最近做一個app項目,后臺我獨自一人開發,開發任務順序安排上沒有把登陸,注冊和權限驗證這些基本功能放在第一階段開發,現在是部分業務相關功能已經完成,但是用戶入口竟然還沒有,只能說明當初需求分析的時候還是太過于著急了,把最基本的用戶入口給放到后面了。
現在就需要在現有代碼的基礎上添加用戶登錄和權限驗證功能。
關于登錄和權限驗證方面,參照以前做iOS的開發經驗,App端提供用戶名和密碼換取token,每次通過換取的token請求需要登陸權限的操作。
現在反過來,我就需要考慮下面幾個問題:
1.在現有功能的代碼上如何比較輕松地滿足這些功能的實現,使得現有代碼改動不大,并且今后新功能實現權限驗證不麻煩
2.如何根據用戶名和密碼生成token,并且在需要權限的功能上如何區分客戶端提供token的正確性
首先面對第一個問題,根據經驗,常規解決方案就是過濾器,攔截器,若是在需求安排上登陸和權限驗證這些放在前面的話,只要讓后期功能的url有一定規律,過濾器或攔截器的使用簡直屢試不爽。但是我現在面對的是前期沒有任何設計和規范的url,所以使用過濾器或者攔截器是我不愿意面對的。
除了以上常規解決方案,spring AOP正好成了解決這類問題的利器,利用面相切面編程對所有需要權限驗證的method做一個前置通知,但是由于url,類名或者方法沒有規律,于是我想到了自定義注解(annotation),對所有加上自定義注解的method做權限驗證。
1.既然已經想到使用spring aop了,那首先第一步就是在spring配置文件中開啟aop
//開啟aop
<aop:aspectj-autoproxy />
以上配置基于項目中倒入spring-aop相關jar包,并且在配置文件頭部引入aop的url
2.其次我們先定義一個自定義annotation
|
1
2
3
4
5
6
7
8
9
|
@Target({ElementType.METHOD, ElementType.TYPE})@Retention(RetentionPolicy.RUNTIME)public @interface UserAccess { } |
3.我們還不能急于做權限驗證的功能,因為現在我們的token還沒有生成方案。
在token生成上考慮到單點登錄,所以token不能一直固定,否則在任何時候,只要擁有token就可以同時至少兩個人使用同一個帳戶,這是目前我們業務上不允許的。最終我選擇了”username+password+登錄時間“做MD5加密作為token(在保證唯一和可變的情況下,有很多方法,比如uuid)。在驗證用戶名和密碼成功的情況下生成token,并將token以“username:token” 和 “token:用戶”的鍵值對形式保存起來(也可以保存進數據庫),最后返回token給客戶端。
以下代碼只做一個簡單示例:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
|
@Servicepublic class LoginService {/*** 存放“用戶名:token”鍵值對*/public static Map<String,String> tokenMap=new HashMap<String,String>();/*** 存放“token:User”鍵值對*/public static Map<String,User> loginUserMap=new HashMap<String,User>(); public String login(String name,String password){System.out.println(name+"-----"+password);/*** 判斷是否登錄成功* 1.登錄成功* 1.1.成功生成對應的token并更新* 1.2.失敗就拋異常*/String token=tokenMap.get(name);User user=null;if(token==null){user=new User();user.setName(name);user.setPassword(password);System.out.println("新用戶登錄");}else{user=loginUserMap.get(token);loginUserMap.remove(token);System.out.println("更新用戶登錄token");}token=MD5Util.MD5(name+password+new Date().getTime());loginUserMap.put(token, user);tokenMap.put(name, token);System.out.println("目前有"+tokenMap.size()+"個用戶");for(User u:loginUserMap.values()){System.out.println(u.getName()+":"+u.getPassword());}return token;} } |
4.于此同時,我們的客戶端登陸后也就獲得了token,只要在所有需要權限的請求中攜帶token即可成功獲取響應(建議:為方便app編碼,token可攜帶在請求頭中,現有代碼就無需大改動,并且今后都不需要關心token的問題)。我隨便找了個method做實驗:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
|
@Controller@RequestMapping("/login")public class LoginController {@Autowiredprivate LoginService loginService; @UserAccess@RequestMapping(value="/loginin",method=RequestMethod.GET)public @ResponseBody String login(HttpServletRequest request){String name=request.getParameter("name");String password=request.getParameter("password");String token=loginService.login(name, password);return token;}} |
注意加粗部分就是自定義annotation,登陸功能的請求參數是不可能有token的,所以不管驗證多少次,都不可能通過,只是做個示例。@UserAccess添加在需要權限驗證的功能上才起作用
5.現在自定義annotation就是一個很好的切入點
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
|
@Component@Aspectpublic class PermissionAspect { //設置以自定義annotation作為切入點@Before("@annotation(com.example.chap01.annotation.UserAccess)")public void checkPermission(JoinPoint joinPoint) throws Exception{System.out.println("前置通知");//獲取攔截的請求參數Object[] args = joinPoint.getArgs();HttpServletRequest request=(HttpServletRequest)args[0];String token=request.getParameter("token");System.out.println("前置通知 token:"+token);User user=LoginService.loginUserMap.get(token);if(user==null){System.out.println("驗證不通過!");throw new Exception("沒有權限");}}} |
至此,登陸和權限驗證功能全部完成。
另外附上個人github上面的源碼:https://github.com/zw201913/applogin.git
以上就是本文的全部內容,希望對大家的學習有所幫助。
