JWT
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案
原理
JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,由客户端来保存登录信息。此后,客户端每次与服务器通信,都要带上这个 JWT。 生成的token可以放在HTTP 请求的头信息Authorization
字段里面,也可以放在 POST 请求的数据体里面。当然也可以把它放在 Cookie 里面自动发送,但是这样不能跨域。所以一般建议放在请求头里。这样子,服务器变成无状态,从而比较容易实现扩展。
token生成:
token由三部分组成
Header(头部)
payload(负载)
signature(签名)
token的payload里面会包含用户的信息(依据业务需要存放)和token的过期时间等信息
token续约方案:
可以在token即将过期的时候,告诉客户端,token快过期了,需要续约。
例如:token过期时间是7天,当第四天(这个天数可以自由控制,但是必须小于过期时间)的时候,就需要续约了。
那么每当客户端请求过来的时候,进行校验。
可以用当前时间+3天是否大于过期时间7天,如果大于的话,代表需要续约了,抛出一个业务的异常给客户端。告诉客户端,你的token快过期了,要重新续约。
token注销方案:
由于jwt整个json对象是保存在客户端的,对于服务器是无感知的,所以服务器无法控制token是否删除整个操作,只要token不过期,都认为是合法的请求。
那么如果要用jwt来实现注销的功能的话,在用户认证成功后,将用户uid和token保存在redis中,并设置token的过期时间,在续约的时候,要同步更新redis中token的过期时间。那么注销的时候,只需要将redis中的token移除即可。
所以校验的时候,只需要判断redis中token是否存在,即可判断用户是否注销。
但是这样子不好的地方,就是每次都要花费一次网络开销去请求redis,还要用redis来存储token,违背了jwt的无状态特性。实际中可以根据项目特点,自行取舍考虑合理的方案。
以上纯属笔者的个人观点,如果更好的方案,欢迎评论。