我之前既对接过session/cookie,也对接过JWT。今年因为工作需要也对接了gtoken的2个版本,对这方面的理解还算深入。
尤其是看到官方文档评论区有小伙伴表示看不懂,所以做了这期视频内容出来:
http://mpvideo.qpic.cn/0bc3n4aeqaaauuapbamojjrva36djbxqasaa.f10002.mp4?dis_k=e6ec8c0bff6fbcf4e1e385d7ab59610a&dis_t=1673158170&play_scene=10400&vid=wxv_2696191414908551170&format_id=10002&support_redirect=0&mmversion=false
因为涉及的知识点比较多,视频内容比较长。
如果你觉得看视频浪费时间,可以直接阅读源码:
这期重点介绍Gtoken的对接:
Gtoken
是基于GoFrame
框架的token插件,通过服务端验证方式实现token认证;已完全可以支撑线上token认证,通过Redis支持集群模式;
注意问题:全面适配GoFrame v2.0.0 ;GoFrame v1.X.X 请使用gtoken v1.4.X相关版本。
支持token认证,不依赖于session和cookie,适用jwt和session认证所有场景;
支持单机gcache和集群gredis模式;
# 缓存模式 1 gcache 2 gredis 3 fileCache
CacheMode = 2
支持服务端缓存自动续期功能
// 注:通过MaxRefresh,默认当用户第五天访问时,自动续期
// 超时时间 默认10天
Timeout int
// 缓存刷新时间 默认为超时时间的一半
MaxRefresh int
支持分组拦截、全局拦截、深度路径拦截,便于根据个人需求定制拦截器;建议使用分组拦截方式;
框架使用简单,只需要设置登录验证方法以及登录、登出路径即可;
在gtoken v1.4.0
版本开始支持分组中间件方式实现,但依然兼容全局和深度中间件实现方式;
大家结合自己的场景去使用,不要刻意去追求“无状态”或者“有状态”。
能解决自己实际问题的才是好插件:
上图红框,是插件作者在官方文档评论区的解答。我也比较认同这个观点。
之前分享jwt和OAuth文章的时候,和群里的一位大佬探讨过SSO的问题。
如果你在登录鉴权方面有很高的要求,比如要和灰产斗智斗勇,或者会被恶意攻击,那么建议你自己深入了解OAuth原理,在这里也推荐一个很不错的开源项目:https://github.com/ego-component/eoauth2
好了,这期内容就到这里,感谢大家的观看,欢迎点赞支持。