前言
目前在开发的小组结课我的项目中用到了JWT认证,简略分享一下,并看看与Session认证的异同。
登录认证(Authentication)的概念非常简单,就是通过肯定伎俩对用户的身份进行确认。
咱们都晓得 HTTP 是无状态的,服务器接管的每一次申请,对它来说都是 “新来的”,并不知道客户端来过。
举个例子:
客户端A: 我是A, 给我一瓶水。
服务端B: 好,给你。
客户端A: 再给我来个面包。
服务端B: 啥,你是谁?
即每一个申请对服务器来说都是新的。
咱们不可能每次操作都让用户输出用户名和明码,那么咱们如何让服务器记住咱们登录过了呢?
那就是凭证。即每次申请都给服务器一个凭证通知服务器我是谁。
当初个别应用比拟多的认证形式有四种:
- Session
- Token
- SSO单点登录
- OAtuth登录
上面就来说说比拟罕用的前两种。
Session
Cookie + Session
最常见的就是 Cookie + Session 认证。
Session,是一种有状态的会话管理机制,其目标就是为了解决HTTP无状态申请带来的问题。
当用户登录认证申请通过时,服务端会将用户的信息存储起来,并生成一个 SessionId 发送给前端,前端将这个 SessionId 保存起来。之后前端再发送申请时都携带 SessionId,服务器端再依据这个 SessionId 来查看该用户有没有登录过。
这个 SessionId, 个别是保留在Cookie中。
如果用户第一次拜访某个服务器时,服务器响应数据时会在响应头的 Set-Cookie 标识里将Session Id 返回给浏览器,浏览器就将标识中的数据存在Cookie中。
上面咱们来简略写个 demo 测试一下:
初始化一个spring boot 我的项目,并且代码如下:
demo
咱们只须要在用户登录的时候将用户信息存在HttpSession中
@RestController
public class UserController {
@PostMapping("login")
public String login(@RequestBody User user, HttpSession session) {
if ("admin".equals(user.getUsername()) && "admin".equals(user.getPassword())) {
// 登录胜利 写入Session
session.setAttribute("sessionId", user);
return "login success";
}
return "username or password incorrect";
}
@GetMapping("/logout")
public String logout(HttpSession session) {
// 登记 删除Session
session.removeAttribute("sessionId");
return "logout success";
}
public String api(HttpSession session) {
// 用户操作 判断是否登录
User user = (User) session.getAttribute("sessionId");
if (user == null) {
return "please login";
}
return "return data";
}
}
上面咱们向 login 地址 申请,并查看响应。 能够看到,用户登录时服务端会返回 Set-Cookie 字段。这些工作 Servlet帮咱们做好了
上面咱们向 api 地址申请。能够看到, 后续拜访服务端主动就会携带Cookie:
服务端认证身份胜利,返回数据。
Session + Header认证
以后开发的几个我的项目都是采纳这种模式。
即 将 Session 会话放进 申请头中作为认证信息。
上面简略写个 demo 并用 postman 测试
demo
pom.xml:
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session</artifactId>
<version>1.3.5.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
HeaderAndParamHttpSessionStrategy:
将cookie认证改为Header认证, 申请关键字为 x-auth-token
/**
* Header或是申请参数中的带有 token 的认证策略
* */
public class HeaderAndParamHttpSessionStrategy extends HeaderHttpSessionStrategy {
/**
* header认证关键字名称
*/
private String headerName = "x-auth-token";
@Override
public String getRequestedSessionId(HttpServletRequest request) {
String token = request.getHeader(this.headerName);
return (token != null && !token.isEmpty()) ? token : request.getParameter(this.headerName);
}
}
MvcSecurityConfig:
应用spring 提供的 MapSessionRepository 来帮忙咱们治理Session
@Configuration
@EnableWebSecurity
@EnableSpringHttpSession
public class MvcSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http.authorizeRequests()
// 凋谢端口
.antMatchers("**").permitAll()
.anyRequest().authenticated()
.and()
.httpBasic()
.and().cors()
.and().csrf().disable();
http.headers().frameOptions().disable();
return http.build();
}
/**
* 应用header认证来替换默认的cookie认证
*/
@Bean
public HttpSessionStrategy httpSessionStrategy() {
return new HeaderAndParamHttpSessionStrategy();
}
/**
* 因为咱们启用了@EnableSpringHttpSession后,而非RedisHttpSession.
* 所以应该为SessionRepository提供一个实现。
* 而Spring中默认给了一个SessionRepository的实现MapSessionRepository.
*
* @return session策略
*/
@Bean
public SessionRepository sessionRepository() {
return new MapSessionRepository();
}
}重新启动我的项目:
尝试1: 向 login 地址申请:
能够看到,服务端的响应头上带有了 x-auth-token, 这种将 session 放在申请头部的认证就是 header认证。
后果: 响应头返回 x-auth-token 字段
尝试2: 申请头不带 x-auth-token, 向服务端申请 api
而这时候,如果客户端发送接下来的申请的时候,申请头不带上服务端返回的 x-auth-token,那么是无奈失去认证的。
后果: 认证失败
尝试3: 申请头带 x-auth-token, 向服务端申请 api
将登录胜利之后,服务端返回
后果: 认证胜利
通过以上的形式: 咱们胜利将 Cookie + Session 认证 ,替换为了 Header + Session 认证。
那么换之后,有什么益处呢?
Header + Session 相较 Cookie + Session 有几点益处:
- 避免跨站脚本攻打(XSS):应用 Cookie 存储会话 ID 的话,Cookie 是通过浏览器主动治理的,容易受到 XSS 攻打的影响。而将会话 ID 存储在头部,能够防止这种攻打。
- 防止 CSRF 攻打:应用 Cookie 存储会话 ID 的话,攻击者能够利用 CSRF 攻打来获取 Cookie 中的会话 ID,从而伪造用户申请。将会话 ID 存储在头部的话,能够防止这种攻打。
- 不受第三方 Cookie 反对的限度:如果用户的浏览器禁用了第三方 Cookie,那么应用 Cookie + Session 的形式就无奈应用。而将会话 ID 存储在头部,不须要应用 Cookie,不受这个限度。
毛病:
- 会话 ID 存储在头部,可能被重放攻打利用
- 执行性能代价较高:因为 HTTP 头比 Cookie 更大,因而将会话 ID 存储在头部通常会占用更多的网络资源,减少传输提早。
因而,应该依据具体的利用场景、协定、需要和平安要求来抉择适合的身份认证形式。
Token 认证
除了Session之外,目前比拟风行的做法就是应用JWT(JSON Web Token)。
JWT具备以下俩种个性:
- 能够将一段数据加密成一段字符串,也能够从这字符串解密回数据
- 能够对这个字符串进行校验,比方有没有过期,有没有被篡改
看到这,这不和 Session + Header 认证一样嘛!就是把 SessionId 换成了JWT字符串而已,有必要么?🤔
Session 和 JWT有一个重要的区别,就是 Session 是有状态的,JWT是无状态的。
即,Session 在服务端保留了用户信息,而JWT在服务端没有保留任何信息。
以后端携带Session Id到服务端时,服务端要查看其对应的 HttpSession 中有没有保留用户信息,保留了就代表登录了。
当应用JWT时,服务端只须要对这个字符串进行校验,校验通过就代表登录了。
上面持续从一个Demo体验:
demo
pom.xml:
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>写一个工具类
public interface CommonService {
/**
* 签名秘钥
*/
String SECRET = "shareMusic";
// 依据用户id生成token
static String createJwtToken(Long id) {
long ttlMillis = -1; // 示意不增加过期工夫
return createJwtToken(id.toString(), ttlMillis);
}
/**
* 生成Token
*
* @param id 编号
* @param ttlMillis 签发工夫 (无效工夫,过期会报错)
* @return token String
*/
static String createJwtToken(String id, long ttlMillis) {
// 签名算法 ,将对token进行签名
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
// 生成签发工夫
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
// 通过秘钥签名JWT
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(SECRET);
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
// Let's set the JWT Claims
JwtBuilder builder = Jwts.builder().setId(id)
.setIssuedAt(now)
.signWith(signatureAlgorithm, signingKey);
// 如果指定了过期工夫,则增加
if (ttlMillis >= 0) {
long expMillis = nowMillis + ttlMillis;
Date exp = new Date(expMillis);
builder.setExpiration(exp);
}
return builder.compact();
}
// 验证并解析JWT
static Claims parseJWT(String jwt) { // 如果是空字符串间接返回null
if (jwt == null ||jwt.isEmpty()) {
return null;
}
// 这个Claims对象蕴含了许多属性,比方签发工夫、过期工夫以及寄存的数据等
Claims claims = null;
// 解析失败了会抛出异样,所以咱们要捕获一下。token过期、token非法都会导致解析失败
try {
claims = Jwts.parser()
.setSigningKey(DatatypeConverter.parseBase64Binary(SECRET))
.parseClaimsJws(jwt).getBody();
} catch (JwtException e) {
System.err.println("解析失败!");
}
return claims;
}
}
同时改写一下咱们的 Controller:
登录胜利返回
@PostMapping("login")
public String login(@RequestBody User user, HttpServletResponse response) {
if ("admin".equals(user.getUsername()) && "admin".equals(user.getPassword())) {
// 判断胜利 返回头退出token
String token = CommonService.createJwtToken(user.getUsername());
response.setHeader("Authorization", token);
return "login success";
}
return "username or password incorrect";
}
@GetMapping("/api")
public String api(HttpServletRequest request) {
String jwt = request.getHeader("Authorization");
// 解析失败就提醒用户登录
if (CommonService.parseJWT(jwt) == null) {
return "please login";
}
return "return data";
}重启服务开始测试。
尝试1: 向 login 地址申请.
能够看到,咱们胜利地在服务端响应头中返回了 JWT,它是以 Authorization 作为名字的字段。
尝试2: 不带JWT, 向 api 地址申请.
认证失败。
尝试3: 带JWT, 向 api 地址申请.
后果: 认证胜利, 返回数据。
下面咱们胜利应用JWT实现了登录和申请api。上面简略看一下它的原理:
JWT原理:
JWT 通常由三局部组成:Header、Payload 和 Signature。
- Header:蕴含 Token 类型(即 JWT)和所应用的签名算法信息(如 HS256)。
- Payload:存储了一些形容信息,如 Token 的颁发者、过期工夫、拜访权限等,也能够蕴含一些用户的自定义数据。
- Signature:由服务器端生成,用于验证 Token 的正确性和完整性。
咱们将方才获取到的JWT去在线网站解密一下:
能够看到,获取到了咱们传输的信息: 用户名
在线网站将 Header 和 Payload 中的 Base64 编码信息通过简略的算法将其还原成原始的明文数据
能够看到签名是无奈解密的,这是因为 JWT 的签名次要是用于保障 JWT 的完整性和避免 JWT 被篡改 或伪造。
signature 能够抉择对称加密算法或者非对称加密算法,罕用的就是 HS256、RS256。
具体JWt解析过程能够看这篇文章: https://www.freecodecamp.org/chinese/news/how-to-sign-and-val…
JWT 登记
你可能会留意到, 下面的JWT办法没有登记的性能。那么如何登记?🤔
事实上,JWT 是无状态的认证形式,因而它自身并不提供登记的机制。让咱们从后盾登记token,这对于jwt来说并不是那么简略,并不能像删除 session 那样来删除token。
JWT的目标与session不同,不可能强制删除或生效曾经生成的token。
咱们能够采纳上面两种形式:
Token 过期⏰。
通过过期工夫机制。能够在生成 JWT Token 时设置一个过期工夫,一旦 Token 过期后则视为有效。通过这种形式,能够保障 Token 在肯定工夫内无效,同时也防止了 Token 滥用和被盗用的危险。
我还是想登记
如果我有一个严格的登记性能,无奈期待Token主动过期怎么办?🕵️
那么存储一个所谓的“名单”,判断Token是无效的。个别能够采纳 Redis,
校验时,查看提供的 token 在 redis 中是否无效,如何有效的话就让用户去登录。
从这个方面也体现出了 JWt 更适宜分布式构造。
Session 和 JWT
两者的不同:
存储地位:Session 信息是存储在服务端的,而 JWT 将认证信息存储在客户端的 Token 中。
是否须要状态:Session 基于状态来保护会话,如果会话状态失落或者被篡改,服务器将会从新初始化会话。而 JWT 身份认证机制是无状态的,每个申请均蕴含足够的信息,服务器不须要维持任何状态。这一点使得 JWT 身份认证机制特地适宜于分布式系统。
安全性:Session 是基于某种算法生成的 Session ID 来保护用户状态的,如果 Session ID 被窃取或者伪造,会话会受到攻打,凭证会生效。而 JWT 通过签名来避免伪造和篡改,只有在通过验证后能力应用。
扩展性:Session 计划个别实用于繁多的服务或者单个利用,而 JWT 身份认证机制实用于跨域、分布式服务调用等多场景。
两种形式都能够实现登录认证,至于具体选型就依据本人理论业务需要来了。
参考文章:
https://www.cnblogs.com/RudeCrab/p/14251154.html#%E6%94%B6%E5…
https://segmentfault.com/a/1190000041216780
https://cloud.tencent.com/developer/news/837117
发表回复