基于token机制鉴权架构

市面常见的鉴权方式有两种,一种是基于session,另一种是基于token方式的鉴权,我们来浅谈一下两种 鉴权方式的区别。

两种鉴权方式对比

session

  1. 安全性:session是基于cookie进行用户识别的,cookie如果被截获,用户很容易受到跨站请求伪造的攻击。
  2. 扩展性:session是有状态的,是具有IP黏贴性和有中心化特性的,在分布式环境下,虽然每台服务器业务逻辑一样,但是session是保存在各个服务器中的,而且每个服务器内存是不共享的,如果使用session去实现分布式部署的话,需要使用其他的一些技术手段去实现,比如spring session,将session保存在第三方服务中,比如redis,这样一旦第三方服务出现问题,整个验权系统就会奔溃,在电商系统及高并发系统中的集群化处理显然是不合适的。
  3. 抗压能力:通常session是存储在内存中的,每个用户通过认证后都会将session存储在服务器内存中,当用户量增大的情况下服务器的压力也随之增大。

token

  1. 安全性:浏览器会将接收到的token值存储在Local Storage中,(通过js代码写入Local Storage,通过js获取,并不会像cookie一样自动携带)
  2. 扩展性:token是无状态的,是去中心化的,在分布式环境下,各个服务器中的服务只对token进行数据查询,它不需要在服务端保留用户信息或者会话信息,这意味着用户不需要考虑登录的是哪一台服务器,高效的解决了session扩展性的弊端。
  3. 抗压能力:token与session的不同主要在认证成功后,会对当前用户数据进行加密,生成一个加密字符串token,返还给客户端(服务器端并不进行保存)

基于token的鉴权方式

业界常用的授权标准有两种,一种是使用auth2,这种方式更适合于类似第三方授权登录,比如微信、微博、QQ信任登录业务。另一种是oauth,即第三方无需知道用户和密码就可以申请获得该资源的授权,更适用于对用户的权限校验并分配访问权限,比如常见的登录后分配可见资源(按钮、菜单等)类型网站。

Javashop电商系统 采用的是oauth方式的鉴权标准。以下是javashop电商系统对于token鉴权架构的详解。

  1. 登录
    服务端校验密码,成功后返回access_token和refresh_token,客户端记录上述token。
  2. 访问API
    在访问API之前解析access_token,并且查看是否过期,如果不过 期则请求API,如果过期,则要刷新令牌,在请求API。
  3. 刷新token
    携带有效期的refresh_token换回有效token,如果refresh_token过期,则需要用户重新登录。
  4. 注销
    请求注销api,服务器端和客户端应同时删除token的存储。

验权流程

  1. 客户端请求API
    携带access_token信息,如果生成环境不会直接携带access_token,会使用加密后的签名校验。祥见以下防重放机制。
  2. 获取token
    根据环境不同而有不同的获取token方式。
  3. 解析token
    通过JWT工具将token解析。
  4. 由redis读取token
    根据uid拼接key读取access_token, 如果不存在这个用户的token说明已经登出。
  5. 验证token
    判断次token是否属于此uid,判断token是否过期,如果过期则进行以下刷新token的流程。
  6. 注入权限
    如果token验证成功,根据user信息生成权限注入到spring安全上下文中。

刷新token流程

  1. 客户端请求API
    携带refresh_token,如果是生产环境不会直接携带refresh_token信息,详见以下防重放攻击。
  2. 获取token
    根据环境不同而有不同的获取token方式。
  3. 解析token
    通过JWT工具将token解析。
  4. token读取
    根据uid拼接key读取出access_token,如果不存在这个用户的token说明用户已经登出。
  5. 验证token
    判断此token是否属于此uid,判断token是否已经过期,如果过期,则返回refresh_token过期错误,此时用户需要重新登录。
  6. 刷新token
    如果refresh_token 验证成功,则重新生成access_token和refresh_token,上述有效期以当前时间向后计算,替换此用户在redis中的token,并将token返回给客户端。

防重放机制

一、 参数的读取

  1. 在生产环境时,不能直接传递token,而是要传递签名数据,服务器端验签后由Redis中获取签名。
  2. 如果是非生产环境,直接由header中读取token。
    二、 生产环境传递如下参数
    memberid (用户id)
    nonce(随机字串,6位)
    timestamp(当前时间戳,到秒)
    sign= md5( uid+ nonce + timestamp +token )
    三、 验证逻辑
  3. 验证时间戳
    判断时间戳是否起过60s,大于60s则判别为重放功击。
  4. 验证nonce
    首先验证nonce在 reids中是否存在,如果存在,则判别为重放功击,否则将nonce记录在redis中(key为:”nonce”+uid+”_”+nonce),失效时间为60s。
  5. 验证sign
    md5( uid+ nonce + timestamp +token ) 验证是签名是否通过。
  6. 验证token
    通过uid拿到token ,验证逻辑同验权流程。
  • 当然在不同的业务场景下实现方案是多种多样的,仅以此方案抛转引玉,供大家参考。

swagger配置

1.maven依赖
(第一个后台/v2/api-do,第二个UI页面引用的jar包,版本2.6.1)
       <dependency>
            <groupId>io.springfox</groupId>
            <artifactId>springfox-swagger2</artifactId>
            <version>2.6.1</version>
        </dependency>
        <dependency>
            <groupId>io.springfox</groupId>
            <artifactId>springfox-swagger-ui</artifactId>
            <version>2.6.1</version>
        </dependency>
2.Swagger配置文件
@Configuration    // 配置注解,自动在本类上下文加载一些环境变量信息
@EnableSwagger2   // 使swagger2生效
@EnableWebMvc
@ComponentScan(basePackages = {“com.enation.app.javashop.xiaochengxu.action.api”})  //需要扫描的包路径
public class SwaggerConfig extends WebMvcConfigurationSupport {
@Bean
public Docket createRestApi() {
return new Docket(DocumentationType.SWAGGER_2)
.select()
.apis(RequestHandlerSelectors.any())
.paths(PathSelectors.any())
.build();
}
}
3.web.xml配置说明
(说明:Springmvc前端控制器扫描路径增加“/v2/api-docs”,用于扫描Swagger的 /v2/api-docs,否则 /v2/api-docs无法生效,备注spring的映射一定要是/,否则swagger2中需要引入相关静态资源可能会因为找不到而导致页面加载失败。)
<servlet-mapping>
        <servlet-name>spring-servlet</servlet-name>
        <url-pattern>/swagger-resources</url-pattern>
    </servlet-mapping>
    <servlet-mapping>
        <servlet-name>spring-servlet</servlet-name>
        <url-pattern>/v2/api-docs</url-pattern>
    </servlet-mapping>
    <servlet-mapping>
        <servlet-name>spring-servlet</servlet-name>
        <url-pattern>/swagger-resources/configuration/ui</url-pattern>
    </servlet-mapping>
    <servlet-mapping>
        <servlet-name>spring-servlet</servlet-name>
        <url-pattern>/swagger-resources/configuration/security</url-pattern>
    </servlet-mapping>
4.spring-mvc.xml 增加自动扫描Swagger
<!– 配置Swagger相关静态资源 –>
(Spring的url-pattern映射关系为 /:映射到classpath:/META-INF/resources/下的一个jar里面有swagger-ui.html,用于springmvc自动扫描那个模板和相关js)
<mvc:resources location=”classpath:/META-INF/resources/” mapping=”swagger-ui.html”/>
    <mvc:resources location=”classpath:/META-INF/resources/webjars/” mapping=”/webjars/**”/>
5.freemarker拦截的处理办法
// 前台处理器
 if (uri.endsWith(“.html”) && !(uri.indexOf(“swagger”) >= 0)){
        eopProcessor = new FacadeProcessor();
 }
6.Controller中使用注解添加API文档
@RestController
@RequestMapping(“/api/xcx/adv”)
@Api(description = “获取首页广告接口”)
@Validated
public class AdvApiController {
@Autowired
private IAdvManager advManager;@ApiOperation(value = “根据某个广告id获取广告信息接口”, notes = “根据某个广告id获取广告信息”)
@ApiImplicitParams({ @ApiImplicitParam(name = “advid”, value = “广告id”, required = true, paramType = “path”, dataType = “Long”), })
@RequestMapping(value = “/{advid}”, method = RequestMethod.GET)
public Adv detail(@PathVariable Long advid) {return this.advManager.getAdvDetail(advid);

}

}

spring cloud-Feign使用中常见问题

1. java.lang.illegalStateException : Method getChildren not annotated with HTTP method type (ex.post,get)

以下两种注解是等价的

@RequestMapping(value = “/system/regions/parent/{parent_id}”, method = RequestMethod.GET)

@GetMapping(“/regions/parent/{parent_id}”)

但是在Feign的使用中,@GetMapping(“”)是不能直接使用的,所以会出现没有指定HTTP类型的异常

2. java.lang.IllegalStateException: PathVariable annotation was empty on param 0

参数标注不能为空,问题类型同上,

public List<Regions> getChildren(@PathVariable int parent_id) {
return regionsManager.listChildren(parent_id);
}

此方法中使用了@PathVariable int parent_id,而在Feign中应该使用@PathVariable(“parent_id”) int parent_id,或@PathVariable(value=”parent_id”) int parent_id

3. Request method ‘POST’ not supported

在参数的传递中,GET方法使用@RequestParam注解,POST方法使用@RequestBody注解,若传递参数时不加注解,则默认为@RequestBody注解,即POST方法,GET方法中有参数不加@RequestParam,被调用的服务就会提示POST是不被支持的

项目调用maven classpath的两种类型

项目根据不同的运行方式,会以不同的方式调用maven classpath:

以eclipse -> run as -> spring boot 运行项目时,若项目中需要调用某个sdk,那么,eclipse会调用此sdk目录下target文件夹中的.class,字节码文件,与maven仓库中的sdk.jar无关。

而以eclipse -> run as -> maven install -> jar -> 命令行java -jar 运行项目时,项目所需依赖会被封装进jar中,而被封装进项目jar包中的sdk,则是取自maven本地仓库。

所以,若出现eclipse运行时成功,而jar包运行失败时,可以考虑重新封装sdk的jar包,替换maven本地仓库中的sdk。

nginx提示地址或端口被占用解决

今天在启动nginx 的时候遇到如下的错误

nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)

nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)

nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)

nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)

nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)

nginx: [emerg] still could not bind()

nginx也没有启动进程

[root@iZ25dgob05vZ /]# ps -ef|grep nginx

root     12150 12079  0 10:20 pts/0    00:00:00 grep nginx

kill也不能停掉进程

[root@iZ25dgob05vZ /]# killall -9 nginx

nginx: 没有进程被杀死

找了N多答案,都是说是端口被占用,但是各种解决方法无效可尝试以下操作:

1、检查80端口被什么程序占用

命令:fuser -n tcp 80

[root@iZ25dgob05vZ /]# fuser -n tcp 80

80/tcp:               7588

删除对应端口

[root@iZ25dgob05vZ /]# kill -9 7588

重新启动nginx

[root@iZ25dgob05vZ /]#  service nginx restart

Stopping nginx:                                         [FAILED]

Starting nginx:                                            [  OK  ]

JVM编码设置说明

今天服务器发现一个问题,部分中文显示正常,部分中文显示乱码。

简单访问一下,发现服务器解析中文参数没有问题,说明tomcat的编码utf-8已配置。

然后一琢磨,认为是源文件出现了编码问题。结果发现本地显示没问题,只有服务器有问题,那这下这个问题就有意思了。

经过排查,发现服务器端端catalina.sh 里少配置了 file.encoding ,导致解析出现乱码。

思考一下,发现还是有些不对, 为什么本地运行没问题,calalina.sh 配置文件中也没有配置编码,结果不乱码,服务器就乱码了呢?

 

满心欢喜的去查看服务器的默认编码,结果是 utf-8。。。

没有证明自己的预期,预期的结论是,tomcat jvm 没有设置编码,则采用系统的默认编码

由于还有很急的事情,日后再来补全这个测试。

sql server 注意事项(三)

今天在改一个bug的时候发现一条语句不兼容sql server的语句,继上两篇sql server注意事项,现补充两点。

1、上图明显看出是sql别名出问题了,原因是sql server update不支持别名,因此在写sql语句的时候要注意,在sql server环境下 update是不可以使用别名的!

2、在sql server环境下,在写查询sql语句的时候 sql之前不允许存在空格,否则会报上图错误。from 附近语法错误。例如错误语句:“ select * from es_goods”,错误语句中select之前有一个小空格,这样是错误的。正确的语句应该是“select * from es_goods”

睡前滴小idea

一.促销模块构成

营销的4P理论即为产品(Product)价格(Price)渠道(Place)促销(Promotion),促销作为营销的重要一环,承担衔接沟通企业和客户之间重要桥梁的作用。促销是电子商务网站吸引客户目光的一把利器,勾起顾客购买欲望,是给予客户心灵重重一击的一枚糖衣炮弹。

下面介绍一下常用的促销方式

(1)   折价促销

价格一直都是电子商务运行的重点,而折价促销也是电商最擅长且使用最多的促销方式。淘宝双十一,京东购物节。如此大规模的促销都是以折价的方式体现的。折价促销操作简单,效果显著。赢得了众多电商的青睐。而客户也喜欢这种直接受益的促销方式,也对他最为敏感幅度较大的折扣可以刺激客户快速消费。而且慢慢衍生出了网上折扣店这一新兴的营销方式。折价促销有很多方式去体现,例如全场两折,特定商品5折,全场2折起,等等。折价促销也有劣势,当恢复原价就无人问津了。所以才出现双十一期间订单量增加,活动过后一段订单量减少

(2)   团购——拼单式促销

团购是回报式促销的一种,他作为一种新兴的电子商务模式通过客户自行组团,专业团购网站,商家组织团购等形式,提升客户与商家的议价能力,并极大程度地进行商品让利,引起客户客户及业内厂商,甚至基本市场的关注而最常见的就是商家组织团购的形式。随着互联网的发展,团购网站在2010年如雨后春笋般的出现,走在电子商务网络够的前沿。

(3)   惠赠式促销

惠赠式也是一种回报式促销形式,包含很多种实现方式,例如买一赠一,买送礼品,买送积分,买送代金券

(4)   搭配销售

搭配销是客户在浏览一件商品时向他推荐其他商品,这件商品可以与其

他商品搭配起来一起销售同时总价格进行相应幅度的降低。配套的商品必须是客户需要的,且互相有一定的联系。搭配销售相对于其他促销方式有很多优点,一有利于扩大产品销量,二是直接降价会损伤产品价值,搭配销售让顾客觉得实惠又不会对价格进行横向比较

(5)   限时限量促销

物以稀为贵,限量促销就利用人们这个心里。

二.设计思路

电子商务王站促销通过维护老客户,吸引新客户,增加网站黏性,提升销售额和增加产品价值,在促进网站的销售和提升活力的同时,形成运营的良性循环。

  1. 业务设计原则

促销的作用体现在以下几方面。

*  吸引注意力:促销通过比较吸引人注意的方式,将产品,服务等信息传递给客户,引起他们注意。

*  说服功能:通过价格服务等方面的促销方式,说服客户消除疑虑,坚定购买。

*  刺激销售:

  1. 模式设计

下面以b2b2c电商平台团购为例,下面附上按照平台,店铺,买家三种身份在团购中不同职能来描述团购整个流程。