1.普通的token认证
在普通的App开发中,我们在用户提交账号和密码登陆成功之后会返回一串令牌的字符串给客户端并将令牌保存在数据库或者缓存中。客户端下次登录到的时候可以直接使用令牌登陆而不用再输入账号和密码,从而实现登陆操作。这种操作在单一服务器中完全没有问题。但是在集群的服务中需要有一个统一的token服务器来保存数据实现共享,这样每个服务器才可以正确的验证用户身份。而且将token保存在数据库中的弊端就是当用户登陆退出操作比较频繁的时候需要经常更新数据库的表字段,当服务器或者缓存失败就会影响整个认证系统。
2.jwt认证
jwt认证的原理是:在用户登陆之后服务器会返回一个json对象给客户端由客户端保存json对象,每次请求的时候将json对象带上,服务器仅仅需要通过json对象来标识用户。为了防止json对象被篡改我们在生成对象时会添加签名(请参阅下文),这样服务器端就不用保存会话数据,减轻了服务器的压力也方便以后扩展
3.jwt的数据结构
jwt其实是一个很长的字符串,这个字符串由三部分的组成。
第一部分是JWT头部分是一个描述JWT元数据的JSON对象,例如
{
"enc": "MD5",
"typ": "JWT"
}
上面的信息可以自由填写,上面json中enc代表的是加密方式,typ代表的是令牌类型
最后,使用Base64 URL算法将上述JSON对象转换为字符串保存
第二部分是用户信息,字段可以自己定义
如下例:
{
"sub": "1234567890",
"name": "chongchong",
"admin": true
}
请注意,默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息(当然加密也没问题)加密的话推荐使用RSA加密。JSON对象也使用Base64 URL算法转换为字符串保存。
第三部分是签名
签名是指对上面两部分的内容通过制定的算法进行加密,防止jwt被篡改
首先我们要指定一个private key保存在服务器中不对用户公开.然后用private key对前面两部分的字符串进行指定加密(加密方式由第一部分指定),加密完成之后将第一部分头信息,第二部分用户信息和加密信息拼接成字符串中间用字符隔开。这样就组成了jwt对象。
第一次写博客有不足之处请多多包涵。
背石头的小Z