Alamofire進行OAuth2認證

本文使用的是Alamofire4 + PromisKit/Alamofire。

最后的成果代碼如下

class STNet: RequestAdapter, RequestRetrier {
   
    typealias RefreshCompletion = (_ succeed: Bool) -> Void
    
    /// 用于刷新token
    private let tokenManager: SessionManager = {
        let configuration = URLSessionConfiguration.ephemeral
        configuration.httpAdditionalHeaders = SessionManager.defaultHTTPHeaders
        return SessionManager(configuration: configuration)
    }()
    lazy var tokenDelegate: Alamofire.SessionDelegate = tokenManager.delegate

    private let lock = NSLock()
    
    private var isRefreshing = false
    // 需要重連的請求
    private var requestsToRetry: [RequestRetryCompletion] = []
    
    /// 用于請求
    private lazy var sessionManager: SessionManager = {
        let configuration = URLSessionConfiguration.default
        configuration.httpAdditionalHeaders = SessionManager.defaultHTTPHeaders
        let sm = SessionManager(configuration: configuration)
        sm.adapter = self
        sm.retrier = self
        return sm
    }()
    lazy var sessionDelegate: Alamofire.SessionDelegate = sessionManager.delegate

    
    static let share = STNet()
    static let sessionManager = STNet().sessionManager
    
    init() {
        tokenDelegate.taskWillPerformHTTPRedirection = { session, task, response, request in
            let finalRequest = request
            
            // 如果是重定向到 http://www.senergychina.com.cn:15280/stjnhr-web/;JSESSIONID=  不允許
            if let urlString = request.url?.absoluteString,
                urlString.contains("http://www.senergychina.com.cn:15280/stjnhr-web/;JSESSIONID=") || urlString.contains("redirect_uri=http://senergychina.com.")
            {
                return nil
            }
            
            return finalRequest
        }
        // 請求過程中出現(xiàn)302,攔截
        sessionDelegate.taskWillPerformHTTPRedirection = { _, _, _, request in
            if let urlString = request.url?.absoluteString,
                urlString.contains("http://www.senergychina.com.cn:15280/stjnhr-web/;JSESSIONID=") || urlString.contains("redirect_uri=http://senergychina.com.")
            {
                return nil
            }
            return request
        }
        // 請求Manager設置請求適配器和請求重連
        sessionManager.adapter = self
        sessionManager.retrier = self
    }

    //  請求之前將cookie放到header中
    func adapt(_ urlRequest: URLRequest) throws -> URLRequest {
        var ur = urlRequest
        let cookie = Storage.share.readCookie()
        if cookie.count > 0 {
            ur.setValue(cookie, forHTTPHeaderField: "cookie")
        }
        return ur
    }
    
    // 如果接口返回Error,Alamofire會重連,重連的時候會調用該函數(shù),我們可以在這里進行認證
    func should(_ manager: SessionManager, retry request: Request, with error: Error, completion: @escaping RequestRetryCompletion) {
        
        lock.lock() ; defer { lock.unlock() }
        
        if let response = request.task?.response as? HTTPURLResponse,
            response.statusCode == 401 || response.statusCode == 302 {
            requestsToRetry.append(completion)
            
            if !isRefreshing {
                refreshTokens { [weak self] succeeded in
                    guard let `self` = self else { return }
                    
                    self.lock.lock() ; defer { self.lock.unlock() }
                    self.requestsToRetry.forEach{ $0(succeeded, 0.0)}
                    self.requestsToRetry.removeAll()
                }
            }
        }
        else {
            completion(false, 0.0)
        }
    }
    
    // PromiseKit 串聯(lián)請求
    func refreshTokens(completion: @escaping RefreshCompletion) {
        guard !isRefreshing else { return }
        isRefreshing = true

        tokenManager.request(firstPath, method: .get)
            .responseString()
            .then { res -> Promise<(string: String, response: PMKAlamofireDataResponse)> in
                let cookie = self.cookieFromResponse(response: res.response.response!)
                let header = ["cookie": cookie]
                return self.tokenManager.request(secondPath, method: .post, parameters: self.secondParam, headers: header).responseString()
            }
            .then { res -> Promise<(string: String, response: PMKAlamofireDataResponse)> in
                print(res.string)
                let thirdParam = ["code": res.string]
                return self.tokenManager.request(thirdPath, method: .get, parameters:thirdParam).responseString()
            }
            .done{ res in
                let cookie = self.cookieFromResponse(response: res.response.response!)
                Storage.share.saveCookie(cookie: cookie)
                completion(true)
            }
            .catch { error in
                completion(false)
                print(error)
        }
    }

    // 獲取response的cookie
    private func cookieFromResponse(response: HTTPURLResponse) -> String {
        for (key, value) in response.allHeaderFields {
            if (key as! String) == "Set-Cookie" {
                let cookie = value as! String
                return cookie
            }
        }
        return ""
    }
    
    
}

-----正文

公司的OAuth2認證使用的是網(wǎng)頁端的認證過程。
請求正式接口的時候,如果沒有認證,默認直接重定向到登錄界面。

認證過程如下:

  1. 請求http://www.senergychina.com.cn:15280/oauth-server/oauth!login.action?username=--&password=--"接口,獲取該接口返回的cookie。如果賬號密碼正確,總會返回cookie
  2. 使用第一步拿到的cookie作為header,繼續(xù)以post方式請求 http://www.senergychina.com.cn:15280/oauth-server/oauth!authorize2.action,這一步的參數(shù)為 [ "clientId": "---", "responseType": "code" ],clientId對應子系統(tǒng)。這一步成功,會返回一個直接返回一個code。該code作為第三步的參數(shù)
  3. 使用第二步的code,構造參數(shù)["code": code] ,請求http://www.senergychina.com.cn:15280/stjnhr-web/oauth2-login,我們需要的是這一步返回的cookie,將這個cookie保存下來,作為正式請求的header中的cookie即可。這一步成功之后會重定向.

解決的困難

  1. Alamofire請求完成以后,cookie存放在response.allHeaderFields里面。返回值response一般是通過封裝的。使用response.response 獲取HTTPURLResponse,然后再解析得到需要的cookie。
  private func cookieFromResponse(response: HTTPURLResponse) -> String {
        for (key, value) in response.allHeaderFields {
            if (key as! String) == "Set-Cookie" {
                let cookie = value as! String
                return cookie
            }
        }
        return ""
    }
  1. 重定向:認證過程最后一步會進行重定向,Alamofire默認會自動重定向,如果重定向后的接口返回200,那么該請求結果中的reponse就是重定向以后的response,而不是重定向之前的,所以,不能讓它重定向?。?br> 重定向的code是302。Alamofire的重定向的攔截在sessionManager的delegate中??梢宰远x請求manager的代理,重寫重定向回調的閉包。如果不需要重定向,直接返回nil,這時候請求的結果就是我們需要的了。
    // 定義用于刷新token的manager
    private let tokenManager: SessionManager = {
        let configuration = URLSessionConfiguration.ephemeral
        configuration.httpAdditionalHeaders = SessionManager.defaultHTTPHeaders
        return SessionManager(configuration: configuration)
    }()
    // 定義manager的代理
    lazy var tokenDelegate: Alamofire.SessionDelegate = tokenManager.delegate

    // 在init等方法中執(zhí)行該回調
    tokenDelegate.taskWillPerformHTTPRedirection = { session, task, response, request in
            let finalRequest = request
            
            // 如果是重定向到  登錄界面 不允許
            if let urlString = request.url?.absoluteString,
                urlString.contains("http://www.senergychina.com.cn:15280/stjnhr-web/;JSESSIONID=") || urlString.contains("redirect_uri=http://senergychina.com.")
            {
                return nil
            }
            
            return finalRequest
        }
  1. 請求串聯(lián):認證過程是串聯(lián)著發(fā)送三個請求,所以如果能使用Promise或者Future,將會比在closure中直接寫觀感要好的多。幸好swift有PromiseKit庫。使用PromiseKit串聯(lián)請求看起來是這樣的,下面代碼也是認證的核心代碼
     tokenManager.request(firstPath, method: .get)
        .responseString()
        .then { res -> Promise<(string: String, response: PMKAlamofireDataResponse)> in
            let cookie = self.cookieFromResponse(response: res.response.response!)
            let header = ["cookie": cookie]
            return self.tokenManager.request(secondPath, method: .post, parameters: self.secondParam, headers: header).responseString()
        }
        .then { res -> Promise<(string: String, response: PMKAlamofireDataResponse)> in
            print(res.string)
            let thirdParam = ["code": res.string]
            return self.tokenManager.request(thirdPath, method: .get, parameters:thirdParam).responseString()
        }
        .done{ res in
            let cookie = self.cookieFromResponse(response: res.response.response!)
            Storage.share.saveCookie(cookie: cookie)
            completion(true)
        }
        .catch { error in
            completion(false)
            print(error)
    }
  1. 認證的時機:只有在后臺返回錯誤的時候才進行重新認證。如果后臺直接返回400+的錯誤,那么就可以直接使用Alamofire4的重連機制來做。也就是Request Retrier (請求重連)。默認情況下,當接口返回Error的時候,會在設定的時間之后進行重連。要使用Retrier,遵循RequestRetrier協(xié)議,實現(xiàn)其方法即可。
public typealias RequestRetryCompletion = (_ shouldRetry: Bool, _ timeDelay: TimeInterval) -> Void

public protocol RequestRetrier {
    func should(_ manager: SessionManager, retry request: Request, with error: Error, completion: @escaping RequestRetryCompletion)
}

實際問題是:請求過程中,如果認證超時或者沒有認證,后臺會直接重定向到登錄界面?。?!??不會進Error。所以問題的導向就變成了,怎么將302變成錯誤返回。
解決方法是Alamofire的validate方法:

    STNet.sessionManager.request(fourthPath, method: .get)
        .validate({ (request, response, _) -> Request.ValidationResult in
            if response.statusCode == 302 {
    //                    let error = Error()
                return .failure(AFError.invalidURL(url: request?.url ?? ""))
            }
            else {
                return .success
            }
        })
        .responseString(completionHandler: { (res) in
            print("請求結果:\(res)")
        }

當然,這里要配合tokenDelegate.taskWillPerformHTTPRedirection來做,禁止重定向之后,這里才能攔截到302。
把302當作錯誤處理后,Alamofire就會進重連,我們就可以在重連方法里,判斷狀態(tài)碼是302的時候進行認證。

  1. 為正式請求增加Cookie的時機:
    實際的每次請求都需要認證結果得到的cookie,所以最好是在每次請求之前,手動添加(因為我不確定,認證成功接口的cookie會被自動帶入)。Alamofire4增加了Request Adapter (請求適配器),
public protocol RequestAdapter {
    func adapt(_ urlRequest: URLRequest) throws -> URLRequest
}

它可以讓每一個 SessionManager 生成的 Request 都在生成之前被解析并且按照規(guī)則適配. 一個使用適配器很典型的場景就是給請求添加一個 Authorization 的請求頭。沒有比在這個地方添加cookie更合適的了。

// 代碼與本次認證無關...
class AccessTokenAdapter: RequestAdapter {
    private let accessToken: String

    init(accessToken: String) {
        self.accessToken = accessToken
    }

    func adapt(_ urlRequest: URLRequest) throws -> URLRequest {
        var urlRequest = urlRequest

        if urlRequest.urlString.hasPrefix("https://httpbin.org") {
            urlRequest.setValue("Bearer " + accessToken, forHTTPHeaderField: "Authorization")
        }

        return urlRequest
    }
}

let sessionManager = SessionManager()
sessionManager.adapter = AccessTokenAdapter(accessToken: "1234")

sessionManager.request("https://httpbin.org/get")

如果一個 Error 在適配過程中產(chǎn)生的話, 它會逐層拋出, 最后傳遞到 Request 的請求回調里.

---完畢

需要解決的問題大概就這么多,將所有的串聯(lián)起來就能得到正確的認證,實際的脫敏代碼在文章開頭。

使用的時候是這樣的:

      STNet.sessionManager.request(fourthPath, method: .get)
        .validate({ (request, response, _) -> Request.ValidationResult in
            if response.statusCode == 302 {
                //                    let error = Error()
                return .failure(AFError.invalidURL(url: request?.url ?? ""))
            }
            else {
                return .success
            }
        })
        .responseString(completionHandler: { (res) in
            print("請求結果:\(res)")
        })

em...應該還需要進一步封裝下..

代碼雖然沒有dio那么清晰明了易操作,但是還算可以吧....

后來,這個東西剛研究完的時候,后臺準備給移動端重寫認證,使用accessToken和refeshToken來做認證....

參考文獻: Alamofire的document,看不懂...所以 看的這個

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯(lián)系作者
【社區(qū)內容提示】社區(qū)部分內容疑似由AI輔助生成,瀏覽時請結合常識與多方信息審慎甄別。
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發(fā)布,文章內容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

相關閱讀更多精彩內容

  • 這篇文章介紹了Mobile BI(移動商務智能)使用過程中涉及的各種身份認證的方式,主要目的是對這些方式的原理進行...
    雨_樹閱讀 2,292評論 1 2
  • 目錄: [TOC] 公司使用的OAuth認證分為三步 要請求人事的接口,就要先通過OAuth認證。 認證流程如下:...
    ted4kra閱讀 2,006評論 0 2
  • 工作流程 一次HTTP操作稱為一個事務,其工作過程可分為四步: 1)首先客戶機與服務器需要建立連接。只要單擊某個超...
    保川閱讀 4,718評論 2 14
  • OAuth2.0協(xié)議 定義 OAuth: OAuth(開放授權)是一個開放標準,允許用戶授權第三方移動應用訪問他們...
    HoooChan閱讀 5,564評論 1 3
  • 靈魂只能獨行,早該參悟此理,又何必如此執(zhí)著去追求不切實際的期待。一直被關懷備至,卻深諳獨立自主的重要性,一個人,無...
    小孜閱讀 343評論 0 0

友情鏈接更多精彩內容