1. 聊聊SpringSecurity+JWT
先来聊一聊什么是SpringSecurity ,在上一篇文章中SpringSecurity已经聊过了,大家可以去看看接下来我们聊聊什么是JWT
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 官网: JSON Web Token Introduction - jwt.io
2. 前后端完全分离认证问题
互联网服务离不开用户认证。一般流程是下面这样:
- 用户向服务器发送用户名和密码。
- 服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录 时间等等。
- 服务器向用户返回一个session_id,写入用户的Cookie。
- 用户随后的每一次请求,都会通过Cookie,将session_id传回服务器。
- 服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。
这种模式的问题在于,扩展性(scaling)不好。单机当然没有问题,如果是服务器集群,或者是前后端分离的服务导向架构,就要求session 数据共享,每台服务器都能够读取session,。
举例来说,A网站和B网站是同一家公司的关联服务。现在要求,用户只要在其中一个网站登录,再访问另一个网站就会自动登录,请问怎么实现? 一种解决方案是 session 数据持久化,写入数据库或别的持久层。各种服务收到请求后,都向持久层请求数据。这种方案的优点是架构清晰,缺点是工程量比较大[]。另外,持久层万一挂了,就会单点失败。 另一种方案是服务器索性不保存 session 数据了,所有数据都保存在客户端,每次请求都发回服务器,而JWT就是这种方案的一个代表。
3. JWT的原理
JWT的原理是,服务器认证以后,生成一个JSON对象,发回给用户,就像下面这样。
{ "姓名":"张三", "角色":"管理员", "到期时间":"2022年8月1日0点0分"
} 以后,用户与服务端通信的时候,都要发回这个JSON对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名(详见后文)。 服务器就不保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展。
4. JWT的数据结构
实际的 JWT大概就像下面这样:
它是一个很长的字符串,中间用点(.)分隔成三个部分。注意,JWT内部是没有换行的,这里只是为了便于展示,将它写成了几行。 JWT的三个部分依次如下。 Header (头部)
Payload(负载 载荷)
Signature(签名)
写成一行,就是下面的样子。
Header.Payload.Signature
4.1 Header
Header 部分是一个JSON对象,描述JWT的元数据,通常是下面的样子。
{ "alg": "HS256",
"typ": "JWT" } 上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256 (写成 HS
最低0.47元/天 解锁文章
扫一扫
6268
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
