登录的判断标准
在Spring Security框架中,对于通过认证登录的判断标准是,在SecurityContext(Security上下文)中是否存在authentication对象(认证信息),如果存在,Spring Security框架会根据Authentication对象识别用户的身份、权限等。如果不存在,则视为“未登录”。
默认情况下,Spring Security框架是基于Session来处理(读写)用户的信息。
Session
Http是无状态的协议,无法保存用户的信息,即:某客户端第1次访问了服务器,可能产生了某些数据,当此客户端再次访问服务端时,服务端无法识别出这个客户端时此前曾经来访的客户端。
为了识别客户端的身份,当客户端第一次向服务端发送请求时,服务器端将向客户端相应一个JSESSIONID数据,其本质是一个UUID数据。在后续客户端访问时,会自动携带JSESSIONID,以至于让服务器能够识别客户端的身份。同时,服务器端还有一个Map结构的数据,此数据是使用JSESSION作为key。所以,每个客户端在服务器端都有一个与之对应的value值,也就是Session数据。
UUID是全球唯一的,从设计上来说,它能够保证同一时空中的唯一性
由于Session的运作机制,存在以下的缺点:
- 默认不适用于集群和分布式系统:Session是内存中的数据,默认情况下,Session只存在于与客户端交互的那台服务器上,如果使用了集群,客户端每次请求的服务器都不是同一台服务器,则无法有效的识别客户端身份
- 不适合长时间保存数据:因为Session是内存中的数据,所有来访的客户端都有Session数据,所以必须存在Session清除机制,如果长时间不清除,随着来访的客户端越来越多,内存占用越来越大,服务器将无法存储着大量的数据,通常,会将Session设置为15分钟或最多30分钟清除。
Token
Token:票据、令牌
目前主流识别用户身份的做法是使用Token机制,Token可以理解为“票据”,例如:现实生活中的“公交卡”,某客户端第1次请求服务器,或执行登录请求,则可视为“充值公交卡”的行为,当客户端成功登录,相当于成功充值了公交卡,客户端的后续访问应该携带Token,相当于乘坐公交车需要携带公交卡,则服务器端可以识别客户端的身份,相当于公交车及工作人员可以识别携带了购买凭证的乘车人。
Token是包含可识别的有效信息,对于需要获取信息的一方而言,只需要具备读取Token信息的能力即可。
Token并不需要占用较多的内存空间,是可以长时间的保存用户信息。
JWT
JWT:JSON Web Token
JWT是一种使用JSON格式来组织数据的Token。
添加JWT依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt<artifactId>
<version>0.9.1</version>
</dependency>