前言:由于http协议是无状态的,每一次请求都创建一个请求对象。客户端发送请求后服务器不知道是那个客户端发送的请求(不知道当前系统登录的用户信息)。
一、session、cookie、token的作用
1.session就是服务端创建的一个特殊的对象,通过session对象我们可以进行用户跟踪。session对象采用的是形如key-value的形式。
2.cookie是一个小型的文本信息,cookie有很多属性。当客户端发送请求时会在请求头中携带cookie信息。服务端通过读取cookie可以获取客户端的某些信息。
3.token是一个base64编码后得到的字符串,我们称之为令牌。通常将这个字符串解析成三个部分:头部、载荷、签名。
头部:包括了用于对载荷编码、对载荷进行签名的算法。
载荷:包含了一些用户信息:id、角色、权限等,用来做检验和授权。
签名:头部和载荷的进行签名后得到的值,用于验证token完整性和真实性。
二、session和cookie的工作过程
1.客户端发送登录请求后服务端查看请求头是否名字叫做JSESSIONID(tomcat生成的叫这个)的cookie,这个cookie存放的就是session的id。如果没有这个cookie就建立session并将sessionid设置到setcookie相应头中。
2.客户端有一次发送请求时,自动携带cookie信息。包括存sessionid的cookie。这样就可以通过sessionid找到服务器已经建立的session。
3.服务器找到session后就能获取当前登录用户的一些信息,进行逻辑处理。验证通过后响应客户端。
局限性:由服务器存储用户信息,如果是服务器集群就存在传输共享session的问题。在一台服务器负载过大时就要传输session给另外的服务器。因此想出了将session存储到数据库的办法,但是如果数据库崩溃了服务器就无法获取用户信息。于是就有了jwt,将信息存到客户端。
三、token的工作过程
1.客户端发起登录请求,通常情况下是在登录时。服务端对携带的用户信息加密,加密过程:用户信息+秘钥生成签名。
2.服务端将token响应给客户端,客户端将token存到cookie或者storage中。token包括头部(加密算法的base64编码)、载荷(用户的一些信息的base64编码)、签名(上面服务器加密后的结果的base64编码)。
3.有了token令牌,服务端在每次接受请求时就能进行校验。首先进行base64编码的解码,然后利用服务器存的秘钥和token载荷的信息使用token中头部的加密算法进行加密。让加密结果和token的签名对比。
也可以将token存到redis中。
四、springboot项目中,jwt实现并存在redis中
1.首先引入redis相关的依赖。
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
2.登录时使用自定义的工具类创建token,并存在redis中。
String token = this.jwtUtil.createToken(String.valueOf(user.getUserId()));
redisTemplate.opsForValue().set("communityuser-"+user.getUserId(), token,jwtUtil.getExpire());
自定义jwt配置类,其中写了创建token、检验token的方法
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import java.util.Date;
import java.util.UUID;
@ConfigurationProperties(prefix = "jwt")
@Component
public class JwtUtil {
private long expire;
private String secret;
private String subject;
/**
* 生成token
*
* @param userId
* @return
*/
public String createToken(String userId) {
String token = Jwts.builder()
//载荷:自定义信息
.claim("userId", userId)
//载荷:默认信息
.setSubject(subject) //令牌主题
.setExpiration(new Date(System.currentTimeMillis() + expire)) //过期时间
.setId(UUID.randomUUID().toString())
//签名哈希
.signWith(SignatureAlgorithm.HS256, secret)
//组装jwt字符串
.compact();
return token;
}
public boolean checkToken(String token){
if(StringUtils.isEmpty(token)){
return false;
}
try {
Jws<Claims> claimsJws = Jwts.parser().setSigningKey(secret).parseClaimsJws(token);
} catch (Exception e) {
return false;
}
return true;
}
public long getExpire() {
return expire;
}
public void setExpire(long expire) {
this.expire = expire;
}
public String getSecret() {
return secret;
}
public void setSecret(String secret) {
this.secret = secret;
}
public String getSubject() {
return subject;
}
public void setSubject(String subject) {
this.subject = subject;
}
}
3.之后的每次请求都进行先进行token校验
我这里获取请求头的token属性是前端vue添加的。
String token = request.getHeader("token");
boolean result = jwtUtil.checkToken(token);