扣扣技术分享交流群:1125844267
Oauth2.0是一个授权协议,提供了一种解决用户资源共享问题的思路,它不是一种实现。对于java来说,我们可以利用Spring Security OAuth2来实现。
Oauth2.0实现的最基本的思路:
上图的名词解释:
几种授权模式:
授权码模式基本思路:
微服务架构下的时序图:
(1)基本思路
首先我们要明白,在授权码模式下,在网关请求获取access token的时候,接口会返回一个access token和一个refresh token,我会将这两个值都保存到前端cookies中,每次请求都携带这两个值,网关在验证access token过期后,立马利用refresh token请求接口换去一个新的access token,这个时候接口同样返回两个值,一个access token和refresh token,但是需要注意的是,如果不加特殊配置,refresh token的过期时间的固定不变的。所以,也可能导致用户在使用中突然退出系统,所以,我觉得在刷新access token的时候,同样刷新refresh token也是必要的。
(2)代码实现
Oauth授权服务配置:
那么最重要的一个点就是在网关这儿。我们要想实现在用户无感的情况下更新token,那么就不能影响本次的请求的情况下去刷新token。既然每次请求都会走网关,那么每次服务返回的结果肯定也会走网关。那么我们结合Spring Cloud Gateway官网了解一下整个请求的过程。
我们可以清晰的看到,请求和返回各自有各自的一条路线,并且都会经过一堆过滤器,那么我们就可以在本次请求刷新token成功后,继续本次请求到服务,然后在它返回的过程中将刷新的access token和refresh token加入到返回头中给前端保存。
全局过滤器中的实现:
**注意:**有时候可能配置多了会报一些莫名其妙的错误,我们一定要注意过滤器的顺序问题,可以适当的改变一下顺序可能就没问题了
前端的部分这里就不再赘述,加拦截器,每个返回的结果检查有没有access token和refresh token,有的话就更新。
其实,在实现之前也百度了很多,但是没有找到刷新token的实现,我这个只是一种思路,如果大家有更好的实现方式,大家可以评论交流!
