App登陸java后臺處理和用戶權限驗證

更新時間：2016年06月11日 09:39:07 作者：夢想實現(xiàn)家-Tony

這篇文章主要為大家詳細介紹了App登陸java后臺處理和用戶權限驗證，感興趣的朋友可以參考一下

最近做一個app項目，后臺我獨自一人開發(fā)，開發(fā)任務順序安排上沒有把登陸，注冊和權限驗證這些基本功能放在第一階段開發(fā)，現(xiàn)在是部分業(yè)務相關功能已經(jīng)完成，但是用戶入口竟然還沒有，只能說明當初需求分析的時候還是太過于著急了，把最基本的用戶入口給放到后面了。

現(xiàn)在就需要在現(xiàn)有代碼的基礎上添加用戶登錄和權限驗證功能。

關于登錄和權限驗證方面，參照以前做iOS的開發(fā)經(jīng)驗，App端提供用戶名和密碼換取token，每次通過換取的token請求需要登陸權限的操作。

現(xiàn)在反過來，我就需要考慮下面幾個問題：

1.在現(xiàn)有功能的代碼上如何比較輕松地滿足這些功能的實現(xiàn)，使得現(xiàn)有代碼改動不大，并且今后新功能實現(xiàn)權限驗證不麻煩

2.如何根據(jù)用戶名和密碼生成token，并且在需要權限的功能上如何區(qū)分客戶端提供token的正確性

首先面對第一個問題，根據(jù)經(jīng)驗，常規(guī)解決方案就是過濾器，攔截器，若是在需求安排上登陸和權限驗證這些放在前面的話，只要讓后期功能的url有一定規(guī)律，過濾器或攔截器的使用簡直屢試不爽。但是我現(xiàn)在面對的是前期沒有任何設計和規(guī)范的url，所以使用過濾器或者攔截器是我不愿意面對的。

除了以上常規(guī)解決方案，spring AOP正好成了解決這類問題的利器，利用面相切面編程對所有需要權限驗證的method做一個前置通知，但是由于url，類名或者方法沒有規(guī)律，于是我想到了自定義注解（annotation），對所有加上自定義注解的method做權限驗證。

1.既然已經(jīng)想到使用spring aop了，那首先第一步就是在spring配置文件中開啟aop

//開啟aop

<aop:aspectj-autoproxy />

以上配置基于項目中倒入spring－aop相關jar包，并且在配置文件頭部引入aop的url

2.其次我們先定義一個自定義annotation

@Target({ElementType.METHOD, ElementType.TYPE})

@Retention(RetentionPolicy.RUNTIME)

public @interface UserAccess {

 

}

3.我們還不能急于做權限驗證的功能，因為現(xiàn)在我們的token還沒有生成方案。

在token生成上考慮到單點登錄，所以token不能一直固定，否則在任何時候，只要擁有token就可以同時至少兩個人使用同一個帳戶，這是目前我們業(yè)務上不允許的。最終我選擇了”username＋password＋登錄時間“做MD5加密作為token（在保證唯一和可變的情況下，有很多方法，比如uuid）。在驗證用戶名和密碼成功的情況下生成token，并將token以“username：token” 和 “token：用戶”的鍵值對形式保存起來（也可以保存進數(shù)據(jù)庫），最后返回token給客戶端。

以下代碼只做一個簡單示例：

@Service

public class LoginService {

/**

* 存放“用戶名：token”鍵值對

*/

public static Map<String,String> tokenMap=new HashMap<String,String>();

/**

* 存放“token:User”鍵值對

*/

public static Map<String,User> loginUserMap=new HashMap<String,User>();

 

public String login(String name,String password){

System.out.println(name+"-----"+password);

/**

* 判斷是否登錄成功

* 1.登錄成功

*  1.1.成功生成對應的token并更新

*  1.2.失敗就拋異常

*/

String token=tokenMap.get(name);

User user=null;

if(token==null){

user=new User();

user.setName(name);

user.setPassword(password);

System.out.println("新用戶登錄");

}else{

user=loginUserMap.get(token);

loginUserMap.remove(token);

System.out.println("更新用戶登錄token");

}

token=MD5Util.MD5(name+password+new Date().getTime());

loginUserMap.put(token, user);

tokenMap.put(name, token);

System.out.println("目前有"+tokenMap.size()+"個用戶");

for(User u:loginUserMap.values()){

System.out.println(u.getName()+":"+u.getPassword());

}

return token;

} 

}

4.于此同時，我們的客戶端登陸后也就獲得了token，只要在所有需要權限的請求中攜帶token即可成功獲取響應（建議：為方便app編碼，token可攜帶在請求頭中，現(xiàn)有代碼就無需大改動，并且今后都不需要關心token的問題）。我隨便找了個method做實驗：

@Controller

@RequestMapping("/login")

public class LoginController {

@Autowired

private LoginService loginService;

 

@UserAccess

@RequestMapping(value="/loginin",method=RequestMethod.GET)

public @ResponseBody String login(HttpServletRequest request){

String name=request.getParameter("name");

String password=request.getParameter("password");

String token=loginService.login(name, password);

return token;

}

}

注意加粗部分就是自定義annotation,登陸功能的請求參數(shù)是不可能有token的，所以不管驗證多少次，都不可能通過，只是做個示例。@UserAccess添加在需要權限驗證的功能上才起作用

5.現(xiàn)在自定義annotation就是一個很好的切入點

@Component

@Aspect

public class PermissionAspect {

 

 //設置以自定義annotation作為切入點

@Before("@annotation(com.example.chap01.annotation.UserAccess)")

public void checkPermission(JoinPoint joinPoint) throws Exception{

System.out.println("前置通知");

//獲取攔截的請求參數(shù)

Object[] args = joinPoint.getArgs();

HttpServletRequest request=(HttpServletRequest)args[0];

String token=request.getParameter("token");

System.out.println("前置通知 token:"+token);

User user=LoginService.loginUserMap.get(token);

if(user==null){

System.out.println("驗證不通過！");

throw new Exception("沒有權限");

}

}

}

至此，登陸和權限驗證功能全部完成。

另外附上個人github上面的源碼：https://github.com/zw201913/applogin.git

以上就是本文的全部內容，希望對大家的學習有所幫助。

您可能感興趣的文章: