我们在开发系统时,会遇到常规功能如撤销用户登录权限,撤销某个角色的登录权限。情况一:用户这张表通常也会添加一个disabled字段,当我们将它设为false时,即表示该用户是禁用状态,不能登录的,但是通常我们系统校验用户是否能访问系统,是在访问登录接口时才去校验该字段,说明该用户即使被禁用后,还是能使用一段时间(长度为token过期时间);情况二:在用户、角色、系统(项目为多系统,角色系统表中增加一个字段保存能访问的系统菜单)控制权限开发中,当我们撤销某个角色对某个系统的访问权限后,只要用户不刷新页面(访问角色系统权限接口),就还有权限访问该系统。
针对上面两种情况,我们可以使用JWT中间件(不同语言有不同的JWT中间件以供使用)中的撤销token有效的方法中添加检验方法,比如针对node.js的JWT中间件的isRevoked方法中增加检验方法,因为每次方法接口时,都会经过该中间件。大致思想就是,情况一:当将用户禁用时,将该用户添加到redis中,过期时间就是token有效时间,在isRevoked方法中,将该用户拿到redis去比对,如果有该用户,则该用户为禁用状态,就撤销token有效性;情况二:在角色创建,更新接口最后都将该用户不能方法的系统添加到redis中,然后isRevoked方法中,利用该角色id和正在访问的系统名到redis中查询,如果有则撤销token有效性
实例代码:
JWT中间件指定的撤销token有效性的isRevoked()方法:
async isRevoked(req: any, payload, done) {
let revoked = await req.service.token.isRevoked(payload);
if (revoked) {
return done(new IError(1012, "jwt expired."));
}
done(null);
}
token中的isRevoked()方法,就是在调用微服务中的方法:
async isRevoked({ id, version, role_ids = [], system }) {
let result = false;
if (id && Number.isInteger(version)) {
result = await this.broker.call("token.isRevoked", { id, version, role: "employee", role_ids, system });
}
return result;
}
微服务中的isRevoked()方法:
async isRevoked(ctx){
let { role_ids = [], system } = ctx.params;
// 检查角色吊销
for(let role of role_ids){
let key = this.constructor._getRoleKey(role);
let exist = await redis.hexists(key,system);
if(exist){
return exist;
}
}
// 检查用户吊销
return redis.exists(this.constructor._getUserKey(ctx.params));
}
因为我是将redis方法放在微服务中的,所有方法封装了几层,如果你没有使用微服务,直接在token模块中添加校验方法
网友评论