API开放接⼝设计之appId-appSecret-accessToken

API 开放接⼝设计之 appId,appSecret,accessToken

⼀、开放接⼝设计说明:

为每个合作机构创建对应的 appid、app_secret,⽣成对应的 access_token(有效期 2 ⼩时),在调⽤外⽹开放接⼝的时候,必须传递有

效的 access_token。
使⽤ access_token 验证通过才能正常调⽤开放的 API 接⼝

  • appid 是每个⽤户唯⼀的
  • app_secret 可以开发着平台更改
  • access_token 通过 appid + app_secret ⽣成,(有效期 2 ⼩时)

如:微信公众号开发调⽤微信接⼝,下⾯就⾃⼰写⼀个类似于微信开发的 api 开放接⼝平台

使⽤流程:同调⽤第三⽅平台接⼝

  1. api 开发平台申请 appid ,app_secret ,或⾃⾏提供给消费⽅
  2. 消费⽅通过 appid ,app_secret 获得 access_token (有效期 2 ⼩时)
  3. 消费⽅调⽤接⼝携带 accessToken 参数,验证通过可以才访问接⼝,未提供返回错误信息

⼆、数据库表设计 (已下为核⼼字段,更多⾃⾏添加)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
App_Name          表⽰机构名称
App_ID            应⽤id
App_Secret        应⽤密钥(可更改)
Is_flag           是否可⽤(是否对某个机构开放)
access_token      上⼀次access_token
CREATE TABLE `m_app` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `app_name` varchar(255) DEFAULT NULL,
  `app_id` varchar(255) DEFAULT NULL,
  `app_secret` varchar(255) DEFAULT NULL,
  `is_flag` varchar(255) DEFAULT NULL,
  `access_token` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

三、Token ⽣成⼯具类 TokenUtils

1
2
3
4
5
6
public class TokenUtils {
 @RequestMapping("/getToken")
 public static String getAccessToken() {
  return UUID.randomUUID().toString().replace("-", "");
 }
}

四、getAccessToken 接⼝⽣成 accessToken

步骤:

  1. 调⽤接⼝传递 appId+appSecret
  2. 判断是否存在商户信息
  3. 判断商户信息是否有权限
  4. ⽣成 AccessToke,根据当前 appId 商户更新最新的 accessToke 到数据库
  5. 删除 Redis 上次⽣成的 AccessToke 缓存,保存最新的 accessToke 到 Redis
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import com.alibaba.fastjson.JSONObject;
import com.itmayiedu.base.BaseApiService;
import com.itmayiedu.base.ResponseBase;
import com.itmayiedu.entity.AppEntity;
import com.itmayiedu.mapper.AppMapper;
import com.itmayiedu.utils.BaseRedisService;
import com.itmayiedu.utils.TokenUtils;

@RestController
@RequestMapping(value = "/auth")
public class AuthController extends BaseApiService {
    /**
     * Redis
     */
    @Autowired
    private BaseRedisService baseRedisService;
    /**
     * 创建的表appEntity ,的 dao对象
     */
    @Autowired
    private AppMapper appMapper;
    /**
     * 过期时间,单位秒
     */
    private long timeToken = 60 * 60 * 2;
    /**
     * TODO    使⽤appId+appSecret ⽣成AccessToke
     * @param appEntity
     * @date  2019/12/3 0003 21:33
     * @return com.itmayiedu.base.ResponseBase
     */
    @RequestMapping("/getAccessToken")
    public ResponseBase getAccessToken(AppEntity appEntity) {
        // 使⽤appId + appSecret查询
        AppEntity appResult = appMapper.findApp(appEntity);
        // 判断是否存在商户信息,等同与微信开发平台申请的appid,appSecret信息是否正确
        if (appResult == null) {
            return setResultError("没有对应机构的认证信息");
        }
        //判断是否开发权限给该商户
        int isFlag = appResult.getIsFlag();
        if (isFlag == 1) {
            return setResultError("您现在没有权限⽣成对应的AccessToken");
        }
        // 从redis中删除之前的accessToken
        baseRedisService.delKey(appResult.getAccessToken());
        // ⽣成的新的accessToken 保存到 Redis,并保存到数据库
        String newAccessToken = newAccessToken(appResult.getAppId());
        //返回 accessToken,setResultSuccessData为封装返回信息,请⾃定义
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("accessToken", newAccessToken);
        return setResultSuccessData(jsonObject);
    }
    /**
     * TODO
     * @param appId
     * @date  2019/12/3 0003 21:33
     * @return java.lang.String
     */
    private String newAccessToken(String appId) {
        // 使⽤ appid+appsecret ⽣成对应的AccessToken , 保存两个⼩时
        String accessToken = TokenUtils.getAccessToken();
        // 保证在同⼀个事物redis 事物中
        // ⽣成最新的token, key=accessToken ,value=appid
        baseRedisService.setString(accessToken, appId, timeToken);
        // 表数据更新为最新的 accessToken,删除之前的accessToken使⽤
        appMapper.updateAccessToken(accessToken, appId);
        return accessToken;
    }
}

五、添加拦截器 AccessTokenInterceptor ,判断请求参数 accessToken

统⼀拦截所有开放接⼝的请求,判断 accessToken 是否有效

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import com.alibaba.fastjson.JSONObject;
import com.fasterxml.jackson.databind.deser.Deserializers.Base;
import com.itmayiedu.base.BaseApiService;
import com.itmayiedu.utils.BaseRedisService;
/**
 * TODO    验证AccessToken 是否正确
 *
 * @date 2019/12/3 0003 21:54
 * @return
 */
@Component
public class AccessTokenInterceptor extends BaseApiService implements HandlerInterceptor {
    /**
     * redis
     */
    @Autowired
    private BaseRedisService baseRedisService;
    /**
     * 进⼊controller层之前拦截请求
     *
     * @param httpServletRequest
     * @param httpServletResponse
     * @param o
     * @return
     * @throws Exception
     */
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o)
            throws Exception {
        System.out.println("---------------------开始进⼊请求地址拦截----------------------------");
        //获取到accessToken
        String accessToken = httpServletRequest.getParameter("accessToken");
        // 判断accessToken是否空
        if (StringUtils.isEmpty(accessToken)) {
            // 返回错误消息
            resultError(" this is parameter accessToken null ", httpServletResponse);
            return false;
        }
        //从redis 中获取获取到accessToken
        String appId = (String) baseRedisService.getString(accessToken);
        if (StringUtils.isEmpty(appId)) {
            // accessToken 已经失效!
            resultError(" this is  accessToken Invalid ", httpServletResponse);
            return false;
        }
        // 正常执⾏业务逻辑...
        return true;
    }
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o,
                           ModelAndView modelAndView) throws Exception {
                           ModelAndView modelAndView) throws Exception {
        System.out.println("--------------处理请求完成后视图渲染之前的处理操作---------------");
    }
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,
                                Object o, Exception e) throws Exception {
        System.out.println("---------------视图渲染之后的操作-------------------------0");
    }
    /**
     * TODO    返回错误提⽰
     * @param errorMsg
     * @param httpServletResponse
     * @date  2019/12/3 0003 21:58
     * @return void
     */
    public void resultError(String errorMsg, HttpServletResponse httpServletResponse) throws IOException {
        PrintWriter printWriter = httpServletResponse.getWriter();
        // setResultError为封装的返回信息,请⾃定义
        printWriter.write(new JSONObject().toJSONString(setResultError(errorMsg)));
    }

六、添加拦截器 AccessTokenInterceptor 的拦截范围

添加拦截器 AccessTokenInterceptor 的拦截范围
/openApi 下的所有接⼝

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class WebAppConfig {
 @Autowired
 private AccessTokenInterceptor accessTokenInterceptor;
 @Bean
 public WebMvcConfigurer WebMvcConfigurer() {
  return new WebMvcConfigurer() {
   public void addInterceptors(InterceptorRegistry registry) {
       //  /openApi   下的所有接⼝
    registry.addInterceptor(accessTokenInterceptor).addPathPatterns("/openApi/*");
   };
  };
 }
}

使⽤流程:同调⽤第三⽅平台接⼝

  1. api 开发平台申请 appid ,app_secret ,或⾃⾏提供给消费⽅
  2. 消费⽅通过 appid ,app_secret 获得 access_token (有效期 2 ⼩时)
  3. 消费⽅调⽤接⼝携带 accessToken 参数,验证通过可以才访问接⼝,未提供返回错误信息

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

徘徊在原子与字节的边缘<br><br>将更好的自己呈现给世界<br><br><br><br>修心至要,事上磨练<br><br>一蓑衣,一壶酒,一曲长歌,一剑天涯<br><br>见自己,见天地,见众生<br><br>