單點登錄三種方式

單點登錄的三種實現(xiàn)方式：

• 分別為session廣播機制；
• cookie+redis；
• token

session廣播機制指在一個集群中的一個模塊登錄后，然后把該session復(fù)制成幾份，發(fā)送到該集群的其他模塊中，可以形成在個地方登錄，其他地方不用再登錄的效果。

session廣播機制

參與集群的每個節(jié)點的Session狀態(tài)都被復(fù)制到集群中的其他所有節(jié)點上，無論何時，只要Session發(fā)生改變，Session數(shù)據(jù)都要重新被復(fù)制。Tomcat、JBoss等都提供了這樣的功能，其中Tomcat采用集群節(jié)點廣播復(fù)制，JBoss采用配對復(fù)制機制。

Session廣播機制優(yōu)缺點：
優(yōu)點：每個節(jié)點都復(fù)制一份Session，一個節(jié)點出現(xiàn)問題時其它節(jié)點可以接替它的工作。
缺點：節(jié)點間進(jìn)行Session同步會占據(jù)大量系統(tǒng)資源，整體性能隨著集群節(jié)點數(shù)的增加而下降。

cookie+redis方式

用戶在項目的任意一個模塊登錄后，登錄之后，該模塊會將用戶的登錄信息放到兩個地方：redis 和 cookie 中。

系統(tǒng)會先將用戶的登錄信息存入 redis中，其在 redis 的 key 值是生成的唯一值 （可以包含 ip、用戶 id、UUID等），value 值存放用戶的登錄信息。
接著系統(tǒng)會將這名用戶在 redis 中的 key 值存入該用戶的 cookie 中，用戶每次訪問任意模塊時都會帶著這個 cookie。
用戶在訪問其他模塊發(fā)送請求時，會帶著客戶端的 cookie 進(jìn)行請求，而客戶端的 cookie 已經(jīng)存入了該用戶在 redis 中的 key 值，這樣其他模塊在處理用戶的請求時，可以先獲取用戶 cookie中的 key 值，然后拿著這個 key 值到 redis 中進(jìn)行查詢，如果在 redis 中能查詢到該用戶相應(yīng)的登錄信息，就說明該用戶已登錄，就不需要用戶進(jìn)行重復(fù)登錄了。

token方式

token 是按照一定規(guī)則生成的字符串，字符串中可以包含用戶信息。開發(fā)人員可以自行定制這個生成規(guī)則，也可以使用提供好的生成規(guī)則（如使用 JWT 自動生成包含用戶信息的字符串）。

用戶在項目的某個模塊進(jìn)行登錄后，系統(tǒng)會按照一定（或定制）的規(guī)則生成字符串，把用戶登錄之后的信息包含到這個生成的字符串中，然后系統(tǒng)可以將這個字符串返回，主要有兩種返回方式：

1.可以把字符串通過 cookie 返回；

2.可以把字符串通過地址欄返回。

這樣用戶在訪問其他的模塊時，每次訪問的地址欄都會帶著生成的字符串成字符串），然后根據(jù)字符串獲取用戶信息，如果可以獲取到用戶的登錄信息，說明該用戶已登錄，用戶就不需要重復(fù)登錄了。

JWT令牌介紹

JWT生成的字符串包括三部分：
1.JWT頭信息
2.有效載荷（包含頭部信息）
3.簽名哈希

JWT頭

JWT頭部分是一個描述JWT元數(shù)據(jù)的JSON對象，通常如下所示。

{
“alg”: “HS256”,
“type”: “JWT”
}

在上面的代碼中，alg屬性表示簽名使用的算法，默認(rèn)為HMAC SHA256（寫為HS256）；type屬性表示令牌的類型，JWT令牌統(tǒng)一寫為JWT。最后，使用Base64 URL算法將上述JSON對象轉(zhuǎn)換為字符串保存。

有效載荷

有效載荷部分，是JWT的主體內(nèi)容部分，也是一個JSON對象，包含需要傳遞的數(shù)據(jù)。 JWT指定七個默認(rèn)字段供選擇：

• iss：發(fā)行人
• exp：到期時間
• sub：主題
• aud：用戶
• nbf：在此之前不可用
• iat：發(fā)布時間
• jti：JWT ID用于標(biāo)識該JWT

除以上默認(rèn)字段外，我們還可以自定義私有字段，如下例：

{
  "sub": "1234567890",
  "name": "xiaowei",
  "admin": true
}

默認(rèn)情況下JWT是未加密的，任何人都可以解讀其內(nèi)容，因此不要構(gòu)建隱私信息字段，存放保密信息，以防止信息泄露。

JSON對象也使用Base64 URL算法轉(zhuǎn)換為字符串保存。

簽名哈希

簽名哈希部分是對上面兩部分?jǐn)?shù)據(jù)簽名，通過指定的算法生成哈希，以確保數(shù)據(jù)不會被篡改。

首先，需要指定一個密碼（secret）。該密碼僅僅為保存在服務(wù)器中，并且不能向用戶公開。然后，使用標(biāo)頭中指定的簽名算法（默認(rèn)情況下為HMAC SHA256）根據(jù)以下公式生成簽名。

JWT如何使用

JWT的原則

JWT的原則是在服務(wù)器身份驗證之后，將生成一個JSON對象并將其發(fā)送回用戶，如下所示。

{
  "sub": "1234567890",
  "name": "xiaowei",
  "admin": true
}

之后，當(dāng)用戶與服務(wù)器通信時，客戶在請求中發(fā)回JSON對象。服務(wù)器僅依賴于這個JSON對象來標(biāo)識用戶。為了防止用戶篡改數(shù)據(jù)，服務(wù)器將在生成對象時添加簽名。

服務(wù)器不保存任何會話數(shù)據(jù)，即服務(wù)器變?yōu)闊o狀態(tài)，使其更容易擴展。

JWT的用法

客戶端接收服務(wù)器返回的JWT，將其存儲在Cookie或localStorage中。

此后，客戶端將在與服務(wù)器交互中都會帶JWT。如果將它存儲在Cookie中，就可以自動發(fā)送，但是不會跨域，因此一般是將它放入HTTP請求的Header Authorization字段中。當(dāng)跨域時，也可以將JWT被放置于POST請求的數(shù)據(jù)主體中。

JWT的用處

JWT不僅可用于認(rèn)證，還可用于信息交換。善用JWT有助于減少服務(wù)器請求數(shù)據(jù)庫的次數(shù)。
生產(chǎn)的token可以包含基本信息，比如id、用戶昵稱、頭像等信息，避免再次查庫 存儲在客戶端，不占用服務(wù)端的內(nèi)存資源
JWT默認(rèn)不加密，但可以加密。生成原始令牌后，可以再次對其進(jìn)行加密。 當(dāng)JWT未加密時，一些私密數(shù)據(jù)無法通過JWT傳輸。
JWT的最大缺點是服務(wù)器不保存會話狀態(tài)，所以在使用期間不可能取消令牌或更改令牌的權(quán)限。也就是說，一旦JWT簽發(fā)，在有效期內(nèi)將會一直有效。
JWT本身包含認(rèn)證信息，token是經(jīng)過base64編碼，所以可以解碼，因此token加密前的對象不應(yīng)該包含敏感信息，一旦信息泄露，任何人都可以獲得令牌的所有權(quán)限。為了減少盜用，JWT的有效期不宜設(shè)置太長。對于某些重要操作，用戶在使用時應(yīng)該每次都進(jìn)行進(jìn)行身份驗證。
為了減少盜用和竊取，JWT不建議使用HTTP協(xié)議來傳輸代碼，而是使用加密的HTTPS協(xié)議進(jìn)行傳輸。

整合JWT令牌

首先在項目中添加依賴：

<dependencies>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
    </dependency>
</dependencies>

創(chuàng)建JWT的工具類

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm; 
import org.springframework.util.StringUtils;
import javax.servlet.http.HttpServletRequest;
import java.util.Date;

public class JwtUtils {
 public static final long EXPIRE = 1000 * 60 * 60 * 24;
 public static final String APP_SECRET = "zkdlh8Ycvxmwd9sDxzc8czxcascX9";
 
 public static String getJwtToken(String id, String nickname){
 
 String JwtToken = Jwts.builder()
 
 .setHeaderParam("type", "JWT")
 
 .setHeaderParam("alg", "HS256")
 
 .setSubject("guli-user")
 
 .setIssuedAt(new Date())
 
 .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
 
 .claim("id", id)
 
 .claim("nickname", nickname)
 
 .signWith(SignatureAlgorithm.HS256, APP_SECRET)
 
 .compact();
 
 
 return JwtToken;
 
 }
 
 /**
 
 * 判斷token是否存在與有效
 
 * @param jwtToken
 
 * @return
 
 */
 
 public static boolean checkToken(String jwtToken) {
 
 if(StringUtils.isEmpty(jwtToken)) return false;
 
 try {
 
 Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
 
 } catch (Exception e) {
 
 e.printStackTrace();
 
 return false;
 
 }
 
 return true;
 
 }
  
 /**
 
 * 判斷token是否存在與有效
 
 * @param request
 
 * @return
 
 */
 
 public static boolean checkToken(HttpServletRequest request) {
 
 try {
 
 String jwtToken = request.getHeader("token");
 
 if(StringUtils.isEmpty(jwtToken)) return false;
 
 Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
 
 } catch (Exception e) {
 
 e.printStackTrace();
 
 return false;
 
 } 
 return true; 
 }
 
 
 /**
 
 * 根據(jù)token獲取id
 
 * @param request
 
 * @return
 
 */
 
 public static String getMemberIdByJwtToken(HttpServletRequest request) {
 
 String jwtToken = request.getHeader("token");
 
 if(StringUtils.isEmpty(jwtToken)) return "";
 
 Jws<Claims> claimsJws = Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
 
 Claims claims = claimsJws.getBody();
 
 return (String)claims.get("id");
 
 }
 
}

到此這篇關(guān)于單點登錄的三種方式和JWT的介紹與使用的文章就介紹到這了,更多相關(guān)單點登錄和JWT的介紹內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論