明天和大家分享一下应用GoFrame的gtoken替换jwt实现sso登录的教训。期间我也踩了一些坑,最终是通过浏览源码解决了我的项目中遇到的问题。
感觉这个经验比拟有意思,整顿一篇文章分享给大家。
jwt的问题
首先阐明一个jwt存在的问题,也就是要替换jwt的起因:
- jwt无奈在服务端被动退出的问题
- jwt无奈作废已颁布的令牌,只能等到令牌过期问题
- jwt携带大量用户扩大信息导致升高传输效率问题
jwt的申请流程图
gtoken的劣势
gtoken的申请流程和jwt的基本一致。
gtoken的劣势就是能帮忙咱们解决jwt的问题,另外还提供好用的个性,比方:
- gtoken反对单点利用应用内存存储,反对集体我的项目文件存储,也反对企业集群应用redis存储,齐全实用于集体和企业生产级应用;
- 无效的防止了jwt服务端无奈退出问题;
- 解决jwt无奈作废已颁布的令牌,只能等到令牌过期问题;
- 通过用户扩大信息存储在服务端,无效躲避了jwt携带大量用户扩大信息导致升高传输效率问题;
- 无效防止jwt须要客户端实现续签性能,减少客户端复杂度;反对服务端主动续期,客户端不须要关怀续签逻辑;
留神问题
- 反对服务端缓存主动续期性能,不须要通过refresh_token刷新token,简化了客户端的操作
- 版本问题千万留神:在
gtoken v1.5.0全面适配GoFrame v2.0.0 ; GoFrame v1.X.X 请应用GfToken v1.4.X相干版本
TIPS:上面我的演示demo和源码浏览都是基于v1.4.x版本的。
前面会更新视频教程,带大家实现最新版goframe和gtoken的教程,有须要的小伙伴能够关注我一下。
演示demo
上面的演示demo能够复制到本地main.go文件中执行,更新依赖的时候千万留神版本。
重点说一下踩的坑,Login办法会要求咱们返回两个值:
- 第一个值对应userKey,后续咱们能够依据userKey取得token
- 第二个值对应data,是interface{}类型,咱们能够在这里定义例如userid、username等数据。
先有这个概念即可,为了让大家更好的了解,文章最初会带大家读源码。
入门示例
代码段的要害逻辑,曾经增加了正文。
package main
import (
"github.com/goflyfox/gtoken/gtoken"
"github.com/gogf/gf/frame/g"
"github.com/gogf/gf/net/ghttp"
"github.com/gogf/gf/os/glog"
)
var TestServerName string
//var TestServerName string = "gtoken"
func main() {
glog.Info("########service start...")
g.Cfg().SetPath("example/sample")
s := g.Server(TestServerName)
initRouter(s)
glog.Info("########service finish.")
s.Run()
}
var gfToken *gtoken.GfToken
/*
对立路由注册
*/
func initRouter(s *ghttp.Server) {
// 不认证接口
s.Group("/", func(group *ghttp.RouterGroup) {
group.Middleware(CORS)
// 调试路由
group.ALL("/hello", func(r *ghttp.Request) {
r.Response.WriteJson(gtoken.Succ("hello"))
})
})
// 认证接口
loginFunc := Login
// 启动gtoken
gfToken := >oken.GfToken{
ServerName: TestServerName,
LoginPath: "/login",
LoginBeforeFunc: loginFunc,
LogoutPath: "/user/logout",
AuthExcludePaths: g.SliceStr{"/user/info", "/system/user/info"}, // 不拦挡门路 /user/info,/system/user/info,/system/user,
MultiLogin: g.Config().GetBool("gToken.MultiLogin"),
}
s.Group("/", func(group *ghttp.RouterGroup) {
group.Middleware(CORS)
gfToken.Middleware(group)
group.ALL("/system/user", func(r *ghttp.Request) {
r.Response.WriteJson(gtoken.Succ("system user"))
})
group.ALL("/user/data", func(r *ghttp.Request) {
r.Response.WriteJson(gfToken.GetTokenData(r))
})
group.ALL("/user/info", func(r *ghttp.Request) {
r.Response.WriteJson(gtoken.Succ("user info"))
})
group.ALL("/system/user/info", func(r *ghttp.Request) {
r.Response.WriteJson(gtoken.Succ("system user info"))
})
})
// 启动gtoken
gfAdminToken := >oken.GfToken{
ServerName: TestServerName,
//Timeout: 10 * 1000,
LoginPath: "/login",
LoginBeforeFunc: loginFunc,
LogoutPath: "/user/logout",
AuthExcludePaths: g.SliceStr{"/admin/user/info", "/admin/system/user/info"}, // 不拦挡门路 /user/info,/system/user/info,/system/user,
MultiLogin: g.Config().GetBool("gToken.MultiLogin"),
}
s.Group("/admin", func(group *ghttp.RouterGroup) {
group.Middleware(CORS)
gfAdminToken.Middleware(group)
group.ALL("/system/user", func(r *ghttp.Request) {
r.Response.WriteJson(gtoken.Succ("system user"))
})
group.ALL("/user/info", func(r *ghttp.Request) {
r.Response.WriteJson(gtoken.Succ("user info"))
})
group.ALL("/system/user/info", func(r *ghttp.Request) {
r.Response.WriteJson(gtoken.Succ("system user info"))
})
})
}
func Login(r *ghttp.Request) (string, interface{}) {
username := r.GetString("username")
passwd := r.GetString("passwd")
if username == "" || passwd == "" {
r.Response.WriteJson(gtoken.Fail("账号或明码谬误."))
r.ExitAll()
}
return username, "1"
/**
返回的第一个参数对应:userKey
返回的第二个参数对应:data
{
"code": 0,
"msg": "success",
"data": {
"createTime": 1652838582190,
"data": "1",
"refreshTime": 1653270582190,
"userKey": "王中阳",
"uuid": "ac75676efeb906f9959cf35f779a1d38"
}
}
*/
}
// 跨域
func CORS(r *ghttp.Request) {
r.Response.CORSDefault()
r.Middleware.Next()
}运行成果
启动我的项目:
拜访不认证接口:返回胜利
未登录时拜访认证接口:返回谬误提醒
申请登录接口:返回token
携带token再次拜访认证接口:返回胜利
以上就跑通了主体流程,就是这么简略。
剖析源码
上面带大家剖析一下源码,学习一下作者是如何设计的。
刷新token
首先我认为gtoken很好的设计思维是不应用refresh_token来刷新token,而是服务端被动刷新。
在源码的getToken办法中做了更新refreshTime和createTime的解决。
更新createTime为以后工夫,refreshTime为以后工夫+自定义的刷新工夫。
如下图所示,getToken办法在每次执行validToken校验token的时候都会调用,即每次校验token有效性时,如果合乎刷新token有效期的条件,就会进行刷新操作(刷新token的过期工夫,token值不变)
这样就实现了无感刷新token。
GfToken构造体
咱们再来看一下GfToken的构造体,更好的了解一下作者的设计思路:
- 因为CacheMode反对redis,也就意味着反对集群模式。
- 咱们在启动gtoken的时候,只须要设置登录和登出门路,另外登录和登出都提供了
BeforeFunc和AfterFunc,让咱们能清晰的界定应用场景。
// GfToken gtoken构造体
type GfToken struct {
// GoFrame server name
ServerName string
// 缓存模式 1 gcache 2 gredis 默认1
CacheMode int8
// 缓存key
CacheKey string
// 超时工夫 默认10天(毫秒)
Timeout int
// 缓存刷新工夫 默认为超时工夫的一半(毫秒)
MaxRefresh int
// Token分隔符
TokenDelimiter string
// Token加密key
EncryptKey []byte
// 认证失败中文提醒
AuthFailMsg string
// 是否反对多端登录,默认false
MultiLogin bool
// 是否是全局认证,兼容历史版本,已废除
GlobalMiddleware bool
// 中间件类型 1 GroupMiddleware 2 BindMiddleware 3 GlobalMiddleware
MiddlewareType uint
// 登录门路
LoginPath string
// 登录验证办法 return userKey 用户标识 如果userKey为空,完结执行
LoginBeforeFunc func(r *ghttp.Request) (string, interface{})
// 登录返回办法
LoginAfterFunc func(r *ghttp.Request, respData Resp)
// 登出地址
LogoutPath string
// 登出验证办法 return true 继续执行,否则完结执行
LogoutBeforeFunc func(r *ghttp.Request) bool
// 登出返回办法
LogoutAfterFunc func(r *ghttp.Request, respData Resp)
// 拦挡地址
AuthPaths g.SliceStr
// 拦挡排除地址
AuthExcludePaths g.SliceStr
// 认证验证办法 return true 继续执行,否则完结执行
AuthBeforeFunc func(r *ghttp.Request) bool
// 认证返回办法
AuthAfterFunc func(r *ghttp.Request, respData Resp)
}思考题
我有N个子系统如何用gtoken实现sso登录呢?即实现一个子系统登录,其余各个子系统都主动登录,而无需二次登录呢?
想一想
.
.
.
我想到的解决方案是配合cookie实现:各个子系统二级域名不统一,然而主域名统一。
我在登录之后把token写入主域名的cookie中进行共享,前端网站通过cookie取得token申请服务接口。
同时在刷新token之后,也要刷新cookie的有效期,防止cookie生效导致获取不到token。
进一步浏览源码
在通过又一次仔细阅读源码之后,找到了刷新cookie有效期的适合场景:AuthAfterFunc,咱们能够重写这个办法,来实现验证通过后的操作:
如果token验证无效则刷新cookie有效期;如果验证有效则自定义返回信息。(往往咱们本人我的项目中的code码和gtoken定义的不统一,然而gtoken反对十分不便的重写返回值)
总结
咱们我的项目之前是应用jwt实现sso登录,在刚刚拿到需要要重写时,本人也是一头雾水。
在没有认真浏览gtoken源码之前,我曾经设计了refresh_token刷新的策略。
在仔细阅读源码之后,发现真香。
这次经验最大的播种是:碰到不好解决的问题时,带着问题去浏览源码是十分高效的形式。
本文参加了思否技术征文,欢送正在浏览的你也退出。
发表回复