单台tomcat的情况下:编码的流程如下
前端提交表单里用户的输入的账号密码
后台接受,查数据库,
在数据库中找到用户的信息后,把用户的信息存放到session里面,返回给用户cookie
以后用户的请求都会自动携带着cookie去访问后台,后台根据用户的cookie辨识用户的身份
但是有缺点
如果有千千万的用户都往session里面存放信息,
session很难跨服务器,也就是说,用户每次请求,都必须访问同一台tomcat,新的tomcat不认识用户的cookie
无状态登录对于服务端,不再保存任何用户的信息,对于他们来说,所有的用户地位平等
对于用户,他们需要自己携带着信息去访问服务端,携带的信息可以被所有服务端辨认,所以,对于用户,所有的服务地位平等
具体如何实现呢?
用户登录,服务端返回给用户的个人信息+token令牌
前端为了自己使用方便,将用户的个人信息缓存进浏览器(因为后端只是给了他一个token)
用户携带自己的token去访问服务端
认证通过,把用户请求的数据返回给客户端
以后不论用户请求哪个微服务,都携带着token
微服务对token进行解密,判断他是否有效
JWT(Json Web Token)生成规则整个登录.授权.鉴权的过程token的安全性至关重要,而JWT就是一门有关于如何生成一个不可仿造的token的规范
他是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权,而且它不是技术,和语言无关,java有对这个规范的实现 叫做 jjwt -- 点击进入jjwt的github项目
由JWT算法得到的token格式如上图,由头部,载荷,签名三部分组成
头部
由两部分组成,alg表示使用的加密算法 typ表示使用的token的类型
载荷,存放用户相关的信息
// 下面是它已经定义好的载荷部分key,也允许我们自定义载荷部分key iss: jwt签发者 sub: jwt所面向的用户 aud: 接收jwt的一方 exp: jwt的过期时间,这个过期时间必须要大于签发时间 nbf: 定义在什么时间之前,该jwt都是不可用的. iat: jwt的签发时间 jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。第三步分的签名是由 头+载荷+盐 三部分加密组成
从图可以看出,头部和载荷被串改后,生成的编码会发生改变,因此保证了token的安全 ,还有,载荷部分可解密,因此不要往里面放入敏感的信息(比如密码 )
只要密钥不泄露,别人就无法伪造任何信息
jwt的交互过程
RSA非对称加密算算法由美国麻 省理工 学院三 位学者 Riv est、Sh amir 及Adleman 研 究发 展出 一套 可实 际使用 的公 开金 钥密 码系 统,那 就是
RSA(Rivest-Shamir-Adleman)密码系统
jwt(是一种非对称加密算法) JWT不一定非要搭配RSA算法,但是拥有RSA算法公钥私钥的特性,会使我们的业务逻辑变的简单,做到校验变少
对称加密,如AES(Advanced Encryption Standard) 高级加密标准
基本原理:将明文分成N个组,然后使用密钥对各个组进行加密,形成各自的密文,最后把所有的分组密文进行合并,形成最终的密文。
优势:算法公开、计算量小、加密速度快、加密效率高
缺陷:双方都使用同样密钥,安全性得不到保证
非对称加密,如RSA
基本原理:同时生成两把密钥:私钥和公钥,私钥隐秘保存,公钥可以下发给信任客户端
私钥加密,持有私钥或公钥才可以解密
公钥加密,持有私钥才可解密
优点:安全,难以破解
缺点:算法比较耗时
不可逆加密,如MD5,SHA
使用JJWT实现JWTJJWT(java json web token)
坐标
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency> 创建jwt令牌token最终会颁发给前端,这时候就得去和前端的哥们商量它想要什么信息
// 生成令牌,主要是用它生成载荷 JwtBuilder builder = Jwts.builder() // 设置头部,使用hs256加密, + key,也就是盐 .signWith(SignatureAlgorithm.HS256,"changwu") // 添加载荷 .setId("666") // 用户id .setSubject("张三") // 用户名 .setExpiration(new Date(new Date().getTime()+60*1000)) // 过期时间 .setIssuedAt(new Date())// 登录时间 // 添加自定义的键值对 .claim("role","admin"); System.out.println(builder.compact());经过它处理的token长这个样子, 三部组成
XXX.YYY.ZZZ 解析token