最近基于 Kong
使用 Koa
搭建了一个 Oauth2
服务。
Kong (opens new window) 是一个网关控制程序,它可以控制请求转发,并且在这个基础上做一系列权限验证的操作。
Oauth2 权限验证是目前最有效的授权验证方式。
在搭建这一授权服务的时候会有一个认证的过程。通过授权服务器拿到用户授权之后,前端 app 需要将这个用户的用户信息保存下来,然后设置一个过期时间,当在这个过期时间之内用户再次访问就不需要去授权了,直接从服务器缓存里拿用户信息。
这里的具体流程是: 1.设置一个密匙,使用用户 id 和密匙生成一个 token 。 2.将该 token 以及用户信息和过期时间保存在 redis 中。 3.设置一个 cookie ,值为 token ,将该 cookie 返回客户端。
当用户再次访问系统时,浏览器 HTTP 请求会自动将该 cookie 带过来。
这个时候会先设置该 context 下的请求是未登录认证的:
context.state.isAuthenticated = false;
服务器拿到 cookie 值,也就是之前保存的 token ,使用该 token 去 redis 中查询用户信息。如果当前时间在过期时间范围之内,redis 会返回用户信息。这个时候会在该 context 下设置用户信息和认证状态:
context.state.user = user;
context.state.isAuthenticated = true;
如果当前时间已经超过了过期时间,则没有用户信息返回,前端 app 没有拿到用户信息,则重新去授权服务器拿授权。