十五.SpringCloud+Security+Oauth2实现微服务授权 -前端登录实战

1.前端登录

1.1.方案分析

后端没什么说的，跟之前文章中一样，你需要搭建独立的认证中心，其他的微服务做为资源服务即可，对于前台登录首先少不了账号密码登录模式，所以我们的方案可以这样，前台直接封装请求向认证中心获取Token可以使用“password”模式，然后把Token存储到SessionStorage中，请求资源的时候给Header添加上Token即可.

1.2.前端获取Token

使用“password”模式请求Token，如下：

var param = "username=zs&password=123&client_id=system&client_secret=123&grant_type=password";
//请求参数的内容格式为普通方式，否则默认使用JSON格式提交参数
var config={
   
    headers: {
   'Content-Type': 'application/x-www-form-urlencoded'}
};

this.$http.post("/auth/oauth/token",param,config).then(res=>{
   
    //获取到Token
    var token = res.data.access_token;
    var refresh_token = res.data.refresh_token;

    //把token存储起来
    sessionStorage.setItem("U-TOKEN",token);
    sessionStorage.setItem("R-TOKEN",refresh_token );
    sessionStorage.setItem("user",'{"username":"zs"}');
    //修改登录成功后跳转到首页
    this.$router.push({
    path: '/main' });
    this.logining = false;
    return;
}).catch(error => {
   
    this.$message.error(error.message);
    this.logining = false;
    return;
});

这里 Content-Type 设置为 application/x-www-form-urlencode ，发送请求到认证中心获取Token,然后存储Token

当然您可以会觉得这样去带参数会暴露 client_secret 秘钥，那你可以稍作修改，就是做一个登陆接口，前台只带着用户名和密码去登陆，在登录接口中获取client_id和client_secret 加上参数中的用户名和密码组装成完整的URL使用HTTP调用认证中心的令牌获取接口获取令牌，然后返回给客户端，比如：

     var loginParams = {
    username: "zs", password: "123",clientId:"system"};
            //发起请求 http://localhost:1020/hrm/auth/auth/oauth/token?
     this.$http.post("/auth/login/accessToken",loginParams).then(res=>{
   
         //获取到Token
         var token = res.data.resultObj.access_token;
         var refresh_token = res.data.resultObj.refresh_token;
         //把token存储起来
         sessionStorage.setItem("U-TOKEN",token);
         sessionStorage.setItem("R-TOKEN",refresh_token);
         sessionStorage.setItem("user",'{"username":"zs"}');
         //修改登录成功后跳转到首页
         this.$router.push({
    path: '/main' });
         this.logining = false;
         return;
     }).catch(error => {
   
         this.$message.error(error.message);
         this.logining = false;
         return;
     });

后台登录代码

 @Override
    public AjaxResult login(Login login) {
   

        ValidUtils.assertNotNull(login.getUsername(),"用户名不可为空");
        ValidUtils.assertNotNull(login.getPassword(),"密码不可为空");
        ValidUtils.assertNotNull(login.getClientId(),"clientId不可为空");

        //String urlAccessToken = "%s/oauth/token?username=%s&password=%S&client_id=%S&client_secret=%s&grant_type=password"
        //组装获取Token的Url
        String accessTokenUrl = String.format(AuthConstants.URL_ACCESS_TOKEN,
                oauthProperties.getAuthServerUrl(),    //获取令牌地址
                login.getUsername(),    //用户名
                login.getPassword(),    //密码
                login.getClientId(),    //客户端ID
                oauthProperties.getSecrectByClentId(login.getClientId()));    //秘钥

            //发送Http请求获取Token,返回给浏览器
              return  AjaxResult.me().setResultObj(HttpUtil.sendPost(accessTokenUrl));

1.3.请求头添加Token

使用Axios拦截器给请求头添加Token，如下：

axios.interceptors.request.use(config => {
   
    //如果已经登录了,每次都把token作为一个请求头传递过程
    if (sessionStorage.getItem('U-TOKEN')) {
   
        // 让每个请求携带token--['X-Token']为自定义key 请根据实际情况自行修改
        config.headers['Authorization'] = "Bearer "+sessionStorage.getItem('U-TOKEN')
    }
    return config
}, error => {
   
    // Do something with request error
    Promise.reject(error)
})

这样一来，每次发送请求都会在请求头中携带Token了，请求到了网关层就会对Token进行校验

2.Token无感刷新

2.1.方案分析

如果Token过期怎么办？Token过期请求会失败出现401错误，

1. 解决方案一：可以通过Axios的后置拦截器拦截到401错误直接弹出窗口要求用户去登录，当然这种方式对用户体验不是很好。
2. 方案二：可以在服务器端比如zuul中做授权失败的处理器，发现是401异常就自动向认证中心发送Token刷新请求，然后把新的Token写回客户端(比如通过cookie)，接着重新转发失败的请求
3. 方案三：可以在前端做文章，通通过Axios的后置拦截器拦截到401错误，然后同步发送刷新Token的请求重新得到Token,把Token重新存储到SessionStorage，然后重新转发失败的请求，请求头携带新的Token

后面两种都可以实现Token无感刷新，第三种方案更适合前后端分离项目

2.2.后置拦截器

Axios响应拦截器拦截401异常

axios.interceptors.response.use(config => {
   
    return config
},error => {
   
    if (error && error.response) {
   
        switch (error.response.status) {
   
            case 401: return doRequest(error);
        }
    }
    Promise.reject(error)
});

如果是401异常，说明Token过期了，同步发送刷新Token请求,刷新TokenURL是

/auth/oauth/token?client_id=system&client_secret=123
&grant_type=refresh_token&refresh_token=刷新Token

刷新Token是需要带着上一次获取Token返回的refresh_token值，所以在登录成功后除了要保持Token还要保存refresh_token

刷新Token请求如下：

async function doRequest (error) {
   
    try {
   
        //刷新Token请求
        const data = await getNewToken();
        var token = data.data.access_token;
        var refresh_token = data.data.refresh_token;
        //重新设置Token
        sessionStorage.setItem("U-TOKEN",token);
        sessionStorage.setItem("R-TOKEN",refresh_token);
        console.log("刷新Token:"+token);
        //继续请求之前未完成的请求
        const res = await axios.request(error.config);
        return res;
    } catch(err) {
   
        alert("登录失效,请重新登录");
        sessionStorage.clear();
        router.replace({
    path:"/login" });
        return err;
    }
}

async function getNewToken() {
   
    //获取到保存的refresh_token值
    var refreshToken = sessionStorage.getItem('R-TOKEN');
    //这里要发送同步请求
    return await axios({
   
        url: '/auth/oauth/token?client_id=system&client_secret=123&grant_type=refresh_token&refresh_token='+refreshToken,
        method: 'post',
        headers: {
   
            'Content-Type':'application/x-www-form-urlencoded'
        }
    })
}

同步方式获取到新的Token,重新存储到sessionStorage中,然后调用axios.request继续执行之前的请求，这一次请求头中带的就是新的Token

3.总结

到这里就结束了，这里介绍了两个内容，一个是使用“password”授权模式基于账号密码的登录，二个是基于前端的Token刷新，当然对于短信登录，邮件登录，三方登录肯定有所不一样，这里暂不讨论，希望文章对你有所帮助