jwt token 附加用户信息_掌握基于 JWT 实现的 Token 身份认证

引语

最近正好在独立开发一个后台管理系统，涉及到了基于Token的身份认证，自己边学边用边做整理和总结，对基于JWT实现的Token的身份认证做一次相对比较全面的认识。

一、基于session的跨域身份验证

Internet服务无法与用户身份验证分开。一般过程如下。

用户向服务器发送用户名和密码。

验证服务器后，相关数据(如用户角色，登录时间等)将保存在当前会话中。

服务器向用户返回session_id，session信息都会写入到用户的Cookie。

用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。

服务器收到session_id并对比之前保存的数据，确认用户的身份。

996415-20180508203515598-1955105543.png

这种模式最大的问题是，没有分布式架构，无法支持横向扩展。如果使用一个服务器，该模式完全没有问题。但是，如果它是服务器群集或面向服务的跨域体系结构的话，则需要一个统一的session数据库库来保存会话数据实现共享，这样负载均衡下的每个服务器才可以正确的验证用户身份。

例如虫虫举一个实际中常见的单点登陆的需求：站点A和站点B提供同一公司的相关服务。现在要求用户只需要登录其中一个网站，然后它就会自动登录到另一个网站。怎么做？

1350514-20180504122814029-1201707523.png

一种解决方案是听过持久化session数据，写入数据库或文件持久层等。收到请求后，验证服务从持久层请求数据。该解决方案的优点在于架构清晰，而缺点是架构修改比较费劲，整个服务的验证逻辑层都需要重写，工作量相对较大。而且由于依赖于持久层的数据库或者问题系统，会有单点风险，如果持久层失败，整个认证体系都会挂掉。

1350514-20180504123036062-1920411426.png

总结基于服务器验证方式暴露的一些明显的问题：

Session：每次认证用户发起请求时，服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时，内存的开销也会不断增加。

可扩展性：在服务端的内存中使用Seesion存储登录信息，伴随而来的是可扩展性问题。

CORS(跨域资源共享)：当我们需要让数据跨多台移动设备上使用时，跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另一个域的资源，就可以会出现禁止请求的情况。

CSRF(跨站请求伪造)：用户在访问银行网站时，他们很容易受到跨站请求伪造的攻击，并且能够被利用其访问其他的网站。

在这些问题中，可扩展行是最突出的。因此我们有必要去寻求一种更有行之有效的方法。

基于Token认证的身份认证方案

那么有什么更好的方案吗？当然有，那就是基于Token的身份认证方案。

那么基于Token的身份验证可以解决哪些问题呢？

Token 完全由应用管理，所以它可以避开同源策略

Token 可以避免 CSRF 攻击

Token 可以是无状态的，可以在多个服务间共享

基于Token认证的原理

Token 是在服务端产生的，是无状态的，我们不将用户信息存在服务器或Session中。如果客户端使用用户名/密码向服务端请求认证，服务端认证成功，那么在服务端会返回 Token 给客户端。

客户端可以在每次请求的时候带上 Token 证明自己的合法地位。如果这个 Token 在服务端持久化(比如存入数据库)，那它就是一个永久的身份令牌。基于Token的身份验证这种概念解决了在服务端存储信息时的许多问题。NoSession意味着你的程序可以根据需要去增减机器，而不用去担心用户是否登录。

996415-20180508211129069-742527294.png

基于Token的身份验证的方案过程如下:

用户通过用户名和密码发送请求。

服务端验证。

服务端返回一个签名的token 给客户端。

客户端储存token,并且每次发送请求都会携带token。

服务端验证token并返回数据。

Token的优势

无状态、可扩展

在客户端存储的Tokens是无状态的，并且能够被扩展。基于这种无状态和不存储Session信息，负载负载均衡器能够将用户信息从一个服务传到其他服务器上。

安全性

请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)。即使在客户