摘要:传统企业信息管理系统的登录功能,很多都是使用Web容器的Session来管理(比如Tomcat容器的Session),这种手段比较简单,适用于少量用户的场景。互联网用户面对的是整个互联网,需要更具扩展性的登录架构来处理登录问题,本文给出一种可实践,可复制的互联网登录解决方案。
1. 登录流程
首先要弄清楚,整个登录流程是怎样一步步衔接起来的,每个流程又用到了哪些系统能力,有了整体认识后,我们再针对每个子功能的设计展开讨论,先来看下流程:
1.1 未登录用户流程
用户通过浏览器访问网站,Http的请求头就会带来当前网站的Cookies信息;
后端系统通过配置Filter拦截需要登录验证的URL地址,用户请求被拦截后,执行后续解析逻辑。
后端系统通过解析Cookies信息(是我们写入的,自然知道如何解析)。
- 如果发现Cookies中没有我们需要的登录信息,控制跳转登录页面。
用户在登录页输入用户名密码,点击登录,登录后台系统验证用户登录信息是否正确。
验证用户登录信息(比如密码)正确后,写入集中式Session(比如用Redis类似的缓存服务器存储用户登录信息)
用户登录成功信息写入客户端Cookies
登录成功后,用户访问网站URL时,就会执行接下来的验证流程。
1.2 已登录用户流程
用户通过浏览器访问网站,Http的请求头就会带来当前网站的Cookies信息;
后端系统通过配置Filter拦截需要登录验证的URL地址,用户请求被拦截后,执行后续解析逻辑。
后端系统通过解析Cookies信息,得到登录信息,解析得到用户标识。
- 根据用户标识验证集中式Session信息,验证成功,放行用户访问响应资源。
- 如果验证失败,调整登录页重新登录。
2. 系统设计
2.1 登录拦截器设计
每个需要登录的系统,配置登录拦截器,拦截器示例代码如下:
``` import javax.servlet.Filter;
/** * 登录拦截过滤器 */ public class LoginFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain filterChain) throws IOException, ServletException { var request = (HttpServletRequest) req; var response = (HttpServletResponse) res;
// 解析Cookies信息得到登录用户信息
LoginUser loginUser = getLoginUserByCookieCheckedSession(request);
//判断集中式Session中是否存在,不存在登录失败
boolean sessionSuccess = verifyLoginBySession(loginUser.sessionId());
if (!sessionSuccess) {
loginUser = null;
}
//未登录跳转登录页面
if (null == loginUser) {
var loginUrl = "/toLogin.do";
response.sendRedirect(loginUrl);
return;
}
//设置登录信息到Request域,后续可以使用
request.setAttribute("loginUser", loginUser);
request.setAttribute("pin", loginUser.pin());
//如果是登录用户放行URL
filterChain.doFilter(request, response);
}
} ```
2.1 集中式Session设计
集中式session 在服务器端统一管理用户的登录状态,登录系统并不完全信任用户的cookies。
- 一定程度上可以防止客户端直接仿冒未登录用户信息,增加一定安全性
- 在用户修改密码的时候,可以通过清除用户的集中式Session登录信息,来让已经登录的用户Cookies时效。