单点登录设计方案-理论篇

http协议特性：无状态（无法保留用户的状态（比如登录状态））

session：服务端提供了一种session机制，对于每个用户的请求，会生成一个唯一的标识，当程序为某个客户端的请求创建一个session的时候，服务器首先检查这个客户端的请求是否包含了一个session标识-session id，如果包含一个session id则说明服务器已经为客户端创建了一个session，服务器按照session id把这个session检索出来使用（如果检索不到，会新建一个），如果客户端请求不包含sessionid，则为此客户端创建一个session并且生成一个与此session相关联的session id,session id的值是一个既不会重复，又不容易被找到规律的仿造字符串，“客户端是如何存储sessionid的呢？”

cookie：浏览器提供了一种cookie机制，保存当前会话的唯一标识，每次HTTP请求，客户端都会发送相应的cookie信息到服务器端，客户端第一次请求，由于cookie中并没有携带sessionid，服务端会创建一个sessionid,写入到客户端的cookie中，以后每次请求都会携带这个id给服务器端，这样一来便解决了无状态的问题。”如果浏览器禁用了cookie，一般会通过URL重写的方式来进行会话，也就是在URL中携带sessionid，还有一种方式就是在header携带sessionid“

在集群或者分布式环境中，对于客户端的请求，会采用负载均衡算法将客户端请求分配到不同的后端服务器（负载均衡算法：轮询算法或者轮询加权算法，随机算法或者随机加权算法，hash算法，最小连接数），那么将导致session共享问题，如何解决session共享问题：
第一种：tomcat之间session复制（tomcat可以实现session复制），这种方案存在的问题：存在session同步造成网络开销、延迟问题，如果集群规模越大，每个节点需要保存集群中所有节点的session数据，占用内存很大问题，不建议使用。

第二种：集群中各个节点的session数据统一在redis集中式存储，很多中小型公司都选择使用这种方式（redis主从热备），这种方式存在的问题：读写session数据需要进行网络操作，存在不稳定性和延迟性，如果存储session的redis服务器出现故障，将大规模的影响到应用。
以上这两种方案都存在不理想的地方，那么有更好的方案吗？

基于JWT实现的交互(网址：https://jwt.io/)
JWT强调的是服务端不对token进行存储，而是直接通过签名算法验证并解密token得到相应数据进行处理。

jwt token由三部分组成，头部（header）、有效载荷（payload）、签名（signature）,
header格式：typ和alg分别对应的全称是type(类型)和algorithm(算法)，类型可以自定义，alg:hs256表示当前token是使用HS256算法来进行加密的。
{
"alg": "HS256",
"typ": "JWT"
}

payload里面是token的具体内容，也就是一个json字符串，用来承载要传递的数据，所以payload的json结构实际上是对JWT要传递的数据的一组声明，这些声明被JWT标准称为claims，JWT默认提供了一些标准的claim，具体内容如下：
iss(Issuser)：代表jwt的签发主体；
sub(Subject)：代表jwt的主体，即它的所有人；
aud(Audience)：代表jwt的接收对象；
exp(Expiration time)：是一个时间戳，代表jwt的过期时间；
nbf(Not Before)：是一个时间戳，代表jwt生效的开始时间，意味着在这个时间之前验证jwt是会失败的；
iat(Issued at)：是一个时间戳，代表jwt的签发时间；
jti(JWT ID)：代表JWT的唯一标识；
按照JWT标准说明：标准的claims都是可选的，在生成payload不强制用上面的那些claim，完全可以按照自己的想法来定义playload结构。

signature：
创建签名需要使用编码后的header和payload以及一个密钥，使用header中指定的签名算法进行签名，组成格式如下：
header（base64编码后的内容）
payload（base64编码后的内容）
secret（是保存在服务器端的，jwt的签发生成也是在服务器端的，secret就是用来进行jwt的签发和jwt的验证，所以secret就是服务器端的私钥，在任何场景都不应该泄露出去。）
signature=hs256(base64(header)+"."+base64(payload),secret)
最后将构成完整的JWT=base64(header)+"."+base64(payload)+"."+signature