App登錄java後臺處理和用戶權限驗證

最近作一個app項目，後臺我獨自一人開發，開發任務順序安排上沒有把登錄，註冊和權限驗證這些基本功能放在第一階段開發，如今是部分業務相關功能已經完成，可是用戶入口居然尚未，只能說明當初需求分析的時候仍是太過於着急了，把最基本的用戶入口給放到後面了。

如今就須要在現有代碼的基礎上添加用戶登陸和權限驗證功能。

關於登陸和權限驗證方面，參照之前作iOS的開發經驗，App端提供用戶名和密碼換取token，每次經過換取的token請求須要登錄權限的操做。

如今反過來，我就須要考慮下面幾個問題：

1.在現有功能的代碼上如何比較輕鬆地知足這些功能的實現，使得現有代碼改動不大，而且從此新功能實現權限驗證不麻煩

2.如何根據用戶名和密碼生成token，而且在須要權限的功能上如何區分客戶端提供token的正確性

首先面對第一個問題，根據經驗，常規解決方案就是過濾器，攔截器，如果在需求安排上登錄和權限驗證這些放在前面的話，只要讓後期功能的url有必定規律，過濾器或攔截器的使用簡直屢試不爽。可是我如今面對的是前期沒有任何設計和規範的url，因此使用過濾器或者攔截器是我不肯意麪對的。

除了以上常規解決方案，spring AOP正好成了解決這類問題的利器，利用面相切面編程對全部須要權限驗證的method作一個前置通知，可是因爲url，類名或者方法沒有規律，因而我想到了自定義註解（annotation），對全部加上自定義註解的method作權限驗證。

1.既然已經想到使用spring aop了，那首先第一步就是在spring配置文件中開啓aop

//開啓aop

<aop:aspectj-autoproxy />

以上配置基於項目中倒入spring－aop相關jar包，而且在配置文件頭部引入aop的url

2.其次咱們先定義一個自定義annotation

@Target({ElementType.METHOD, ElementType.TYPE})

@Retention(RetentionPolicy.RUNTIME)

public @interface UserAccess {

 

}

3.咱們還不能急於作權限驗證的功能，由於如今咱們的token尚未生成方案。

在token生成上考慮到單點登陸，因此token不能一直固定，不然在任什麼時候候，只要擁有token就能夠同時至少兩我的使用同一個賬戶，這是目前咱們業務上不容許的。最終我選擇了」username＋password＋登陸時間「作MD5加密做爲token（在保證惟一和可變的狀況下，有不少方法，好比uuid）。在驗證用戶名和密碼成功的狀況下生成token，並將token以「username：token」 和 「token：用戶」的鍵值對形式保存起來（也能夠保存進數據庫），最後返回token給客戶端。

如下代碼只作一個簡單示例：

@Service

public class LoginService {

/**

* 存放「用戶名：token」鍵值對

*/

public static Map<String,String> tokenMap=new HashMap<String,String>();

/**

* 存放「token:User」鍵值對

*/

public static Map<String,User> loginUserMap=new HashMap<String,User>();

 

public String login(String name,String password){

System.out.println(name+"-----"+password);

/**

*  判斷是否登陸成功

*  1.登陸成功

*   1.1.成功生成對應的token並更新

*   1.2.失敗就拋異常

*/

String token=tokenMap.get(name);

User user=null;

if(token==null){

user=new User();

user.setName(name);

user.setPassword(password);

System.out.println("新用戶登陸");

}else{

user=loginUserMap.get(token);

loginUserMap.remove(token);

System.out.println("更新用戶登陸token");

}

token=MD5Util.MD5(name+password+new Date().getTime());

loginUserMap.put(token, user);

tokenMap.put(name, token);

System.out.println("目前有"+tokenMap.size()+"個用戶");

for(User u:loginUserMap.values()){

System.out.println(u.getName()+":"+u.getPassword());

}

return token;

} 

}

4.於此同時，咱們的客戶端登錄後也就得到了token，只要在全部須要權限的請求中攜帶token便可成功獲取響應（建議：爲方便app編碼，token可攜帶在請求頭中，現有代碼就無需大改動，而且從此都不須要關心token的問題）。我隨便找了個method作實驗：

@Controller

@RequestMapping("/login")

public class LoginController {

@Autowired

private LoginService loginService;

 

@UserAccess

@RequestMapping(value="/loginin",method=RequestMethod.GET)

public @ResponseBody String login(HttpServletRequest request){

String name=request.getParameter("name");

String password=request.getParameter("password");

String token=loginService.login(name, password);

return token;

}

}

注意加粗部分就是自定義annotation,登錄功能的請求參數是不可能有token的，因此無論驗證多少次，都不可能經過，只是作個示例。@UserAccess添加在須要權限驗證的功能上才起做用

5.如今自定義annotation就是一個很好的切入點

@Component

@Aspect

public class PermissionAspect {

 

 //設置以自定義annotation做爲切入點

@Before("@annotation(com.example.chap01.annotation.UserAccess)")

public void checkPermission(JoinPoint joinPoint) throws Exception{

System.out.println("前置通知");

//獲取攔截的請求參數

Object[] args = joinPoint.getArgs();

HttpServletRequest request=(HttpServletRequest)args[0];

String token=request.getParameter("token");

System.out.println("前置通知  token:"+token);

User user=LoginService.loginUserMap.get(token);

if(user==null){

System.out.println("驗證不經過！");

throw new Exception("沒有權限");

}

}

}

至此，登錄和權限驗證功能所有完成。

另外附上我的github上面的源碼：https://github.com/zw201913/applogin.git