摘要:初衷緣起最近在構思一件事情�,使用實現授權的要測試�����,動手敲代碼最實際�,但是,思考也是不能少的�����,否則也只是復制粘貼代碼���。通過對比��,微博開放平臺會相對簡單點,因為微信有環境的限制�����。在閱讀微博開放平臺的登錄授權接口時��,發現要填寫一個授權的回調����。
初衷&緣起
最近在構思一件事情����,使用spring-boot + spring-security+oauth實現授權的demo;
要測試,動手敲代碼最實際,但是,思考也是不能少的����,否則也只是復制粘貼代碼��。
測試oauth的第一步,肯定是先弄明白怎么請求授權服務器,怎么拿到code再拿到token���。
所以第一步是創建一個能使用的“client”。通過對比�,微博開放平臺會相對簡單點�,因為微信有環境的限制�����。
在閱讀微博開放平臺的登錄授權接口時�����,發現要填寫一個授權的回調url����。
那么疑問就來了:
如果我的“client”應用是一個類似公眾號的
比如:有多個菜單,點擊跳到不同的頁面,而這些頁面都需要先登錄微博授權
限制:用戶點擊登錄授權之后�,回調的url是同一個
結果:那不管點擊那個菜單���,最后都是跳到回調的頁面����,多個菜單就形同虛設了
請求過程分析
請注意����,這里不是分析如何授權登錄,而是授權成功時���,如何跳到所點擊的入口(菜單)
假設(靜默授權,就是不需要用戶點擊確認):
我們的應用(client)的域名是:web.client.com
client中有一個菜單是:web.client.com/ha
client中有個回調地址:web.client.com/receive
微博開發平臺的域名是:oauth.server.com
微博確認授權接口地址是:oauth.server.com/test
過程:
訪問client的任意菜單(web.client.com/ha)
client發現需要登錄微博授權����,將用戶重定向到oauth.server.com/test
微博確認了用戶信息���,把用戶重定向到web.client.com/receive,并帶上code
client接收到code���,并且可以通過code拿到token并暫存���。
問題在于:最后一步���,拿到code再拿到token后�,如何跳到我們所點擊的入口(菜單)
猜測&實驗:session能否實現����?
猜測思路
session存放我們所點擊的入口(菜單),在接收code的回調接口中���,在把用戶重定向到我們所點擊的入口菜單。
實驗代碼
host配置兩個站點
127.0.0.1 oauth.server.com
127.0.0.1 web.client.com
web.client.com接口
package com.lgh.demo.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
@Controller
public class IndexController {
@RequestMapping("/ha")
public String index(HttpServletRequest request, HttpServletResponse response, HttpSession session) throws Exception {
System.out.println("/ha 請求�,redirect:http://oauth.server.com/test");
System.out.println(session.getId());
System.out.println(request.getRequestURL());
session.setAttribute("entrance", request.getRequestURL());
return "redirect:http://oauth.server.com/test";
}
@RequestMapping("ha2")
public String index2(HttpServletRequest request, HttpServletResponse response, HttpSession session) throws Exception {
System.out.println("/ha2 請求��,redirect:http://oauth.server.com/test");
System.out.println(session.getId());
System.out.println(request.getRequestURL());
session.setAttribute("entrance", request.getRequestURL());
return "redirect:http://oauth.server.com/test";
}
@RequestMapping("/receive")
public String receive(HttpServletRequest request, HttpServletResponse response, HttpSession session) {
System.out.println("/receive請求, 返回haha.jsp");
System.out.println(session.getId());
System.out.println("code = " + request.getParameter("code"));
System.out.println("入口地址:" + session.getAttribute("entrance"));
return "haha";
}
}
oauth.server.com接口(php)
實驗結果
第一次:web.client.com:8080/ha
第二次:web.client.com:8080/ha2
注意在測試兩個接口的中間�����,要徹底關閉瀏覽器��,否則拿到的session是沒變的
再來思考下session的過期和時效
過期:一般會有默認的過期時間�����,是由服務器的默認配置的。
失效:一般都是瀏覽會話結束時失效(瀏覽會話結束是指:瀏覽器徹底關掉所有的tab,一個不留,有一個沒關�,瀏覽會話都沒結束)
腦殘測試
條件
把client的兩個接口都設置session的過期時間:session.setMaxInactiveInterval(2);
server接口中���,添加睡眠代碼:sleep(10);
結果
由于session都過期了����,server才返回code���,此時拿到的session自然沒有東西啦
延伸思考:
多次訪問不同入口
如果真的是多個菜單的場景�,會存在一種情況:我點了一個菜單,退出來�,再點第二個菜單�����,session存的入口菜單就會覆蓋,這種情況會不會有問題�?
分析:
不同時刻關閉重新點擊菜單�����,造成的影響會有點點不一樣
如果我們在拿到token之后���,在session里存放用戶的標志字段��,在其他入口地址根據是否存在用戶的標志字段來判斷是否需要重新認證�����,就沒問題了。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為����,您可以聯系管理員刪除�����。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/69376.html
