通过阅读源码解决项目难题：GToken替换JWT实现SSO单点登录

觉得这个经历比较有意思，整理一篇文章分享给大家。,,首先说明一个jwt存在的问题，也就是要替换jwt的原因：,jwt无法在服务端主动退出的问题,jwt无法作废已颁布的令牌，只能等到令牌过期问题,jwt携带大量用户扩展信息导致降低传输效率问题,,gtoken的请求流程和jwt的基本一致。,gtoken的优势就是能帮助我们解决jwt的问题，另外还提供好用的特性，比如：,支持服务端缓存自动续期功能，不需要通过refresh_token刷新token，简化了客户端的操作,版本问题千万注意：在gtoken v1.5.0全面适配GoFrame v2.0.0 ; GoFrame v1.X.X 请使用GfToken v1.4.X相关版本,TIPS:下面我的演示demo和源码阅读都是基于v1.4.x版本的。,后面会更新视频教程，带大家完成最新版goframe和gtoken的教程，有需要的小伙伴可以关注我一下。,下面的演示demo可以复制到本地main.go文件中执行，更新依赖包的时候千万注意版本。,重点说一下踩的坑，Login方法会要求我们返回两个值：,第一个值对应userKey，后续我们可以根据userKey获得token,第二个值对应data，是interface{}类型，我们可以在这里定义例如userid、username等数据。,先有这个概念即可，为了让大家更好理解，文章最后会带大家读源码。,代码段的关键逻辑，已经添加了注释。,启动项目：,,访问不认证接口：返回成功,,未登录时访问认证接口：返回错误提示,,请求登录接口：返回token,,携带token再次访问认证接口：返回成功,,以上就跑通了主体流程，就是这么简单。,下面带大家分析一下源码，学习一下作者是如何设计的。,首先我认为gtoken很好的设计思想是不使用refresh_token来刷新token，而是服务端主动刷新。,在源码的getToken方法中做了更新refreshTime和createTime的处理。,更新createTime为当前时间，refreshTime为当前时间+自定义的刷新时间。,,如下图所示，getToken方法在每次执行validToken校验token的时候都会调用，即每次校验token有效性时，如果符合刷新token有效期的条件，就会进行刷新操作(刷新token的过期时间，token值不变),,这样就实现了无感刷新token。,我们再来看一下GfToken的结构体，更好的理解一下作者的设计思路：,因为CacheMode支持redis，也就意味着支持集群模式。,我们在启动gtoken的时候，只需要设置登录和登出路径，另外登录和登出都提供了BeforeFunc和AfterFunc，让我们能清晰界定使用场景。,我有N个子系统如何用gtoken实现sso登录呢？即实现一个子系统登录，其他各个子系统都自动登录，而无需二次登录呢？,想一想,.,.,.,我想到的解决方案是配合cookie实现：各个子系统二级域名不一致，但是主域名一致。,我在登录之后把token写入主域名的cookie中进行共享，前端网站通过cookie获得token请求服务接口。,同时在刷新token之后，也要刷新cookie的有效期，避免cookie失效导致获取不到token。,在经过又一次仔细阅读源码之后，找到了刷新cookie有效期的合适场景：AuthAfterFunc，我们可以重写这个方法，来实现验证通过后的操作：,如果token验证有效则刷新cookie有效期；如果验证无效则自定义返回信息。（往往我们自己项目中的code码和gtoken定义的不一致，但是gtoken支持非常方便的重写返回值）,,我们项目之前是使用jwt实现sso登录，在刚刚拿到需求要重写时，自己也是一头雾水。,在没有认真阅读gtoken源码之前，我已经设计了refresh_token刷新的策略。,在仔细阅读源码之后，发现真香。,这次经历最大的收获是：碰到不好解决的问题，带着问题去阅读源码是非常高效的方式。,本文转载自微信公众号「 程序员升级打怪之旅」，作者「王中阳Go」，可以通过以下二维码关注。,,转载本文请联系「 程序员升级打怪之旅」公众号。