基于Token机制鉴权架构

一、登录:

服务端校验密码，成功后返回access_token及refresh_token

客户端记录上述token

二、访问api

在访问api之前解析access_token，并查看是否过期，如果不过期则请求api

如果过期，则要先刷新令牌，再请求api

三、刷新token

携带有效期的refresh_token换回有效token

如果refresh_token过期，则需要用户重新登录

四、注销

请求注销api，服务器端和客户端应同时删除token的存储

Token解析架构思路：

两个接口分别对应token的解析和token的生成

默认实现了一个jwt的实现类

AuthUser是最上层的可被认证用户接口
User为基础实现
Buyer，Seller,Admin为具体业务实现

三个Service实现分别对应在三个角色api中的权限验证

一、token在header中的传输规范

"Authorization":"token值"

二、uuid在header中的传输规范

"uuid":"uuid值"

三、权限校验失败返回值

http status：401

{"code":"001","message":"无权访问"}"