最近在思考关于单点登录和认证授权方面的问题,总结了单点登录的2种方式。
1、有状态服务
首先,后端拿到前台传过来的用户名、密码,然后查询数据库,进行校验。校验通过后,将用户的个人信息包括用户权限保存到session里面,再将session存到redis里面。
下次前端发请求,就从session里面取出用户信息,包括用户的权限,然后做授权。如果session当中没有用户信息,说明没登录,就向前端发送未登录的信息。
如果是移动端app的话,由于不能使用cookie,因此要在登录成功后,将当前的sessionid作为响应数据发送给客户端,在客户端进行本地存储,下次前端发请求就可以在请求头当中带上sessionid,后端再根据sessionid得到session对象。
2、无状态服务
首先,后端拿到前台传过来的用户名和密码,然后查询数据库,进行校验。校验通过后,使用jwt对用户的id和权限进行加密,生成token,然后将token作为响应数据,发送给前端,前端再将token进行本地存储。
下次前端发请求,就在请求头里面带上token,后台从请求头里面取出token进行解析,得到用户id和权限,如果解析失败,说明没登录,响应未登录的信息,如果解析成功,就根据用户权限进行访问控制。