Rumah  >  Artikel  >  Java  >  Bagaimana untuk melaksanakan log masuk pengimbasan kod berdasarkan Java

Bagaimana untuk melaksanakan log masuk pengimbasan kod berdasarkan Java

王林
王林ke hadapan
2023-04-20 08:22:061284semak imbas

    Analisis Prinsip

    1 Mekanisme Pengesahan Identiti

    Sebelum memperkenalkan prinsip mengimbas kod QR untuk log masuk, mari kita bincangkan dahulu. mekanisme pengesahan Identiti bahagian pelayan. Mengambil kaedah log masuk akaun + kata laluan biasa sebagai contoh, selepas menerima permintaan log masuk pengguna, pelayan terlebih dahulu mengesahkan kesahihan akaun dan kata laluan. Jika pengesahan diluluskan, pelayan akan memberikan token kepada pengguna, yang dikaitkan dengan maklumat identiti pengguna dan boleh digunakan sebagai bukti kelayakan log masuk pengguna. Kemudian, apabila PC menghantar permintaan sekali lagi, ia perlu membawa token dalam parameter Pengepala atau Pertanyaan Pelayan boleh mengenal pasti pengguna semasa berdasarkan token. Kelebihan token ialah ia lebih mudah dan selamat Ia mengurangkan risiko akaun dan kata laluan dirampas, dan pengguna tidak perlu berulang kali memasukkan akaun dan kata laluan mereka. Proses log masuk melalui akaun dan kata laluan pada PC adalah seperti berikut:

    Bagaimana untuk melaksanakan log masuk pengimbasan kod berdasarkan Java

    Imbas log masuk kod QR pada asasnya ialah kaedah pengesahan identiti Perbezaan antara log masuk akaun + kata laluan dan Log masuk kod QR ialah, Yang pertama adalah menggunakan akaun dan kata laluan bahagian PC untuk memohon token untuk bahagian PC, dan yang kedua adalah menggunakan token + maklumat peranti bahagian telefon bimbit untuk memohon token untuk bahagian PC. . Tujuan kedua-dua kaedah log masuk ini adalah sama, kedua-duanya untuk PC mendapatkan "authorization" daripada pelayan Sebelum memohon token untuk PC, kedua-duanya perlu membuktikan identiti mereka kepada pelayan, iaitu pelayan mesti tahu semasa Siapakah pengguna supaya pelayan boleh menjana token PC untuknya? Memandangkan telefon bimbit mesti dilog masuk sebelum mengimbas kod QR, telefon bimbit itu sendiri telah menyimpan token, yang boleh digunakan untuk pengenalan sisi pelayan. Jadi mengapa telefon bimbit masih memerlukan maklumat peranti semasa mengesahkan identiti? Malah, pengesahan identiti pada telefon bimbit adalah sedikit berbeza daripada yang terdapat pada PC:

    • Telefon mudah alih juga perlu memasukkan akaun dan kata laluan sebelum log masuk, tetapi permintaan log masuk juga mengandungi peranti sebagai tambahan kepada kata laluan akaun, seperti jenis peranti, id peranti, dsb.

    • Selepas menerima permintaan log masuk, pelayan akan mengesahkan akaun dan kata laluan Selepas lulus pengesahan, ia akan mengaitkan maklumat pengguna dengan maklumat peranti, iaitu, menyimpannya dalam a struktur data.

    • Pelayan menjana token untuk telefon mudah alih dan mengaitkan token dengan maklumat pengguna dan maklumat peranti, iaitu, menggunakan token sebagai kunci dan struktur sebagai nilai, nilai kunci pasangan diteruskan Simpannya secara setempat dan kemudian kembalikan token ke telefon bimbit.

    • Telefon mudah alih menghantar permintaan, membawa maklumat token dan peranti Pelayan menanyakan struktur berdasarkan token dan mengesahkan sama ada maklumat peranti dalam struktur adalah sama dengan maklumat peranti. pada telefon bimbit untuk menentukan keberkesanan pengguna.

    Selepas berjaya log masuk pada PC, kita boleh melayari web seperti biasa untuk jangka masa yang singkat, tetapi kemudian kita perlu log masuk semula apabila kita melawat laman web ini token mempunyai masa tamat, yang agak kecil Tempoh sah yang panjang meningkatkan risiko rampasan token. Walau bagaimanapun, masalah ini nampaknya jarang berlaku pada telefon mudah alih Contohnya, selepas berjaya log masuk ke WeChat, anda sentiasa boleh menggunakannya, walaupun anda menutup WeChat atau memulakan semula telefon anda. Ini kerana maklumat peranti adalah unik Walaupun token dirampas, penyerang tidak dapat membuktikan identitinya kepada pelayan disebabkan oleh maklumat peranti yang berbeza Ini sangat meningkatkan faktor keselamatan, jadi token boleh digunakan untuk masa yang lama. Proses log masuk melalui akaun dan kata laluan pada telefon bimbit adalah seperti berikut:

    Bagaimana untuk melaksanakan log masuk pengimbasan kod berdasarkan Java

    2. Gambaran Keseluruhan Proses

    Setelah memahami mekanisme pengesahan identiti pada pelayan, mari bercakap tentang pengimbasan Keseluruhan proses log masuk kod. Mengambil versi web WeChat sebagai contoh, selepas kita mengklik kod QR untuk log masuk pada PC, gambar kod QR akan muncul pada halaman pelayar Pada masa ini, buka WeChat pada telefon bimbit dan imbas kod QR . PC kemudian akan memaparkan "Pengimbasan", dan telefon bimbit akan Selepas mengklik untuk mengesahkan log masuk, PC akan memaparkan "Log masuk berjaya".

    Dalam proses di atas, pelayan boleh bertindak balas ke bahagian PC mengikut operasi telefon bimbit Jadi bagaimana pelayan mengaitkan kedua-duanya? Jawapannya adalah melalui "kod QR", secara tegasnya, melalui kandungan dalam kod QR. Gunakan penyahkod kod QR untuk mengimbas kod QR pada versi web WeChat, dan anda boleh mendapatkan kandungan berikut:

    Bagaimana untuk melaksanakan log masuk pengimbasan kod berdasarkan Java

    Daripada gambar di atas, kita tahu bahawa QR kod sebenarnya mengandungi URL Selepas telefon bimbit mengimbas kod QR, ia akan menghantar permintaan kepada pelayan berdasarkan URL. Seterusnya, kami membuka alat pembangun penyemak imbas PC:

    Bagaimana untuk melaksanakan log masuk pengimbasan kod berdasarkan Java

    Dapat dilihat bahawa selepas kod QR dipaparkan, bahagian PC tidak pernah "terbiar". Ia terus menghantar permintaan kepada pelayan melalui tinjauan pendapat untuk mengetahui keputusan operasi bahagian mudah alih. Di sini kita perhatikan bahawa terdapat parameter uuid dalam URL yang dihantar oleh PC, dengan nilai "Adv-NP1FYw==" uuid ini juga wujud dalam URL yang terkandung dalam kod QR. Daripada ini, kita boleh membuat kesimpulan bahawa pelayan akan menjana id kod QR sebelum menjana kod QR Id kod QR terikat kepada status, masa tamat tempoh dan maklumat lain kod QR dan disimpan bersama pada pelayan. Terminal mudah alih boleh mengendalikan status kod QR pada bahagian pelayan berdasarkan ID kod QR, dan bahagian PC boleh menanyakan bahagian pelayan tentang status kod QR berdasarkan ID kod QR.

    Kod QR pada mulanya berada dalam keadaan "untuk diimbas" Selepas telefon mudah alih mengimbas kod, pelayan menukar statusnya kepada keadaan "untuk disahkan". PC tiba dan pelayan kembali kepadanya Menunggu pengesahan". Selepas telefon bimbit mengesahkan log masuk, kod QR bertukar kepada status "disahkan", dan pelayan menjana token untuk pengesahan identiti untuk PC Apabila PC bertanya lagi, ia boleh mendapatkan token ini. Keseluruhan proses log masuk kod imbasan ditunjukkan dalam rajah di bawah:

    Bagaimana untuk melaksanakan log masuk pengimbasan kod berdasarkan Java

    1. PC menghantar permintaan "log masuk kod imbasan" dan pelayan menjana ID kod QR Dan simpan masa tamat tempoh, status dan maklumat lain kod QR.

    2. Dapatkan kod QR pada PC dan paparkannya.

    3. PC mula mengundi untuk menyemak status kod QR dan kod QR pada mulanya berada dalam keadaan "untuk diimbas".

    4. Imbas kod QR pada telefon mudah alih anda untuk mendapatkan ID kod QR.

    5. Telefon mudah alih menghantar permintaan "kod imbasan" kepada pelayan dan permintaan itu membawa id kod QR, token telefon mudah alih dan maklumat peranti.

    6. Pelayan mengesahkan kesahihan pengguna telefon mudah alih selepas lulus pengesahan, ia menetapkan status kod QR kepada "pengesahan belum selesai" dan mengaitkan maklumat pengguna dengan Kod QR token sekali sahaja untuk telefon bimbit, yang digunakan sebagai bukti kelayakan untuk mengesahkan log masuk.

    7. Apabila mengundi di sebelah PC, ia dikesan bahawa status kod QR adalah "pending confirmation".

    8. Telefon mudah alih menghantar permintaan "sahkan log masuk" ke pelayan.

    9. Pelayan mengesahkan token sekali sahaja Selepas lulus pengesahan, status kod QR ditetapkan kepada "Disahkan" dan token PC dijana untuk PC.

    10. Apabila mengundi di sebelah PC, ia dikesan bahawa status kod QR telah "Disahkan" dan token sebelah PC telah diperolehi Selepas itu, pihak PC berhenti mengundi.

    11. Pihak PC mengakses pelayan melalui token sebelah PC.

    Semasa proses di atas, kami mendapati bahawa selepas mengimbas kod pada telefon mudah alih, pelayan akan mengembalikan token sekali sahaja Token ini juga merupakan bukti kelayakan identiti, tetapi boleh hanya digunakan sekali sahaja. Fungsi token satu kali adalah untuk memastikan permintaan "permintaan kod imbasan" dan "sahkan log masuk" dikeluarkan oleh telefon mudah alih yang sama, dengan kata lain, pengguna telefon bimbit tidak boleh "mengesahkan log masuk untuk pengguna lain."

    Saya tidak tahu banyak tentang token sekali, tetapi boleh dibuat spekulasi bahawa dalam cache pelayan, nilai yang dipetakan oleh token sekali harus termasuk maklumat kod QR dan peranti yang dihantar "kod imbasan" meminta maklumat dan maklumat pengguna.

    Pelaksanaan kod

    1. Persediaan persekitaran

    • JDK 1.8: Projek ini ditulis dalam bahasa Java.

    • Maven: pengurusan pergantungan.

    • Redis: Redis bukan sahaja berfungsi sebagai pangkalan data untuk menyimpan maklumat identiti pengguna (MySQL tidak digunakan untuk memudahkan operasi), tetapi juga berfungsi sebagai cache untuk menyimpan maklumat kod QR, maklumat token , dsb.

    2. Terutamanya bergantung pada

    • SpringBoot: persekitaran asas projek.

    • Hutool: kelas alat sumber terbuka, di mana QrCodeUtil boleh digunakan untuk menjana imej kod QR.

    • Thymeleaf: enjin templat untuk pemaparan halaman.

    3. Hasilkan kod QR

    Penjanaan kod QR dan logik simpanan status kod QR adalah seperti berikut:

    @RequestMapping(path = "/getQrCodeImg", method = RequestMethod.GET)
    public String createQrCodeImg(Model model) {
    
       String uuid = loginService.createQrImg();
       String qrCode = Base64.encodeBase64String(QrCodeUtil.generatePng("http://127.0.0.1:8080/login/uuid=" + uuid, 300, 300));
    
       model.addAttribute("uuid", uuid);
       model.addAttribute("QrCode", qrCode);
    
       return "login";
    }

    PC sisi Apabila mengakses permintaan "log masuk", pelayan memanggil kaedah createQrImg untuk menghasilkan uuid dan objek LoginTicket Objek LoginTicket merangkumkan status pengguna dan kod QR pengguna. Pelayan kemudian menyimpan uuid sebagai kunci dan objek LoginTicket sebagai nilai ke dalam pelayan Redis, dan menetapkan masa kesahan kepada 5 minit (masa kesahan kod QR Logik kaedah createQrImg adalah seperti berikut:

    public String createQrImg() {
       // uuid
       String uuid = CommonUtil.generateUUID();
       LoginTicket loginTicket = new LoginTicket();
       // 二维码最初为 WAITING 状态
       loginTicket.setStatus(QrCodeStatusEnum.WAITING.getStatus());
    
       // 存入 redis
       String ticketKey = CommonUtil.buildTicketKey(uuid);
       cacheStore.put(ticketKey, loginTicket, LoginConstant.WAIT_EXPIRED_SECONDS, TimeUnit.SECONDS);
    
       return uuid;
    }

    我们在前一节中提到,手机端的操作主要影响二维码的状态,PC 端轮询时也是查看二维码的状态,那么为什么还要在 LoginTicket 对象中封装 userId 呢?这样做是为了将二维码与用户进行关联,想象一下我们登录网页版微信的场景,手机端扫码后,PC 端就会显示用户的头像,虽然手机端并未确认登录,但 PC 端轮询时已经获取到了当前扫码的用户(仅头像信息)。因此手机端扫码后,需要将二维码与用户绑定在一起,使用 LoginTicket 对象只是一种实现方式。二维码生成后,我们将其状态置为 "待扫描" 状态,userId 不做处理,默认为 null。

    4. 扫描二维码

    手机端发送 "扫码" 请求时,Query 参数中携带着 uuid,服务端接收到请求后,调用 scanQrCodeImg 方法,根据 uuid 查询出二维码并将其状态置为 "待确认" 状态,操作完成后服务端向手机端返回 "扫码成功" 或 "二维码已失效" 的信息:

    @RequestMapping(path = "/scan", method = RequestMethod.POST)
    @ResponseBody
    public Response scanQrCodeImg(@RequestParam String uuid) {
       JSONObject data = loginService.scanQrCodeImg(uuid);
       if (data.getBoolean("valid")) {
          return Response.createResponse("扫码成功", data);
       }
       return Response.createErrorResponse("二维码已失效");
    }

    scanQrCodeImg 方法的主要逻辑如下:

    public JSONObject scanQrCodeImg(String uuid) {
       // 避免多个移动端同时扫描同一个二维码
       lock.lock();
       JSONObject data = new JSONObject();
       try {
          String ticketKey = CommonUtil.buildTicketKey(uuid);
          LoginTicket loginTicket = (LoginTicket) cacheStore.get(ticketKey);
    
          // redis 中 key 过期后也可能不会立即删除
          Long expired = cacheStore.getExpireForSeconds(ticketKey);
          boolean valid = loginTicket != null &&
                   QrCodeStatusEnum.parse(loginTicket.getStatus()) == QrCodeStatusEnum.WAITING &&
                   expired != null &&
                   expired >= 0;
          if (valid) {
                User user = hostHolder.getUser();
                if (user == null) {
                   throw new RuntimeException("用户未登录");
                }
                // 修改扫码状态
                loginTicket.setStatus(QrCodeStatusEnum.SCANNED.getStatus());
                Condition condition = CONDITION_CONTAINER.get(uuid);
                if (condition != null) {
                   condition.signal();
                   CONDITION_CONTAINER.remove(uuid);
                }
                // 将二维码与用户进行关联
                loginTicket.setUserId(user.getUserId());
                cacheStore.put(ticketKey, loginTicket, expired, TimeUnit.SECONDS);
    
                // 生成一次性 token, 用于之后的确认请求
                String onceToken = CommonUtil.generateUUID();
    
                cacheStore.put(CommonUtil.buildOnceTokenKey(onceToken), uuid, LoginConstant.ONCE_TOKEN_EXPIRE_TIME, TimeUnit.SECONDS);
    
                data.put("once_token", onceToken);
          }
          data.put("valid", valid);
          return data;
       } finally {
          lock.unlock();
       }
    }

    1.首先根据 uuid 查询 Redis 中存储的 LoginTicket 对象,然后检查二维码的状态是否为 "待扫描" 状态,如果是,那么将二维码的状态改为 "待确认" 状态。如果不是,那么该二维码已被扫描过,服务端提示用户 "二维码已失效"。我们规定,只允许第一个手机端能够扫描成功,加锁的目的是为了保证 查询 + 修改 操作的原子性,避免两个手机端同时扫码,且同时检测到二维码的状态为 "待扫描"。

    2.上一步操作成功后,服务端将 LoginTicket 对象中的 userId 置为当前用户(扫码用户)的 userId,也就是将二维码与用户信息绑定在一起。由于扫码请求是由手机端发送的,因此该请求一定来自于一个有效的用户,我们在项目中配置一个拦截器(也可以是过滤器),当拦截到 "扫码" 请求后,根据请求中的 token(手机端发送请求时一定会携带 token)查询出用户信息,并将其存储到 ThreadLocal 容器(hostHolder)中,之后绑定信息时就可以从 ThreadLocal 容器将用户信息提取出来。注意,这里的 token 指的手机端 token,实际中应该还有设备信息,但为了简化操作,我们忽略掉设备信息。

    3.用户信息与二维码信息关联在一起后,服务端为手机端生成一个一次性 token,并存储到 Redis 服务器,其中 key 为一次性 token 的值,value 为 uuid。一次性 token 会返回给手机端,作为 "确认登录" 请求的凭证。

    上述代码中,当二维码的状态被修改后,我们唤醒了在 condition 中阻塞的线程,这一步的目的是为了实现长轮询操作,下文中会介绍长轮询的设计思路。

    5. 确认登录

    手机端发送 "确认登录" 请求时,Query 参数中携带着 uuid,且 Header 中携带着一次性 token,服务端接收到请求后,首先验证一次性 token 的有效性,即检查一次性 token 对应的 uuid 与 Query 参数中的 uuid 是否相同,以确保扫码操作和确认操作来自于同一个手机端,该验证过程可在拦截器中配置。验证通过后,服务端调用 confirmLogin 方法,将二维码的状态置为 "已确认":

    @RequestMapping(path = "/confirm", method = RequestMethod.POST)
    @ResponseBody
    public Response confirmLogin(@RequestParam String uuid) {
       boolean logged = loginService.confirmLogin(uuid);
       String msg = logged ? "登录成功!" : "二维码已失效!";
       return Response.createResponse(msg, logged);
    }

    confirmLogin 方法的主要逻辑如下:

    public boolean confirmLogin(String uuid) {
       String ticketKey = CommonUtil.buildTicketKey(uuid);
       LoginTicket loginTicket = (LoginTicket) cacheStore.get(ticketKey);
       boolean logged = true;
       Long expired = cacheStore.getExpireForSeconds(ticketKey);
       if (loginTicket == null || expired == null || expired == 0) {
          logged = false;
       } else {
          lock.lock();
          try {
                loginTicket.setStatus(QrCodeStatusEnum.CONFIRMED.getStatus());
                Condition condition = CONDITION_CONTAINER.get(uuid);
                if (condition != null) {
                   condition.signal();
                   CONDITION_CONTAINER.remove(uuid);
                }
                cacheStore.put(ticketKey, loginTicket, expired, TimeUnit.SECONDS);
          } finally {
                lock.unlock();
          }
       }
       return logged;
    }

    该方法会根据 uuid 查询二维码是否已经过期,如果未过期,那么就修改二维码的状态。

    6. PC 端轮询

    轮询操作指的是前端重复多次向后端发送相同的请求,以获知数据的变化。轮询分为长轮询和短轮询:

    • 长轮询:服务端收到请求后,如果有数据,那么就立即返回,否则线程进入等待状态,直到有数据到达或超时,浏览器收到响应后立即重新发送相同的请求。

    • 短轮询:服务端收到请求后无论是否有数据都立即返回,浏览器收到响应后间隔一段时间后重新发送相同的请求。

    由于长轮询相比短轮询能够得到实时的响应,且更加节约资源,因此项目中我们考虑使用 ReentrantLock 来实现长轮询。轮询的目的是为了查看二维码状态的变化:

    @RequestMapping(path = "/getQrCodeStatus", method = RequestMethod.GET)
    @ResponseBody
    public Response getQrCodeStatus(@RequestParam String uuid, @RequestParam int currentStatus) throws InterruptedException {
       JSONObject data = loginService.getQrCodeStatus(uuid, currentStatus);
       return Response.createResponse(null, data);
    }

    getQrCodeStatus 方法的主要逻辑如下:

    public JSONObject getQrCodeStatus(String uuid, int currentStatus) throws InterruptedException {
       lock.lock();
       try {
          JSONObject data = new JSONObject();
          String ticketKey = CommonUtil.buildTicketKey(uuid);
          LoginTicket loginTicket = (LoginTicket) cacheStore.get(ticketKey);
    
          QrCodeStatusEnum statusEnum = loginTicket == null || QrCodeStatusEnum.parse(loginTicket.getStatus()) == QrCodeStatusEnum.INVALID ?
                   QrCodeStatusEnum.INVALID : QrCodeStatusEnum.parse(loginTicket.getStatus());
    
          if (currentStatus == statusEnum.getStatus()) {
                Condition condition = CONDITION_CONTAINER.get(uuid);
                if (condition == null) {
                   condition = lock.newCondition();
                   CONDITION_CONTAINER.put(uuid, condition);
                }
                condition.await(LoginConstant.POLL_WAIT_TIME, TimeUnit.SECONDS);
          }
          // 用户扫码后向 PC 端返回头像信息
          if (statusEnum == QrCodeStatusEnum.SCANNED) {
                User user = userService.getCurrentUser(loginTicket.getUserId());
                data.put("avatar", user.getAvatar());
          }
    
          // 用户确认后为 PC 端生成 access_token
          if (statusEnum == QrCodeStatusEnum.CONFIRMED) {
                String accessToken = CommonUtil.generateUUID();
                cacheStore.put(CommonUtil.buildAccessTokenKey(accessToken), loginTicket.getUserId(), LoginConstant.ACCESS_TOKEN_EXPIRE_TIME, TimeUnit.SECONDS);
                data.put("access_token", accessToken);
          }
    
          data.put("status", statusEnum.getStatus());
          data.put("message", statusEnum.getMessage());
          return data;
       } finally {
          lock.unlock();
       }
    }

    该方法接收两个参数,即 uuid 和 currentStatus,其中 uuid 用于查询二维码,currentStatus 用于确认二维码状态是否发生了变化,如果是,那么需要立即向 PC 端反馈。我们规定 PC 端在轮询时,请求的参数中需要携带二维码当前的状态。

    1.首先根据 uuid 查询出二维码的最新状态,并比较其是否与 currentStatus 相同。如果相同,那么当前线程进入阻塞状态,直到被唤醒或者超时。

    2.如果二维码状态为 "待确认",那么服务端向 PC 端返回扫码用户的头像信息(处于 "待确认" 状态时,二维码已与用户信息绑定在一起,因此可以查询出用户的头像)。

    3.如果二维码状态为 "已确认",那么服务端为 PC 端生成一个 token,在之后的请求中,PC 端可通过该 token 表明自己的身份。

    上述代码中的加锁操作是为了能够令当前处理请求的线程进入阻塞状态,当二维码的状态发生变化时,我们再将其唤醒,因此上文中的扫码操作和确认登录操作完成后,还会有一个唤醒线程的过程。

    实际上,加锁操作设计得不太合理,因为我们只设置了一把锁。因此对不同二维码的查询或修改操作都会抢占同一把锁。按理来说,不同二维码的操作之间应该是相互独立的,即使加锁,也应该是为每个二维码均配一把锁,但这样做代码会更加复杂,或许有其它更好的实现长轮询的方式?或者干脆直接短轮询。当然,也可以使用 WebSocket 实现长连接。

    7. 拦截器配置

    项目中配置了两个拦截器,一个用于确认用户的身份,即验证 token 是否有效:

    @Component
    public class LoginInterceptor implements HandlerInterceptor {
    
        @Autowired
        private HostHolder hostHolder;
    
        @Autowired
        private CacheStore cacheStore;
    
        @Autowired
        private UserService userService;
    
        @Override
        public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    
            String accessToken = request.getHeader("access_token");
            // access_token 存在
            if (StringUtils.isNotEmpty(accessToken)) {
                String userId = (String) cacheStore.get(CommonUtil.buildAccessTokenKey(accessToken));
                User user = userService.getCurrentUser(userId);
                hostHolder.setUser(user);
            }
            return true;
        }
    
        @Override
        public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
            hostHolder.clear();
        }
    }

    如果 token 有效,那么服务端根据 token 获取用户的信息,并将用户信息存储到 ThreadLocal 容器。手机端和 PC 端的请求都由该拦截器处理,如 PC 端的 "查询用户信息" 请求,手机端的 "扫码" 请求。由于我们忽略了手机端验证时所需要的的设备信息,因此 PC 端和手机端 token 可以使用同一套验证逻辑。

    另一个拦截器用于拦截 "确认登录" 请求,即验证一次性 token 是否有效:

    @Component
    public class ConfirmInterceptor implements HandlerInterceptor {
    
        @Autowired
        private CacheStore cacheStore;
    
        @Override
        public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
    
            String onceToken = request.getHeader("once_token");
            if (StringUtils.isEmpty(onceToken)) {
                return false;
            }
            if (StringUtils.isNoneEmpty(onceToken)) {
                String onceTokenKey = CommonUtil.buildOnceTokenKey(onceToken);
                String uuidFromCache = (String) cacheStore.get(onceTokenKey);
                String uuidFromRequest = request.getParameter("uuid");
                if (!StringUtils.equals(uuidFromCache, uuidFromRequest)) {
                    throw new RuntimeException("非法的一次性 token");
                }
                // 一次性 token 检查完成后将其删除
                cacheStore.delete(onceTokenKey);
            }
            return true;
        }
    }

    该拦截器主要拦截 "确认登录" 请求,需要注意的是,一次性 token 验证通过后要立即将其删除。

    编码过程中,我们简化了许多操作,例如:1. 忽略掉了手机端的设备信息;2. 手机端确认登录后并没有直接为用户生成 PC 端 token,而是在轮询时生成。

    效果演示

    1. 工具准备

    • 浏览器:PC 端操作

    • Postman:模仿手机端操作。

    2. 数据准备

    由于我们没有实现真实的手机端扫码的功能,因此使用 Postman 模仿手机端向服务端发送请求。首先我们需要确保服务端存储着用户的信息,即在 Test 类中执行如下代码:

    @Test
    void insertUser() {
       User user = new User();
       user.setUserId("1");
       user.setUserName("John同学");
       user.setAvatar("/avatar.jpg");
       cacheStore.put("user:1", user);
    }

    手机端发送请求时需要携带手机端 token,这里我们为 useId 为 "1" 的用户生成一个 token(手机端 token):

    @Test
    void loginByPhone() {
       String accessToken = CommonUtil.generateUUID();
       System.out.println(accessToken);
       cacheStore.put(CommonUtil.buildAccessTokenKey(accessToken), "1");
    }

    手机端 token(accessToken)为 "aae466837d0246d486f644a3bcfaa9e1"(随机值),之后发送 "扫码" 请求时需要携带这个 token。

    3. 扫码登录流程展示

    启动项目,访问 localhost:8080/index

    Bagaimana untuk melaksanakan log masuk pengimbasan kod berdasarkan Java

    点击登录,并在开发者工具中找到二维码 id(uuid):

    Bagaimana untuk melaksanakan log masuk pengimbasan kod berdasarkan Java

    打开 Postman,发送localhost:8080/login/scan 请求,Query 参数中携带 uuid,Header 中携带手机端 token:

    Bagaimana untuk melaksanakan log masuk pengimbasan kod berdasarkan Java

    上述请求返回 "扫码成功" 的响应,同时还返回了一次性 token。此时 PC 端显示出扫码用户的头像:

    Bagaimana untuk melaksanakan log masuk pengimbasan kod berdasarkan Java

    在 Postman 中发送 localhost:8080/login/confirm 请求,Query 参数中携带 uuid,Header 中携带一次性 token:

    Bagaimana untuk melaksanakan log masuk pengimbasan kod berdasarkan Java

    "确认登录" 请求发送完成后,PC 端随即获取到 PC 端 token,并成功查询用户信息:

    Bagaimana untuk melaksanakan log masuk pengimbasan kod berdasarkan Java

    Atas ialah kandungan terperinci Bagaimana untuk melaksanakan log masuk pengimbasan kod berdasarkan Java. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

    Kenyataan:
    Artikel ini dikembalikan pada:yisu.com. Jika ada pelanggaran, sila hubungi admin@php.cn Padam