1.无状态登录
1.1.有状态
在了解无状态登录之前先解释一下什么是有状态:
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,最典型的就是Tomcat中的Session。
例如:用户登录后,我们会将登录用户的信息保存在Session中,然后返回用户一个记录Session值的Cookie。下次登录时,用户携带Cookie,服务端识别Cookie中Session,从而验证用户信息。
缺点:
服务端保存大量数据,增加服务端压力
服务端保存用户状态,无法进行水平扩展
客户端请求依赖服务端,多次请求必须访问同一台服务器
1.2无状态
服务端不保存任何客户端请求者信息
客户端的每次请求都自带描述信息,通过这些信息识别客户端身份
好处:
客户端请求不依赖服务端,多次请求不需要访问同一台服务器
服务端可以任意迁移和扩展
减小服务端的存储压力
1.3无状态登录流程
1.当客户端第一次请求服务时,服务端对用户进行身份认证
2.认证通过,将用户信息加密形成token,返回客户端,作为登录凭证
3.以后客户端每次请求,都携带token
4.服务端对token进行解析,判断是否有效
流程图:
整个流程中,token扮演者最重要的角色,token是客户端身份的唯一表示,因此保证token的安全性至关重要。如何保证token的安全?可以采用JWT+RSA非对称加密
2.JWT
2.1 简介
JWT全程JSON Web Tokens, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:https://jwt.io
2.2 数据格式
JWT包含三部分数据:
HEADER: ALGORITHM & TOKEN TYPE,头部,通常包含两部分信息:
加密算法
声明类型,这里是JWT
PAYLOAD: DATA,载荷,就是有效数据,一般包含下面信息:
用户身份信息(不要存放敏感信息)
注册声明:如token的签发时间,过期时间,签发人等
以上两部分内容会采用Base64进行加密
VERIFY SIGNATURE:签名,是整个数据的认证信息。一般根据前两步的数据,再加上服务的的密钥(secret)(不要泄漏,最好周期性更换),通过加密算法生成。用于验证整个数据完整和可靠性
如下图所示:
具体的可以去官网查
2.3 非对称加密
最典型的非对称加密算法RSA,基本原理是:同时生成两把密钥:私钥和公钥,私钥隐秘保存,公钥可以下发给信任客户端
- 私钥加密,持有私钥或公钥才可以解密
- 公钥加密,持有私钥才可解密
优点:安全,难以破解
缺点:算法比较耗时
2.4 JWT+RSA交互流程
1.客户端发出请求,服务端通过认证后根据secret加密生成token,并返回给客户端
2.用户每次请求携带token
3.服务端利用公钥解读token,判断token有效后,从PAYLOAD中获取用户信息
4.返回响应结果
因为JWT签发的token中已经包含了用户的身份信息,并且每次请求都会携带,这样服务的就无需保存用户信息,甚至无需去数据库查询,这样符合无状态规范
如何判定token是否有效?
其实JWT在解析有效token时,能够正常解析出数据的,则是有效token,一旦token失效或者是伪造,则必然会解析出错
2.5 结合Zuul的鉴权流程
如果不了解Zuul,可以先去了解一下,Zuul在微服务集群中相当于一个大门,所有的请求都会先到达Zuul服务,然后被转发到各个微服务,因此对用户身份鉴权的动作可以放在Zuul中进行。
直接看图:
首先利用RSA生成公钥和私钥,私钥保存在授权中心,公钥保存在Zuul和各个微服务中
用户请求登录,授权中心校验,通过JWT加上RSA算法将用户信息加密成token,返回给客户端
用户携带token访问
Zuul直接通过公钥解密token,进行验证,验证通过则放行
请求到达微服务,微服务通过公钥解析出token中的用户信息
以上流程的优点:
每次请求无需多次访问授权中心,只需要Zuul服务解析用户自带token即可
3.代码实现
3.1 授权中心服务
auth-service
需要完成的工作有:
1.使用RsaUtils工具类生成公钥密钥,并保存在磁盘
2.编写对外登录验证接口
3.验证用户名密码是否正确,如果正确则根据JwtUtils工具类生成token
4.token写入客户端Cookie
3.2 Zuul网关服务
gateway-service
编写Zuul网关自带过滤器实现类,获取request请求中的cookie,获取token,使用JwtUtils工具类进行解析,解析正常则放行,失败则返回禁止访问等
具体代码详见github:
104
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
