JWT跨域认证
Session认证
互联网服务离不开用户认证(需要用户登录才能访问的服务器资源,在访问该资源前需要做用户认证)。
Session认证流程
一般流程是下面这样:
- 用户向服务器发送用户名和密码。
- 服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等。
- 服务器向用户返回一个 session_id,写入用户的 Cookie。
- 用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。
- 服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。
Session认证流程示意图:
Session认证局限与解决
session 认证的方式应用非常普遍,通过服务器记录用户状态,但也存在一些问题,扩展性不好,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session,针对此种问题一般有两种方案:
① 一种解决方案是session 数据持久化,写入数据库或别的持久层。各种服务收到请求后,都向持久层请求数据。这种方案的优点是架构清晰,缺点是工程量比较大。
② 一种方案是服务器不再保存 session 数据,所有数据都保存在客户端,每次请求都发回服务器。Token认证就是这种方案的一个代表。
Token认证
Token 是在服务端产生的一串字符串,是客户端访问资源接口(API)时所需要的资源凭证。
Token认证流程
流程如下:
- 客户端使用用户名跟密码请求登录,服务端收到请求,去验证用户名与密码
- 验证成功后,服务端会签发一个 token 并把这个 token 发送给客户端
- 客户端收到 token 以后,会把它存储起来,比如放在 cookie 里或者 localStorage 里
- 客户端每次向服务端请求资源的时候需要带着服务端签发的 token
- 服务端收到请求,然后去验证客户端请求里面带着的 token ,如果验证成功,就向客户端返回请求的数据
Token认证流程示意图:
Token认证的特点
- 基于 token 的用户认证是一种服务端无状态的认证方式,服务端不用存放 token 数据,由客户端进行存放。
- 用解析 token 的计算时间换取 session 的存储空间,从而减轻服务器的压力,减少频繁的查询数据库
- token 完全由应用管理,所以它可以避开同源策略
JWT的使用
JWT介绍
JSON Web Token(简称 JWT)是一个token的具体实现方式,是目前最流行的跨域认证解决方案。JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,具体如下:
用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名。
JWT组成
JWT 的由三个部分组成,依次如下:
- Header(头部)
- Payload(负载)
- Signature(签名)
三部分最终组合为完整的字符串,中间使用 . 分隔,如下:
Header.Payload.Signature
Header
- Header 部分是一个 JSON 对象,描述 JWT 的元数据
- alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256)
- typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT
- 最后,将上面的 JSON 对象使用 Base64URL 算法转成字符串,便于传输。
Playload
- Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。
- 注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。
- 这个 JSON 对象也要使用 Base64URL 算法转成字符串。
Signature
- Signature 部分是对前两部分的签名,防止数据篡改。
- 首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户
- 然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(‘.’)分隔,就可以返回给用户。
JWT特点
- 客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。
- 客户端每次与服务器通信,都要带上这个 JWT,可以把它放在 Cookie 里面自动发送,但是这样不能跨域。
- 更好的做法是放在 HTTP 请求的头信息
Authorization
字段里面,单独发送。
JWT的实现
在这里说明的是使用Java实现
- 加入依赖
- 生成Token
- 解析Token
项目代码示例
UserController.java
package com.chinahitech.shop.controller;
import com.chinahitech.shop.bean.User;
import com.chinahitech.shop.utils.JwtUtils;
import com.chinahitech.shop.utils.Result;
import org.springframework.web.bind.annotation.*;
@RestController
@RequestMapping("/user") //前缀
@CrossOrigin
public class UserController {
@PostMapping("/login")
// querystring: username=zhangsan&password=123 User user,String username,String password
// json: {username:zhangsan,password:123}
// 如果前端传递的数据是json格式,必须使用对象接收,同时需要添加@RequestBody
public Result login(@RequestBody User user){
String token = JwtUtils.generateToken(user.getUsername());
return Result.ok().data("token",token);
}
@GetMapping("/info") // "token:xxx"
public Result info(String token){
String username = JwtUtils.getClaimsByToken(token).getSubject();
String url = "https://img2.baidu.com/it/u=1325995315,4158780794&fm=26&fmt=auto&gp=0.jpg";
return Result.ok().data("name",username).data("avatar",url);
}
@PostMapping("/logout") // "token:xxx"
public Result logout(){
return Result.ok();
}
}
JwtUtils.java
package com.chinahitech.shop.utils;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
public class JwtUtils {
//7天过期
private static long expire = 604800;
//32位秘钥
private static String secret = "abcdfghiabcdfghiabcdfghiabcdfghi";
//生成token
public static String generateToken(String username){
Date now = new Date();
Date expiration = new Date(now.getTime() + 1000 * expire);
return Jwts.builder()
.setHeaderParam("type","JWT")
.setSubject(username)
.setIssuedAt(now)
.setExpiration(expiration)
.signWith(SignatureAlgorithm.HS512,secret)
.compact();
}
//解析token
public static Claims getClaimsByToken(String token){
return Jwts.parser()
.setSigningKey(secret)
.parseClaimsJws(token)
.getBody();
}
}
Result.java
package com.chinahitech.shop.utils;
import java.util.HashMap;
import java.util.Map;
//自定义专门存放返回值的类
//统一返回结果的类
public class Result {
private Boolean success; //请求成功或失败
private Integer code; //状态码,可以自定义
private String message; //状态码解释信息
private Map<String, Object> data = new HashMap<String, Object>();
public Boolean getSuccess() {
return success;
}
public void setSuccess(Boolean success) {
this.success = success;
}
public Integer getCode() {
return code;
}
public void setCode(Integer code) {
this.code = code;
}
public String getMessage() {
return message;
}
public void setMessage(String message) {
this.message = message;
}
public Map<String, Object> getData() {
return data;
}
public void setData(Map<String, Object> data) {
this.data = data;
}
//把构造方法私有
private Result() {}
//成功静态方法
public static Result ok() {
Result r = new Result();
r.setSuccess(true);
r.setCode(ResultCode.SUCCESS);
r.setMessage("成功");
return r;
}
//失败静态方法
public static Result error() {
Result r = new Result();
r.setSuccess(false);
r.setCode(ResultCode.ERROR);
r.setMessage("失败");
return r;
}
public Result success(Boolean success){
this.setSuccess(success);
return this;
}
public Result message(String message){
this.setMessage(message);
return this;
}
public Result code(Integer code){
this.setCode(code);
return this;
}
public Result data(String key, Object value){
this.data.put(key, value);
return this;
}
public Result data(Map<String, Object> map){
this.setData(map);
return this;
}
}
运行结果
使用postman发送请求获取Token,成功获取Token!