跨域用户信息判断Token、seeion、jwt

多系统单一位置登录，实现多系统同时登录的一种技术。

单点登录一般用于互相授信的系统，实现单一登录，全系统有效。

三方登录：某系统，使用其他系统的用户，实现本系统登录的方式。解决信息孤岛，信息不对等的实现方案。

Session跨域

所谓Session跨域就是摒弃了系统提供的session，而使用自定义的类似session的机制来保存客户端数据的一种解决方案。

如：通过设置 cookie 的 domian 来实现 cookie 的跨域传递，在 cookie 中传递一个自定义的 session_id 。这个 session_id 是客户端的唯一标记。将这个标记为key，将客户端需要保存的数据作为 value ，在服务端保存（数据库保存或 NOSQL 保存）。这种机制就是Session跨域解决。

Cookie 中的domian属性，表示的是cookie所在的域，默认为请求的地址，如网址为www.baidu.com/test/a，那么domain默认为www.baidu.com。而跨域访问，如域A为 A.test.com ，域B为 B.test.com，那么在域A生产一个令域A和域B都能访问的cookie就要将该cookie的domain设置为.test.com；如果要在域A生产一个令域A不能访问而域B能访问的cookie就要将该cookie的domain设置为B.test.com。

Spring Session共享

spring-session 技术是 spring 提供的用于处理集群会话共享的解决方案。spring-session 技术是将用户 session 数据保存到三方存储容器中，如：mysql、redis等。

spring-session 技术是解决同域名下的多服务器集群 session 共享问题的。不能解决跨域 session 共享问题。

Nginx Session 共享

nginx 中的 ip_hash 技术能够将某个 IP 的请求定向到同一台后端，这样依赖这个 ip 下的某个客户和某个后端就能建立器稳固的 session ，IP_HASH 是在 upstream 配置中定义的。

http {
   include       mime.types;
   default_type  application/octet-stream;

   sendfile        on;
   keepalive_timeout  65;

   #在nginx的配置文件中进行负载均衡的配置
   upstream myserver{
     server 127.0.0.1:8080 weight=5;
     server 127.0.0.1:8081 weight=10;
     ip_hash;
   }

 server {
   # 监听的端口
   listen       80;
   server_name  localhost;

   location / {
     root   html;
     # 设置自己的服务
     proxy_pass  http://myserver;
     index  index.html index.htm;
   }

   location = /50x.html {
     root   html;
   }
 }
}

ip_hash 是容易理解的，但是因为仅仅能用 IP 这个因子来分配后端，因此 ip_hash 是有缺陷的，不能在一些情况下使用：

nginx 不是最前端的服务器。ip_hash 要求nginx 一定是最前端的服务器，否则 nginx 得不到正确 ip ，就不能根据 IP 作 hash 。譬如使用的是 squid 为最前端，那么 nginx 取 ip 时只能却道 squid 的服务器 ip 地址，用这个地址来作分流时肯定错乱的。

nginx 的后端还有其他方式的负载均衡。假如 nginx 后端又又其他负载均衡，将请求又通过另外的方式分流了，那么某个客户端的请求肯定不能定位到同一台 session 应用服务器上。

Token 机制

使用token验证机制的优势是：

• 无状态，可扩展：
  在客户端存储的 Token 是无状态的，并且能够被扩展。基于这种无状态的和不存储 session 信息，负载均衡器能够将用户信息从一台服务器传递到另外的服务器。
• 安全性：
  请求中发送 token 而不是发送 cookie 能够防止 CSRF(跨站请求伪造)。即使在客户端使用 cookie 存储 token ，cookie 也仅仅是一个存储机制而不是用于认证，不将信息存储在 session 中，让我们少了对 session 的操作

JSON WEB TOKEN（JWT机制）

​ JWT是一种紧凑的且自包含的，用于在多方传递 JSON 对象的技术。传递的数据可以使用数字签名增加其安全性。可以使用HMAC加密算法或RSA公钥/私钥加密方式.

紧凑：数据小，可以通过URL，POST参数，请求发送。且数据小代表传输速度块。

自包含：使用 payload 数据块记录用户必要且不隐私的数据，可以有效的减少数据库访问次数，提高代码性能。

JWT一般用于处理用户身份验证或数据信息交换

JWT结构

JWT 的数据结构是：A.B.C 由字符点 ‘.’ 来分隔三部分数据。

A-header 头信息

B-payload 载荷

C-Signature 签名

Header

# 数据结构：
{
    "alg":"加密算法名称",
    "typ":"JWT"
}

# alg 是加密算法定义内容，如：HMAC SHA256 或 RSA
# typ 是token类型，这里固定为 JWT

payload

在 payload 数据中一般用于记录实体（通常为用户信息）或其他数据的。主要分为三部分，分别是：已注册信息（registered claims），公开数据（public claims），私有数据（private claims）。

payload 中常用信息有：iss（发行者），exp（到期时间），sub（主题），aud（受众）等。这些都是以注册信息。

公开数据部分一般都会在JWT 注册表中增加定义。避免和已注册信息冲突。

公开数据和私有数据可以由程序员自行定义。

注意：即使 JWT 有签名加密机制，但是 payload 内容都是明文记录，除非记录的是加密数据，否则不排除泄密隐私数据的可能，不推荐在 payload 中记录任何敏感数据。

Signature

签名信息。这是一个由开发者提供的信息。是服务器验证的传递的数据是否安全有效的标准。在生成 JWT 最终数据之前。先使用 header 中定义加密算法，将 header 和 payload 进行加密，并使用点进行连接。如：加密后的 head.加密后的payload。再使用相同的加密算法，对加密后的数据和签名信息进行加密。得到最终结果。

JWT使用

maven依赖

<!-- JWT 核心依赖 -->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.18.2</version>
</dependency>
<!-- java开发JWT的依赖jar包 -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

JWT工具类

/**
 * <p>Title: JWTUtil</p >
 * <p>Description: JWT工具类</p >
 *
 * @ author: FT
 * @ CreateTime: 2021/12/31 10:34
 */
public class JWTUtil {
    //服务器的key。用于做加解密的key数据。如果可以使用客户端生成key。当前定常量科比使用
    private static final String SECRET_KEY = "test_web_ab";
    private static final ObjectMapper MAPPER = new ObjectMapper();


    //Secret key
    private static byte[] getSecretKey() {
        return SECRET_KEY.getBytes(StandardCharsets.UTF_8);
    }

    /**
     * 签发jwt，创建token的方法
     *
     * @param id        JWT的唯一身份标识，主要用来作为一次性token，从而回避
     * @param iss       JWT签发者
     * @param subject   JWT所面向用户，payload中记录的public claims。当前环境中就是用户的登录名
     * @param ttlMillis 有效时长，单位毫秒
     * @return token是一一次性的，是为一个用户的有效登录周期准备的token，用户退出或超时，token失效。
     */
    public static String createJWT(String id, String iss, String subject, Long ttlMillis) {
        //加密算法
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        //当前时间
        Long nowMillis = System.currentTimeMillis();
        //当前时间的日期对象
        Date data = new Date(nowMillis);
        // 创建payload的私有声明（根据特定的业务需要添加）
        Map<String, Object> claims = new HashMap<String, Object>();
        claims.put("username", "李四");
        claims.put("password", "1234567890");

        //创建JWT的构建器。使用指定的信息和加密算法生成Token的工具
        JwtBuilder builder = Jwts.builder()
                //设置身份标志,就是一个客户端的唯一标记，如：可以使用用户的主键，客户端的ip或者是服务端生成的随机数据
                // .setId(id)
                //签发者
                // .setIssuer(iss)
                //携带的公开信息
                // .setSubject(claims.toString())
                //会覆盖上面设置元素的值
                .setClaims(claims)
                //签发时间，token生成时间
                .setIssuedAt(data)
                //设定密钥和算法
                .signWith(signatureAlgorithm, getSecretKey());
        //判断token存储的有效期
        if (ttlMillis >= 0) {
            //当前创建的时间 加存储时间
            long l = nowMillis + ttlMillis;
            //获取失效时间
            Date exp = new Date(l);
            //设置token失效时间
            builder.setExpiration(exp);
        }
        //生成token
        return builder.compact();
    }

    /**
     * 解析jwt字符串
     *
     * @param token 就是服务器为客户端生成的签名，就是token
     * @return
     */
    public static Claims analysisJWT(String token) {
        return Jwts.parser()
                .setSigningKey(getSecretKey())
                .parseClaimsJws(token)
                //就是获取token中记录的payload数据，即使payload中保存的所有claims
                .getBody();
    }
}