Session、Token

xfk_DO

已于 2023-08-17 21:37:02 修改

阅读量86

点赞数

文章标签：服务器运维

于 2023-08-17 08:50:57 首次发布

本文链接：https://blog.csdn.net/xfk_DO/article/details/131986888

版权

Session简述

服务器端的应用程序通常是基于HTTP协议的，HTTP协议本身是一种“无状态”协议，所以，它并不能保存客户端的状态，例如，无法识别客户端的身份，所以，即使同一个客户端多次访问同一个服务器，服务器并不能识别出它就是此前来访的客户端！

在开发实践中，大多是需要能够识别客户端身份的，通常可以使用Session机制来解决！

当某个客户端首次访问某个服务器端时，将直接发起请求，当服务器端收到此请求时，会在响应时返回一个Session ID值（本质上是一个UUID值），当客户端收到Session ID后，后续的访问都会自动携带此Session ID到服务器端，则服务器端可以根据这个Session ID值来识别客户端的身份。

在服务器端，使用K-V结构的数据表示Session，客户端携带的Session ID就是K-V结构中的Key，所以，每个客户端都可以访问到不同的Value，即每个客户端对应的Session数据。

Session是存储在服务器端的内存中的数据，而内存资源是相对有限的资源，存储空间相对较小，所以，必然存在清除Session的机制，默认的清除机制是“超时自动清除”，即某个客户端最后一次提交请求之后，在多长时间之内没有再次提交请求，服务器端就会清除此客户端对应的Session数据！至于过多久清除Session，没有明确的要求，大多软件的默认时间是15~30分钟，但是，也可以设置为更短或更长的时间。

基于Session的特征，必然存在一些不足：

不适合存储较大的数据
- 可以通过规范的开发来避免此问题
不易于应用到集群或分布式系统中
- 可以通过共享Session来解决此问题
不可以长时间存储数据
- 无解

Token简述

Token：票据，令牌

Token机制是用于解决服务器端识别客户端身份相关问题的。

当某个客户端向服务器端发起登录的请求时，将直接发起请求，当服务器端收到此请求时，如果判断登录成功，会在响应时返回一个Token值，当客户端收到Token后，后续的访问都会自动携带此Token到服务器端，则服务器端可以根据这个Token值来识别客户端的身份。

与Session不同，Token是由服务器端的程序（开发者自行编写的）生成的数据，此数据是一段有意义的数据，例如你可以把用户的ID、用户名都存放到Token中，则在后续的访问中，客户端携带了Token后，服务器端可以直接从Token中找到相关信息，例如用户的ID、用户名等等，从而，服务器端的内存中，并不需要持续的保存相关信息，所以，Token可以被设置一段非常长的有效期，并且不用担心持续性的消耗服务器端内存的问题。

基于Token的特征，它可以解决Session能解决的问题，并且，天生就适用于集群或分布式系统，只要集群或分布式系统中的各个服务器具有相同的检查Token和解析Token的程序即可。

Token中的JWT

JWT简述

JWT(JSON Web Token)：基于JSON的令牌格式，传输包含声明信息的安全令牌，用于身份验证和数据传输。

JWT的官网：https://jwt.io

JWT组成部分

根据左侧信息生成JWT；根据右侧JWT解析得到右侧信息

添加依赖项

生成和解析JWT的API库

    <!-- JJWT（Java JWT） -->
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.9.1</version>
    </dependency>

生成和解析JWT的小demo

JWT并不是私密数据，即使不知道正确的Secret Key，JWT数据也是可以被解析的。所以不要在JWT中存放敏感数据。编程的API在解析JWT的时候不知道Secret Key是解析不了JWT了的信息的。不同用户Secret Key不同，但是存放到JWT的信息是一致的；最终放在JWT官网上进行解析JWT，虽然解析的数据都是一样的，但是Secret Key是不一样的，也就不清楚这个JWT是谁生成的。

验证签名Secret Key存在的价值，不是阻止解析JWT的原始数据，而是在解析的过程中，可以验证此生成的JWT是不是自己设定的Secret Key生成的JWT。

生成JWT

    String secretKey = "fNesMDkqrJFdsfDSwAbFLJ8SnsHJ438AF72D73aKJSmfdsafdLKKAFKDSJ";
    @Test
    void generate() {                                    
        Map<String, Object> claims = new HashMap<>();
        claims.put("id", 997);
        claims.put("username", "XiaoPangDun");
        Date date = new Date(System.currentTimeMillis()+30L*24*60*60*1000);
        //                                                ↑ 注意加L，避免int溢出为负数
        String jwt = Jwts.builder()
                // Header
                .setHeaderParam("alg", "HS256")
                .setHeaderParam("typ", "JWT")
                // Payload
                .setClaims(claims)
                .setExpiration(date)
                // Verify Signature
                .signWith(SignatureAlgorithm.HS256, secretKey)
                // Done
                .compact();
        System.out.println(jwt);
    }

解析JWT信息

    @Test
    void parse() {
        String jwt = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.lwiL2NvbnRlbnQvdGFnL3VwZGF0ZVwifV0iL9vdCJ9.BGb8_LiDy3nVEPHdqe-St4KIx-7wVUjlVf0fXV73X8w";
        Claims claims = Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
        Long id = claims.get("id", Long.class);
        Stringusername = claims.get("username",String.class);
        System.out.println("id= " + id);
        System.out.println("username = " + username);
    }