JWT验证的原理,以及在项目中实现JWT的验证登陆

因为之前实现的网关项目中存在以下的逻辑:

  1. 租户需要在平台进行登陆
  2. 租户在登陆之后获取到token之后才能通过网关的验证中间件进入到转发代理逻辑中

不选择session的原因

在这种登陆场景下,我们可以使用session来处理,session的处理流程如下:

  1. 租户发起登陆请求,把用户名和密钥发送给转发代理服务器,服务器利用后台数据库中的数据进行验证
  2. 后台服务器验证成功之后,利用服务器自己设置的租户session前缀+用户名+登陆时间这几个参数生成一个session并把session设置为Set-Cookie头部对应的值返回给租户客户端。并且会将username作为key,session作为value存储到Redis服务器中
  3. 租户在收到服务器返回的response之后,会把Set-Cookie头部的信息设置为Cookie
  4. 租户下次发起请求的时候,会把Cookie信息添加到request头部发送给服务器
  5. 服务器在接收到租户的cookie之后,会根据租户的用户名从Redis服务中查找对应的value从而得到session信息,然后验证租户发送过来的cookie与session是否一致,如果一致就通过了验证

但是这种基于session的认证使应用本身很难得到扩展,随着租户的不断增加,独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来。

session认证存在问题:

Session: 每个租户登陆之后都需要在Redis服务器中做存储,随着认证用户的增多,服务端开销会增大

扩展性: 用户认证之后,服务端做认证记录,存储到Redis服务器中,如果我们需要扩展多台服务器,就需要做分布式session验证,这会带来一定的效率影响,同时不易扩展

CSRF: 因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

JWT验证

token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利,同时也大大减轻了Redis服务器的压力,让它可以更专注于其他业务。

在生成token和token验证这方面,我选择来JWT验证,下面就来介绍一下什么是JWT验证,以及JWT验证如何在项目中实现

JWT概念以及构成

JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。比如以下的字符串就是利用JWT生成的:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1OTUxNTczNTAsImlzcyI6ImFwcF9pZF9iIn0.h4ZyrB00t5NdtZ6tWO6tltVFB3rYWqWktagHD4js2zE

第一部分我们称它为头部,对应为eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
第二部分我们称其为载荷,对应为eyJleHAiOjE1OTUxNTczNTAsImlzcyI6ImFwcF9pZF9iIn0
第三部分是签证,对应为h4ZyrB00t5NdtZ6tWO6tltVFB3rYWqWktagHD4js2zE

header

jwt的头部包含两部分信息:
声明类型,这里是jwt
声明加密的算法 通常直接使用 SHA256

将头部进行base64加密就构成了第一部分.
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

claims

claims就是存放有效信息的地方,这些有效信息包含三个部分:

  1. 标准中注册的声明
  2. 公共的声明
  3. 私有的声明

1.标准中注册的声明 :

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

2.公共的声明 :

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

3.私有的声明 :

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

自己的定义一个claims:

{
“iss”: “KlayLee”,
“exp”: “1595391692”
}

然后将其进行base64加密,得到Jwt的第二部分:eyJleHAiOjE1OTUxNTczNTAsImlzcyI6ImFwcF9pZF9iIn0

signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

header (base64后的)
claims (base64后的)
secret

比如:
{
“header”: “eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9”,
“claims”: “eyJleHAiOjE1OTUxNTczNTAsImlzcyI6ImFwcF9pZF9iIn0”,
“secret”: “xxxxx”(密钥一般都很长,这里利用xxx忽略)
}

这个部分使用前两个部分组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

h4ZyrB00t5NdtZ6tWO6tltVFB3rYWqWktagHD4js2zE

JWT验证过程

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值