一、用户身份认证

1.1 单一服务器模式

一般过程如下：

1. 用户向服务器发送用户名和密码。
2. 验证服务器后，相关数据（如用户名，用户角色等）将保存在当前会话（session）中。
3. 服务器向用户返回 session_id，session 信息都会写入到用户的 Cookie。
4. 用户的每个后续请求都将通过在 Cookie 中取出 session_id 传给服务器。
5. 服务器收到 session_id 并对比之前保存的数据，确认用户的身份。

缺点：

• 单点性能压力，无法扩展。
• 分布式架构中，需要 session 共享方案，session 共享方案存在性能瓶颈。
  • session 广播：性能瓶颈，不推荐
  • redis 代替 session：推荐，性能高

1.2 SSO（Single Sign On）模式

方式：CAS单点登录、OAuth2

分布式，SSO(single sign on)模式：单点登录英文全称 Single Sign On，简称就是 SSO。它的解释是：在多个应用系统中，只需要登录一次，就可以访问其他相互信任的应用系统。

• 如图所示，图中有3个系统，分别是业务 A、业务 B、和 SSO。
• 业务 A、业务 B 没有登录模块。
• 而 SSO 只有登录模块，没有其他的业务模块。

一般过程如下：

1. 当业务 A、业务 B 需要登录时，将跳到 SSO 系统。
2. SSO 从用户信息数据库中获取用户信息并校验用户信息，SSO 系统完成登录。
3. 然后将用户信息存入缓存（例如redis）。
4. 用户访问业务A或业务B，需要判断用户是否登录时，将跳转到SSO系统中进行用户身份验证，SSO判断缓存中是否存在用户身份信息。
5. 这样，只要其中一个系统完成登录，其他的应用系统也就随之登录了。这就是单点登录（SSO）的定义。

优点：用户身份信息独立管理，更好的分布式管理。可以自己扩展安全策略

缺点：认证服务器访问压力较大。

1.3 Token模式

优点：

• 无状态： token是无状态，session是有状态的
• 基于标准化：你的API可以采用标准化的 JSON Web Token (JWT)

缺点：

• 占用带宽
• 无法在服务器端销毁

二、JWT令牌

访问令牌的类型：

2.1 JWT 令牌说明

JWT 是 JSON Web Token 的缩写，即 JSON Web 令牌，是一种自包含令牌。

JWT 的使用场景：

• 一种情况是 webapi，类似之前的阿里云播放凭证的功能
• 另一种情况是多 web 服务器下实现无状态分布式身份验证

JWT 的认证过程：

JWT的作用：

• JWT 最重要的作用就是对 token 信息的防伪作用

JWT 的原理：

• 一个 JWT 由三个部分组成：JWT 头、有效载荷、签名哈希
• 最后由这三者组合进行 base64 编码得到 JWT

JWT的用法：

客户端接收服务器返回的 JWT，将其存储在 Cookie 或 localStorage 中

此后，客户端将在与服务器交互中都会带 JWT。如果将它存储在 Cookie 中，就可以自动发送，但是不会跨域，因此一般是将它放入 HTTP 请求的 Header Authorization 字段中。

当跨域时，也可以将 JWT 放置于 POST 请求的数据主体中。

2.2 JWT令牌的组成

一个典型的 JWT 看起来如下图：

该对象为一个很长的字符串，字符之间通过"."分隔符分为三个子串。每一个子串表示了一个功能块，总共有以下三个部分：JWT 头、有效载荷和签名

① JWT 头

JWT 头部分是一个描述 JWT 元数据的 JSON 对象，通常如下所示：

{"alg": "HS256","typ": "JWT"
}

在上面的代码中，alg属性表示签名使用的算法，默认为 HMAC SHA256（写为HS256）；typ 属性表示令牌的类型，JWT 令牌统一写为 JWT。最后，使用 Base64 URL 算法将上述JSON对象转换为字符串保存。

---

② 有效载荷

有效载荷部分，是 JWT 的主体内容部分，也是一个JSON 对象，包含需要传递的数据。 JWT 指定七个默认字段供选择。

• sub: 主题
• iss: jwt 签发者
• aud: 接收 jwt 的一方
• iat: jwt 的签发时间
• exp: jwt 的过期时间，这个过期时间必须要大于签发时间
• nbf: 定义在什么时间之前，该 jwt 都是不可用的
• jti: jwt 的唯一身份标识，主要用来作为一次性 token，从而回避重放攻击。

除以上默认字段外，我们还可以自定义私有字段，如下例：

{"name": "Helen","admin": true,"avatar": "helen.jpg"
}

请注意，默认情况下 JWT 是未加密的，任何人都可以解读其内容，因此不要构建隐私信息字段，存放保密信息，以防止信息泄露。

JSON 对象也使用 Base64 URL 算法转换为字符串保存。

---

③ 签名哈希

签名哈希部分是对上面两部分数据签名，通过指定的算法生成哈希，以确保数据不会被篡改。

首先，需要指定一个密码（secret）。该密码仅仅为保存在服务器中，并且不能向用户公开。然后，使用标头中指定的签名算法（默认情况下为HMAC SHA256）根据以下公式生成签名。

HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(claims), secret) ==> 签名hash

---

在计算出签名哈希后，JWT头，有效载荷和签名哈希的三个部分组合成一个字符串，每个部分用"."分隔，就构成整个JWT对象。

如前所述，JWT头和有效载荷序列化的算法都用到了Base64URL。该算法和常见Base64算法类似，稍有差别。

作为令牌的JWT可以放在URL中（例如api.example/?token=xxx）。 Base64中用的三个字符是"+“，”/“和”=“，由于在URL中有特殊含义，因此Base64URL中对他们做了替换：”=“去掉，”+“用”-“替换，”/“用”_"替换，这就是Base64URL算法。

注意：base64编码，并不是加密，只是把明文信息变成了不可见的字符串。但是其实只要用一些工具就可以把base64编码解成明文，所以不要在JWT中放入涉及私密的信息。

2.3 JWT 问题和趋势

1. JWT 默认不加密，但可以加密。生成原始令牌后，可以使用该令牌再次对其进行加密。
2. 当 JWT 未加密时，一些私密数据无法通过 JWT 传输。
3. JWT 不仅可用于认证，还可用于信息交换。善用 JWT 有助于减少服务器请求数据库的次数。
4. JWT 的最大缺点是服务器不保存会话状态，所以在使用期间不可能取消令牌或更改令牌的权限。也就是说，一旦 JWT 签发，在有效期内将会一直有效。
5. JWT 本身包含认证信息，因此一旦信息泄露，任何人都可以获得令牌的所有权限。为了减少盗用，JWT 的有效期不宜设置太长。对于某些重要操作，用户在使用时应该每次都进行身份验证。
6. 为了减少盗用和窃取，JWT 不建议使用 HTTP 协议来传输代码，而是使用加密的 HTTPS 协议进行传输。

2.4 JWT 测试

引入依赖：

<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.7.0</version>
</dependency>

生成token

public class JwtTests {//过期时间，毫秒，24小时private static long tokenExpiration = 24*60*60*1000;//秘钥private static String tokenSignKey = "hc123";@Testpublic void testCreateToken(){String token = Jwts.builder().setHeaderParam("typ", "JWT") //令牌类型.setHeaderParam("alg", "HS256") //签名算法.setSubject("hc-user") //令牌主题.setIssuer("hc")//签发者.setAudience("hc")//接收者.setIssuedAt(new Date())//签发时间.setExpiration(new Date(System.currentTimeMillis() + tokenExpiration)) //过期时间.setNotBefore(new Date(System.currentTimeMillis() + 20*1000)) //20秒后可用.setId(UUID.randomUUID().toString()).claim("nickname", "hc").claim("avatar", "1.jpg").signWith(SignatureAlgorithm.HS256, tokenSignKey)//签名哈希.compact(); //转换成字符串System.out.println(token);}
}

解析 token：

@Test
public void testGetUserInfo(){String token = "jwt字符串";Jws<Claims> claimsJws = Jwts.parser().setSigningKey(tokenSignKey).parseClaimsJws(token);Claims claims = claimsJws.getBody();String subject = claims.getSubject();String issuer = claims.getIssuer();String audience = claims.getAudience();Date issuedAt = claims.getIssuedAt();Date expiration = claims.getExpiration();Date notBefore = claims.getNotBefore();String id = claims.getId();System.out.println(subject);System.out.println(issuer);System.out.println(audience);System.out.println(issuedAt);System.out.println(expiration);System.out.println(notBefore);System.out.println(id);;String nickname = (String)claims.get("nickname");String avatar = (String)claims.get("avatar");System.out.println(nickname);System.out.println(avatar);
}