環境說明
uni-applaravel 5.7 + jwt-auth 1.0.0
許可權認證整體說明
- 設計表結構
- 前端 request 類
- 有關許可權認證的 js 封裝 包含無感知重新整理 token
- laravel auth 中介軟體 包含無感知重新整理 token
- 獲取手機號登陸
- 無痛重新整理 access_token 思路
- 小程式如何判斷登陸狀態
設計表結構
和一般設計表沒有什麼區別,如果是多平臺小程式,通過 account_id 關聯聯合表。
CREATE TABLE `users` (
`u_id` int(10) unsigned NOT NULL AUTO_INCREMENT COMMENT '賬號id',
`u_username` varchar(15) NOT NULL DEFAULT '' COMMENT '手機號隱藏 ',
`u_nickname` varchar(15) NOT NULL COMMENT '分配使用者名稱',
`u_headimg` varchar(200) DEFAULT NULL COMMENT '頭像',
`u_province` varchar(50) DEFAULT NULL,
`u_city` varchar(50) DEFAULT NULL,
`u_platform` varchar(30) NOT NULL COMMENT '平臺:小程式wx,bd等',
`u_mobile` char(11) NOT NULL COMMENT '手機號必須授權',
`u_openid` varchar(100) DEFAULT NULL COMMENT 'openid',
`u_regtime` timestamp NULL DEFAULT NULL COMMENT '註冊時間',
`u_login_time` timestamp NULL DEFAULT NULL COMMENT '最後登陸時間',
`u_status` tinyint(3) unsigned NOT NULL DEFAULT '1' COMMENT '0禁用1正常',
`account_id` int(10) unsigned NOT NULL DEFAULT '0' COMMENT '平臺聯合id',
PRIMARY KEY (`u_id`),
KEY `platform` (`u_platform`,`u_mobile`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=7 DEFAULT CHARSET=utf8mb4;2. 前端 request 類
一個較不錯的 request 類 luch-request ,支援動態修改配置、攔截器,在 uni-app 外掛市場可以找到。
其中 request.js 不需要更改。自定義邏輯在 index.js。
index.js
import Request from './request';
import jwt from '@/utils/auth/jwt.js'; // jwt 管理 見下文
const http = new Request();
const baseUrl = 'http://xxx'; // api 地址
var platform = ''; // 登陸時需知道來自哪個平臺的小程式使用者
// #ifdef MP-BAIDU
platform = 'MP-BAIDU';
// #endif
/* 設定全域性配置 */
http.setConfig((config) => {
config.baseUrl = baseUrl; //設定 api 地址
config.header = {
...config.header
}
return config
})
/* 請求之前攔截器 */
http.interceptor.request((config, cancel) => {
if (!platform) {cancel('缺少平臺引數');}
config.header = {
...config.header,
platform:platform
}
if (config.custom.auth) {
// 需要許可權認證的路由 需攜帶自定義引數 {custom: {auth: true}}
config.header.Authorization = jwt.getAccessToken();
}
return config
})
http.interceptor.response(async (response) => { /* 請求之後攔截器 */
console.log(response);
// 如果是需要許可權認證的路由
if(response.config.custom.auth){
if (response.data.code !== 0)
{
if(response.data.code == 4011){
// 重新整理 token
jwt.setAccessToken(response.data.data.access_token);
// 攜帶新 token 重新請求
let repeatRes = await http.request(response.config);
if ( repeatRes ) {
response = repeatRes;
}
}else if(response.data.code == 401){
// 登陸態失效則清除token:沒有攜帶token、token無法再重新整理
jwt.clearAccessToken();
jwt.clearUser();
}
}
}
return response
}, (response) => { // 請求錯誤做點什麼
return response
})
export {
http
}
全域性掛載
import Vue from 'vue'
import App from './App'
import { http } from '@/utils/luch/index.js' //這裡
Vue.prototype.$http = http
Vue.config.productionTip = false
App.mpType = 'app'
const app = new Vue({
...App
})
app.$mount()3.有關許可權認證的 js 封裝
authorize.js
篇幅原因,沒有貼完整的程式碼,其他並沒有使用到。比如 uni.checkSession(),由於使用 jwt 接管了小程式的登陸態,所以目前沒有用到這個方法。
// #ifndef H5
const loginCode = provider => {
return new Promise((resolve, reject) => {
uni.login({
provider: provider,
success: function(loginRes) {
if (loginRes && loginRes.code) { resolve(loginRes.code) } else { reject("獲取code失敗") }
},
fail:function(){ reject("獲取code失敗")}
});
})
}
// #endif
export {
loginCode //登入獲取code
}jwt.js
專門管理 access_token 的,程式碼不多,同時將 userinfo 的管理也放在裡面。
const tokenKey = 'accessToken';//鍵值 const userKey = 'user'; // 使用者資訊 // token const getAccessToken = function(){ let token=''; try {token = 'Bearer '+ uni.getStorageSync(tokenKey);} catch (e) {} return token; } const setAccessToken = (access_token) => { try {uni.setStorageSync(tokenKey, access_token);return true;} catch (e) {return false;} } const clearAccessToken = function(){ try {uni.removeStorageSync(tokenKey);} catch (e) {} } // userinfo const setUser = (user)=>{ try {uni.setStorageSync(userKey, user);return true;} catch (e) {return false;} } const getUser = function(){ try {return uni.getStorageSync(userKey)} catch (e) {return false;} } const clearUser = function(){ try {uni.removeStorageSync(userKey)} catch (e) {} } export default { getAccessToken,setAccessToken,clearAccessToken,setUser,clearUser }
auth.js
只處理 login ,為什麼單獨放在一個檔案,沒別的,因為到處都用到
import {loginCode} from '@/utils/auth/authorize.js';
import jwt from '@/utils/auth/jwt.js';
import {http} from '@/utils/luch/index.js';
const login=function(detail){
return new Promise((resolve, reject) => {
loginCode().then(code=>{
detail.code = code;
return http.post('/v1/auth/login',detail);
})
.then(res=>{
jwt.setAccessToken(res.data.data.access_token);
jwt.setUser(res.data.data.user);
resolve(res.data.data.user);
})
.catch(err=>{
reject('登陸失敗')
})
})
}
export default {login}4. laravel auth 中介軟體
這裡叨叨一點 jwt-auth 方面的。1,當一個token過期並進行了重新整理token,那麼原token會被列在“黑名單”,即失效了。實際上 jwt-auth 也維護了一個檔案來儲存黑名單,而達到重新整理時間上限才會清理失效的token。例如過期時間為10分鐘,重新整理上限為一個月,這期間會產生大量的黑名單,影響效能,所以儘量的調整,比如過期時間為60分鐘,重新整理上限為兩週,或者過期時間一週,重新整理上限一個月都沒有問題的。2,關於無痛重新整理方案,當token過期時,我採用的前端兩次請求完成重新整理,其中使用者是無感知的,網上有直接一次請求自動重新整理並登陸的方案,我沒有采用,至於為什麼,沒別的,看不懂。不過我整理了各種 jwt 各種 exception ,需要的同學可以自定義。TokenExpiredException 過期、TokenInvalidException 無法解析令牌、UnauthorizedHttpException 未攜帶令牌、JWTException 令牌失效或者達到重新整理上限或jwt內部錯誤。
<?php
namespace App\Http\Middleware;
use App\Library\Y;
use Closure;
use Exception;
use Tymon\JWTAuth\Exceptions\JWTException;
use Tymon\JWTAuth\Http\Middleware\BaseMiddleware;
use Tymon\JWTAuth\Exceptions\TokenExpiredException;
class ApiAuth extends BaseMiddleware
{
public function handle($request, Closure $next, $guard = 'api')
{
// 在排除名單中 比如登入
if($request->is(...$this->except)){
return $next($request);
}
try {
$this->checkForToken($request);// 是否攜帶令牌
if ( $this->auth->parseToken()->authenticate() ) {
return $next($request); //驗證通過
}
}catch(Exception $e){
// 如果token 過期
if ($e instanceof TokenExpiredException) {
try{
// 嘗試重新整理 如果成功 返給前端 關於前端如何處理的 看前邊 index.js
$token = $this->auth->refresh();
return Y::json(4011, $e->getMessage(),['access_token'=>$token]);
}catch(JWTException $e){
// 達到重新整理時間上限
return Y::json(401, $e->getMessage());
}
}else{
// 其他各種 直接返回 401 不再細分
return Y::json(401, $e->getMessage());
}
}
}
protected $except = [
'v1/auth/login',
];
}
5. 獲取手機號登陸
<template>
<view>
<button type="default" open-type="getPhoneNumber" @getphonenumber="decryptPhoneNumber">獲取手機號</button>
<button @tap="me">獲取使用者資料</button>
<button @tap="clear">清除使用者資料</button>
</view>
</template>
<script>
import auth from '@/utils/auth/auth.js';
import jwt from '@/utils/auth/jwt.js';
var _self;
export default{
data() {return {}},
onLoad(option) {},
onShow(){},
methods: {
decryptPhoneNumber: function(e){
// console.log(e.detail);
if( e.detail.errMsg == "getPhoneNumber:ok" ){ //成功
auth.login(e.detail);
}
},
me: function(){
this.$http.get('/v1/auth/me',{custom: {auth: true}}).then(res=>{
console.log(res,'success')
}).catch(err=>{
console.log(err,'error60')
})
},
clear: function(){
jwt.clearAccessToken();
jwt.clearUser();
uni.showToast({
icon: 'success',
title: '清除成功',
duration:2000,
});
}
},
components: {}
}
</script>
<style>
</style>後端
// 登陸
public function login(Request $request)
{
$platform = $request->header('platform');
if(!$platform || !in_array($platform,User::$platforms)){
return Y::json(1001, '不支援的平臺型別');
}
$post = $request->only(['encryptedData', 'iv', 'code']);
$validator = Validator::make($post, [
'encryptedData' => 'required',
'iv' => 'required',
'code' => 'required'
]);
if ($validator->fails()) {return Y::json(1002,'非法請求');}
switch ($platform) {
case 'MP-BAIDU':
$decryption = (new BdDataDecrypt())->decrypt($post['encryptedData'],$post['iv'],$post['code']);
break;
default:
$decryption = false;
break;
}
// var_dump($decryption);
if($decryption !== false){
$user = User::where('u_platform',$platform)->where('u_mobile',$decryption['mobile'])->first();
if($user){
$user->u_login_time = date('Y-m-d H:i:s',time());
$user->save();
}else{
$user = User::create([
'u_username'=> substr_replace($decryption['mobile'],'******',3,6),
'u_nickname'=> User::crateNickName(),
'u_platform'=> $platform,
'u_mobile' => $decryption['mobile'],
'u_openid' => $decryption['openid'],
'u_regtime' => date('Y-m-d H:i:s',time())
]);
}
$token = auth()->login($user);
return Y::json(
array_merge(
$this->respondWithToken($token),
['user'=>['nickName'=>$user->u_nickname]]
)
);
}
return Y::json(1003,'登入失敗');
}
// 返回 token
protected function respondWithToken($token)
{
return ['access_token' => $token];
}手機號碼解密
<?php
namespace App\Library;
use App\Library\Y;
class BdDataDecrypt
{
private $_appid;
private $_app_key;
private $_secret;
private $_session_key;
public function __construct()
{
$this->_appid = env('BD_APPID');
$this->_app_key = env('BAIDU_KEY');
$this->_secret = env('BD_SECRET');
}
public function decrypt($encryptedData, $iv, $code){
$res = $this->getSessionKey($code);
if($res === false){return false;}
$data['openid'] = $res['openid'];
$res = $this->handle($encryptedData,$iv,$this->_app_key,$res['session_key']);
if($res === false){return false;}
$res = json_decode($res,true);
$data['mobile'] = $res['mobile'];
return $data;
}
public function getSessionKey($code)
{
$params['code'] = $code;
$params['client_id'] = $this->_app_key;
$params['sk'] = $this->_secret;
$res = Y::curl("https://spapi.baidu.com/oauth/jscode2sessionkey",$params,0,1);
// var_dump($res);
/**
* 錯誤返回
* array(3) {
["errno"]=>
int(1104)
["error"]=>
string(33) "invalid code , expired or revoked"
["error_description"]=>
string(33) "invalid code , expired or revoked"
}
成功返回:
array(2) {
["openid"]=>
string(26) "z45QjEfvkUJFwYlVcpjwST5G8w"
["session_key"]=>
string(32) "51b9297ababbcf43c1a099256bf82d75"
}
*/
if( isset($res['error']) ){
return false;
}
return $res;
}
/**
* 官方 demo
* return string(24) "{"mobile":"18288881111"}" or false
*/
private function handle($ciphertext, $iv, $app_key, $session_key)
{
$session_key = base64_decode($session_key);
$iv = base64_decode($iv);
$ciphertext = base64_decode($ciphertext);
$plaintext = false;
if (function_exists("openssl_decrypt")) {
$plaintext = openssl_decrypt($ciphertext, "AES-192-CBC", $session_key, OPENSSL_RAW_DATA | OPENSSL_ZERO_PADDING, $iv);
} else {
$td = mcrypt_module_open(MCRYPT_RIJNDAEL_128, null, MCRYPT_MODE_CBC, null);
mcrypt_generic_init($td, $session_key, $iv);
$plaintext = mdecrypt_generic($td, $ciphertext);
mcrypt_generic_deinit($td);
mcrypt_module_close($td);
}
if ($plaintext == false) {
return false;
}
// trim pkcs#7 padding
$pad = ord(substr($plaintext, -1));
$pad = ($pad < 1 || $pad > 32) ? 0 : $pad;
$plaintext = substr($plaintext, 0, strlen($plaintext) - $pad);
$plaintext = substr($plaintext, 16);
$unpack = unpack("Nlen/", substr($plaintext, 0, 4));
$content = substr($plaintext, 4, $unpack['len']);
$app_key_decode = substr($plaintext, $unpack['len'] + 4);
return $app_key == $app_key_decode ? $content : false;
}
}6. 無痛重新整理 access_token 思路
先說我使用的方法是,後端判斷 token 過期後,自動嘗試重新整理,重新整理成功返回新的 token,前端在響應攔截器裡,捕獲到後端響應的約定 code,把新的 token 儲存,並且緊接著二次請求,最終感知上是一次正常的請求。
另外一種思路,後端嘗試重新整理成功後,自動為當前使用者登陸,並在 header 中返回新 token,前端只負責儲存。
7. 小程式如何判斷登陸狀態
其實思路也很簡單,非前後端分離怎麼做的,前後端分離就怎麼做,原理一樣。非前後端分離,在每次請求時都會讀取 session ,那麼前後端分離,更好一些,有些公開請求不走中介軟體,也就無需判斷登陸態,只有在需要許可權認證的頁面,在頁面初始化時發出一次請求走中介軟體,以此判斷登陸狀態。
定義全域性登陸檢查函式
import jwt from '@/utils/auth/jwt.js';
Vue.prototype.checkLogin = function(){
var TOKEN = jwt.getAccessToken();
return new Promise((resolve, reject) => {
if(TOKEN){
http.get('/v1/auth/check',{custom: {auth: true}}).then(res=>{
// 走中介軟體 正常的響應只有三種狀態碼 未登陸返回 401未登陸 或者 4011 重新整理token 其他自定義狀態碼一定是登陸態
if(res.data.code == 401){
resolve(false);return;
}
resolve(true);
}).catch(err=>{
resolve(false);
console.log(err) // 這裡是後端500錯誤或者網路不好
})
}else{
resolve(false) //沒有token 一定是未登陸
}
})
}前端
<script>
export default {
data() {
return {
isLogin:null
}
},
onLoad() {
this.checkLogin().then(loginStatus=>{
this.isLogin = loginStatus;
});
},
methods: {
},
components: {}
}
</script>本作品採用《CC 協議》,轉載必須註明作者和本文連結