码迷,mamicode.com
首页 > 编程语言 > 详细

Spring cloud微服务安全实战-_5-10实现基于session的SSO(Token有效期)

时间:2019-12-01 20:54:34      阅读:109      评论:0      收藏:0      [点我收藏+]

标签:相关   引入   用户名   sage   构造函数   request   err   初始   ring   

refresh_token过期了怎么办,虽然可以设置一个比较长的有效期,但是终归还是要过期的。
只能从认证服务器重新走认证授权的流程。
两种情况
1,session还没过期的,跳过去之后,直接就知道你是谁,生成一个令牌返回给你
2.session也过期了,重新输用户名密码登陆
也可以去控制,一旦refres_token过期了。在跳往认证服务器之前,整个全都退出掉。就是refresh_token过期了 就要求用户必须重新输入用户名密码重新进行登陆。

刷新令牌的时候,加一个错误处理。

刷令牌失败就重新走认证
把刷新令牌的操作放在 try catch里面。sendZuulResponse设置为false,表示请求到这就截止了。
技术图片
返回状态码为500,返回的json信息
技术图片
最后把相应类型设置为json类型
技术图片

前端代码处理

app.intercetor.ts文件
技术图片
现在要写的是一个拦截器,统一处理状态码是500 并且,message是refresh fail的失败消息。调用任何一个服务都可能受到这个消息。
技术图片
因为当前的这个请求是在ZuulFilter里面。所有调后台请求的都可能触发这个返回。
技术图片
前台也需要一个拦截器,统一拦截这样的相应,然后做一个相应的处理。

前端拦截器讲解

没有现场写,直接把代码粘贴过来的
技术图片
这个拦截器是要注入大HttpClient里面去拦截请求的。所以这里加了一个可注入的注解@Injectable()
技术图片
修改名字为RefreshInterceptor它实现了HttpInterceptor
技术图片
angular8 支持支持,构造函数的注入。下面要发送Http请求,所以注入HttpClient
技术图片
技术图片



req是当前发的请求,next是下一步的处理
技术图片
在做下一步处理的时候,实际上是可以改变request里面的好多东西,比如说req.body,都是可以重新赋值的 在这个拦截器里面。
技术图片

我要做的是在http发出去,有了响应之后的处理,响应是500 message是refresh fail的时候,我要做一个处理。
技术图片
pipe管道服务处理,tap里面有两个方法,第一个是成功 第二个是失败。我们要做的就是失败的处理。成功处理里什么都没写
技术图片

首先把错误的信息打印出来。然后看状态码是不是500,error.message是不是refresh fail。如果这两个都对上了就表示我是在刷新令牌的时候出问题了。拿不到可以用的令牌了。必须让用户去重新去获取令牌。整个认证授权的流程。
这个时候就调用退出方法。
技术图片
调到认证服务器的退出上,然后再跳回来。再出发授权请求。再登陆。
技术图片

拦截器的注册


注册的语法也是angular特有的语法
技术图片

multi为true表示可以反复使用,
技术图片

引入包
技术图片

技术图片
这样就会把我们的拦截器做为http的拦截器,加到http的模块里面。这样我发请求的时候,拦截器就会起作用了。

数据库内 refresh的token改成20秒
技术图片
把之前发出的token和session相关的表都清空表。
技术图片
恢复到一个初始的状态

启动服务测试


技术图片
技术图片
技术图片
技术图片


10秒的accessToken和20秒的refreshToken
技术图片

技术图片


技术图片
一直点击到了20秒左右的时候,系统就没法访问了。
技术图片
点击确定跳转到了登陆页面。因为我的刷新令牌也已经完全失效了。
技术图片

重新登陆

技术图片

技术图片
重复点击 20秒左右还是会失效。
 

依赖认证服务器的session

禁用了退出的方法,refresh_token失效以后,跳转到认证的页面。认证服务器会判断session失效了没,失效了就登陆,没失效就返回新的token
技术图片


技术图片

跳过去 ,然后又跳回来了。还是在当前这个页面上。
技术图片
再点击按钮 ,又有效了
技术图片

不停的点击大概 10秒左右
技术图片
点击确定又到了首页。
技术图片

总结

优点:安全,用户的信息 token的信息啊 都是放在session里面的,在浏览器里面只有一个sessionId一个无意义的串,只要在浏览器那边做好session固定攻击的防护,一般是不会有社么风险的
2.可控性高。session、token的信息都在数据库里面,想让谁下线就下线,
技术图片

3.跨域

缺点:复杂度高,前端session有过期时间,认证服务器有过期时间,访问令牌有过期时间,刷新令牌也有过期时间,必须清楚每一种东西是干嘛的,它过期后对系统会产生什么样的影响。应该怎么去处理,系统的行为是什么。要有一个清晰的认识。才能把这个方案用好。
占用系统资源,如果用户上亿,这种方案就是不可行的,适用于百万用户以下,发出的token的表里面,session的表里面,顶多就是100来万数据
适用于内部的管理系统,
技术图片
 

结束





 

Spring cloud微服务安全实战-_5-10实现基于session的SSO(Token有效期)

标签:相关   引入   用户名   sage   构造函数   request   err   初始   ring   

原文地址:https://www.cnblogs.com/wangjunwei/p/11967213.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!