18.JavaWeb-JWT(登录、鉴权)

1.CSRF跨站请求伪造

        跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

        为了防止CSRF攻击，产检的防御措施有：生成随即令牌（token）、设置Cookie的SameSite属性为Strict或Lax 、验证Referer字段、双重身份验证等

2.JWT概念

        JWT（JSON Web Token）是一种用于进行身份验证和授权的开放标准（RFC 7519）。它是一种安全的、基于JSON的令牌，用于在客户端和服务器之间传递声明

 2.1 JWT组成

header	声明类型、声明加密的算法，通常直接使用HMAC SHA256或RSA
payload	也称为JWT Claims，包含用户的一些非隐私数据（秘钥、签发人、签发时间、有效时间等）
Signature	签证信息，由三部分组成：header(base64后的)、payload(base64后的)、secred

3.登录详细流程

3.1 单token验证

3.1.1 登录成功，生成token并返回

        1.生成token

String token = JWTUtil.generateToken(user.getId());

        2.设置响应头

response.setHeader("authorization", token);

        3.暴露响应头

        浏览器不认识自定义的头，如果不暴露浏览器会自动屏蔽

response.setHeader("Access-Control-Expose-Headers","authorization");

3.1.2 前端得到token保存在浏览器本地

        sessionstorage：在会话期间有效（浏览器打开期间）
        localstorage：只要不主动删除、不卸载浏览器，数据一直有效

let token = res.headers.authorization
window.localStorage.setItem("authorization", token)

3.1.3 通过axios拦截器自动携带token

http.interceptors.request.use(
  config =>{
    // 得到token  本地
    let token = window.localStorage.getItem("authorization")
    config.headers.authorization = token
    // 放行请求
    return config
  }
)

3.1.4 自定义过滤器验证token

if (token == null || token.length() == 0 || token.equals("null")){
    // 没登录
    extracted(servletResponse);
    // 终止
    return;
}else {
    // 有token
    if (JWTUtil.verify(token) == TokenEnum.TOKEN_SUCCESS){
        // 合法，放行
        request.getSession().setAttribute("uid", JWTUtil.getuid(token));
        filterChain.doFilter(servletRequest, servletResponse);
    }else {
        // 伪造或者过期，都让登录
        extracted(servletResponse);
        // 终止请求
        return;
    }
}

private static void extracted(ServletResponse servletResponse) throws IOException {
    ResponseResult