RuoYi-Vue-Plus认证策略:多种登录方式
项目地址: https://gitcode.com/dromara/RuoYi-Vue-Plus 概述
在现代企业级应用开发中,灵活多样的用户认证方式是提升用户体验和安全性的关键。RuoYi-Vue-Plus作为一款功能强大的后台管理系统,通过策略模式(Strategy Pattern)实现了高度可扩展的认证体系,支持密码登录、短信验证码登录、邮箱验证码登录、第三方社交登录以及小程序登录等多种认证方式。
本文将深入解析RuoYi-Vue-Plus的认证策略架构,详细介绍每种登录方式的实现原理和使用方法,帮助开发者更好地理解和应用这一强大的认证框架。
认证策略架构设计
策略模式应用
RuoYi-Vue-Plus采用经典的策略模式来实现多认证方式的统一管理,核心接口IAuthStrategy定义了认证的统一规范:
public interface IAuthStrategy {
String BASE_NAME = "AuthStrategy";
static LoginVo login(String body, SysClientVo client, String grantType) {
String beanName = grantType + BASE_NAME;
IAuthStrategy instance = SpringUtils.getBean(beanName);
return instance.login(body, client);
}
LoginVo login(String body, SysClientVo client);
}
认证流程架构
五种认证策略详解
1. 密码认证策略(PasswordAuthStrategy)
密码认证是最传统的登录方式,RuoYi-Vue-Plus在实现时加入了多重安全机制:
核心实现代码
@Service("password" + IAuthStrategy.BASE_NAME)
public class PasswordAuthStrategy implements IAuthStrategy {
@Override
public LoginVo login(String body, SysClientVo client) {
PasswordLoginBody loginBody = JsonUtils.parseObject(body, PasswordLoginBody.class);
String username = loginBody.getUsername();
String password = loginBody.getPassword();
// 验证码校验(可选)
if (captchaProperties.getEnable()) {
validateCaptcha(tenantId, username, code, uuid);
}
// 密码验证(BCrypt加密)
loginService.checkLogin(LoginType.PASSWORD, tenantId, username,
() -> !BCrypt.checkpw(password, user.getPassword()));
// 构建登录用户信息
LoginUser loginUser = loginService.buildLoginUser(user);
// 生成Token
LoginHelper.login(loginUser, model);
return buildLoginVo();
}
}
安全特性
| 安全机制 | 说明 | 配置方式 |
|---|---|---|
| BCrypt加密 | 密码采用BCrypt强哈希算法存储 | 自动处理 |
| 验证码保护 | 可配置是否启用图形验证码 | captcha.enable=true |
| 登录限制 | 防止多次尝试,限制尝试次数 | LoginType.PASSWORD重试限制 |
| 租户隔离 | 支持多租户环境下的用户隔离 | TenantHelper.dynamic() |
2. 短信认证策略(SmsAuthStrategy)
短信登录提供了便捷的移动端认证体验,特别适合手机APP场景:
核心实现代码
@Service("sms" + IAuthStrategy.BASE_NAME)
public class SmsAuthStrategy implements IAuthStrategy {
@Override
public LoginVo login(String body, SysClientVo client) {
SmsLoginBody loginBody = JsonUtils.parseObject(body, SmsLoginBody.class);
String phonenumber = loginBody.getPhonenumber();
String smsCode = loginBody.getSmsCode();
// 短信验证码校验
if (!validateSmsCode(tenantId, phonenumber, smsCode)) {
throw new CaptchaExpireException();
}
// 通过手机号查找用户
SysUserVo user = loadUserByPhonenumber(phonenumber);
// 构建登录用户并生成Token
LoginUser loginUser = loginService.buildLoginUser(user);
LoginHelper.login(loginUser, model);
return buildLoginVo();
}
}
短信验证流程
3. 邮箱认证策略(EmailAuthStrategy)
邮箱登录适合企业办公场景,提供了另一种无密码登录选择:
核心实现代码
@Service("email" + IAuthStrategy.BASE_NAME)
public class EmailAuthStrategy implements IAuthStrategy {
@Override
public LoginVo login(String body, SysClientVo client) {
EmailLoginBody loginBody = JsonUtils.parseObject(body, EmailLoginBody.class);
String email = loginBody.getEmail();
String emailCode = loginBody.getEmailCode();
// 邮箱验证码校验
if (!validateEmailCode(tenantId, email, emailCode)) {
throw new CaptchaExpireException();
}
// 通过邮箱查找用户
SysUserVo user = loadUserByEmail(email);
// 构建登录用户并生成Token
LoginUser loginUser = loginService.buildLoginUser(user);
LoginHelper.login(loginUser, model);
return buildLoginVo();
}
}
邮箱验证优势
- 安全性高:避免密码泄露风险
- 用户体验好:一键登录,无需记忆密码
- 审计追踪:每次登录都有邮件记录
- 企业适用:适合内部管理系统
4. 第三方社交认证策略(SocialAuthStrategy)
社交登录整合了主流第三方平台,为用户提供便捷的一键登录体验:
支持的平台
RuoYi-Vue-Plus通过JustAuth库支持多种社交平台登录:
- 微信
- 微博
- 钉钉
- GitHub
- Gitee
- 等十余种平台
核心实现代码
@Service("social" + IAuthStrategy.BASE_NAME)
public class SocialAuthStrategy implements IAuthStrategy {
@Override
public LoginVo login(String body, SysClientVo client) {
SocialLoginBody loginBody = JsonUtils.parseObject(body, SocialLoginBody.class);
// 第三方授权验证
AuthResponse<AuthUser> response = SocialUtils.loginAuth(
loginBody.getSource(), loginBody.getSocialCode(),
loginBody.getSocialState(), socialProperties);
if (!response.ok()) {
throw new ServiceException(response.getMsg());
}
// 检查用户是否绑定第三方账号
List<SysSocialVo> list = sysSocialService.selectByAuthId(
authUserData.getSource() + authUserData.getUuid());
if (CollUtil.isEmpty(list)) {
throw new ServiceException("你还没有绑定第三方账号,绑定后才可以登录!");
}
// 多租户环境下检查权限
if (TenantHelper.isEnable()) {
Optional<SysSocialVo> opt = StreamUtils.findAny(list,
x -> x.getTenantId().equals(loginBody.getTenantId()));
if (opt.isEmpty()) {
throw new ServiceException("对不起,你没有权限登录当前租户!");
}
}
// 构建登录用户并生成Token
LoginUser loginUser = loginService.buildLoginUser(user);
LoginHelper.login(loginUser, model);
return buildLoginVo();
}
}
社交登录流程
5. 小程序认证策略(XcxAuthStrategy)
小程序登录专门为微信小程序场景设计,提供了原生的微信用户体系集成:
核心实现代码
@Service("xcx" + IAuthStrategy.BASE_NAME)
public class XcxAuthStrategy implements IAuthStrategy {
@Override
public LoginVo login(String body, SysClientVo client) {
XcxLoginBody loginBody = JsonUtils.parseObject(body, XcxLoginBody.class);
String xcxCode = loginBody.getXcxCode();
String appid = loginBody.getAppid();
// 调用微信API验证登录凭证
AuthRequest authRequest = new AuthWechatMiniProgramRequest(AuthConfig.builder()
.clientId(appid).clientSecret("小程序密钥")
.ignoreCheckRedirectUri(true).ignoreCheckState(true).build());
AuthResponse<AuthUser> resp = authRequest.login(authCallback);
if (resp.ok()) {
AuthToken token = resp.getData().getToken();
String openid = token.getOpenId();
String unionId = token.getUnionId();
// 根据openid查找或创建用户
SysUserVo user = loadUserByOpenid(openid);
// 构建小程序专用登录用户
XcxLoginUser loginUser = new XcxLoginUser();
loginUser.setOpenid(openid);
// ... 设置其他用户属性
// 生成Token
LoginHelper.login(loginUser, model);
return buildLoginVo();
} else {
throw new ServiceException(resp.getMsg());
}
}
}
小程序登录特点
- 无缝体验:用户无需输入账号密码
- 自动注册:新用户首次登录自动创建账号
- 用户标识:通过openid唯一标识用户
- UnionID支持:支持同一用户在不同小程序间的身份识别
认证策略配置指南
1. 客户端配置
在系统客户端表中配置支持的认证方式:
INSERT INTO sys_client (client_id, client_key, client_secret, grant_type, status)
VALUES
('web_app', 'web_key', 'web_secret', 'password,sms,email,social', '0'),
('mobile_app', 'mobile_key', 'mobile_secret', 'password,sms', '0'),
('xcx_app', 'xcx_key', 'xcx_secret', 'xcx', '0');
2. 认证类型枚举
系统定义了完整的登录类型枚举,支持重试限制:
public enum LoginType {
PASSWORD("user.password.retry.limit.exceed", "user.password.retry.limit.count"),
SMS("sms.code.retry.limit.exceed", "sms.code.retry.limit.count"),
EMAIL("email.code.retry.limit.exceed", "email.code.retry.limit.count"),
XCX("", "");
// 重试限制提示信息
final String retryLimitExceed;
final String retryLimitCount;
}
3. 多租户支持
所有认证策略都支持多租户环境,通过TenantHelper.dynamic()实现租户上下文切换:
LoginUser loginUser = TenantHelper.dynamic(tenantId, () -> {
// 在指定租户上下文中执行用户查询和验证
SysUserVo user = loadUserByUsername(username);
return loginService.buildLoginUser(user);
});
最佳实践和建议
1. 选择合适的认证方式
根据应用场景选择认证策略:
| 场景 | 推荐认证方式 | 理由 |
|---|---|---|
| 后台管理系统 | 密码+验证码 | 安全性高,操作习惯 |
| 移动APP | 短信登录 | 便捷,无需记忆密码 |
| 企业内网 | 邮箱登录 | 与企业邮箱体系集成 |
| 面向用户的产品 | 社交登录 | 降低注册门槛 |
| 微信生态 | 小程序登录 | 原生体验,用户无感知 |
2. 安全配置建议
# application-security.yml
security:
captcha:
enable: true # 启用验证码
expire-time: 300 # 验证码有效期5分钟
login:
retry-limit: 5 # 登录重试次数限制
lock-time: 1800 # 锁定时间30分钟
3. 扩展自定义认证策略
如需添加新的认证方式,只需实现IAuthStrategy接口:
@Service("custom" + IAuthStrategy.BASE_NAME)
public class CustomAuthStrategy implements IAuthStrategy {
@Override
public LoginVo login(String body, SysClientVo client) {
// 自定义认证逻辑
CustomLoginBody loginBody = JsonUtils.parseObject(body, CustomLoginBody.class);
// 1. 验证凭证
// 2. 查找或创建用户
// 3. 构建LoginUser
// 4. 生成Token
return buildLoginVo();
}
}
然后在客户端配置中增加custom授权类型即可。
总结
RuoYi-Vue-Plus的认证策略体系通过精心的架构设计,提供了灵活、安全、可扩展的多认证方式支持。无论是传统的密码登录,还是现代的短信、邮箱、社交和小程序登录,都能找到完善的解决方案。
关键优势:
- 统一接口:所有认证方式遵循同一套接口规范
- 策略模式:易于扩展新的认证方式
- 多租户支持:完善的租户隔离机制
- 安全可靠:多重安全保护措施
- 开箱即用:丰富的内置认证策略
通过本文的详细解析,相信开发者能够更好地理解和应用RuoYi-Vue-Plus的认证系统,构建出更加安全、便捷的用户认证体验。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
