1.介绍
1.在购物车之前功能,不需要对用户登陆进行判定
2.在购物车之后的功能必须对用户登录进行判定
3.在购物车功能中,必须对购物车进行判定,但是判定失败也
可以继续使用(程序可以继续执行cookie分支)
2.登陆的入口
1.直接点击登陆登录功能
2.结算时被登录拦截
3.认证中心的设计
1.给用户办法通行证token
2.验证其他业务功能接受的token(用户访问携带的)真伪
4.认证中心的整合
1.引入认证中心的静态资源
2.在search-web模块的页面点击登陆链接上加入认证中心url
3.增加一个测试的结算功能(真正的结算模块在订单模块)
4.加入拦截器(web-util加入拦截器,让所有请求web的应用都被拦截)
5.加入拦截器具体代码
@Component
public class AuthInterceptor extends HandlerInterceptorAdapter {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
/**
* 拦截代码
*/
return true;
}
}
6.加入拦截器整合类
@Configuration
public class WebMvcConfiguration extends WebMvcConfigurerAdapter {
@Autowired
AuthInterceptor authInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry){
registry.addInterceptor(authInterceptor).addPathPatterns("/**");
super.addInterceptors(registry);
}
}
7.拦截器的具体使用方式
1.通过web模块是否扫描拦截器来来决定拦截器的使用
2.可过注解的方式来标识具体的是否要通过拦截器@LoginRequired
第一类方法:不需要进行拦截的方法(没有拦截器注解)直接放行
第二类方法:需要拦截但拦截校验失败(用户没登陆或登录过期)也可以继续访问失败也可以访问,比如购物车的所有方法@LoginRequired(loginSuccess=false)
第三类方法:需要拦截,但拦截校验一定要通过(用户登陆成功了)才能访问@LoginRequired(loginSuccess=true)
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface LoginRequired {
boolean loginSuccess() default true;
}
5.JWT加密算算法
1.JWT工具类JwtUtil
public class JwtUtil {
public static String encode(String key,Map<String,Object> param,String salt){
if(salt!=null){
key+=salt;
}
JwtBuilder jwtBuilder = Jwts.builder().signWith(SignatureAlgorithm.HS256,key);
jwtBuilder = jwtBuilder.setClaims(param);
String token = jwtBuilder.compact();
return token;
}
public static Map<String,Object> decode(String token ,String key,String salt){
Claims claims=null;
if (salt!=null){
key+=salt;
}
try {
claims= Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody();
} catch ( JwtException e) {
return null;
}
return claims;
}
}
2.测试程序
public class Test {
public static void main(String[] args) {
HashMap<String, Object> hashMap = new HashMap<String, Object>();
hashMap.put("name","steven");
hashMap.put("password","324756");
String ip="127.0.0.1";
Date date=new Date();
SimpleDateFormat dateFormat = new SimpleDateFormat("yyyy-MM-dd");
String format = dateFormat.format(date);
String encode = JwtUtil.encode("2019gmall0105", hashMap, ip + format);
System.out.println(encode);
}
}
5.passport登录功能
1.点击按钮,在登陆页面输入用户名和密码验证用户登录是否成功,生成jwt的token返回到search.gmall.com/index,再拦截器里返回的token写入cookie
2.点击结算按钮,拦截器拦截请求
A 该用户没有登陆,并且请求时必须要登陆,将用户打回到认证中心进行登陆
B 该用户没登陆,并且结算请求时没有登陆也可以访问(不可能发生),放行
3.在被拦截登陆后,返回原始请求(携带登陆成功后颁发的token)
4.原始请求的拦截器二次被拦截请求,拦截请求后,将颁发token写入cookie
6.从首页点击登陆流程
1.首页访问登录页,携带ReturnUrl跳转地址
2.登录页保存跳转地址
@RequestMapping("index")
public String index(String ReturnUrl, ModelMap map){
map.put("ReturnUrl",ReturnUrl);
return "index";
}
3.登录页通过异步方法验证用户名和密码
4.办法token给异步ajax
function submitLogin(){
var username=$("#username").val();
var password=$("#password").val();
$.post("login",{username:username,password:password},function (token) {
alert(token);
//验证token是否为空或者异常
window.location.href=$("#ReturnUrl").val()+"?token="+token;
});
}
5.异步Ajax得到token,然后根据跳转地址ReturnUrl访问原始功能
0.请求原始应用
1.被拦截器拦截
2.拦截器通过注解判断
是否需要进行身份验证
是否必须通过身份验证
4.在认证中心登陆后,进行重新的请求,请求原始应用
输入用户名密码后进行第二次请求(请求原始地址)
5.验证通过httpClient(Apache一个通用工具类)
6.验证结果结合注解的情况