開發(fā)任務(wù)順序安排上沒有把登陸,注冊和權(quán)限驗證這些基本功能放在第一階段開發(fā)���,現(xiàn)在是部分業(yè)務(wù)相關(guān)功能已經(jīng)完成��,但是用戶入口竟然還沒有�,只能說明當(dāng)初需求分析的時候還是太過于著急了,把最基本的用戶入口給放到后面了�����。
現(xiàn)在就需要在現(xiàn)有代碼的基礎(chǔ)上添加用戶登錄和權(quán)限驗證功能��。
關(guān)于登錄和權(quán)限驗證方面�,參照以前做iOS的開發(fā)經(jīng)驗,App端提供用戶名和密碼換取token�,每次通過換取的token請求需要登陸權(quán)限的操作。
現(xiàn)在反過來�,我就需要考慮下面幾個問題:
1.在現(xiàn)有功能的代碼上如何比較輕松地滿足這些功能的實現(xiàn),使得現(xiàn)有代碼改動不大���,并且今后新功能實現(xiàn)權(quán)限驗證不麻煩
2.如何根據(jù)用戶名和密碼生成token�����,并且在需要權(quán)限的功能上如何區(qū)分客戶端提供token的正確性
首先面對第一個問題�,根據(jù)經(jīng)驗,常規(guī)解決方案就是過濾器�,攔截器,若是在需求安排上登陸和權(quán)限驗證這些放在前面的話�����,只要讓后期功能的url有一定規(guī)律�����,過濾器或攔截器的使用簡直屢試不爽�����。但是我現(xiàn)在面對的是前期沒有任何設(shè)計和規(guī)范的url��,所以使用過濾器或者攔截器是我不愿意面對的��。
除了以上常規(guī)解決方案��,spring AOP正好成了解決這類問題的利器�����,利用面相切面編程對所有需要權(quán)限驗證的method做一個前置通知���,但是由于url����,類名或者方法沒有規(guī)律�����,于是我想到了自定義注解(annotation)���,對所有加上自定義注解的method做權(quán)限驗證�����。
1.既然已經(jīng)想到使用spring aop了����,那首先第一步就是在spring配置文件中開啟aop
//開啟aop
<aop:aspectj-autoproxy />
以上配置基于項目中倒入spring-aop相關(guān)jar包�,并且在配置文件頭部引入aop的url
2.其次我們先定義一個自定義annotation
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserAccess {
}
3.我們還不能急于做權(quán)限驗證的功能,因為現(xiàn)在我們的token還沒有生成方案���。
在token生成上考慮到單點登錄�,所以token不能一直固定����,否則在任何時候�����,只要擁有token就可以同時至少兩個人使用同一個帳戶�����,這是目前我們業(yè)務(wù)上不允許的�。最終我選擇了”username+password+登錄時間“做MD5加密作為token(在保證唯一和可變的情況下��,有很多方法���,比如uuid)。在驗證用戶名和密碼成功的情況下生成token�,并將token以“username:token” 和 “token:用戶”的鍵值對形式保存起來(也可以保存進數(shù)據(jù)庫),最后返回token給客戶端����。
以下代碼只做一個簡單示例:
@Service
public class LoginService {
/**
* 存放“用戶名:token”鍵值對
*/
public static Map<String,String> tokenMap=new HashMap<String,String>();
/**
* 存放“token:User”鍵值對
*/
public static Map<String,User> loginUserMap=new HashMap<String,User>();
public String login(String name,String password){
System.out.println(name+"-----"+password);
/**
* 判斷是否登錄成功
* 1.登錄成功
* 1.1.成功生成對應(yīng)的token并更新
* 1.2.失敗就拋異常
*/
String token=tokenMap.get(name);
User user=null;
if(token==null){
user=new User();
user.setName(name);
user.setPassword(password);
System.out.println("新用戶登錄");
}else{
user=loginUserMap.get(token);
loginUserMap.remove(token);
System.out.println("更新用戶登錄token");
}
token=MD5Util.MD5(name+password+new Date().getTime());
loginUserMap.put(token, user);
tokenMap.put(name, token);
System.out.println("目前有"+tokenMap.size()+"個用戶");
for(User u:loginUserMap.values()){
System.out.println(u.getName()+":"+u.getPassword());
}
return token;
}
}
4.于此同時,我們的客戶端登陸后也就獲得了token����,只要在所有需要權(quán)限的請求中攜帶token即可成功獲取響應(yīng)(建議:為方便app編碼,token可攜帶在請求頭中,現(xiàn)有代碼就無需大改動���,并且今后都不需要關(guān)心token的問題)���。我隨便找了個method做實驗:
@Controller
@RequestMapping("/login")
public class LoginController {
@Autowired
private LoginService loginService;
@UserAccess
@RequestMapping(value="/loginin",method=RequestMethod.GET)
public @ResponseBody String login(HttpServletRequest request){
String name=request.getParameter("name");
String password=request.getParameter("password");
String token=loginService.login(name, password);
return token;
}
}
注意加粗部分就是自定義annotation,登陸功能的請求參數(shù)是不可能有token的,所以不管驗證多少次�,都不可能通過,只是做個示例���。@UserAccess添加在需要權(quán)限驗證的功能上才起作用
5.現(xiàn)在自定義annotation就是一個很好的切入點
@Component
@Aspect
public class PermissionAspect {
//設(shè)置以自定義annotation作為切入點
@Before("@annotation(com.example.chap01.annotation.UserAccess)")
public void checkPermission(JoinPoint joinPoint) throws Exception{
System.out.println("前置通知");
//獲取攔截的請求參數(shù)
Object[] args = joinPoint.getArgs();
HttpServletRequest request=(HttpServletRequest)args[0];
String token=request.getParameter("token");
System.out.println("前置通知 token:"+token);
User user=LoginService.loginUserMap.get(token);
if(user==null){
System.out.println("驗證不通過�!");
throw new Exception("沒有權(quán)限");
}
}
}
至此����,登陸和權(quán)限驗證功能全部完成。
另外附上個人github上面的源碼:https://github.com/zw201913/applogin.git
