• Spring cloud微服务安全实战-_5-10实现基于session的SSO(Token有效期)


    refresh_token过期了怎么办,虽然可以设置一个比较长的有效期,但是终归还是要过期的。
    只能从认证服务器重新走认证授权的流程。
    两种情况
    1,session还没过期的,跳过去之后,直接就知道你是谁,生成一个令牌返回给你
    2.session也过期了,重新输用户名密码登陆
    也可以去控制,一旦refres_token过期了。在跳往认证服务器之前,整个全都退出掉。就是refresh_token过期了 就要求用户必须重新输入用户名密码重新进行登陆。

    刷新令牌的时候,加一个错误处理。

    刷令牌失败就重新走认证
    把刷新令牌的操作放在 try catch里面。sendZuulResponse设置为false,表示请求到这就截止了。

    返回状态码为500,返回的json信息

    最后把相应类型设置为json类型

    前端代码处理

    app.intercetor.ts文件

    现在要写的是一个拦截器,统一处理状态码是500 并且,message是refresh fail的失败消息。调用任何一个服务都可能受到这个消息。

    因为当前的这个请求是在ZuulFilter里面。所有调后台请求的都可能触发这个返回。

    前台也需要一个拦截器,统一拦截这样的相应,然后做一个相应的处理。

    前端拦截器讲解

    没有现场写,直接把代码粘贴过来的

    这个拦截器是要注入大HttpClient里面去拦截请求的。所以这里加了一个可注入的注解@Injectable()

    修改名字为RefreshInterceptor它实现了HttpInterceptor

    angular8 支持支持,构造函数的注入。下面要发送Http请求,所以注入HttpClient





    req是当前发的请求,next是下一步的处理

    在做下一步处理的时候,实际上是可以改变request里面的好多东西,比如说req.body,都是可以重新赋值的 在这个拦截器里面。


    我要做的是在http发出去,有了响应之后的处理,响应是500 message是refresh fail的时候,我要做一个处理。

    pipe管道服务处理,tap里面有两个方法,第一个是成功 第二个是失败。我们要做的就是失败的处理。成功处理里什么都没写


    首先把错误的信息打印出来。然后看状态码是不是500,error.message是不是refresh fail。如果这两个都对上了就表示我是在刷新令牌的时候出问题了。拿不到可以用的令牌了。必须让用户去重新去获取令牌。整个认证授权的流程。
    这个时候就调用退出方法。

    调到认证服务器的退出上,然后再跳回来。再出发授权请求。再登陆。

    拦截器的注册


    注册的语法也是angular特有的语法


    multi为true表示可以反复使用,


    引入包



    这样就会把我们的拦截器做为http的拦截器,加到http的模块里面。这样我发请求的时候,拦截器就会起作用了。

    数据库内 refresh的token改成20秒

    把之前发出的token和session相关的表都清空表。

    恢复到一个初始的状态

    启动服务测试








    10秒的accessToken和20秒的refreshToken






    一直点击到了20秒左右的时候,系统就没法访问了。

    点击确定跳转到了登陆页面。因为我的刷新令牌也已经完全失效了。

    重新登陆




    重复点击 20秒左右还是会失效。
     

    依赖认证服务器的session

    禁用了退出的方法,refresh_token失效以后,跳转到认证的页面。认证服务器会判断session失效了没,失效了就登陆,没失效就返回新的token





    跳过去 ,然后又跳回来了。还是在当前这个页面上。

    再点击按钮 ,又有效了


    不停的点击大概 10秒左右

    点击确定又到了首页。

    总结

    优点:安全,用户的信息 token的信息啊 都是放在session里面的,在浏览器里面只有一个sessionId一个无意义的串,只要在浏览器那边做好session固定攻击的防护,一般是不会有社么风险的
    2.可控性高。session、token的信息都在数据库里面,想让谁下线就下线,


    3.跨域

    缺点:复杂度高,前端session有过期时间,认证服务器有过期时间,访问令牌有过期时间,刷新令牌也有过期时间,必须清楚每一种东西是干嘛的,它过期后对系统会产生什么样的影响。应该怎么去处理,系统的行为是什么。要有一个清晰的认识。才能把这个方案用好。
    占用系统资源,如果用户上亿,这种方案就是不可行的,适用于百万用户以下,发出的token的表里面,session的表里面,顶多就是100来万数据
    适用于内部的管理系统,

     

    结束





     

  • 相关阅读:
    每日日报8月12日
    每日日报8月15日
    每日日报8月18日
    每日日报8月9日
    九月29号——动手又动脑
    今日总结
    每周总结
    今日总结
    周总结
    今日总结
  • 原文地址:https://www.cnblogs.com/wangjunwei/p/11967213.html
Copyright © 2020-2023  润新知