JWT相关学习(纯天然手写)

JWT(Json Web Token)是一种token认证方式,相对于传统的session认证方式。

一、为什么需要认证?

一个系统,如果想使用其功能,势必要进行登录操作,登录验证用户名和密码,通过http通讯协议传输,但是HTTP协议属于无状态协议,则登录之后的http通讯如果没有认证,那么任何未登录的人都可以去访问了。所以需要认证这种方式来杜绝这样的事情发生。


二、传统session认证方式有如下几个缺点:

1、用户登录后session需要存储在服务端中,当有大量用户登录时候,服务端会存储大量的session,缺点就是占用大量资源。

2、服务端session存储位置如果为内存,则会影响负载均衡。

3、客户端将session存放在cookie中,如果其他人获得cookie,则可进行伪造。


三、jwt的优点

1、服务端无需存储jwt,不需要占用大量资源。

2、jwt为json格式,占用流量小。

3、因为无状态不存储,所以完全不影响负载均衡。


四、JWT说明:

JWT分为三部分,head(头),payload(载荷)以及签名。

其中头head写明算法类型(大部分为固定)并且使用Base64进行编码,载荷payload存放传输的信息并且使用Base64进行编码,对于我们系统来说是JwtUser这个对象的JSON形式字符串以及失效时间(我们系统当前为24小时)。

签名就是讲上述head和payLoad进行Base64的字符串连接以后,加盐,组合加密,其中盐是存放在服务端里,对于我们系统来说,是服务端配置文件中存储,

最后的结果就是   head头的Base64编码结果 + ‘,’ + payLoad的Base64编码结果 + ',' + 签名。


五、实现方式:

使用jjwt来进行实现(代码以及quickStart可以在GITHUB上查看)


六、传输方式:

客户端http协议调用接入,接入系统RPC协议调用账户系统,账户系统如果登录成功,则生成jwt返回给接入系统,接入系统将jwt字符串返回给客户端,客户端以后每次对于该用户的http调用都在http请求头信息中添加此jwt字符串。接入收到jwt之后,进行解析,如果解析出错则异常抛出不予操作。如果JWT正常,则继续操作。


参考资料:http://www.jianshu.com/p/576dbf44b2ae

你可能感兴趣的:(JWT相关学习(纯天然手写))