分布式多端登陆token验证的实现

首先说下需求背景:这是一个分布式微服务项目。然后现在要实现的功能是可同时app,小程序,公众号和网页端在线。

因为有人说我这个像是转载的!!!我特意附上手画思路图!!!!纯手打!!!!!

token生成和用法思路图

这里有几个细微化需求:

    1,网页端是每次登陆的,而且不涉及跨域问题。所有token/session/cookie都可以。但为了统一所以这里也用token。

    2,小程序是每次都用微信授权,所以也不需要做什么特别处理。只要在授权登陆的时候生成普通token。

    3,app第一次登陆是账号密码登陆。然后系统会发一个基于设备码的token凭证。这个凭证有效期七天。也就是七天内都可以凭借这个凭证+设备码 直接登陆。(同样每次登陆后这个时间重置为7天)

    4,app登陆时会返回一个普通token,然后每个接口都要验证此token。此token每次访问时长都会变成30min。(也就是说30min无操作会失效)

token组成:

    1,普通token:key是:pc/app+“-”+用户id,     value: 随机字符串。返回给前端的是随机字符串。  每次传给我的:pc/app+“-”+用户id+字符串

    2,设备码token:key:用户id,value:随机字符串+设备码。         返回给前端的是这个随机字符串。   传给我的:用户id+字符串(+设备码)


然后因为需求比较杂。所以可能看起来有点不明确。咱们现在一样一样做。


1,接口的token验证:

    因为我是cloud项目,用zuul做的api网关。所以我这边是直接在zuul中进行登陆拦截和token验证(如果zuul都不会用的先去了解下zuul吧)。

    这里大致说一下,zuul本身提供一个拦截器。我们只要自己创建一个拦截器然后继承并重写抽象方法即可。代码如下:

package org.ourtowns.zuul.fifter;

import com.netflix.zuul.ZuulFilter;

public class myFifter extends ZuulFilter{

@Override

public boolean shouldFilter() {

// TODO Auto-generated method stub

return false;

}

@Override

public Object run() {

// TODO Auto-generated method stub

return null;

}

@Override

public String filterType() {

// TODO Auto-generated method stub

return null;

}

@Override

public int filterOrder() {

// TODO Auto-generated method stub

return 0;

}

}

这里大概说一下,一共四个方法。

        -filterType是具体的拦截类型。一般像是权限验证的应该都是在路由之前。所以这里我们”pre“即可。

        -filterOrder代表过滤器顺序。具体我还真没太看,反正根据默认是-1。

        -shouldFilter代表这个过滤器是否生效。一般不需要验证的比如登陆,注册等设置为不生效。剩下的都生效。true是生效。

        -Run方法:这个是主要的处理逻辑的地方,我们做权限控制、日志等都是在这里。

然后下面附上我基于普通token写的代码:(我把不需要拦截的都列出来了。为了排除)

package org.ourtowns.zuul.fifter;

import java.util.concurrent.TimeUnit;

import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.cloud.netflix.zuul.filters.support.FilterConstants;

import org.springframework.data.redis.core.StringRedisTemplate;

import org.springframework.http.HttpStatus;

import org.springframework.stereotype.Component;

import org.springframework.util.StringUtils;

import com.netflix.zuul.ZuulFilter;

import com.netflix.zuul.context.RequestContext;

import net.sf.json.JSONObject;

/**

* 权限验证 Filter 注册和登录接口不过滤

*

* 如果没有找到token,就会返回 401 无权限,并给与文字提示

*

* @author 变异者

*

*/

@Component

public class AuthFilter extends ZuulFilter {

@Autowired

StringRedisTemplate stringRedisTemplate;

// 排除过滤的 uri

// 个人用户手机登陆

private static final String LOGIN_TEL = "/person/telLogin";

// 个人用户微信登陆

private static final String LOGIN_WECHAT = "/person/wechatLogin";

// 个人用户手机注册

private static final String TEL_ADD = "/person/userReg";


// 无权限时的提示语

private static final String INVALID_TOKEN = "invalid token";

@Override

public Object run(){

RequestContext requestContext = RequestContext.getCurrentContext();

HttpServletRequest request = requestContext.getRequest();

// 从 header 中读取token

String headerToken = request.getHeader("token");

if (StringUtils.isEmpty(headerToken)) {

//如果消息头中没有token则直接返回无权限

setUnauthorizedResponse(requestContext, INVALID_TOKEN);

} else {

//如果有token则验证token

verifyToken(requestContext, request, headerToken);

}

requestContext.setSendZuulResponse(true); 

requestContext.setResponseStatusCode(200);

return null;

}

/**

* 设置 401 无权限状态

*/

private void setUnauthorizedResponse(RequestContext requestContext, String msg) {

requestContext.setSendZuulResponse(false);

requestContext.setResponseStatusCode(HttpStatus.UNAUTHORIZED.value());

JSONObject result = JSONObject.fromObject(Tools.result(401, msg , null, false));

requestContext.setResponseBody(result.toString());

}

/**

* 从Redis中校验token

*/

private void verifyToken(RequestContext requestContext, HttpServletRequest request, String token) {

// 需要从header 中取出 userId 来校验 token 的有效性,因为每个用户对应一个token,在Redis中是以userId 为键的

String userId = request.getHeader("userId");

if (StringUtils.isEmpty(userId)) {

setUnauthorizedResponse(requestContext, INVALID_TOKEN);

} else {

String redisToken = stringRedisTemplate.opsForValue().get(userId);

if (StringUtils.isEmpty(redisToken) || !redisToken.equals(token)) {

setUnauthorizedResponse(requestContext, INVALID_TOKEN);

}

//能走到这里说明token验证通过了。这时候将token存在时长重置为30分钟

stringRedisTemplate.opsForValue().set(userId, redisToken, 30, TimeUnit.MINUTES);

}

}

@Override

public boolean shouldFilter() {

RequestContext requestContext = RequestContext.getCurrentContext();

HttpServletRequest request = requestContext.getRequest();

// 不需要拦截的在此列出并直接返回false。

if (LOGIN_TEL.equals(request.getRequestURI()) || LOGIN_WECHAT.equals(request.getRequestURI()) ||TEL_ADD.equals(request.getRequestURI())) {

return false;

}

return true;

}

@Override

public int filterOrder() {

return FilterConstants.PRE_DECORATION_FILTER_ORDER - 1;

}

@Override

public String filterType() {

return FilterConstants.PRE_TYPE;

}

}

这样,一个简单的token验证是否登陆就做完了。需要注意的点有几个:

    1,我这个把不需要拦截的接口列为常量了,你可以这样也可以直接排除。但是我觉得像我更容易看懂和维护。

    2,我这里被拦截的返回值是一个自己定义的对象,你如过直接复制粘贴应该会报错。自己定义吧。反正返回值只要知道是被拦截的就行。

    3,我定义是常量和代码中使用的可能不一样。原因是实际代码里我定义了十几个不需要拦截的接口。贴在这里我觉得太多了没必要,所以只剩下两个。

    4,其实我写的比较简单。只要被拦截了都只返回一个提示。如果你们有必要可以根据不同的情况定义不同的返回值。比如用户id无效。token过期,token不正确等等。。。

    5,我这里设置的是token在每次使用时有效时间都重置为30分钟。你们可以根据具体的业务逻辑和需求来定义。甚至说用不用重置啥的都要结合实际情况。


2,app端设备码token验证:

这里再解释下这个是设备码token的用处:在使用app完成登陆/注册后发放mtoken。此mtoken是存在本地的。也就是脱离app存在的。在每次app完全退出再进入后,先查询本地如果有这个mtoken,则可以用这个“mtoken当消息头,参数是设备码”即可登录到用户首页。(出于要返回用户信息和普通时效token等,所以我这个没在拦截器进行判断。而且在login中进行的判断。因为拦截器里无法获取用户最新信息。如果大神们有更好的办法欢迎指点~~万分感谢)。

这里直接上代码,再声明一点。我是在拦截器里放过这个uri,然后在接口里写的逻辑:

@Override

public ResultBean loginMtoken(HttpServletRequest request,String mid) {

try {

String headerToken = request.getHeader("mtoken");

String userId = request.getHeader("userId");

//先从消息头中取出token和userId,如果没有则直接报无权限

if(StringUtils.isEmpty(userId) && StringUtils.isEmpty(headerToken)) {

return Tools.result(401, "invalid token", null, false);

}

String token = stringRedisTemplate.opsForValue().get(userId);

//如果该userId对应的token不存在或者与传来的不等则报token无效

if (StringUtils.isEmpty(token) || !headerToken.equals(token)) {

return Tools.result(401, "invalid token", null, false);

}

//走到这里说明token有效。所以返回该用户信息并且更换token

String[] newToken = changeToken(userId, mid);//这个是我封装好的一个更换token的方法。一会儿会贴在下面

UserPerson userPerson = userPersonRepository.findById(userId);

userPerson.setToken(newToken[0]);

userPerson.setmToken(newToken[1]);

return Tools.result(200, "token登陆成功", userPerson, true);

} catch (Exception e) {

logger.info("token登陆失败"+e.getMessage(), e);

return Tools.result(500, "token登陆失败", null, false);

}

}

到这里根据mtoken登陆已经实现了。然后其中生成token的方法是我自己封装的。有两个。一个是生成,一个是更换。

3,token生成(因为我们这个项目涉及到app会产生两个token。比较复杂而且墨迹还恶心。如果是只生成一个的会简洁方便多了):

因为我们老板要求token要双方加密。所以返回前端的是一个随机串,然后我这边把随机串用md5加密后存入redis。前端同样接到随机串要用md5加密然后放到header。。大家不用做的我们这么恶心。

//这里是一个生成两个token的方法

public String[] getToken(String channel,String mid,String id) throws Exception{

String uuid = Tools.UUID();

String muuid = Tools.UUID();

String token = Tools.MD(uuid);

//普通token(key:pc/app+“-”+用户id,    value: 随机字符串),有效时长是30分钟。

stringRedisTemplate.opsForValue().set(channel+id, token, 30, TimeUnit.MINUTES);

//如果用户是手机app登陆才会生成基于验证码的token(判断此处是否有设备码,如没有不生成设备码token)

if("app".equals(channel) && "".equals(mid)==false) {

//基于设备码的token(key:用户id,value:随机字符串+设备码。)

String mtoken = Tools.MD(muuid+mid);

//设备码token有效时间7天

stringRedisTemplate.opsForValue().set(id, mtoken, 7, TimeUnit.DAYS);

}

return new String[]{uuid,muuid};

}

要求是每次基于设备码token登陆后要更换token。所以这里有个 token登陆和更换的方法:

//这是换取mtoken和生成普通token的方法(能走这个接口说明肯定是app端)

public String[] changeToken(String id,String mid) throws Exception{

String uuid = Tools.UUID();

String muuid = Tools.UUID();

String token = Tools.MD(uuid);

String mtoken = Tools.MD(muuid+mid);

stringRedisTemplate.opsForValue().set("app"+id, token, 30, TimeUnit.MINUTES);

stringRedisTemplate.opsForValue().set(id, mtoken, 7, TimeUnit.DAYS);

return new String[]{uuid,muuid};

}


好的。几乎全部配置就这样。下午和前端也试过了~全部跑通,没有什么问题。然后可能有的地方设计冗余且不合理。不过水平有限,起码功能实现了。亲们有好的建议可以留言哈~~

然后如果有什么疑问或者觉得我说的哪里有问题或者哪里不懂的欢迎留言或者私信指出。

全文手打~~这么不容易的写个文~~如果你觉得用到了理解了~留个言点个赞转个发什么的啊~

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,839评论 6 482
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,543评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 153,116评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,371评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,384评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,111评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,416评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,053评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,558评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,007评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,117评论 1 334
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,756评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,324评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,315评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,539评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,578评论 2 355
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,877评论 2 345

推荐阅读更多精彩内容