背景
开发文档中,省长给出了简洁的二级认证实现:“使用注解进行二级认证”,只需一个 @SaCheckSafe 注解即可。但实际使用中,还是需要做更多操作的。
- 二级认证(二次登录)的操作时机应在何时?
- 如何通知用户需要二级认证(页面上)?
- 如何自动控制页面跳转,完成一个完整的二级认证过程?
准备:
- @SaCheckSafe 的本质:StpUtil.checkSafe()方法。即“检查当前会话是否已通过二级认证,如未通过则抛出异常”。
- 二级认证的操作流程应为:开启二级认证 > 二次登录(有效期内) > 完成(结束)二级认证。
- 二次登录的实质:StpUtil.login(Object id)
具体操作:
- 建立二次登录页面模板(/reLogin)及相应的后端登录逻辑(/doReLogin)。
- 流程 (部分样例代码可参考:Sa-Token 使用笔记(二)------ 全局异常处理):
- 当第一次访问需要二级认证的URL时(文中将此标记为"lastUrl",相应方法上应有 @SaCheckSafe 注解),被 @SaCheckSafe 截断,抛出 NotSafeException 异常。
- 全局异常处理:捕获 NotSafeException 异常,即当前场景需二级认证;并获取当前请求URl,即lastUrl。开启二级认证,即调用StpUtil.openSafe(120) 方法;之后将lastUrl作为“FlashAttribute”进行传参,重定向至视图/reLogin。
- 此时用户面前呈现的是/reLogin页面(即相当于完成通知用户的工作)。用户在输入密码提交时(提交至/doReLogin),浏览器后台应同时将传入的lastUrl提交给服务后端。后端/doReLogin进行密码验证和二次登录操作。完成后,重定向至lastUrl。
- 此时,第二次访问lastUrl时,将不再被 @SaCheckSafe 截断。至此,完整的二级认证过程完成。
注意
- 进行二级认证的过程里,需手动开启二级认证:即调用StpUtil.openSafe(xxx) 方法。
- 二级认证时,应注意配置:
is-concurrent: true
和is-share: true
,即允许同一账号并发登录且所有登录共用一个token。同时应注意,二级认证的适用场景。 - 可考虑将二次登录页面url和二次登录处理url设计为同一个,更简洁。
- API接口的二级认证,应只需做到通知用户即可。
- 待探索:
- 当前框架是否有更好实现二级认证的可能