小程序与内部用户双登录 + 接口代理实现方案
本文基于你的业务需求,精简重构代码、统一鉴权逻辑、简化接口代理,实现「小程序外部用户 + 内部系统用户双登录」+「小程序接口代理访问内部服务(绕过鉴权)」核心能力,代码可直接落地使用。
一、方案设计思路
1. 核心需求
- 双登录体系:小程序用户(手机号/微信授权)+ 内部系统用户(SSO单点登录)均可登录小程序后端,统一生成JWT令牌;
- 接口代理:小程序请求通过代理层转发到内部微服务,自动绕过内部系统鉴权;
- 统一鉴权:JWT过滤器兼容两种登录方式,白名单/内部接口放行,安全可控。
2. 架构逻辑
- 登录层:小程序用户生成JWT存入Redis+Cookie;内部用户通过SSO校验,共享用户上下文;
- 鉴权层:JWT过滤器统一校验令牌,区分「白名单/内部代理/正常请求」;
- 代理层:统一转发小程序请求到内部服务,自动携带内部鉴权头,跳过服务原生校验。
二、精简优化核心代码
1. 通用常量(JWT认证)
/**
* JWT常量定义
*/
public class JwtConstants {
/** Cookie令牌名称 */
public static final String COOKIE_AUTHORIZATION = "Authorization";
/** SSO访问令牌 */
public static final String COOKIE_ACCESS_TOKEN = "access_token";
/** Redis令牌前缀 */
public static final String REDIS_TOKEN_PREFIX = "jwt:token:";
/** 内部服务鉴权请求头 */
public static final String INTERNAL_AUTH_HEADER = "X-Internal-Auth";
/** 异常提示 */
public static final String ERROR_MSG_UNAUTHORIZED = "登录已失效,请重新登录";
public static final String ERROR_MSG_USER_NOT_EXIST = "用户不存在";
}
2. JWT认证过滤器(核心:双登录兼容 + 内部接口放行)
优化点:精简逻辑、统一判空、兼容JWT/SSO双登录、内部代理自动放行
import jakarta.servlet.FilterChain;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.RequiredArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;
import java.util.List;
import java.util.Optional;
/**
* 双登录JWT认证过滤器
* 兼容:小程序JWT登录 + 内部SSO登录
* 支持:内部接口代理放行
*/
@Slf4j
@Order(1)
@Component
@RequiredArgsConstructor
public class JwtFilter extends OncePerRequestFilter {
private final JwtUtil jwtUtil;
private final UserMapper userMapper;
private final JwtProperties jwtProperties;
/** 白名单路径 */
private List<String> whiteUrlList;
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) {
try {
String uri = request.getRequestURI().replaceFirst(request.getContextPath(), "");
// 1. 白名单直接放行
if (isWhiteList(uri)) {
filterChain.doFilter(request, response);
return;
}
// 2. 内部代理接口:携带固定鉴权头,直接放行(绕过内部系统鉴权)
String internalAuth = request.getHeader(JwtConstants.INTERNAL_AUTH_HEADER);
if (StringUtils.equals(internalAuth, jwtProperties.getFeignAuthKey())) {
filterChain.doFilter(request, response);
return;
}
// 3. 双登录令牌校验
validateToken(request);
// 4. 校验通过,放行请求
filterChain.doFilter(request, response);
} catch (Exception e) {
log.warn("认证失败:{}", e.getMessage());
// 统一返回未授权响应
response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
} finally {
UserContext.clear();
}
}
/**
* 双登录令牌校验:JWT(小程序) + SSO(内部用户)
*/
private void validateToken(HttpServletRequest request) {
// 1. 获取令牌:优先JWT,其次SSO令牌
String jwtToken = Optional.ofNullable(CookieUtil.getCookie(request, JwtConstants.COOKIE_AUTHORIZATION))
.map(Cookie::getValue).orElse(null);
String ssoToken = Optional.ofNullable(CookieUtil.getCookie(request, JwtConstants.COOKIE_ACCESS_TOKEN))
.map(Cookie::getValue).orElseGet(() -> request.getHeader(JwtConstants.COOKIE_ACCESS_TOKEN));
if (StringUtils.isAllBlank(jwtToken, ssoToken)) {
throw new BusinessException(JwtConstants.ERROR_MSG_UNAUTHORIZED);
}
// 2. 内部SSO用户校验
if (StringUtils.isNotBlank(ssoToken)) {
String userCode = SsoCacheManager.getInstance().getCache(String.class, "sso_access_token", ssoToken);
if (StringUtils.isBlank(userCode)) {
throw new BusinessException(JwtConstants.ERROR_MSG_UNAUTHORIZED);
}
return;
}
// 3. 小程序JWT用户校验
String mobile = jwtUtil.getSubject(jwtToken);
String redisToken = RedisUtil.get(String.class, JwtConstants.REDIS_TOKEN_PREFIX + mobile);
if (!StringUtils.equals(jwtToken, redisToken)) {
throw new BusinessException(JwtConstants.ERROR_MSG_UNAUTHORIZED);
}
// 校验用户并设置上下文
User user = userMapper.selectOne(lambdaQuery().eq(User::getMobile, mobile).eq(User::getIsDelete, 0));
if (user == null) {
throw new BusinessException(JwtConstants.ERROR_MSG_USER_NOT_EXIST);
}
UserContext.setCurrentUser(user);
log.info("小程序用户登录认证通过:{}", mobile);
}
/** 白名单匹配 */
private boolean isWhiteList(String uri) {
if (whiteUrlList == null) {
whiteUrlList = List.of(jwtProperties.getWhiteUrls().split(",")).stream()
.map(String::trim).filter(StringUtils::isNotBlank).toList();
}
return whiteUrlList.stream().anyMatch(pattern -> new AntPathMatcher().match(pattern, uri));
}
}
3. 登录业务实现(双用户体系)
优化点:精简登录逻辑、区分内外用户、统一令牌生成
/**
* 登录服务:兼容小程序用户 + 内部员工用户
*/
@Slf4j
@Service
@RequiredArgsConstructor
public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements IUserService {
private final JwtUtil jwtUtil;
private final RedisUtil redisUtil;
private final JwtProperties jwtProperties;
private final IEmpRest empRest;
private final ISmsRest smsRest;
/**
* 统一登录入口
*/
@Override
@Transactional(rollbackFor = Exception.class)
public Map<String, Object> login(LoginUserVO vo, HttpServletResponse response) {
// 1. 获取手机号(验证码/微信授权)
String mobile = getLoginMobile(vo);
// 2. 获取/创建用户(自动识别内部员工)
User user = getOrCreateUser(mobile);
// 3. 生成JWT令牌
String token = jwtUtil.generateToken(mobile);
redisUtil.put(JwtConstants.REDIS_TOKEN_PREFIX + mobile, token, jwtProperties.getExpiration(), TimeUnit.DAYS);
// 4. 设置Cookie
CookieUtil.setCookie(response, JwtConstants.COOKIE_AUTHORIZATION, token);
// 5. 返回结果
return Map.of("token", token, "mobile", mobile);
}
/**
* 获取登录手机号(验证码/微信)
*/
private String getLoginMobile(LoginUserVO vo) {
if (UserEnums.LoginTypeEnum.PHONE_LOGIN.eq(vo.getLoginType())) {
// 验证码校验
if (!smsRest.verifyCode(vo.getMobile(), vo.getCode(), vo.getUuidStr())) {
throw new BusinessException("验证码错误");
}
return vo.getMobile();
}
if (UserEnums.LoginTypeEnum.WECHAT_LOGIN.eq(vo.getLoginType())) {
return wxService.getPhone(vo);
}
throw new BusinessException("不支持的登录方式");
}
/**
* 自动识别:内部员工 / 小程序外部用户
*/
private User getOrCreateUser(String mobile) {
User user = lambdaQuery().eq(User::getMobile, mobile).eq(User::getIsDelete, 0).one();
if (user != null) {
if (UserEnums.IsDisableEnum.YES.eq(user.getIsDisable())) {
throw new BusinessException("用户已禁用");
}
return user;
}
// 新用户:查询是否为内部员工
List<EmpVo> empList = empRest.find(EmpQueryReqVo.builder().mobiles(List.of(mobile)).build());
user = new User();
user.setMobile(mobile);
user.setIsDelete(0);
if (CollUtil.isNotEmpty(empList)) {
// 内部员工用户
user.setUserType(UserEnums.UserTypeEnum.INTERNAL.getCode());
} else {
// 小程序外部用户
user.setUserType(UserEnums.UserTypeEnum.EXTERNAL.getCode());
}
this.save(user);
return user;
}
/**
* 退出登录
*/
@Override
public void logout(String mobile, HttpServletResponse response) {
redisUtil.remove(JwtConstants.REDIS_TOKEN_PREFIX + mobile);
CookieUtil.removeCookie(response, JwtConstants.COOKIE_AUTHORIZATION);
log.info("用户退出登录:{}", mobile);
}
}
4. 接口代理控制器(极简通用版)
优化点:合并GET/POST、自动转发请求/响应头、自动携带内部鉴权头、支持文件上传下载
/**
* 小程序接口代理:转发请求到内部微服务,绕过原生鉴权
* 请求规则:/autoproxy/服务名/接口路径 → 转发到 http://服务名/接口路径
*/
@Slf4j
@RestController
@RequestMapping("/autoproxy")
@RequiredArgsConstructor
public class AutoproxyController {
private final RestTemplate lbRestTemplate;
/**
* 统一代理:GET/POST 请求
*/
@RequestMapping(value = "/**", method = {RequestMethod.GET, RequestMethod.POST})
public void proxy(HttpServletRequest request, HttpServletResponse response) throws IOException {
// 1. 构建目标服务URL
String targetUrl = request.getRequestURI().replaceFirst("/autoproxy", "");
String fullUrl = "http:/" + targetUrl;
log.info("代理转发:{}", fullUrl);
// 2. 复制请求头 + 添加内部鉴权头(绕过内部服务鉴权)
HttpHeaders headers = new HttpHeaders();
Enumeration<String> headerNames = request.getHeaderNames();
while (headerNames.hasMoreElements()) {
String name = headerNames.nextElement();
if (!"host".equalsIgnoreCase(name)) {
headers.add(name, request.getHeader(name));
}
}
// 核心:添加内部鉴权头,跳过内部服务校验
headers.add(JwtConstants.INTERNAL_AUTH_HEADER, jwtProperties.getFeignAuthKey());
// 3. 执行请求转发
RequestMethod method = RequestMethod.valueOf(request.getMethod());
HttpEntity<?> entity = new HttpEntity<>(getRequestBody(request), headers);
ResponseEntity<Resource> result = lbRestTemplate.exchange(fullUrl, method, entity, Resource.class);
// 4. 转发响应(头+Cookie+数据流)
response.setStatus(result.getStatusCodeValue());
result.getHeaders().forEach((k, v) -> response.addHeader(k, v.get(0)));
// 流式输出
try (InputStream in = result.getBody().getInputStream();
OutputStream out = response.getOutputStream()) {
StreamUtils.copy(in, out);
}
}
/**
* 获取请求体
*/
private Object getRequestBody(HttpServletRequest request) throws IOException {
if (request instanceof MultipartHttpServletRequest) {
return ((MultipartHttpServletRequest) request).getMultiFileMap();
}
return StreamUtils.copyToString(request.getInputStream(), StandardCharsets.UTF_8);
}
}
三、核心机制说明
1. 双登录兼容逻辑
- 小程序用户:手机号/微信授权 → 生成JWT → Redis存储 + Cookie写入;
- 内部用户:SSO单点登录 → 校验SSO令牌 → 直接放行;
- 统一上下文:两种登录方式最终共享
UserContext,业务层无感知。
2. 接口代理鉴权绕过
- 代理层自动添加
X-Internal-Auth请求头; - JWT过滤器识别该请求头,直接放行,不校验用户令牌;
- 内部微服务识别该请求头,跳过原生鉴权,实现无感知访问。
3. 安全控制
- 白名单配置:登录/验证码等接口无需认证;
- 内部鉴权头:密钥配置,防止非法请求;
- 令牌过期:JWT+Redis双校验,支持强制登出。
四、总结
本次优化大幅精简代码量,核心优势:
- 双登录无缝兼容:一套过滤器支持小程序+内部用户,无需重复开发;
- 接口代理极简通用:支持GET/POST/文件上传下载,自动转发所有请求;
- 鉴权安全可控:白名单、内部代理、令牌校验三层防护;
- 易维护扩展:代码模块化、注释清晰、符合企业开发规范。
直接部署即可满足「小程序外部用户访问 + 内部员工登录 + 代理访问内部服务」的全场景需求。
