一篇文章带你搞定 SpringSecurity 结合Jwt 实现无状态登录

其他 2020-09-24 14:05:52 阅读次数: 0

在前后端分离的项目中,登录策略也有不少,不过 JWT 算是目前比较流行的一种解决方案了,本文就和大家来分享一下如何将 Spring Security 和 JWT 结合在一起使用,进而实现前后端分离时的登录解决方案。

文章目录

一、无状态登录

1. 什么是有状态 ?

有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如Tomcat中的Session

例如登录:用户登录后,我们把用户的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session,然后下次请求,用户携带cookie值来(这一步有浏览器自动完成),我们就能识别到对应session,从而找到用户的信息。
这种方式目前来看最方便,但是也有一些缺陷,如下:

(1)服务端保存大量数据,增加服务端压力
(2)服务端保存用户状态,不支持集群化部署

2. 什么是无状态 ?

微服务集群中的每个服务,对外提供的都使用 RESTful 风格的接口。
而 RESTful 风格的一个最重要的规范就是:服务的无状态性,即:

服务端不保存任何客户端请求者信息
客户端的每次请求必须具备自描述信息,通过这些信息识别客户端身份

那么这种无状态性有哪些好处呢?

客户端请求不依赖服务端的信息,多次请求不需要必须访问到同一台服务器
服务端的集群和状态对客户端透明
服务端可以任意的迁移和伸缩(可以方便的进行集群化部署)
减小服务端存储压力

3. 如何实现无状态 ?

无状态登录的流程:

首先客户端发送账户名/密码到服务端进行认证
认证通过后,服务端将用户信息加密并且编码成一个 token,返回给客户端
以后客户端每次发送请求,都需要携带认证的 token
服务端对客户端发送来的 token 进行解密,判断是否有效,并且获取用户登录信息

二、JWT

1. JWT 简介

JWT,全称是 Json Web Token , 是一种 JSON 风格的轻量级的授权和身份认证规范,可实现无状态、分布式的 Web 应用授权:

在这里插入图片描述
JWT 作为一种规范,并没有和某一种语言绑定在一起,常用的 Java 实现是 GitHub 上的开源项目 jjwt,地址如下:https://github.com/jwtk/jjwt

2. JWT 数据格式

JWT 包含三部分数据:

  1. Header:头部,通常头部有两部分信息:

声明类型,这里是JWT
加密算法,自定义

我们会对头部进行 Base64Url 编码(可解码),得到第一部分数据。

  1. Payload:载荷,就是有效数据,在官方文档中(RFC7519),这里给了 7 个示例信息:

iss (issuer):表示签发人
exp (expiration time):表示token过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号

这部分也会采用 Base64Url 编码,得到第二部分数据。

  1. Signature:签名,是整个数据的认证信息。一般根据前两步的数据,再加上服务的的密钥 secret(密钥保存在服务端,不能泄露给客户端),通过 Header 中配置的加密算法生成。用于验证整个数据完整和可靠性。
    生成的数据格式如下图:

在这里插入图片描述
注意,这里的数据通过 . 隔开成了三部分,分别对应前面提到的三部分,另外,这里数据是不换行的,图片换行只是为了展示方便而已。

3. JWT 交互流程

流程图:
在这里插入图片描述
步骤翻译:

应用程序或客户端向授权服务器请求授权
获取到授权后,授权服务器会向应用程序返回访问令牌
应用程序使用访问令牌来访问受保护资源(如API)

因为 JWT 签发的 token 中已经包含了用户的身份信息,并且每次请求都会携带,这样服务的就无需保存用户信息,甚至无需去数据库查询,这样就符合了 RESTful 的无状态规范。

4. JWT 存在的问题

说了这么多,JWT 也不是天衣无缝,由客户端维护登录状态带来的一些问题在这里依然存在,举例如下:

(1) 续签问题,这是被很多人诟病的问题之一,传统的 cookie+session 的方案天然的支持续签,但是 jwt 由于服务端不保存用户状态,因此很难完美解决续签问题,如果引入 redis,虽然可以解决问题,但是 jwt 也变得不伦不类了。
(2)注销问题,由于服务端不再保存用户信息,所以一般可以通过修改 secret 来实现注销,服务端 secret 修改后,已经颁发的未过期的 token 就会认证失败,进而实现注销,不过毕竟没有传统的注销方便。
(3)密码重置,密码重置后,原本的 token 依然可以访问系统,这时候也需要强制修改 secret。
(4)基于第 2 点和第 3 点,一般建议不同用户取不同 secret。

三、实战 SpringBoot 整合 JWT

(1)加入依赖:

在这里插入图片描述
然后加入 jwt 依赖:

		<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

有待补充

猜你喜欢

转载自blog.csdn.net/nanhuaibeian/article/details/108578893
今日推荐
富文本编辑器 Quill 2.0 重磅发布,特性、可靠性与开发者体验大幅提升
“开源信徒”周鸿祎开源360智脑大模型
周排行
Ubuntu 14.04 下Fuel6.0安装部署
香港一小巴侧翻致1死16伤 警方:未见机件故障
pikachu--XSS盲打
阅读 深入理解JVM虚拟机笔记一
java.sql.SQLException: ORA-00932: 数据类型不一致: 应为 -, 但却获得 CLOB
oracle delete all object under an user
[LeetCode]20 Valid Parentheses 有效的括号
树形DP求树的直径 【模板】
Context propagation over HTTP in Go
【PAT】(B)1053 住房空置率 (20)*
每日归档
更多
2024-04-18(0)
2024-04-17(5)
2024-04-16(70)
2024-04-15(42)
2024-04-14(0)
2024-04-13(119)
2024-04-12(38)
2024-04-11(14)
2024-04-10(68)
2024-04-09(5)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022