Http协议是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。但是对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道Http请求是哪个用户发起的,从而判断他是否有权限继续这个请求。这个过程就是常说的会话管理。
本文总结了3种常见的实现web应用会话管理的方式:
- 基于session
- 基于公钥/私钥
- 基于token
一、基于Session
Session就不用多说了,至于分布式Session实现方案 Java中通过Spring Session可以很方便的实现分布式Session管理。
二、基于公钥/私钥
事先给客户端分配一个app_id和app_secret,客户端调用接口的时候将业务参数按字母排序,首尾加app_secret再RSA2(推荐使用SHA256,MD5和SHA1已被攻破)生成前面sign,然后再将业务参数和sign发送给服务器,服务器端用相同的方式生成sign,如果sign相等则路由到业务方法,否则返回鉴权失败。
示例代码如下:
private static final String UTF_8 = "UTF-8";
public static String encode(Map<String, String> param, String secret, boolean encode) {
Set<String> keysSet = param.keySet();
Object[] keys = keysSet.toArray();
Arrays.sort(keys); //按参数名字典顺序排序
StringBuilder sb = new StringBuilder(1024);
for(int i=0; i<keys.length; i++) {
if(i!=0){
sb.append("&");
}
sb.append(keys[i]).append("=");
String value = param.get(keys[i]);
String valueString = "";
if (null != value) {
valueString = value;
}
if (encode) {
sb.append(urlEncode(valueString));
} else {
sb.append(valueString);
}
}
sb.append(secret);
return DigestUtils.sha256Hex(sb.toString());
}
private static String urlEncode(String str) {
try {
return URLEncoder.encode(str, UTF_8);
} catch (UnsupportedEncodingException e) {
throw new IllegalArgumentException("unsupported encoding:"+UTF_8, e);
}
}
三、基于token
服务端动态生成token,客户端调用的时候需要回传token,参考 微信公共平台 access_token
3.1 JWT
JWT
参考资料
蚂蚁金服开发平台 签名与验签
微信公共平台 access_token
通过Spring Session实现新一代的Session管理
网友评论