提前声明,以下提到的方案并没有去验证过可行性,只是记录一下,未来需要用到的时候,在仔细验证一下。
一般情况下,各个公司的移动端关于登录令牌(token)的设定都各不相同。
可先参考这个链接:https://www.zhihu.com/question/30267006
了解一下,本文大概想说什么。
有些公司服务端是按照oauth设计,比较标准规范,但是有些公司有自己的特定业务,未完全按照oauth来设计。基于本公司的业务逻辑,考虑了一下登录的逻辑以及token的设计。
思路如下:
token即验证令牌,每次请求都带上,refreshToken用来刷新token的,每次请求可以不带上,但是要放在移动端保存。
1.通过username,password获取token和refreshToken
2.token的有效期为2小时,refreshToken的有效期为15天
3.如果服务器端判断token过期,而refreshToken未过期,就返回错误码给客户端,则客户端通过一个特定的接口传入refreshToken参数获取新的token和refreshToken
4.如果连续15天未使用app或者用户修改了密码,则表示refreshToken过期了,则跳到登录界面,重新登录获取token和refreshToken
基于上面的思路,如果服务端走rest风格,移动端(Android)采用retrofit(v2.0+)+okhttp(v2.7.0+)网络请求框架。那么当token过期了,Android端应该如何处理呢?
第一种方案
通过okhttp提供的Authenticator接口,相关资料点击这里 ,但是查看okhttp的源码会发现,只有返回HTTP的状态码为401时,才会使用Authenticator接口,如果服务端设计规范,可以尝试如下方法。
实现Authenticator接口
public class TokenAuthenticator implements Authenticator {
@Override
public Request authenticate(Proxy proxy, Response response) throws IOException {
//取出本地的refreshToken
String refreshToken = "sssgr122222222";
// 通过一个特定的接口获取新的token,此处要用到同步的retrofit请求
ApiService service = ServiceManager.getService(ApiService.class);
Call<String> call = service.refreshToken(refreshToken);
//要用retrofit的同步方式
String newToken = call.execute().body();
return response.request().newBuilder()
.header("token", newToken)
.build();
}
@Override
public Request authenticateProxy(Proxy proxy, Response response) throws IOException {
return null;
}
}
然后给添加给OkHttpClient
OkHttpClient client = new OkHttpClient();
client.setAuthenticator(new TokenAuthenticator());
Retrofit retrofit = new Retrofit.Builder()
.baseUrl(BASEURL)
.addConverterFactory(GsonConverterFactory.create(gson))
.addCallAdapterFactory(RxJavaCallAdapterFactory.create())
.client(client)
.build();
第一种方案就这样了。
但是,万事不会尽如人意,如果服务端在token过期的时候,不给返回401的HTTP状态码,而是返回如下类型的数据,叫你根据code判断。
{
"data":"[{"userId":"6b2bb89b68ef4b10988a7c3d089c70cf","userName":"leo","age":"20"},
{"userId":"a46c3b3b847743649f201e232b5a544d","userName":"李四","age":"30"}]",
"success":true,
"msg":"message success"
"code":401
}
这里要清楚HTTP状态码是指200,404,401这些,而上面的数据中的code是自定义的。如果在token过期时,服务端返回的是如上类型的数据,那么第一种方案就行不通。
第二种方案
通过okhttp的拦截器,okhttp 2.2.0 以后提供了拦截器的功能,相关介绍点击这里
public class TokenInterceptor implements Interceptor {
private static final Charset UTF8 = Charset.forName("UTF-8");
@Override
public Response intercept(Chain chain) throws IOException {
Request request = chain.request();
// try the request
Response originalResponse = chain.proceed(request);
/**通过如下的办法曲线取到请求完成的数据
*
* 原本想通过 originalResponse.body().string()
* 去取到请求完成的数据,但是一直报错,不知道是okhttp的bug还是操作不当
*
* 然后去看了okhttp的源码,找到了这个曲线方法,取到请求完成的数据后,根据特定的判断条件去判断token过期
*/
ResponseBody responseBody = originalResponse.body();
BufferedSource source = responseBody.source();
source.request(Long.MAX_VALUE); // Buffer the entire body.
Buffer buffer = source.buffer();
Charset charset = UTF8;
MediaType contentType = responseBody.contentType();
if (contentType != null) {
charset = contentType.charset(UTF8);
}
String bodyString = buffer.clone().readString(charset);
LogUtil.debug("body---------->" + bodyString);
/***************************************/
if (response shows expired token){//根据和服务端的约定判断token过期
//取出本地的refreshToken
String refreshToken = "sssgr122222222";
// 通过一个特定的接口获取新的token,此处要用到同步的retrofit请求
ApiService service = ServiceManager.getService(ApiService.class);
Call<String> call = service.refreshToken(refreshToken);
//要用retrofit的同步方式
String newToken = call.execute().body();
// create a new request and modify it accordingly using the new token
Request newRequest = request.newBuilder().header("token", newToken)
.build();
// retry the request
originalResponse.body().close();
return chain.proceed(newRequest);
}
// otherwise just pass the original response on
return originalResponse;
}
}
然后给okhttp设置拦截器
OkHttpClient client = new OkHttpClient();
client.interceptors().add(new TokenInterceptor());
Retrofit retrofit = new Retrofit.Builder()
.baseUrl(BASEURL)
.addConverterFactory(GsonConverterFactory.create(gson))
.addCallAdapterFactory(RxJavaCallAdapterFactory.create())
.client(getOkHttpClient())
.build();
第二种方案的思路是通过拦截返回的数据,判断token是否过期,如果过期则进行一次刷新token的操作。
上面2种方案都没有进行实际验证过,希望以后有机会能验证。
完。。。
