第二十六章 登录检验解决⽅案 JWT

• 单机tomcat应⽤登录检验
  • sesssion保存在浏览器和应⽤服务器会话之间
  • ⽤户登录成功，服务端会保存⼀个session，当然客户端有⼀个sessionId
  • 客户端会把sessionId保存在cookie中，每次请求都会携带这个sessionId
• 分布式应⽤中session共享

• 真实的应⽤不可能单节点部署，所以就有个多节点登录session共享的问题需要解决
• tomcat⽀持session共享，但是有⼴播⻛暴；⽤户量⼤的时候，占⽤资源就严重，不推荐
• 使⽤redis存储token
  • 服务端使⽤UUID⽣成随机64位或者128位token，放⼊redis中，然后返回给客户端并存储在cookie中
  • ⽤户每次访问都携带此token，服务端去redis中校验是否有此⽤户即可

• 什么是JWT
  • JWT 是⼀个开放标准，它定义了⼀种⽤于简洁，⾃包含的⽤于通信双⽅之间以 JSON 对象的形式安全传递信息的⽅法。 可以使⽤ HMAC 算法或者是 RSA 的公钥密钥对进⾏签名
  • 简单来说: 就是通过⼀定规范来⽣成token，然后可以通过解密算法逆向解密token，这样就可以获取⽤户信息
  • 优点
    • ⽣产的token可以包含基本信息，⽐如id、⽤户昵称、头像等信息，避免再次查库
    • 存储在客户端，不占⽤服务端的内存资源
  • 缺点
    • token是经过base64编码，所以可以解码，因此token加密前的对象不应该包含敏感信息，如⽤户权限，密码等
    • 如果没有服务端存储，则不能做登录失效处理，除⾮服务端改秘钥
• JWT格式组成 头部、负载、签名
  • header+payload+signature
    • 头部：主要是描述签名算法
    • 负载：主要描述是加密对象的信息，如⽤户的id等，也可以加些规范⾥⾯的东⻄，如iss签发者，exp 过期时间，sub ⾯向的⽤户
    • 签名：主要是把前⾯两部分进⾏加密，防⽌别⼈拿到token进⾏base解密后篡改token
  • 关于jwt客户端存储
    • 可以存储在cookie，localstorage和sessionStorage⾥⾯

登录校验Json Web Token实战之封装通⽤⽅法

• 加⼊相关依赖
  
• 封装⽣产token⽅法
  
• 封装校验token⽅法