2014年的时候做移动APP开发,那时候的后端就是纯接口类型的服务。前后端进行安全校验及认证是通过token机制来做的。
基本思路:
- app提交用户名、密码进行登录
- 后端校验用户名密码,生成token返回给前端,有时也会保存token到用户表或者保存到全局Map中
- toekn的生成规则一般是Base64(uid+(MD5(u_pwd+secret)))
- 前端拿到token之后,保存到localstrage中
- 前端再请求的时候要把token放到header来过来
- 后端有一个验证过滤器,会统一校验所有的请求,取出token进行校验
- 去到token后base64解码,然后根据用户id查询用户密码,结合密钥secret重新生成token判断和发过来的token是否一致
如果toekn后端保存到了用户表对应的字段或者全局Map中,在校验的时候就直接拿用户id到map或者表中去查token判断和传过来的是否一致。
这种方案基本摆脱了session的依赖,但是后端服务还是保存了token相关信息,并没有做到完全的无状态化。
JWT
网上关于JWT(JSON WEB TOKEN)的介绍博文非常多,这里不过多赘述,我重点记录一下自己的理解。
JWT的格式如
Header.Payload.Signature
生成规则如下
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
使用的时候,基本和我上述的使用流程一样,区别在于校验规则以及后端的处理。
- 后端按照加密规则生成token值返回给前端
- 前端每次请求的时候都要把token带过来
- 后端同样需要有过滤器对token进行验证
- 验证方式是先解码token,然后取出Header和Payload,使用密钥secret按照加密规则生成token,校验token是否有效
最大区别在于,JWT的规范不要求后端保存相关信息,生成token的规则以及需要的数据在发过来的的token中可以取到。但基本上思路还是一致的,只是相对而言JWT更加规范一些。
参考文献