统一身份认证与排行榜的结合：技术实现与实战分享

大家好，今天咱们来聊聊一个挺有意思的话题——“统一身份认证”和“排行榜”的结合。听起来是不是有点儿不搭？不过别急，我慢慢给你讲。

先说说什么是“统一身份认证”。简单来说，就是让一个用户在多个系统中只需要登录一次，就能访问所有相关资源。比如你注册了一个网站，之后去另一个子系统的时候，不用再重新登录了。这在企业级应用里特别常见，因为很多公司有多个系统，但不想让用户反复输入账号密码。

而“排行榜”嘛，就是根据某种指标（比如分数、活跃度、积分等）对用户进行排序，展示谁最厉害、谁最活跃。这个功能在游戏、社交平台、学习类APP里都很常见。

那这两个东西怎么结合起来呢？举个例子，假设你开发了一个在线学习平台，用户登录后可以看到自己的学习进度，还能看到其他用户的排名。这时候，统一身份认证就派上用场了，确保每个用户的数据是准确的，不会被别人冒充或者篡改。排行榜则可以基于用户的学习数据进行计算和展示。

接下来，我就带大家写一段具体的代码，看看怎么把这两个功能整合起来。

一、统一身份认证的实现

首先，我们得搭建一个统一的身份认证服务。这里我们可以用JWT（JSON Web Token）来做。JWT是一种轻量级的认证方式，非常适合微服务架构。

下面是一个简单的JWT生成和验证的代码示例（用Python + Flask）：

from flask import Flask, request, jsonify
import jwt
import datetime

app = Flask(__name__)
SECRET_KEY = 'your-secret-key'

@app.route('/login', methods=['POST'])
def login():
    username = request.json.get('username')
    password = request.json.get('password')

    # 这里应该连接数据库验证用户名和密码
    if username == 'admin' and password == '123456':
        payload = {
            'username': username,
            'exp': datetime.datetime.utcnow() + datetime.timedelta(hours=1)
        }
        token = jwt.encode(payload, SECRET_KEY, algorithm='HS256')
        return jsonify({'token': token})
    else:
        return jsonify({'error': 'Invalid credentials'}), 401

@app.route('/protected', methods=['GET'])
def protected():
    token = request.headers.get('Authorization')
    if not token:
        return jsonify({'error': 'Missing token'}), 401

    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=['HS256'])
        return jsonify({'message': f'Hello {payload["username"]}!'})
    except jwt.ExpiredSignatureError:
        return jsonify({'error': 'Token expired'}), 401
    except jwt.InvalidTokenError:
        return jsonify({'error': 'Invalid token'}), 401

if __name__ == '__main__':
    app.run(debug=True)
    

这段代码实现了两个接口：一个是登录接口，用于生成JWT令牌；另一个是受保护的接口，用于验证用户是否登录。

当然，这只是最基础的实现。实际项目中还需要考虑更多安全性问题，比如使用HTTPS、防止令牌泄露、设置更复杂的过期时间等等。

二、排行榜功能的实现

接下来我们来看看排行榜是怎么做的。假设我们有一个学习平台，用户每次完成课程会获得一定积分，然后我们根据积分做排行榜。

这里我们可以用一个简单的数据库表来记录用户积分。例如，用MySQL的话，表结构可能如下：

CREATE TABLE user_scores (
    id INT AUTO_INCREMENT PRIMARY KEY,
    user_id INT NOT NULL,
    score INT DEFAULT 0,
    updated_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP
);
    

然后，我们写一个API来获取排行榜数据。同样用Python + Flask：

from flask import Flask, jsonify
import mysql.connector

app = Flask(__name__)

# 数据库配置
db_config = {
    'host': 'localhost',
    'user': 'root',
    'password': 'yourpassword',
    'database': 'learning_platform'
}

@app.route('/leaderboard', methods=['GET'])
def get_leaderboard():
    conn = mysql.connector.connect(**db_config)
    cursor = conn.cursor()

    query = "SELECT user_id, score FROM user_scores ORDER BY score DESC LIMIT 10"
    cursor.execute(query)
    results = cursor.fetchall()

    leaderboard = [{'user_id': row[0], 'score': row[1]} for row in results]

    cursor.close()
    conn.close()

    return jsonify(leaderboard)

if __name__ == '__main__':
    app.run(debug=True)
    

这个API返回的是当前积分最高的前10名用户。

当然，如果用户没有登录，我们就不能随便显示他们的ID，所以这个时候就需要结合前面的统一身份认证来判断用户是否有权限访问排行榜。

三、两者结合的实战案例

现在，我们把这两部分结合起来。也就是说，用户登录之后才能查看排行榜，并且排行榜的数据需要基于真实用户。

修改一下上面的排行榜API，让它依赖于JWT令牌：

@app.route('/leaderboard', methods=['GET'])
def get_leaderboard():
    token = request.headers.get('Authorization')
    if not token:
        return jsonify({'error': 'Missing token'}), 401

    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=['HS256'])
        user_id = payload['username']  # 假设用户名是用户ID
    except jwt.ExpiredSignatureError:
        return jsonify({'error': 'Token expired'}), 401
    except jwt.InvalidTokenError:
        return jsonify({'error': 'Invalid token'}), 401

    conn = mysql.connector.connect(**db_config)
    cursor = conn.cursor()

    query = "SELECT user_id, score FROM user_scores ORDER BY score DESC LIMIT 10"
    cursor.execute(query)
    results = cursor.fetchall()

    leaderboard = [{'user_id': row[0], 'score': row[1]} for row in results]

    cursor.close()
    conn.close()

    return jsonify(leaderboard)
    

这样，只有登录的用户才能访问排行榜，而且排行榜数据也是基于真实用户的信息。

不过，这里有个小问题：排行榜中的user_id是数据库里的ID，而不是用户名。如果我们希望显示用户名，就需要从用户表中查询。

比如，我们再建一个users表：

CREATE TABLE users (
    id INT AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(50) NOT NULL UNIQUE,
    email VARCHAR(100),
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);
    

然后修改排行榜查询语句，关联users表：

query = """
SELECT u.username, us.score 
FROM user_scores us
JOIN users u ON us.user_id = u.id
ORDER BY us.score DESC
LIMIT 10
"""
    

这样，排行榜就能显示用户名了。

四、扩展与优化建议

虽然上面的例子已经能跑起来，但实际项目中还有不少可以优化的地方。

1. **缓存排行榜**：排行榜数据频繁查询会影响性能，可以用Redis缓存结果，减少数据库压力。

2. **分页处理**：如果用户太多，排行榜数据可能会很长，可以添加分页支持。

3. **排行榜更新策略**：比如，每天晚上更新一次排行榜，而不是实时更新。

4. **权限控制**：不同角色的用户能看到不同的排行榜，比如管理员能看到所有用户，普通用户只能看到自己。

5. **前端展示**：排行榜的前端可以做成图表或卡片形式，增强用户体验。

6. **日志与监控**：记录用户访问排行榜的频率，避免异常行为。

五、总结

统一身份认证和排行榜看似是两个独立的功能，但结合起来可以极大地提升系统的安全性和用户体验。

通过JWT实现用户认证，保证数据的安全性；通过数据库存储用户积分，实现排行榜功能。两者的结合不仅让系统更强大，也更贴近真实业务场景。

当然，这只是入门级别的实现，实际项目中还需要考虑更多细节和优化。但如果你刚接触这些技术，这篇文章应该能帮你打下不错的基础。

好了，今天的分享就到这里。如果你觉得有用，欢迎点赞、评论、转发！下次我们再聊点别的技术话题。