文章目录
JWT介绍
JWT (音: jot ) 是目前最流行的跨域认证解决方案,全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于服务器、客户端传递信息签名验证。
传统跨域登陆认证的方式
传统的登陆校验采用的是cookie-session方式,一般流程是这样的:
1、客户端使用用户名和密码请求登录。
2、服务器验证账号密码通过后,在当前对话(session)里面保存相关数据,比如用户UID、登录时间等等。
3、服务器向用户返回一个 session_id,写入用户的 Cookie。
4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。
5、服务器收到 session_id,找到之前保存的数据,由此得知用户的身份,进而判断是否已经登陆等校验操作。
这种模式的缺点是扩展性不好。单机是没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。session一般是采用文件存储的方式,这带来文件同步以及读取的问题,即使将session放入redis中,也同样会带来高流量数据读取的问题。
JWT的验证方式
JWT 采用的是Token令牌的方式,来进行校验,具体如下:
1、客户端使用用户名和密码请求登录。
2、服务器验证账号和密码通过后,服务端会签发一个 Token 返回给客户端。
3、客户端收到请求后会将 Token 缓存起来,比如放在浏览器 Cookie 中或者存储在Local Stage中,之后每次请求都会携带该 Token。
4、服务端收到请求后会验证请求中携带的 Token,验证通过则进行业务逻辑处理并成功返回数据
更直观的用图表示,如下图所示:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dY4myeDF-1588145164510)(http://km.oa.com/files/photos/pictures//20190722//1563783707_48.png)]](https://i-blog.csdnimg.cn/blog_migrate/328e5aa0aadcbc0f5ce5a76e8a7f3772.png)
这样的一个流程的优点是:
1、服务端端不保存任何 session 数据了,也就是说,服务器变成无状态了,减小了服务器开销,从而比较容易实现扩展。
2、jwt构成简单,占用很少的字节,便于传输。
3、json格式通用,不同语言之间都可以使用。
JWT的数据结构
一个JWT是长这样的:
最低0.47元/天 解锁文章
390
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
