API开放接⼝设计之appId,appSecret,accessToken(同微信开发平台接⼝)

前篇:如何设计开放 Api

⼀、开放接⼝设计说明:

为每个合作机构创建对应的appid、app_secret,⽣成对应的access_token(有效期2⼩时),在调⽤外⽹开放接⼝的时候,必须传递有

效的access_token。
使⽤ access_token 验证通过才能正常调⽤开放的 API 接⼝

  • appid 是每个⽤户唯⼀的
  • app_secret 可以开发着平台更改
  • access_token 通过 appid + app_secret ⽣成,(有效期2⼩时)

如:微信公众号开发调⽤微信接⼝,下⾯就⾃⼰写⼀个类似于微信开发的api 开放接⼝平台

使⽤流程:同调⽤第三⽅平台接⼝

  1. api 开发平台申请appid ,app_secret ,或⾃⾏提供给消费⽅
  2. 消费⽅通过 appid ,app_secret 获得 access_token ( 有效期2⼩时)
  3. 消费⽅调⽤接⼝携带 accessToken 参数,验证通过可以才访问接⼝,未提供返回错误信息

⼆、数据库表设计 (已下为核⼼字段,更多⾃⾏添加)

App_Name          表⽰机构名称
App_ID            应⽤id
App_Secret        应⽤密钥(可更改)
Is_flag           是否可⽤(是否对某个机构开放)
access_token      上⼀次access_token
CREATE TABLE `m_app` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `app_name` varchar(255) DEFAULT NULL,
  `app_id` varchar(255) DEFAULT NULL,
  `app_secret` varchar(255) DEFAULT NULL,
  `is_flag` varchar(255) DEFAULT NULL,
  `access_token` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

三、Token⽣成⼯具类TokenUtils

public class TokenUtils {
 @RequestMapping("/getToken")
 public static String getAccessToken() {
  return UUID.randomUUID().toString().replace("-", "");
 }
}

四、getAccessToken 接⼝⽣成 accessToken

步骤:

  1. 调⽤接⼝传递 appId+appSecret
  2. 判断是否存在商户信息
  3. 判断商户信息是否有权限
  4. ⽣成AccessToke,根据当前appId 商户更新最新的 accessToke 到数据库
  5. 删除Redis 上次⽣成的AccessToke缓存,保存最新的accessToke到Redis
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import com.alibaba.fastjson.JSONObject;
import com.itmayiedu.base.BaseApiService;
import com.itmayiedu.base.ResponseBase;
import com.itmayiedu.entity.AppEntity;
import com.itmayiedu.mapper.AppMapper;
import com.itmayiedu.utils.BaseRedisService;
import com.itmayiedu.utils.TokenUtils;

@RestController
@RequestMapping(value = "/auth")
public class AuthController extends BaseApiService {
    /**
     * Redis
     */
    @Autowired
    private BaseRedisService baseRedisService;
    /**
     * 创建的表appEntity ,的 dao对象
     */
    @Autowired
    private AppMapper appMapper;
    /**
     * 过期时间,单位秒
     */
    private long timeToken = 60 * 60 * 2;
    /**
     * TODO    使⽤appId+appSecret ⽣成AccessToke
     * @param appEntity
     * @date  2019/12/3 0003 21:33
     * @return com.itmayiedu.base.ResponseBase
     */
    @RequestMapping("/getAccessToken")
    public ResponseBase getAccessToken(AppEntity appEntity) {
        // 使⽤appId + appSecret查询
        AppEntity appResult = appMapper.findApp(appEntity);
        // 判断是否存在商户信息,等同与微信开发平台申请的appid,appSecret信息是否正确
        if (appResult == null) {
            return setResultError("没有对应机构的认证信息");
        }
        //判断是否开发权限给该商户
        int isFlag = appResult.getIsFlag();
        if (isFlag == 1) {
            return setResultError("您现在没有权限⽣成对应的AccessToken");
        }
        // 从redis中删除之前的accessToken
        baseRedisService.delKey(appResult.getAccessToken());
        // ⽣成的新的accessToken 保存到 Redis,并保存到数据库
        String newAccessToken = newAccessToken(appResult.getAppId());
        //返回 accessToken,setResultSuccessData为封装返回信息,请⾃定义
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("accessToken", newAccessToken);
        return setResultSuccessData(jsonObject);
    }
    /**
     * TODO
     * @param appId
     * @date  2019/12/3 0003 21:33
     * @return java.lang.String
     */
    private String newAccessToken(String appId) {
        // 使⽤ appid+appsecret ⽣成对应的AccessToken , 保存两个⼩时
        String accessToken = TokenUtils.getAccessToken();
        // 保证在同⼀个事物redis 事物中
        // ⽣成最新的token, key=accessToken ,value=appid
        baseRedisService.setString(accessToken, appId, timeToken);
        // 表数据更新为最新的 accessToken,删除之前的accessToken使⽤
        appMapper.updateAccessToken(accessToken, appId);
        return accessToken;
    }
}

五、添加拦截器AccessTokenInterceptor ,判断请求参数 accessToken

统⼀拦截所有开放接⼝的请求,判断accessToken 是否有效

import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import com.alibaba.fastjson.JSONObject;
import com.fasterxml.jackson.databind.deser.Deserializers.Base;
import com.itmayiedu.base.BaseApiService;
import com.itmayiedu.utils.BaseRedisService;
/**
 * TODO    验证AccessToken 是否正确
 *
 * @date 2019/12/3 0003 21:54
 * @return
 */
@Component
public class AccessTokenInterceptor extends BaseApiService implements HandlerInterceptor {
    /**
     * redis
     */
    @Autowired
    private BaseRedisService baseRedisService;
    /**
     * 进⼊controller层之前拦截请求
     *
     * @param httpServletRequest
     * @param httpServletResponse
     * @param o
     * @return
     * @throws Exception
     */
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o)
            throws Exception {
        System.out.println("---------------------开始进⼊请求地址拦截----------------------------");
        //获取到accessToken
        String accessToken = httpServletRequest.getParameter("accessToken");
        // 判断accessToken是否空
        if (StringUtils.isEmpty(accessToken)) {
            // 返回错误消息
            resultError(" this is parameter accessToken null ", httpServletResponse);
            return false;
        }
        //从redis 中获取获取到accessToken
        String appId = (String) baseRedisService.getString(accessToken);
        if (StringUtils.isEmpty(appId)) {
            // accessToken 已经失效!
            resultError(" this is  accessToken Invalid ", httpServletResponse);
            return false;
        }
        // 正常执⾏业务逻辑...
        return true;
    }
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o,
                           ModelAndView modelAndView) throws Exception {
                           ModelAndView modelAndView) throws Exception {
        System.out.println("--------------处理请求完成后视图渲染之前的处理操作---------------");
    }
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,
                                Object o, Exception e) throws Exception {
        System.out.println("---------------视图渲染之后的操作-------------------------0");
    }
    /**
     * TODO    返回错误提⽰
     * @param errorMsg
     * @param httpServletResponse
     * @date  2019/12/3 0003 21:58
     * @return void
     */
    public void resultError(String errorMsg, HttpServletResponse httpServletResponse) throws IOException {
        PrintWriter printWriter = httpServletResponse.getWriter();
        // setResultError为封装的返回信息,请⾃定义
        printWriter.write(new JSONObject().toJSONString(setResultError(errorMsg)));
    }

六、添加拦截器AccessTokenInterceptor 的拦截范围

添加拦截器AccessTokenInterceptor 的拦截范围
/openApi 下的所有接⼝

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class WebAppConfig {
 @Autowired
 private AccessTokenInterceptor accessTokenInterceptor;
 @Bean
 public WebMvcConfigurer WebMvcConfigurer() {
  return new WebMvcConfigurer() {
   public void addInterceptors(InterceptorRegistry registry) {
       //  /openApi   下的所有接⼝
    registry.addInterceptor(accessTokenInterceptor).addPathPatterns("/openApi/*");
   };
  };
 }
}

使⽤流程:同调⽤第三⽅平台接⼝

  1. api 开发平台申请appid ,app_secret ,或⾃⾏提供给消费⽅
  2. 消费⽅通过 appid ,app_secret 获得 access_token ( 有效期2⼩时)
  3. 消费⽅调⽤接⼝携带 accessToken 参数,验证通过可以才访问接⼝,未提供返回错误信息
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 216,163评论 6 498
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,301评论 3 392
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 162,089评论 0 352
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,093评论 1 292
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,110评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,079评论 1 295
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 40,005评论 3 417
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,840评论 0 273
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,278评论 1 310
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,497评论 2 332
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,667评论 1 348
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,394评论 5 343
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,980评论 3 325
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,628评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,796评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,649评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,548评论 2 352

推荐阅读更多精彩内容