一、概述
①早期:使用单一的服务器使用Session
缺点:单点性能压力,无法扩展
②中间:应用WEB集群,Sesssion共享的方式
Session共享指不同服务之间的SessionID对应的信息放在Session的共享的数据【一般都放在Redis数据库】是一致,从而使在服务A【登录用户信息的话】,那么在之后访问服务B同样也能【登录用户】。
③后来:分布式,SSO(single sign on)模式
JWT就是专门使用算法来对Token加密解密。
二、JWT构成
下面就是一个JWT
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. <-头部
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9. <-载荷
TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ <-签证
JWT构成:头部+载荷【货车上的货物也就是信息】+签证
①header:承载两部分信息:声明类型+声明加密的算法
②payload:存放有效信息的地方
有效信息包含三个部分:
claim:1.标准中注册的声明+2.公有的声明+3.私有的声明
1.标准中注册的声明:
2.公有的声明
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.
3.私有的声明
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
③signature:
注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,
secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。
一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
最后:参考https://jokerak.blog.csdn.net/article/details/112101555在Java用法