场景前言
对于一个合格的前端开发人员来说,掌握如下的基础知识也是必备技能,大致可分5类:
- 浏览器端
- 浏览器基础知识、调试、常用工具
- 浏览器缓存机制
- 浏览器渲染机制
- 安全
- 跨域
- XSS
- 基础防攻击知识
- 调试
- DevTools Tips
- 协议
- HTTP及TLS
- HTTP/2及HTTP/3
- 开发
- 打包、部署、自动化
- 性能优化
- 对于新特性的好奇与关注
正文
于是,开发过程中不免对于‘登录’这个一键操作充满好奇.
先帖一张图
流程解析:
① API调用
- 所有API调用都是进入网关,通过网关路由到正确的服务上。对外暴露端口时,只需暴露网关服务的端口即可。
② API鉴权
-
在网关服务内,所有API请求都会经过
GateWayHelperFilter
过滤器,在过滤器中,会调用gateway-helper
鉴权组件对API及用户鉴权。 -
根过滤器
HelperChain
包含了一系列过滤器来对请求进行鉴权,将按图中的顺序进行校验。认证通过或不通过都会返回相应的状态码,红色部分表示认证失败,绿色部分表示认证通过,具体状态码的含义可参考最后鉴权常见状态码
。 -
一般服务出现 403、500 等问题时,可先查看返回错误码,或检查 gateway-helper 的日志,看是哪一步校验不通过,对症下药。
③ 获取登录用户
GetUserDetailsFilter
会带着access_token
访问 oauth 认证服务的/api/user
接口获取用户信息。
④ 返回用户 Principal
-
用户登录后,oauth 服务将 access_token 和用户认证实体(Authentication)关系存储在 redis session 中,在调用 /api/user 时,将通过 access_token 获取 Authentication,并在接口中返回用户信息
Principal
。 -
得到 Principal 后,转换成
CustomUserDetails
。之后,在AddJwtFilter
里将 UserDetails 转成 JwtToken。
⑤ 返回状态码及JwtToken
-
如果认证失败,将返回状态码,并在网关直接返回前端,不会再调用业务服务。
-
如果API要求用户登录,将返回用户的 JwtToken 信息
⑥ 路由到业务服务
- 鉴权通过后,网关将带着 JwtToken,根据路由信息,转发到对应的业务服务上。
- 在业务服务内部,首先
JwtTokenFilter
会将 JwtToken 转换成 UserDetails,并设置到SecurityContextHolder
上下文中,相当于用户在此服务中已登录。之后的程序中就可以通过DetailsHelper.getUserDetails()
得到当前登录用户信息。 - 若要开启此过滤器,需在启动类上配置
@EnableChoerodonResourceServer
注解开启此功能。
⑦ 返回数据
- 之后返回数据,经过网关,再返回到前端。如果服务响应比较慢,就需要调整网关的超时时间。
网关的理解
Gateway网关其实就是一台中间服务器, 它处于客户端和业务服务器之间, [反向代里]Client客户端,同时还通过请求分发的方式减少对服务器压力。当然它最重要的作用就是如上说的,对API及用户鉴权、认证、授权。
OAuth认证
基于 spring security 的标准登录流程,客户端授权支持 oauth2.0
的四种授权模式:授权码模式
、简化模式
、密码模式
、客户端模式
,授权流程跟标准的 oauth2 流程一致。web 端采用简化模式(implicit)
登录系统,移动端可使用密码模式(password)
登录系统 。并支持基于 Spring Social
的三方账号登录方式(如微信)。
密码加密配置, 使用 RSA 非对称加密.
oauth2的四种授权[模式](https://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html)
用户权限是怎么控制的
说起这个, 首先需要知道几个重要的概念, 用户\角色\菜单\权限集\接口权限.
权限又分哪几类呢 ?
- 接口权限
- 菜单权限
- 用户权限
创建一个用户, 赋予这个用户某种角色, 那么这个用户就拥有这个角色下的所有权限, 并且一个用户可以同时赋予多种不同的角色, 来拥有不同的权限.
最简单的是接口权限, 及API访问权限. 多个接口权限可以组成一个(默认)权限集.
用户关联角色, 角色关联菜单, 菜单绑定权限集.