互联网登录系统设计思路

摘要：传统企业信息管理系统的登录功能，很多都是使用Web容器的Session来管理(比如Tomcat容器的Session)，这种手段比较简单，适用于少量用户的场景。互联网用户面对的是整个互联网，需要更具扩展性的登录架构来处理登录问题，本文给出一种可实践，可复制的互联网登录解决方案。

1. 登录流程

首先要弄清楚，整个登录流程是怎样一步步衔接起来的，每个流程又用到了哪些系统能力，有了整体认识后，我们再针对每个子功能的设计展开讨论，先来看下流程：

1.1 未登录用户流程

1. 用户通过浏览器访问网站，Http的请求头就会带来当前网站的Cookies信息；

2. 后端系统通过配置Filter拦截需要登录验证的URL地址，用户请求被拦截后，执行后续解析逻辑。

3. 后端系统通过解析Cookies信息(是我们写入的，自然知道如何解析)。

4. 如果发现Cookies中没有我们需要的登录信息，控制跳转登录页面。

5. 用户在登录页输入用户名密码，点击登录，登录后台系统验证用户登录信息是否正确。

6. 验证用户登录信息(比如密码)正确后，写入集中式Session(比如用Redis类似的缓存服务器存储用户登录信息)

7. 用户登录成功信息写入客户端Cookies

登录成功后，用户访问网站URL时，就会执行接下来的验证流程。

1.2 已登录用户流程

1. 用户通过浏览器访问网站，Http的请求头就会带来当前网站的Cookies信息；

2. 后端系统通过配置Filter拦截需要登录验证的URL地址，用户请求被拦截后，执行后续解析逻辑。

3. 后端系统通过解析Cookies信息，得到登录信息，解析得到用户标识。

4. 根据用户标识验证集中式Session信息，验证成功，放行用户访问响应资源。
5. 如果验证失败，调整登录页重新登录。

2. 系统设计

2.1 登录拦截器设计

每个需要登录的系统，配置登录拦截器，拦截器示例代码如下：

``` import javax.servlet.Filter;

/** * 登录拦截过滤器 */ public class LoginFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain filterChain) throws IOException, ServletException { var request = (HttpServletRequest) req; var response = (HttpServletResponse) res;

// 解析Cookies信息得到登录用户信息
    LoginUser loginUser = getLoginUserByCookieCheckedSession(request);
    //判断集中式Session中是否存在,不存在登录失败
    boolean sessionSuccess = verifyLoginBySession(loginUser.sessionId());
    if (!sessionSuccess) {
        loginUser = null;
    }
    //未登录跳转登录页面
    if (null == loginUser) {
        var loginUrl = "/toLogin.do";
        response.sendRedirect(loginUrl);
        return;
    }
    //设置登录信息到Request域，后续可以使用
    request.setAttribute("loginUser", loginUser);
    request.setAttribute("pin", loginUser.pin());

    //如果是登录用户放行URL
    filterChain.doFilter(request, response);
}

} ```

2.1 集中式Session设计

集中式session 在服务器端统一管理用户的登录状态，登录系统并不完全信任用户的cookies。

• 一定程度上可以防止客户端直接仿冒未登录用户信息，增加一定安全性
• 在用户修改密码的时候，可以通过清除用户的集中式Session登录信息，来让已经登录的用户Cookies时效。