使用JWT进行跨域身份验证

传统用户身份验证

传统用户身份验证

Internet服务无法与用户身份验证分开.一般过程如下:

1. 用户向服务器发送用户名和密码
2. 验证服务器后,相关的数据将保存在当前会话中
3. 服务器向用户返回session_id,session信息都会写入到用户的cookie
4. 用户的每个后续请求都将通过cookie中取出session_id传给服务器
5. 服务器收到session_id并对比之前保存的数据,确认用户的身份.

这种模式最大的问题就是,没有分布式的架构,无法支持横向扩展

解决方案

1. session广播
2. 将透明令牌存入cookie,将用户的信息存入redis

	session共享	redis	jwt
优点	web容器自身支持，配置简单，适合小型网站。	memcache或则redis本身就是一个分布式缓存，便于扩展。网络开销较小，几乎没有IO。性能也更好。	有助于减少服务器请求数据库的次数。存储在客户端，不占用服务端的内存资源
缺点	当一台机器的上的session变更后会将变更的数据以组播的形式分发给集群间的所有节点，对网络和所有的web容器都是存在开销。集群越大浪费越严重。不能做到线性的扩展。	受制于Memcache的容量（除非你有足够内存存储），如果用户量突然增多cache由于容量的限制会将一些数据挤出缓存，另外memcache故障或重启session会完全丢失掉。	服务器不保存会话状态，所以在使用期间不可能取消令牌或更改令牌的权限。也就是说，一旦JWT签发，在有效期内将会一直有效。

另外一种灵活的解决方案:
使用自包含令牌,通过客户端保存数据,而服务器不保存会话数据,JWT是这种解决方案的代表

JWT令牌

访问令牌的类型

访问令牌的类型

JWT的组成

JWT的组成

• JWT头
• 有效载荷
• 签名哈希

JWT头部分是一个描述JWT元数据的JSON对象

{
  "alg": "HS256",
  "typ": "JWT"
}

• alg表示签名使用的算法,默认为HMAC SHA256(HS256)
• typ属性表示令牌的类型,JWT令牌统一写为JWT
• 最后使用base64 URL算法将上述的JSON对象转换为字符串保存

有效载荷是JWT的主体内容的部分,也是一个json对象,包含需要传递的数据,JWT指定七个默认字段供选择

iss：发行人
exp：到期时间
sub：主题
aud：用户
nbf：在此之前不可用
iat：发布时间
jti：JWT ID用于标识该JWT

除了以上默认的字段,还可以自定义私有的字段

{
  "sub": "1234567890",
  "name": "Helen",
  "admin": true
}

默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露.

JSON对象也使用Base64 URL算法转换为字符串保存

签名哈希是对上面两部分就行数据签名,通过指定的算法生成hash,以确保数据不会被篡改

• 需要指定一个密码,该密码仅仅为保存在服务器中,并且不能向用户公开,然后,使用标头中指定的签名算法(默认情况下HMACSHA256)根据以下公式生成签名

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(claims), secret)

• 在计算出哈希签名以后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分使用"."分隔,就构成了整个JWT对象

BASE64URL算法和BASE64算法类似,差别只有一点点,BASE64中用的三个字符是"+","/"和"=",由于在RUL有特殊含义,因此BASE64URL中对他们做了替换:"="去掉,"+"用"-"替换,"/"用"_"替换,这就是BASE64URL算法

JWT的原则

服务器身份验证之后,将生成一个JSON对象并将其发送回用户,当用户与服务器通信时,客户在请求中发回JSON对象,服务器仅依赖于JSON对象来标识用户,为了防止用户篡改数据,服务器将在生成对象的时候添加签名.

服务器不保存任何会话的数据,即服务器变为无状态,使其更容易扩展

jwt的用法

客户端接受服务器返回的JWT,将其存储在Cookie或者LocalStorage中

此后,客户端将在与服务器交互中都会带上jwt.如果将它存储在cookie中,就可以自动发送,但是不是跨域,因此一般是将他放入到HTTP请求的Header Authorization字段中,当跨域的时候,也可以将JWT被放置与POST请求的数据总体中

JWT的问题和趋势

• JWT不仅可以用于认证,还可用于信息交换.善用JWT有助于减少服务器请求数据库的次数

• 生产的token可以包含基本信息,比如ID,用户昵称,头像等信息,避免再次查询数据库

• 存储在客户端,不占用客户端的内存资源

• JWT默认不加密,但是可以加密,生成原始令牌以后,可以再次对其进行加密

• 当JWT未加密是,一些私密的数据无法通过JWT传输

• JWT最大的缺点是服务器不会保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限,也就是说,一旦jwt签发,在有效期内将会一直有效

• 为了减少盗用，JWT的有效期不宜设置太长。对于某些重要操作，用户在使用时应该每次都进行进行身份验证。

• 不建议使用HTTP协议来传输代码，而是使用加密的HTTPS协议进行传输。

整合JWT令牌

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.7.0</version>
</dependency>

创建jwt工具类

package com.guli.ucenter.util;

import com.guli.ucenter.entity.Member;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.util.StringUtils;

import java.util.Date;

/**
 * jwt工具类
 */
public class JwtUtils {


    public static final String SUBJECT = "guli";

    //秘钥
    public static final String APPSECRET = "guli";

    public static final long EXPIRE = 1000 * 60 * 30;  //过期时间，毫秒，30分钟


    /**
     * 生成jwt token
     *
     * @param member
     * @return
     */
    public static String geneJsonWebToken(Member member) {

        if (member == null || StringUtils.isEmpty(member.getId())
                || StringUtils.isEmpty(member.getNickname())
                || StringUtils.isEmpty(member.getAvatar())) {
            return null;
        }
        String token = Jwts.builder().setSubject(SUBJECT)
                .claim("id", member.getId())
                .claim("nickname", member.getNickname())
                .claim("avatar", member.getAvatar())
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
                .signWith(SignatureAlgorithm.HS256, APPSECRET).compact();

        return token;
    }


    /**
     * 校验jwt token
     *
     * @param token
     * @return
     */
    public static Claims checkJWT(String token) {
        Claims claims = Jwts.parser().setSigningKey(APPSECRET).parseClaimsJws(token).getBody();
        return claims;
    }

    //测试生成jwt token
    private static String testGeneJwt(){
        Member member = new Member();
        member.setId("999");
        member.setAvatar("www.guli.com");
        member.setNickname("Helen");

        String token = JwtUtils.geneJsonWebToken(member);
        System.out.println(token);
        return token;
    }

    //测试校验jwt token
    private static void testCheck(String token){

        Claims claims = JwtUtils.checkJWT(token);
        String nickname = (String)claims.get("nickname");
        String avatar = (String)claims.get("avatar");
        String id = (String)claims.get("id");
        System.out.println(nickname);
        System.out.println(avatar);
        System.out.println(id);
    }

    
    public static void main(String[] args){
        String token = testGeneJwt();
        testCheck(token);
    }
}

callback中生成jwt

// 生成jwt
String token = JwtUtils.geneJsonWebToken(member);

//存入cookie
//CookieUtils.setCookie(request, response, "guli_jwt_token", token);

//因为端口号不同存在蛞蝓问题，cookie不能跨域，所以这里使用url重写
return "redirect:http://localhost:3000?token=" + token;