token:
会话技术session:弊端是只适合单体应用,不适用于分布式微服务项目
token令牌会话技术-登录成功后,在一段时间内不需要重复登录,便可以直接访问系统资源。
是适用于分布式微服务集群的项目的会话技术。
这里数据认证成功之后,返回数据给前端之前,数据可以往redis中存储,然后再把数据返回给前端。
JWT token:
1.JWT的简介
1>什么是JWT
Json Web Token(JWT),是一种⽤于通信双⽅之间传递信息的简洁的、安全的声明规范;作为⼀个开放的标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方之间以Json对象的形式安全的传递信息。
JWT一般被用来在身份提供者和服务提供者之间传递被认证的用户身份信息,即传递Token,以便于从资源服务器获取资源;特别适用于分布式站点的单点登录(SSO)场景。
官网:https://jwt.io
2>跨域认证
例如,A网站和B网站是同一家公司的关联服务,现在要求,用户只要在其中一个网站登录,再访问另一个网站就无需登录。如何实现?
1)方案一
将Token持久化,保存到持久层;所有服务收到请求后,都从持久层获取Token进行校验。这种方案的优点是架构清晰;缺点是工程量比较大,另外,持久层万一挂了,就会单点失败。
2)方案二
数据库不再保存 Token了,所有Token都保存在客户端,每次请求都将Token发回服务器,服务器解析校验就行了。JWT就是这种方案的一个代表。
3>总结
JWT是一种用于传递Token的解决方案,而且可以无需持久化Token实现跨域认证。
通俗来讲,JWT是一个含签名并携带用户相关信息的加密串,客户端请求服务端时,请求中携带JWT串到服务端,服务端通过签名加密串匹配校验,保证信息未被篡改,校验通过则认为是可靠的请求,将正常返回数据。
2.JWT的原理
JWT的原理是,服务端认证通过以后,会生成一个JSON对象,发回给客户端,就像下面这样:
{ "姓名": "张三", "角色": "管理员", "到期时间": "2018年7月1日0点0分" } |
之后,客户端与服务端通信的时候,都要发回这个JSON对象给服务端,服务端完全只靠这个JSON对象认定用户身份。为了防止用户篡改数据,服务端在生成这个JSON对象的时候,还会加上签名。服务端就不保存任何数据了,即服务端变成无状态了,从而比较容易实现扩展。
3.JWT的数据结构
它是一个很长的字符串,中间用点(.)分隔成三个部分。
1> Header(头部)
2> Payload(载体)
3> Signature(签名)
1>Header(头部)
Header部分是一个JSON对象,描述了JWT的元数据,通常是下面的样子:
{
"alg": "HS256",
"typ": "JWT"
}
alg属性表示签名用的算法(algorithm),默认是HMAC SHA256(写成HS256);
typ属性表示这个令牌(token)的类型(type),JWT统一写为JWT;
最后,将上面的JSON对象使用 Base64URL编码转成字符串。
2>Payload(载体)
Payload部分也是一个JSON对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段供选用:
sub(subject):主题
iat(issuedAt):签发时间
exp(expiresAt):过期时间
iss(issuer):签发人
aud(audience):受众
nbf(notBefore):生效时间
jti(jwtId):编号
除了官方字段,还可以在这个部分定义私有字段,例如:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
JWT默认是不加密的,任何人都可以读到,所以不要把秘密信息(密码,手机号等)放在这个部分;但也是可以加密的,生成原始Token以后,可以用密钥再加密一次。
这个JSON对象也要使用Base64URL编码转成字符串。
3>Signature(签名)
Signature部分是对前两部分的签名,防止数据篡改。
首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。
然后,使用Header里面指定的算法(HMAC SHA256),按照下面的公式产生签名:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret
)
最后,算出签名以后,把Header、Payload、Signature三个部分拼成一个字符串,每个部分之间用点(.)分隔,就可以返回给用户了。
4.JWT的传递方式
客户端收到服务端返回的JWT串后,可以储存在Cookie里面,也可以储存在localStorage。
此后,客户端每次请求服务端,请求中都要带上这个JWT串。可以把它放在Cookie里面自动发送,但是这样不能跨域,所以更好的做法是放在请求头Authorization里面,或放在POST请求的数据体里面。
5.JWT的API
创建一个maven工程:
添加jwt的依赖:
pom.xml:
<?xml version="1.0" encoding="UTF-8"?> http://maven.apache.org/xsd/maven-4.0.0.xsd">
|
编码操作:
src/main/java/com.mmy.jwt.Demo.java:
package com.mmy.jwt; MywiaWF0IjoxNjU2ODIzNDMzfQ. |