class Login extends Controller
{

    public function callback($code,$redirect)
    {
        try{
            //验签并取出uid
            $uid= Auth::getUidByJwt($code);
            //uid存在且回调地址存在
            if($uid&&$redirect){
                //写入cookie
                cookie('authCode',$code);
                //重定向到用户最初访问的地址
                $this->redirect($redirect);
            }else{
                //避免重定向
                cookie('authCode');
                $this->error('登录过期');
            }
        }catch (Exception $e){
            //避免重定向
            cookie('authCode');
            $this->error('登录过期');
        }

    }
}

当这一次重定向到用户访问的页面时，又会触发登录验证。这个时候，我们已经写好了cookie。cookie也是合法的。就会成功的取出用户的uid。下次用户访问这个应用的别的方法时，也携带这个cookie就可以正常使用了。更方便的是，我们在登录中心这个域名下还保存了一份cookie，当去访问别的应用时，别人的应用认为你没有登录重定向到登录中心后，就会检测到有cookie值并带上值重定向回别的应用。实现免登录

下面简单展示下效果