通过阅读源码解决项目难题:GToken替换JWT实现SSO单点登录
创始人
2024-02-01 01:14:55

文章目录

  • jwt的问题
    • jwt的请求流程图
  • gtoken的优势
  • 注意问题
  • 演示demo
  • 入门示例
    • 运行效果
      • 启动项目:
      • 访问不认证接口:返回成功
      • 未登录时访问认证接口:返回错误提示
      • 请求登录接口:返回token
      • 携带token再次访问认证接口:返回成功
  • 分析源码
    • 刷新token
    • GfToken结构体
  • 思考题
    • 进一步阅读源码
  • 总结
  • 一起学习

今天和大家分享一下使用GoFrame的gtoken替换jwt实现sso登录的经验。期间我也踩了一些坑,最终是通过阅读源码解决了项目中遇到的问题。

觉得这个经历比较有意思,整理一篇文章分享给大家。

jwt的问题

首先说明一个jwt存在的问题,也就是要替换jwt的原因:

  1. jwt无法在服务端主动退出的问题
  2. jwt无法作废已颁布的令牌,只能等到令牌过期问题
  3. jwt携带大量用户扩展信息导致降低传输效率问题

jwt的请求流程图

gtoken的优势

gtoken的请求流程和jwt的基本一致。

gtoken的优势就是能帮助我们解决jwt的问题,另外还提供好用的特性,比如:

  1. gtoken支持单点应用使用内存存储,支持个人项目文件存储,也支持企业集群使用redis存储,完全适用于个人和企业生产级使用;
  2. 有效的避免了jwt服务端无法退出问题
  3. 解决jwt无法作废已颁布的令牌,只能等到令牌过期问题
  4. 通过用户扩展信息存储在服务端,有效规避了jwt携带大量用户扩展信息导致降低传输效率问题
  5. 有效避免jwt需要客户端实现续签功能,增加客户端复杂度;支持服务端自动续期,客户端不需要关心续签逻辑;

注意问题

  1. 支持服务端缓存自动续期功能,不需要通过refresh_token刷新token,简化了客户端的操作

  2. 版本问题千万注意:在gtoken v1.5.0全面适配GoFrame v2.0.0 ; GoFrame v1.X.X 请使用GfToken v1.4.X相关版本

TIPS:下面我的演示demo和源码阅读都是基于v1.4.x版本的。

后面会更新视频教程,带大家完成最新版goframe和gtoken的教程,有需要的小伙伴可以关注我一下。

演示demo

下面的演示demo可以复制到本地main.go文件中执行,更新依赖的时候千万注意版本。

重点说一下踩的坑,Login方法会要求我们返回两个值:

  1. 第一个值对应userKey,后续我们可以根据userKey获得token
  2. 第二个值对应data,是interface{}类型,我们可以在这里定义例如userid、username等数据。

先有这个概念即可,为了让大家更好的理解,文章最后会带大家读源码。

入门示例

代码段的关键逻辑,已经添加了注释。

package mainimport ("github.com/goflyfox/gtoken/gtoken""github.com/gogf/gf/frame/g""github.com/gogf/gf/net/ghttp""github.com/gogf/gf/os/glog"
)var TestServerName string//var TestServerName string = "gtoken"func main() {glog.Info("########service start...")g.Cfg().SetPath("example/sample")s := g.Server(TestServerName)initRouter(s)glog.Info("########service finish.")s.Run()
}var gfToken *gtoken.GfToken/*
统一路由注册
*/
func initRouter(s *ghttp.Server) {// 不认证接口s.Group("/", func(group *ghttp.RouterGroup) {group.Middleware(CORS)// 调试路由group.ALL("/hello", func(r *ghttp.Request) {r.Response.WriteJson(gtoken.Succ("hello"))})})// 认证接口loginFunc := Login// 启动gtokengfToken := >oken.GfToken{ServerName:       TestServerName,LoginPath:        "/login",LoginBeforeFunc:  loginFunc,LogoutPath:       "/user/logout",AuthExcludePaths: g.SliceStr{"/user/info", "/system/user/info"}, // 不拦截路径 /user/info,/system/user/info,/system/user,MultiLogin:       g.Config().GetBool("gToken.MultiLogin"),}s.Group("/", func(group *ghttp.RouterGroup) {group.Middleware(CORS)gfToken.Middleware(group)group.ALL("/system/user", func(r *ghttp.Request) {r.Response.WriteJson(gtoken.Succ("system user"))})group.ALL("/user/data", func(r *ghttp.Request) {r.Response.WriteJson(gfToken.GetTokenData(r))})group.ALL("/user/info", func(r *ghttp.Request) {r.Response.WriteJson(gtoken.Succ("user info"))})group.ALL("/system/user/info", func(r *ghttp.Request) {r.Response.WriteJson(gtoken.Succ("system user info"))})})// 启动gtokengfAdminToken := >oken.GfToken{ServerName: TestServerName,//Timeout:         10 * 1000,LoginPath:        "/login",LoginBeforeFunc:  loginFunc,LogoutPath:       "/user/logout",AuthExcludePaths: g.SliceStr{"/admin/user/info", "/admin/system/user/info"}, // 不拦截路径 /user/info,/system/user/info,/system/user,MultiLogin:       g.Config().GetBool("gToken.MultiLogin"),}s.Group("/admin", func(group *ghttp.RouterGroup) {group.Middleware(CORS)gfAdminToken.Middleware(group)group.ALL("/system/user", func(r *ghttp.Request) {r.Response.WriteJson(gtoken.Succ("system user"))})group.ALL("/user/info", func(r *ghttp.Request) {r.Response.WriteJson(gtoken.Succ("user info"))})group.ALL("/system/user/info", func(r *ghttp.Request) {r.Response.WriteJson(gtoken.Succ("system user info"))})})
}func Login(r *ghttp.Request) (string, interface{}) {username := r.GetString("username")passwd := r.GetString("passwd")if username == "" || passwd == "" {r.Response.WriteJson(gtoken.Fail("账号或密码错误."))r.ExitAll()}return username, "1"/**返回的第一个参数对应:userKey返回的第二个参数对应:data{"code": 0,"msg": "success","data": {"createTime": 1652838582190,"data": "1","refreshTime": 1653270582190,"userKey": "王中阳","uuid": "ac75676efeb906f9959cf35f779a1d38"}}*/
}// 跨域
func CORS(r *ghttp.Request) {r.Response.CORSDefault()r.Middleware.Next()
}

运行效果

启动项目:

访问不认证接口:返回成功

未登录时访问认证接口:返回错误提示

请求登录接口:返回token

携带token再次访问认证接口:返回成功

以上就跑通了主体流程,就是这么简单。

分析源码

下面带大家分析一下源码,学习一下作者是如何设计的。

刷新token

首先我认为gtoken很好的设计思想是不使用refresh_token来刷新token,而是服务端主动刷新

在源码的getToken方法中做了更新refreshTime和createTime的处理。

更新createTime为当前时间,refreshTime为当前时间+自定义的刷新时间。

如下图所示,getToken方法在每次执行validToken校验token的时候都会调用,即每次校验token有效性时,如果符合刷新token有效期的条件,就会进行刷新操作(刷新token的过期时间,token值不变)

这样就实现了无感刷新token。

GfToken结构体

我们再来看一下GfToken的结构体,更好的理解一下作者的设计思路:

  1. 因为CacheMode支持redis,也就意味着支持集群模式。

  2. 我们在启动gtoken的时候,只需要设置登录和登出路径,另外登录和登出都提供了BeforeFuncAfterFunc,让我们能清晰的界定使用场景。

// GfToken gtoken结构体
type GfToken struct {// GoFrame server nameServerName string// 缓存模式 1 gcache 2 gredis 默认1CacheMode int8// 缓存keyCacheKey string// 超时时间 默认10天(毫秒)Timeout int// 缓存刷新时间 默认为超时时间的一半(毫秒)MaxRefresh int// Token分隔符TokenDelimiter string// Token加密keyEncryptKey []byte// 认证失败中文提示AuthFailMsg string// 是否支持多端登录,默认falseMultiLogin bool// 是否是全局认证,兼容历史版本,已废弃GlobalMiddleware bool// 中间件类型 1 GroupMiddleware 2 BindMiddleware  3 GlobalMiddlewareMiddlewareType uint// 登录路径LoginPath string// 登录验证方法 return userKey 用户标识 如果userKey为空,结束执行LoginBeforeFunc func(r *ghttp.Request) (string, interface{})// 登录返回方法LoginAfterFunc func(r *ghttp.Request, respData Resp)// 登出地址LogoutPath string// 登出验证方法 return true 继续执行,否则结束执行LogoutBeforeFunc func(r *ghttp.Request) bool// 登出返回方法LogoutAfterFunc func(r *ghttp.Request, respData Resp)// 拦截地址AuthPaths g.SliceStr// 拦截排除地址AuthExcludePaths g.SliceStr// 认证验证方法 return true 继续执行,否则结束执行AuthBeforeFunc func(r *ghttp.Request) bool// 认证返回方法AuthAfterFunc func(r *ghttp.Request, respData Resp)
}

思考题

我有N个子系统如何用gtoken实现sso登录呢?即实现一个子系统登录,其他各个子系统都自动登录,而无需二次登录呢?

想一想

.

.

.

我想到的解决方案是配合cookie实现:各个子系统二级域名不一致,但是主域名一致。

我在登录之后把token写入主域名的cookie中进行共享,前端网站通过cookie获得token请求服务接口。

同时在刷新token之后,也要刷新cookie的有效期,避免cookie失效导致获取不到token。

进一步阅读源码

在经过又一次仔细阅读源码之后,找到了刷新cookie有效期的合适场景:AuthAfterFunc,我们可以重写这个方法,来实现验证通过后的操作:

如果token验证有效则刷新cookie有效期;如果验证无效则自定义返回信息。(往往我们自己项目中的code码和gtoken定义的不一致,但是gtoken支持非常方便的重写返回值)

总结

我们项目之前是使用jwt实现sso登录,在刚刚拿到需求要重写时,自己也是一头雾水。

在没有认真阅读gtoken源码之前,我已经设计了refresh_token刷新的策略。

在仔细阅读源码之后,发现真香。

这次经历最大的收获是:碰到不好解决的问题时,带着问题去阅读源码是非常高效的方式。

一起学习

关注我,后面会整理视频教程,带大家基于goframe最新版集成gtoken,实现登录鉴权。

相关内容

热门资讯

埃菲尔铁塔在哪 中国仿建埃菲尔... 2019年4月26日,广西南宁市,街头惊现一座巨型山寨版埃菲尔铁塔,高约20米,白色塔身,造型逼真,...
南美洲有哪些国家 南美洲一共有... 南美洲是南亚美利加洲的简称,位于西半球,南美洲大部分地区位于南半球,南美洲东临大西洋,西临太平洋,南...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
应用未安装解决办法 平板应用未... ---IT小技术,每天Get一个小技能!一、前言描述苹果IPad2居然不能安装怎么办?与此IPad不...
脚上的穴位图 脚面经络图对应的... 人体穴位作用图解大全更清晰直观的标注了各个人体穴位的作用,包括头部穴位图、胸部穴位图、背部穴位图、胳...
长白山自助游攻略 吉林长白山游... 昨天介绍了西坡的景点详细请看链接:一个人的旅行,据说能看到长白山天池全凭运气,您的运气如何?今日介绍...
猫咪吃了塑料袋怎么办 猫咪误食... 你知道吗?塑料袋放久了会长猫哦!要说猫咪对塑料袋的喜爱程度完完全全可以媲美纸箱家里只要一有塑料袋的响...
世界上最漂亮的人 世界上最漂亮... 此前在某网上,选出了全球265万颜值姣好的女性。从这些数量庞大的女性群体中,人们投票选出了心目中最美...
埃菲尔铁塔在哪 中国仿建埃菲尔... 2019年4月26日,广西南宁市,街头惊现一座巨型山寨版埃菲尔铁塔,高约20米,白色塔身,造型逼真,...
南美洲有哪些国家 南美洲一共有... 南美洲是南亚美利加洲的简称,位于西半球,南美洲大部分地区位于南半球,南美洲东临大西洋,西临太平洋,南...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...