会话状态管理是每个IT系统必不可少的一个组成部分,在集群架构或分布式架构下的会话管理是一个比较头疼的问题,一般采用的方案有session 同步,IP粘连和分布式session等,session同步指的是在每个服务器之间进行session数据的同步,这种方案在少量用户下没啥问题,但是一旦同时在线的用户变多,服务器的负担就会很大,IP粘连一般用在对等集群架构下,其实是一种伪实现,就是把某个用户跟某台服务器绑定了,如果这台机器宕机,那用户还是需要重新登录,分布式session是将session数据存储到一个第三方系统中,通常是redis,这样再多个服务器节点之间共享redis服务,从而实现session共享。
其中还有一种解决分布式会话管理的技术,这就是jwt,jwt全称是json web token,是一种静态的用户身份标识,具体概念就不在这罗列了,可以看看官方介绍https://jwt.io/introduction/。
上面这个架构是我在一个基于dubbo的分布式系统中用到的,下面说说具体的流程。
首先,用户进行登录,提交用户名和密码,氢请求通过API网关到SSO系统,SSO登录接口会调用用户服务进行用户名和密码的校验(模板采用随机salt的方式进行MD5加密),验证通过后,SSO接口为用户生成一个token和一个jwt,token用来标识一次有效登录,jwt中封装了userid,然后以(userid:token,jwd)的形式再存储在redis中,最终返回给客户端。
客户端将token设置到cookie中(token=tokenValue),把jwt设置到请求头中(Auth=jwtValue),当请求需要登录的接口时,API网关的Filter会拦截token和jwt,并调用SSO接口进行有效性验证,如果token和jwt无效则直接返回响应,如果有效,则SSO接口解析jwt并返回其中的userid,然后API网关Filter将userid设置到request对象头中,供后端服务使用。
以上就是一次登录和鉴权过程。另外还有两个点向说明一下,第一个jwt本身带有过期时间,为啥还要在redis中存一份,我是这么想的,首先可以增加一层校验,进一步避免jwt被篡改后通过验证的可能性,其次是给后端提供了一个控制jwt有效性的入口,因为jwt是一种静态身份表示,一经生成不能修改,那么在某些情况下如果想强制剔除某些用户的话就无能为力了。另外一点是关于jwt安全性的问题,这里我采用了AES对jwt进行对称加密,返回给客户端的jwt值时加密后的值,当进行验证时需要先进行解密,由于AES秘钥都在服务端,所以能进一步保障jwt被篡改的可能性。
这个方案比较适合那些比较轻量级的系统,实现起来简单、安全。
1695
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
