一.背景
公司新项目淘宝客返利项目,由我负责后端开发接口,经过了解,淘宝客项目分为移动端(IOS,安卓)和PC端(后台管理页面),移动端要求登陆后30天内免登陆,所以我选择了用shiro来实现权限控制。
二.选用技术
基础框架:springmvc+mybatis
安全框架:shiro
存储:mysql+redis
三.实现流程
统一登陆.png
四.具体实现
问题一:
shiro是通过以来cookie 来实现的登陆,在app端是没有cookie这一说的,所以,决定用shiro来生成token,完成登陆。
解决方案:
在登陆的时候,生成一个uuid当作token,把token当作key,userInfo当作value存入redis中,并返回给前端token,每次请求必须把token带入请求头中。
public ResponseEntity login(@RequestBody LoginUserEntity loginUserEntity) {
if (StringUtils.isEmpty(loginUserEntity.getMobile()) && StringUtils.isEmpty(loginUserEntity.getUnionId())) {
return new ResponseEntity<>(new Result<>(ErrorCode.ILLEGAL_PARAMETER), HttpStatus.OK);
}
try {
TbkUserNameToken token = new TbkUserNameToken(loginUserEntity);
SecurityUtils.getSubject().login(token);
} catch (UnknownAccountException e) {
return new ResponseEntity(new Result<>(ErrorCode.USER_NO_EXIST), HttpStatus.OK);
} catch (IncorrectCredentialsException e) {
return new ResponseEntity(new Result<>(ErrorCode.PASSWORD_ERROR), HttpStatus.OK);
} catch (AccountException e) {
return new ResponseEntity(new Result<>(ErrorCode.MOBILE_CODE_ERROR), HttpStatus.OK);
} catch (UnsupportedTokenException e) {
return new ResponseEntity(new Result<>(ErrorCode.SYSTEM_ERROR), HttpStatus.OK);
}
UserInfo token = (UserInfo) SecurityUtils.getSubject().getPrincipal();
return new ResponseEntity<>(new Result<>(token), HttpStatus.OK);
}
问题二:
由于app是用户入口,pc端是管理员入口,所以,又一个简单的权限验证,我把这权限分为了3中,登陆后权限,不登陆权限,登陆后admin权限,自定义了一个user的权限,user['admin']
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- Shiro的核心安全接口,这个属性是必须的 -->
<property name="securityManager" ref="securityManager"/>
<!-- 身份认证失败,则跳转到登录页面的配置 -->
<property name="loginUrl" value="/index"/>
<!-- 权限认证失败,则跳转到指定页面 -->
<property name="unauthorizedUrl" value="/index"/>
<!--登陆成功-->
<property name="successUrl" value="/index"/>
<property name="filters">
<util:map>
<entry key="user" value-ref="tokenUserFilter"></entry>
</util:map>
</property>
<!-- Shiro连接约束配置,即过滤链的定义 -->
<property name="filterChainDefinitions">
<value>
/favorite/** = user
/autm/** = user['admin']
/admin/** = user['admin']
/jhs/** = user['admin']
/wx/** = user['admin']
/fans/** = user
/share/item/** = user
/account/** =user
/cash/** = user
/usercenter/** = user
/** = anon
</value>
</property>
当需要用户登陆时候才能访问的路径,我标志为user,当需要用户登陆,并且具有admin权限的时候,我对路径验证是需要user['admin']权限的,其他的属于开放权限 anon
问题三:
权限验证时,如果出现问题,需要返回给前端明确的错误码。
protected boolean isAccessAllowed(ServletRequest req, ServletResponse response, Object mappedValue) {
HttpServletRequest request = (HttpServletRequest) req;
String token = request.getHeader("token");
if (StringUtils.isEmpty(token)) {
return false;
}
String s = redisClient.get(token);
if (StringUtils.isEmpty(s)) {
return false;
}
try {
UserInfo userInfo = JSON.parseObject(s, UserInfo.class);
if (userInfo == null) {
return false;
}
if (mappedValue == null) {
return true;
}
if (mappedValue != null && JSON.toJSONString(mappedValue).contains("admin")) {
return userInfo.isAdmin();
}
} catch (Exception e) {
logger.error("error access allowed", e);
}
return false;
}
返回fasle的时候,会调用下面方法:
@Override
protected boolean onAccessDenied(ServletRequest req, ServletResponse resp, Object mappedValue) throws Exception {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) resp;
WebUtils.sendJson(JSON.toJSONString(new Result<>(ErrorCode.INVALID_USER)), response);
return false;
}
五.总结
本次项目时间非常紧,全部加起来只有1个月时间,要求全部功能上线,后端开发就我一个人,必须对接安卓,ios以及pc的前端,所以在设计shiro的登陆上,怎么简单怎么来的,从解决问题出发,不影响用户登陆为前提,用redis来控制过期时间,虽然本次登陆设计非常简单,但是从目前上线情况来看,还是非常靠谱的。
shiro对spring 的集成网上有很多的文章,我只是提供我自己的统一登陆方案,所以只是贴出来部分代码。同时记录下本次快速开发迭代的技术选型,希望后期不会有问题。不然我要跑路了
