关于前端:怎么做登陆单点登陆功能

55次阅读

共计 4961 个字符,预计需要花费 13 分钟才能阅读完成。

先剖析下登陆要做啥

首先,搞清楚要做什么。
登陆了,零碎就晓得这是谁,他有什么权限,能够给他凋谢些什么业务性能,他能看到些什么菜单?。。。这是这个性能的目标和存在的意义。

怎么落实?

怎么实现它?用什么实现?

咱们的我的项目是 Springboot + Vue 前后端拆散类型的。
抉择用 token + redis 实现,权限的话用 SpringSecurity 来做。

前后端拆散避不开的一个问题就是单点登陆,单点登陆咱们有很多实现形式:CAS 地方认证、JWT、token 等,咱们这种形式其实自身就是基于 token 的一个单点登陆的实现计划。
单点登陆咱们改天整顿一篇 OAuth2.0 的实现形式,明天不搞这个。

上代码

概念这个货色越说越玄。咱们间接上代码吧。

接口:
@PostMapping(“/login”)
public AjaxResult login(@RequestBody LoginBody loginBody)
{
   AjaxResult ajax = AjaxResult.success();
   // 生成令牌
   // 用户名、明码、验证码、uuid
   String token = loginService.login(loginBody.getUsername(), loginBody.getPassword(), loginBody.getCode(),
                                     loginBody.getUuid());
   ajax.put(Constants.TOKEN, token);
   return ajax;
}
复制代码

用户信息验证交给 SpringSecurity

/**

  • 登录验证
    */
    public String login(String username, String password, String code, String uuid)
    {
       // 验证码开关,顺便说一下,系统配置相干的开关之类都缓存在 redis 里,系统启动的时候加载进来的。这一块儿的代码就不贴出来了
       boolean captchaEnabled = configService.selectCaptchaEnabled();
       if (captchaEnabled)
      {
           //uuid 是验证码的 redis key,登陆页加载的时候验证码生成接口返回的
           validateCaptcha(username, code, uuid);
      }
       // 用户验证 — SpringSecurity
       Authentication authentication = null;
       try
      {
           UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(username, password);
           AuthenticationContextHolder.setContext(authenticationToken);
           // 该办法会去调用 UserDetailsServiceImpl.loadUserByUsername。
           //
           authentication = authenticationManager.authenticate(authenticationToken);
      }
       catch (Exception e)
      {
           if (e instanceof BadCredentialsException)
          {
               AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message(“user.password.not.match”)));
               throw new UserPasswordNotMatchException();
          }
           else
          {
               AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, e.getMessage()));
               throw new ServiceException(e.getMessage());
          }
      }
       finally
      {
           AuthenticationContextHolder.clearContext();
      }
       AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_SUCCESS, MessageUtils.message(“user.login.success”)));
       LoginUser loginUser = (LoginUser) authentication.getPrincipal();
       recordLoginInfo(loginUser.getUserId());
       // 生成 token
       return tokenService.createToken(loginUser);
    }
    复制代码
    把校验验证码的局部贴出来,看看大略的逻辑(这个代码封装得太碎了。。。没全整进去)
    /**

    • 校验验证码
      */

    public void validateCaptcha(String username, String code, String uuid)
    {
       //uuid 是验证码的 redis key
       String verifyKey = CacheConstants.CAPTCHA_CODE_KEY + StringUtils.nvl(uuid, “”); //String CAPTCHA_CODE_KEY = “captcha_codes:”;
       String captcha = redisCache.getCacheObject(verifyKey);
       redisCache.deleteObject(verifyKey);
       if (captcha == null)
      {
           AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message(“user.jcaptcha.expire”)));
           throw new CaptchaExpireException();
      }
       if (!code.equalsIgnoreCase(captcha))
      {
           AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message(“user.jcaptcha.error”)));
           throw new CaptchaException();
      }
    }
    复制代码
    token 生成局部

这里,token

/**

  • 创立令牌
    */

public String createToken(LoginUser loginUser)
{
   String token = IdUtils.fastUUID();
   loginUser.setToken(token);
   setUserAgent(loginUser);
   refreshToken(loginUser);

   Map<String, Object> claims = new HashMap<>();
   claims.put(Constants.LOGIN_USER_KEY, token);
   return createToken(claims);
}
复制代码
刷新 token
/**

  • 刷新令牌
    */

public void refreshToken(LoginUser loginUser)
{
   loginUser.setLoginTime(System.currentTimeMillis());
   loginUser.setExpireTime(loginUser.getLoginTime() + expireTime * MILLIS_MINUTE);
   // 依据 uuid 将 loginUser 缓存
   String userKey = getTokenKey(loginUser.getToken());
   redisCache.setCacheObject(userKey, loginUser, expireTime, TimeUnit.MINUTES);
}
复制代码
验证 token
/**

  • 验证令牌
    */

public void verifyToken(LoginUser loginUser)
{
   long expireTime = loginUser.getExpireTime();
   long currentTime = System.currentTimeMillis();
   if (expireTime – currentTime <= MILLIS_MINUTE_TEN)
  {
       refreshToken(loginUser);
  }
}
复制代码

留神这里返回给前端的 token 其实用 JWT 加密了一下,SpringSecurity 的过滤器里有进行解析。
另外,鉴权时会刷新 token 有效期,看上面第二个代码块的正文。

@Override
protected void configure(HttpSecurity httpSecurity) throws Exception
{
   //… 无关的代码删了
   httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
}
复制代码
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter
{
   @Autowired
   private TokenService tokenService;

   @Override
   protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
       throws ServletException, IOException
  {
       LoginUser loginUser = tokenService.getLoginUser(request);
       if (StringUtils.isNotNull(loginUser) && StringUtils.isNull(SecurityUtils.getAuthentication()))
      {
           // 刷新 token 有效期
           tokenService.verifyToken(loginUser);
           UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
           authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
           SecurityContextHolder.getContext().setAuthentication(authenticationToken);
      }
       chain.doFilter(request, response);
  }
}
复制代码

这个登陆计划里用了 token + redis,还有 JWT,其实用哪一种计划都能够独立实现,并且两种计划都能够用来做单点登陆。

正文完
 0