Session简述
服务器端的应用程序通常是基于HTTP协议的,HTTP协议本身是一种“无状态”协议,所以,它并不能保存客户端的状态,例如,无法识别客户端的身份,所以,即使同一个客户端多次访问同一个服务器,服务器并不能识别出它就是此前来访的客户端!
在开发实践中,大多是需要能够识别客户端身份的,通常可以使用Session机制来解决!
当某个客户端首次访问某个服务器端时,将直接发起请求,当服务器端收到此请求时,会在响应时返回一个Session ID值(本质上是一个UUID值),当客户端收到Session ID后,后续的访问都会自动携带此Session ID到服务器端,则服务器端可以根据这个Session ID值来识别客户端的身份。
在服务器端,使用K-V结构的数据表示Session,客户端携带的Session ID就是K-V结构中的Key,所以,每个客户端都可以访问到不同的Value,即每个客户端对应的Session数据。
Session是存储在服务器端的内存中的数据,而内存资源是相对有限的资源,存储空间相对较小,所以,必然存在清除Session的机制,默认的清除机制是“超时自动清除”,即某个客户端最后一次提交请求之后,在多长时间之内没有再次提交请求,服务器端就会清除此客户端对应的Session数据!至于过多久清除Session,没有明确的要求,大多软件的默认时间是15~30分钟,但是,也可以设置为更短或更长的时间。
基于Session的特征,必然存在一些不足:
- 不适合存储较大的数据
- 可以通过规范的开发来避免此问题
- 不易于应用到集群或分布式系统中
- 可以通过共享Session来解决此问题
- 不可以长时间存储数据
- 无解
Token简述
Token:票据,令牌
Token机制是用于解决服务器端识别客户端身份相关问题的。
当某个客户端向服务器端发起登录的请求时,将直接发起请求,当服务器端收到此请求时,如果判断登录成功,会在响应时返回一个Token值,当客户端收到Token后,后续的访问都会自动携带此Token到服务器端,则服务器端可以根据这个Token值来识别客户端的身份。
与Session不同,Token是由服务器端的程序(开发者自行编写的)生成的数据,此数据是一段有意义的数据,例如你可以把用户的ID、用户名都存放到Token中,则在后续的访问中,客户端携带了Token后,服务器端可以直接从Token中找到相关信息,例如用户的ID、用户名等等,从而,服务器端的内存中,并不需要持续的保存相关信息,所以,Token可以被设置一段非常长的有效期,并且不用担心持续性的消耗服务器端内存的问题。
基于Token的特征,它可以解决Session能解决的问题,并且,天生就适用于集群或分布式系统,只要集群或分布式系统中的各个服务器具有相同的检查Token和解析Token的程序即可。
Token中的JWT
JWT简述
JWT(JSON Web Token):基于JSON的令牌格式,传输包含声明信息的安全令牌,用于身份验证和数据传输。
JWT的官网:https://jwt.io
JWT组成部分
根据左侧信息生成JWT;根据右侧JWT解析得到右侧信息
添加依赖项
生成和解析JWT的API库
<!-- JJWT(Java JWT) -->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
生成和解析JWT的小demo
JWT并不是私密数据,即使不知道正确的Secret Key,JWT数据也是可以被解析的。所以不要在JWT中存放敏感数据。编程的API在解析JWT的时候不知道Secret Key是解析不了JWT了的信息的。不同用户Secret Key不同,但是存放到JWT的信息是一致的;最终放在JWT官网上进行解析JWT,虽然解析的数据都是一样的,但是Secret Key是不一样的,也就不清楚这个JWT是谁生成的。
验证签名Secret Key存在的价值,不是阻止解析JWT的原始数据,而是在解析的过程中,可以验证此生成的JWT是不是自己设定的Secret Key生成的JWT。
生成JWT
String secretKey = "fNesMDkqrJFdsfDSwAbFLJ8SnsHJ438AF72D73aKJSmfdsafdLKKAFKDSJ";
@Test
void generate() {
Map<String, Object> claims = new HashMap<>();
claims.put("id", 997);
claims.put("username", "XiaoPangDun");
Date date = new Date(System.currentTimeMillis()+30L*24*60*60*1000);
// ↑ 注意加L,避免int溢出为负数
String jwt = Jwts.builder()
// Header
.setHeaderParam("alg", "HS256")
.setHeaderParam("typ", "JWT")
// Payload
.setClaims(claims)
.setExpiration(date)
// Verify Signature
.signWith(SignatureAlgorithm.HS256, secretKey)
// Done
.compact();
System.out.println(jwt);
}
解析JWT信息
@Test
void parse() {
String jwt = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.lwiL2NvbnRlbnQvdGFnL3VwZGF0ZVwifV0iL9vdCJ9.BGb8_LiDy3nVEPHdqe-St4KIx-7wVUjlVf0fXV73X8w";
Claims claims = Jwts.parser()
.setSigningKey(secretKey)
.parseClaimsJws(jwt)
.getBody();
Long id = claims.get("id", Long.class);
Stringusername = claims.get("username",String.class);
System.out.println("id= " + id);
System.out.println("username = " + username);
}