先明确一些核心组件:
当时面试官跟我说,可以从前端打开一个页面开始讲。
那我们就举个例子:
以【用户打开电商网站首页➡️跳转登录➡️输入账号密码登录➡️携带Token请求商品列表】为例,说一下这个完整的流程。
1.前端打开页面,检查本地是否有Token
用户在浏览器输入 https://www.example.com,前端代码首先检查本地存储中是否存在有效的Token。
2.没有Token,前端跳转登录页,用户输入账号密码
如果本地没有Token,前端路由跳转到 /login 登录页,用户输入账号和密码,点击【登录】按钮。
3.前端发送登录请求到API网关
前端将账号密码封装成POST请求,发送到API网关。
需要注意的是⚠️:前端不直接请求认证中心,所有请求都走网关统一入口。
4.API网关转发登录请求到认证中心
API网关收到 /auth/login 请求,根据路由规则,将请求转发到认证中心服务。
5.认证中心验证用户信息,生成JWT Token
认证中心做以下3件事:
从数据库查询用户信息,验证账号密码是否正确; 验证通过后,生成 JWT Token(分为 Access Token 和 Refresh Token); 将 Token 返回给前端。
那什么是JWT呢?
JWT(JSON Web Token)是一种无状态的Token,由三部分组成,用 . 分隔:
Header:头部,存算法和类型; Payload:载荷,存用户信息(比如userId、username、过期时间); Signature:签名,用密钥对Header和Payload签名,防止Token被篡改。
6.前端收到Token,存储到本地
前端收到认证中心返回的 access_token 和 refresh_token,存到本地存储中。
7.前端携带Token请求业务接口
用户登录成功后,前端请求商品列表接口,在请求头 Authorization 中携带 Bearer Token。
Bearer 这个单词的意思是“持票人”、“持有者”。
Bearer Token 就是:“谁持有这个 Token,谁就是合法的访问者,服务器就认谁”。
8.API网关校验Token
API网关收到 /product/list 请求,通过全局过滤器校验Token的有效性:
从请求头 Authorization中取出Token;验证Token的签名是否正确; 验证Token是否过期; 校验通过后,将用户信息(比如userId)放入请求头,转发给微服务; 如果校验失败,直接返回401未授权。
9.微服务获取用户信息,处理业务逻辑
微服务(比如商品服务)收到网关转发的请求,从请求头 X-User-Id 中取出userId,处理业务逻辑(比如查询该用户的商品列表)。
10.Token过期,前端用Refresh Token刷新
Access Token有效期比较短(比如只有2小时),过期后前端请求会收到401;
此时前端不用让用户重新登录,而是用Refresh Token去认证中心刷新Access Token。
