基于token验权需求说明

需求

　　一、Javashop7.0起采用基于JWT规范的Token机制进行验权，不再使用Session

　　二、要做适用于PC/WAP/APP

　　三、http模式下要尽量增加重放攻击的难度

　　7.0.0采用nonce+时间戳的方式

测试用例

　　一、不传递nonce、uid等参数直接访问

• 　　预期：无权

　　二、登陆，拿到token1、用token进行合法签名并访问

• 　　预期：成功2、用上述合法访问，再次访问预期：重放攻击(nonce重错)

　　2、用修改时间戳参数为重放时间

• 　　预期：重放攻击(签名出错)

　　2、用新的nonce访问

• 　　预期：重放攻击(nonce出错)

权限统一拦截需求

概述

　　1.会员在没有登录或会话失效时试图进入会员中心或商家中心时统一跳转到登录页面。

　　2.现在是用的xxCheckLoginTag来做的sendRedirect,这种做法是有问题的，在页在解析时跳转，会导致后台报错。

　　3.更合理的方法是在Filter中进行统一拦截，如果没有登录则跳转至登录页面

　　4.跳转至登录页面时应该携带试图进入的页面路径，在登录成功后再跳转至相应的页面

详细需求

　　一、根据正则匹配url进行拦截

　　1.会员中心：/member/*.html,即：所以/member/下的html，路径有可能是多级，当然要排除登录的页面。

　　2.商家中心：/new_store/*.html,即：所以/new_store/下的html，路径有可能是多级，当然要排除登录的页面注：以上正则为示意性，不一定严谨。

　　二、拦截逻辑

　　1.会员中心：判断是否是已登录，如果已经登录，则放过，让请求继续，如果未登录，则跳转至登录页

　　2.商家中心：判断是否是已登录，如果已经登录且是卖家身份，则放过，让请求继续，如果是会员则跳转至无权页面，如果没有登录，则跳转至登录页

　　3.跳转至登录页的，要携带上试图进入的url，登录成功后，直接进入此url

　　三、规则定义

　　1.拦截目录：

• 　　会员中心：/member/.html,即：所以/member/下的html，路径有可能是多级商家中心：/new_store/.html,即：所以/new_store/下的html，路径有可能是多级

　　2.登录页面/store/login.html

• 　　说明：这就要求在模板制作中尊守上述规则

　　以上就是易族智汇javashop为您整理的关于技术文档的内容，就为您介绍到这里。想了解更多关于技术文档的内容，请关注“技术文档栏目https://www.javamall.com.cn/xueyuan/jswd/”

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。