目前公司已经用的是这样的框架了,所以学起来比较清晰和简单。认真看了一遍别人的理解和说明,把security的拦截以及验证账户密码、权限的设置、配置的细节梳理一遍,对于这个流程更加清晰了。加上jwt的整合,建议每个学习这两个框架工具整合的一定要把流程看一遍,对鉴权和JWT有一个清晰的理解。下面简单总结一下这次的学习内容。
传统Token
传统的Token,例如:用户登录成功生成对应的令牌,key为令牌 value:userid,隐藏了数据真实性 ,同时将该token存放到redis中,返回对应的真实令牌给客户端存放。公司做了一个公众号的后台提供给客户公司用,用的是传统的TOKEN保存到REDIS中。
客户端每次访问后端请求的时候,会传递该token在请求中,服务器端接收到该token之后,从redis中查询如果存在的情况下,则说明在有效期内,如果在Redis中不存在的情况下,则说明过期或者token错误。
优点:
1.因此数据的真实性,外面只能看到一个键值。
2.因为是存放在redis中的,所以适用与分布式和微服务。
3. 安全系数比较高。
缺点:
1.因为要存放在redis,就要占用服务器资源。
2.因为要查询和筛选,所以效率比较低。
什么是Jwt
Jwt JSON WEB Token JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
优点:
1.无需再服务器存放用户的数据,减去服务器端压力
2.轻量级、json风格比较简单
3.跨语言
缺点:
1.无法更新token有效期,因为生成之后就存在客户端了。
2.无法销毁一个token,因为存在客户端的,没法从后端直接清除。
如何注销JWT
1.浏览器cookie清除
2.建议将时间设置稍微短一点
3.也可以把security的授权认证设置为空同时在拦截器校验用户的方法(doFilterInternal()这个方法)加上这个授权设置为空的判断即可。这样用户再调用接口的时候就会报错。
434
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
