一种独立开放指令协议,为web应用系统提供一种可靠的单点登录方法,在项目登录功能模块有详细了解,即授权认证。
用户在前端浏览器发送请求到服务器后台,先到nginx中得知用户需要登录,此时前端服务器返回一个登录页面,通过nginx进行返回到浏览器,用户在登录页面中输入账号密码,前端会率先通过正则表达式校验规则进行校验,符合规则后用户点击登录发送请求到nginx转到后台网关中,网关中搭建有全局登录过滤器查看是否是白名单,拦截器实现GlobalFilter和Ordered接口,通过Ordered注解决过滤器执行的优先级,白名单中添加了一些路径,通过@ConfigurationProperties读取配置文件到数组当中,如果是白名单放行通过路由进行认证服务,登录接口接收到白名单中的账号密码,需要先校验账号密码的准确性即入参校验我们的密码有工具类进行加密SHA-256+随机盐+密钥,防止黑客直接绕过前端的正则校验,入参校验完成后通过openfeign远程调用系统服务 认证接口连接数据库,校验账号是否正确,如果不正确由全局异常处理器返回登录失败,如果正确生成token和用户信息存储到redis中,返回到gateway再到前端浏览器cookie中,登录后前端再次发送请求需携带token,并与redis中的进行校验,如果匹配刷新token缓存时间。
客户端首先携带账号密码发请求到后端,后端的话先进入网关,我们的网关先进行拦截,我们的网关有一个拦截器,拦截器首先要接收用户的请求,看这个请求地址是多少,我们在配置文件配置了白名单,白名单就是在配置文件中加了一些路径,这些路径就是白名单路径,我们通过配置类 @configurationProperties 把白名单读到一个数组当中,然后判断这个路径是不是白名单,是白名单就放行。白名单里有一个登陆路径,然后把这个路径路由到CAS认证服务里面,CAS里面有一个接口,接受请求参数,接参前先入参校验,然后根据账号密码查寻账号密码是否正确。我们的账号密码是写在系统服务系统里,所以我们的认证服务需要远程调用系统服务,我当时在项目中写了一个API这样的项目,所有的远程访问的东西都放在API里面,API里面用openFeign,写了个接口还有forback进行兜底去调用system里面的接口,获取用户信息,把账号密码传过去,system把用户信息查出来,再把权限角色都查出来,封装成实体类往回传,CAS接收远程调用的数据,判断返回值正不正确,校验密码用的是Security当中自带的随机加密加盐的工具,把原始密码和数据库密码丢进去判断对不对,然后判断用户状态信息,并进行拦截,如果这个账号连续登录失败多少次,写记录日志到redis里面,做动态黑名单。成功则生成token,使用uuid生成的。把token存到redis里,并设置过期时间,并把token封装成结果数据返回。前端除了要放行白名单还要拦截黑名单。token可以从head中和请求地址(移动端)中取。如果有token验证token对不对,调用redis判断。对的话就刷新缓存时间。