分布式多端登陆token验证的实现

首先说下需求背景:这是一个分布式微服务项目。然后现在要实现的功能是可同时app,小程序,公众号和网页端在线。

因为有人说我这个像是转载的!!!我特意附上手画思路图!!!!纯手打!!!!!

token生成和用法思路图

这里有几个细微化需求:

    1,网页端是每次登陆的,而且不涉及跨域问题。所有token/session/cookie都可以。但为了统一所以这里也用token。

    2,小程序是每次都用微信授权,所以也不需要做什么特别处理。只要在授权登陆的时候生成普通token。

    3,app第一次登陆是账号密码登陆。然后系统会发一个基于设备码的token凭证。这个凭证有效期七天。也就是七天内都可以凭借这个凭证+设备码 直接登陆。(同样每次登陆后这个时间重置为7天)

    4,app登陆时会返回一个普通token,然后每个接口都要验证此token。此token每次访问时长都会变成30min。(也就是说30min无操作会失效)

token组成:

    1,普通token:key是:pc/app+“-”+用户id,     value: 随机字符串。返回给前端的是随机字符串。  每次传给我的:pc/app+“-”+用户id+字符串

    2,设备码token:key:用户id,value:随机字符串+设备码。         返回给前端的是这个随机字符串。   传给我的:用户id+字符串(+设备码)


然后因为需求比较杂。所以可能看起来有点不明确。咱们现在一样一样做。


1,接口的token验证:

    因为我是cloud项目,用zuul做的api网关。所以我这边是直接在zuul中进行登陆拦截和token验证(如果zuul都不会用的先去了解下zuul吧)。

    这里大致说一下,zuul本身提供一个拦截器。我们只要自己创建一个拦截器然后继承并重写抽象方法即可。代码如下:

package org.ourtowns.zuul.fifter;

import com.netflix.zuul.ZuulFilter;

public class myFifter extends ZuulFilter{

@Override

public boolean shouldFilter() {

// TODO Auto-generated method stub

return false;

}

@Override

public Object run() {

// TODO Auto-generated method stub

return null;

}

@Override

public String filterType() {

// TODO Auto-generated method stub

return null;

}

@Override

public int filterOrder() {

// TODO Auto-generated method stub

return 0;

}

}

这里大概说一下,一共四个方法。

        -filterType是具体的拦截类型。一般像是权限验证的应该都是在路由之前。所以这里我们”pre“即可。

        -filterOrder代表过滤器顺序。具体我还真没太看,反正根据默认是-1。

        -shouldFilter代表这个过滤器是否生效。一般不需要验证的比如登陆,注册等设置为不生效。剩下的都生效。true是生效。

        -Run方法:这个是主要的处理逻辑的地方,我们做权限控制、日志等都是在这里。

然后下面附上我基于普通token写的代码:(我把不需要拦截的都列出来了。为了排除)

package org.ourtowns.zuul.fifter;

import java.util.concurrent.TimeUnit;

import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.cloud.netflix.zuul.filters.support.FilterConstants;

import org.springframework.data.redis.core.StringRedisTemplate;

import org.springframework.http.HttpStatus;

import org.springframework.stereotype.Component;

import org.springframework.util.StringUtils;

import com.netflix.zuul.ZuulFilter;

import com.netflix.zuul.context.RequestContext;

import net.sf.json.JSONObject;

/**

* 权限验证 Filter 注册和登录接口不过滤

*

* 如果没有找到token,就会返回 401 无权限,并给与文字提示

*

* @author 变异者

*

*/

@Component

public class AuthFilter extends ZuulFilter {

@Autowired

StringRedisTemplate stringRedisTemplate;

// 排除过滤的 uri

// 个人用户手机登陆

private static final String LOGIN_TEL = "/person/telLogin";

// 个人用户微信登陆

private static final String LOGIN_WECHAT = "/person/wechatLogin";

// 个人用户手机注册

private static final String TEL_ADD = "/person/userReg";


// 无权限时的提示语

private static final String INVALID_TOKEN = "invalid token";

@Override

public Object run(){

RequestContext requestContext = RequestContext.getCurrentContext();

HttpServletRequest request = requestContext.getRequest();

// 从 header 中读取token

String headerToken = request.getHeader("token");

if (StringUtils.isEmpty(headerToken)) {

//如果消息头中没有token则直接返回无权限

setUnauthorizedResponse(requestContext, INVALID_TOKEN);

} else {

//如果有token则验证token

verifyToken(requestContext, request, headerToken);

}

requestContext.setSendZuulResponse(true); 

requestContext.setResponseStatusCode(200);

return null;

}

/**

* 设置 401 无权限状态

*/

private void setUnauthorizedResponse(RequestContext requestContext, String msg) {

requestContext.setSendZuulResponse(false);

requestContext.setResponseStatusCode(HttpStatus.UNAUTHORIZED.value());

JSONObject result = JSONObject.fromObject(Tools.result(401, msg , null, false));

requestContext.setResponseBody(result.toString());

}

/**

* 从Redis中校验token

*/

private void verifyToken(RequestContext requestContext, HttpServletRequest request, String token) {

// 需要从header 中取出 userId 来校验 token 的有效性,因为每个用户对应一个token,在Redis中是以userId 为键的

String userId = request.getHeader("userId");

if (StringUtils.isEmpty(userId)) {

setUnauthorizedResponse(requestContext, INVALID_TOKEN);

} else {

String redisToken = stringRedisTemplate.opsForValue().get(userId);

if (StringUtils.isEmpty(redisToken) || !redisToken.equals(token)) {

setUnauthorizedResponse(requestContext, INVALID_TOKEN);

}

//能走到这里说明token验证通过了。这时候将token存在时长重置为30分钟

stringRedisTemplate.opsForValue().set(userId, redisToken, 30, TimeUnit.MINUTES);

}

}

@Override

public boolean shouldFilter() {

RequestContext requestContext = RequestContext.getCurrentContext();

HttpServletRequest request = requestContext.getRequest();

// 不需要拦截的在此列出并直接返回false。

if (LOGIN_TEL.equals(request.getRequestURI()) || LOGIN_WECHAT.equals(request.getRequestURI()) ||TEL_ADD.equals(request.getRequestURI())) {

return false;

}

return true;

}

@Override

public int filterOrder() {

return FilterConstants.PRE_DECORATION_FILTER_ORDER - 1;

}

@Override

public String filterType() {

return FilterConstants.PRE_TYPE;

}

}

这样,一个简单的token验证是否登陆就做完了。需要注意的点有几个:

    1,我这个把不需要拦截的接口列为常量了,你可以这样也可以直接排除。但是我觉得像我更容易看懂和维护。

    2,我这里被拦截的返回值是一个自己定义的对象,你如过直接复制粘贴应该会报错。自己定义吧。反正返回值只要知道是被拦截的就行。

    3,我定义是常量和代码中使用的可能不一样。原因是实际代码里我定义了十几个不需要拦截的接口。贴在这里我觉得太多了没必要,所以只剩下两个。

    4,其实我写的比较简单。只要被拦截了都只返回一个提示。如果你们有必要可以根据不同的情况定义不同的返回值。比如用户id无效。token过期,token不正确等等。。。

    5,我这里设置的是token在每次使用时有效时间都重置为30分钟。你们可以根据具体的业务逻辑和需求来定义。甚至说用不用重置啥的都要结合实际情况。


2,app端设备码token验证:

这里再解释下这个是设备码token的用处:在使用app完成登陆/注册后发放mtoken。此mtoken是存在本地的。也就是脱离app存在的。在每次app完全退出再进入后,先查询本地如果有这个mtoken,则可以用这个“mtoken当消息头,参数是设备码”即可登录到用户首页。(出于要返回用户信息和普通时效token等,所以我这个没在拦截器进行判断。而且在login中进行的判断。因为拦截器里无法获取用户最新信息。如果大神们有更好的办法欢迎指点~~万分感谢)。

这里直接上代码,再声明一点。我是在拦截器里放过这个uri,然后在接口里写的逻辑:

@Override

public ResultBean loginMtoken(HttpServletRequest request,String mid) {

try {

String headerToken = request.getHeader("mtoken");

String userId = request.getHeader("userId");

//先从消息头中取出token和userId,如果没有则直接报无权限

if(StringUtils.isEmpty(userId) && StringUtils.isEmpty(headerToken)) {

return Tools.result(401, "invalid token", null, false);

}

String token = stringRedisTemplate.opsForValue().get(userId);

//如果该userId对应的token不存在或者与传来的不等则报token无效

if (StringUtils.isEmpty(token) || !headerToken.equals(token)) {

return Tools.result(401, "invalid token", null, false);

}

//走到这里说明token有效。所以返回该用户信息并且更换token

String[] newToken = changeToken(userId, mid);//这个是我封装好的一个更换token的方法。一会儿会贴在下面

UserPerson userPerson = userPersonRepository.findById(userId);

userPerson.setToken(newToken[0]);

userPerson.setmToken(newToken[1]);

return Tools.result(200, "token登陆成功", userPerson, true);

} catch (Exception e) {

logger.info("token登陆失败"+e.getMessage(), e);

return Tools.result(500, "token登陆失败", null, false);

}

}

到这里根据mtoken登陆已经实现了。然后其中生成token的方法是我自己封装的。有两个。一个是生成,一个是更换。

3,token生成(因为我们这个项目涉及到app会产生两个token。比较复杂而且墨迹还恶心。如果是只生成一个的会简洁方便多了):

因为我们老板要求token要双方加密。所以返回前端的是一个随机串,然后我这边把随机串用md5加密后存入redis。前端同样接到随机串要用md5加密然后放到header。。大家不用做的我们这么恶心。

//这里是一个生成两个token的方法

public String[] getToken(String channel,String mid,String id) throws Exception{

String uuid = Tools.UUID();

String muuid = Tools.UUID();

String token = Tools.MD(uuid);

//普通token(key:pc/app+“-”+用户id,    value: 随机字符串),有效时长是30分钟。

stringRedisTemplate.opsForValue().set(channel+id, token, 30, TimeUnit.MINUTES);

//如果用户是手机app登陆才会生成基于验证码的token(判断此处是否有设备码,如没有不生成设备码token)

if("app".equals(channel) && "".equals(mid)==false) {

//基于设备码的token(key:用户id,value:随机字符串+设备码。)

String mtoken = Tools.MD(muuid+mid);

//设备码token有效时间7天

stringRedisTemplate.opsForValue().set(id, mtoken, 7, TimeUnit.DAYS);

}

return new String[]{uuid,muuid};

}

要求是每次基于设备码token登陆后要更换token。所以这里有个 token登陆和更换的方法:

//这是换取mtoken和生成普通token的方法(能走这个接口说明肯定是app端)

public String[] changeToken(String id,String mid) throws Exception{

String uuid = Tools.UUID();

String muuid = Tools.UUID();

String token = Tools.MD(uuid);

String mtoken = Tools.MD(muuid+mid);

stringRedisTemplate.opsForValue().set("app"+id, token, 30, TimeUnit.MINUTES);

stringRedisTemplate.opsForValue().set(id, mtoken, 7, TimeUnit.DAYS);

return new String[]{uuid,muuid};

}


好的。几乎全部配置就这样。下午和前端也试过了~全部跑通,没有什么问题。然后可能有的地方设计冗余且不合理。不过水平有限,起码功能实现了。亲们有好的建议可以留言哈~~

然后如果有什么疑问或者觉得我说的哪里有问题或者哪里不懂的欢迎留言或者私信指出。

全文手打~~这么不容易的写个文~~如果你觉得用到了理解了~留个言点个赞转个发什么的啊~

你可能感兴趣的:(分布式多端登陆token验证的实现)