背景
传统的单服务器登录系统采用cookie存储sessionId的方式实现登录,第一次登录时,服务端创建session,存储用户信息,并将这个session赋予一个sessionId传给客户端,客户端将它存储到cookie中,下次访问时,携带本域下的cookie访问服务器端,实现免登录.但是在分布式系统中,客户端每次访问只能携带本域下的cookie值,所以不能实现单点登录的效果,所以使用其他的方法来实现登录信息的保存.
概念
JWT是借助json格式数据作为web应用请求的标准令牌,进行数据的自包含设计,实现信息的安全传输,在数据传输过程中对数据进行加密,签名等相关处理.目前是最流行的跨域身份验证解决方案,非常方便的在分布式系统中是吸纳用户身份验证.
数据结构
Header Payload Signature
Header: 是一个json对象,最后Header统一被Base64URL算法转化为字符串
alg 签名的算法 默认HS256
type 令牌类型 统一JWT
Payload: 是一个json对象 存放实际需要传输的数据 官方规定了七个字段 也可以自定义字段 JWT默认不加密,所以不能存放密码等私密信息,这个 JSON 对象也要使用 Base64URL 算法转成字符串。
iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号
Signature: 对前两个部分的签名,防止数据被篡改
需要一个只有服务器知道的密钥secret,自己定义,结合header和payload的base64Url后的字符串使用SHA256进行加密.
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
结合后的JWT: Header.Payload.Signature
创建工程进行测试
1.pom.xml文件
加入jjwt依赖,没有加入security依赖,暂时不使用security,这里的properties是什么???
2.Jwtutils类
封装jwt的创建和解析的工具类,包含三个方法:创建token,解析token,判断token是否过期.
3.TokenInteceptor类
定义拦截器,拦截器中调用了Jwtutils中的方法用来判断请求中是否有令牌,令牌是否过期.
4.SpringWebConfig类
配置类,将拦截器添加到spring mvc中的执行链中,配置要拦截的url
5.AuthController和SourceController类
这是Controller包下的类,即为服务端
AuthController是登录管理器,SourceController用于登录后的资源管理器.
总结