【Spring Boot】解锁高效安全之门:登录令牌技术的实战应用与价值解析
【Spring Boot】解锁高效安全之门:登录令牌技术的实战应用与价值解析
📚️1.Session与Cookie
🚀1.1实现原理
传统情况下:
• 登陆⻚⾯把⽤⼾名密码提交给服务器. • 服务器端验证⽤⼾名密码是否正确, 并返回校验结果给后端 • 如果密码正确, 则在服务器端创建 Session . 通过 Cookie 把 sessionId 返回给浏览器
缺点:
无法在集群环境下进行使用~~~
🚀1.2集群环境情况
我们开发的项⽬, 在企业中很少会部署在⼀台机器上, 容易发⽣单点故障. (单点故障: ⼀旦这台服务器挂了, 整个应⽤都没法访问了). 所以通常情况下, ⼀个Web应⽤会部署在多个服务器上, 通过Nginx等进⾏负载均衡. 此时, 来⾃⼀个⽤⼾的请求就会被分发到不同的服务器上
如下如所示
那么为啥不能使用session,cookie技术进行验证,获取信息呢?
在后端校验成功后,服务器会存储session,并返回sessionid,sessionid存储在客户端的cookie中,下次访问的时候,服务器就是通过cookie中携带的sessionid 来获取session信息
如下所示:
但是存在一个问题就是:
1. ⽤⼾登录 ⽤⼾登录请求, 经过负载均衡, 把请求转给了第⼀台服务器, 第⼀台服务器进⾏账号密码 验证, 验证成功后, 把Session存在了第⼀台服务器上
2. 查询操作 ⽤⼾登录成功之后, 携带Cookie(⾥⾯有SessionId)继续执⾏查询操作, ⽐如查询博客列 表. 此时请求转发到了第⼆台机器, 第⼆台机器会先进⾏权限验证操作(通过SessionId验证⽤⼾是否 登录), 此时第⼆台机器上没有该⽤⼾的Session, 就会出现问题
此时就要使用令牌技术,那么接下来小编就进行令牌技术的讲解;
📚️2.令牌技术
令牌其实就是⼀个⽤⼾⾝份的标识, 名称起的很⾼⼤上, 其实本质就是⼀个字符串.⽐如我们出⾏在外, 会带着⾃⼰的⾝份证, 需要验证⾝份时, 就掏出⾝份证⾝份证不能伪造, 可以辨别真假
🚀2.1实现校验原理
服务器具备⽣成令牌和验证令牌的能⼒ 我们使⽤令牌技术, 继续思考上述场景:
1. ⽤⼾登录 ⽤⼾登录请求, 经过负载均衡, 把请求转给了第⼀台服务器, 第⼀台服务器进⾏账号密码 验证, 验证成功后, ⽣成⼀个令牌, 并返回给客⼾端. 2. 客⼾端收到令牌之后, 把令牌存储起来. 可以存储在Cookie中, 也可以存储在其他的存储空间(⽐如localStorage) 3. 查询操作 ⽤⼾登录成功之后, 携带令牌继续执⾏查询操作, ⽐如查询博客列表. 此时请求转发到了第⼆台机器, 第⼆台机器会先进⾏权限验证操作. 服务器验证令牌是否有效, 如果有效, 就说明⽤⼾已经执⾏了登录操作, 如果令牌是⽆效的, 就说明⽤⼾之前未执⾏登录操作
具体实现过程如下图:
那么此时第二个服务器进行解析过后 ,就会拿到用户的id,用户名等重要的验证的信息;
🚀2.2优缺点
令牌的优缺点 优点:
• 解决了集群环境下的认证问题 • 减轻服务器的存储压⼒(⽆需在服务器端存储)
缺点:
需要⾃⼰实现(包括令牌的⽣成, 令牌的传递, 令牌的校验)
当前企业开发中, 解决会话跟踪使⽤最多的⽅案就是令牌技术
🚀2.3JWT令牌
令牌本质就是⼀个字符串, 他的实现⽅式有很多, 我们采⽤⼀个JWT令牌来实现. 介绍 JWT全称: JSON Web Token 官⽹: JSON Web Tokens - jwt.io
JSON Web Token(JWT)是⼀个开放的⾏业标准(RFC 7519), ⽤于客⼾端和服务器之间传递安全可靠的信息. 其本质是⼀个token, 是⼀种紧凑的URL安全⽅法
2.3.1JWT组成
JWT由三部分组成, 每部分中间使⽤点 (.) 分隔,⽐如:aaaaa.bbbbb.cccc
• Header(头部) 头部包括令牌的类型(即JWT)及使⽤的哈希算法(如HMAC SHA256或RSA)
• Payload(负载) 负载部分是存放有效信息的地⽅, ⾥⾯是⼀些⾃定义内容. ⽐如: {"userId":"123","userName":"zhangsan"} , 也可以存在jwt提供的现场字段, ⽐如exp(过期时间戳)等. 此部分不建议存放敏感信息, 因为此部分可以解码还原原始内容.
• Signature(签名) 此部分⽤于防⽌jwt内容被篡改, 确保安全性.防⽌被篡改, ⽽不是防⽌被解析. JWT之所以安全, 就是因为最后的签名. jwt当中任何⼀个字符被篡改, 整个令牌都会校验失败. 就好⽐我们的⾝份证, 之所以能标识⼀个⼈的⾝份, 是因为他不能被篡改, ⽽不是因为内容加密.(任 何⼈都可以看到⾝份证的信息, jwt 也是
2.3.2JWT令牌⽣成和校验
首先得引入依赖:
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-api</artifactId>
<version>0.11.5</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-impl</artifactId>
<version>0.11.5</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-jackson</artifactId>
<version>0.11.5</version>
<scope>runtime</scope>
</dependency>注意:在更改后,要进行Maven的刷新,这是非常重要的;
2.3.3生成令牌
代码如下所示:
public void genJWT(){
//内容
Map<String,Object> claim = new HashMap<>();
claim.put("id" ,2);
claim.put("name" ,"lisi" );
//生成了一个JWT令牌
String token = Jwts.builder().setClaims(claim).
setExpiration(new Date(System.currentTimeMillis()+JWT_EXPIRATION)).
signWith(key).
compact();
System.out.println(token);
}解释:
令牌的生成是通过hash表来进行内容的描述,setExpiration使用来表示超时时间的,即在登录多久后,令牌失效,就得重新进行登录,signWith是令牌中重要的一部分就是密钥;
生成的令牌,在官网上进行解析后:
2.3.4密钥的生成
代码如下:
public void genKey(){
SecretKey secretKey = Keys.secretKeyFor(SignatureAlgorithm.HS256);
String str = Encoders.BASE64.encode(secretKey.getEncoded());
System.out.println(str);
}解释:
为啥要进行密钥,即签名的打印呢?我们在生成令牌的时候,就要添加密钥的部分,方便我们后序的解析,而解析也需要密钥,那么此时多次生成的密钥是不一致的,我们就需要将这里的密钥设置为静态变量;
public static long JWT_EXPIRATION = 60*60*1000;
public static String secretStr = "rRu9yDe9p7EfwVm5eCuoo0Hmx5xvo0k3VSNrp9D0+SA=";
//转化为key类型
public static Key key = Keys.hmacShaKeyFor(Decoders.BASE64.decode(secretStr));这里密钥的添加是Key类型的,所以需要进行转型,第一个变量就是设置的超时时间,第二个变量就是我们生成的密钥,我们要根据这个密钥生成令牌;
2.3.5令牌的解析
令牌的解析,是要进行密钥,即签名的验证,是否是合法的,具体的代码如下所示:
public void parseToken(){
String token = "eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoibGlzaSIsImlkIjoyLCJleHAiOjE3Mzg4MTgxNTV9.IF202Qv0DxM5q7yduqiSZE4wFuaghv7U_VIPr4BPxrk\n";
//通过key签名
JwtParser build = Jwts.parserBuilder().setSigningKey(key).build();
Claims claims = build.parseClaimsJws(token).getBody();
System.out.println(claims);
}这里解析成功后就会得出内容,否则就会报错;大致就是拿着建立密钥去解析这里的令牌;最后从令牌中提取出声明(Claims)信息并打印输出;
📚️3.令牌技术的使用
在我们的登录的项目中,我们可以设置一个util类进行设置,主要是生成密钥,以及解析密钥这两个比较重要的功能;
🚀3.1令牌技术功能类
代码如下所示:
public class JWTUtils {
public static final long JWT_EXPIRATION = 60*60*1000;
public static final String secretStr = "nXeAgEiZZqIOPqiydZmmKGHq2AB+96/9Mikgvzs0ya4=";
//转化为key类型
public static final Key key = Keys.hmacShaKeyFor(Decoders.BASE64.decode(secretStr));
//生成一个令牌
public static String genJWT(Map<String,Object> claim){
String token = Jwts.builder().setClaims(claim).
setExpiration(new Date(System.currentTimeMillis()+JWT_EXPIRATION)).
signWith(key).
compact();
return token;
}
//解析令牌
public static Claims parseJWT(String token){
JwtParser build = Jwts.parserBuilder().setSigningKey(key).build();
//解析失败与成功的情况
Claims claims;
try {
claims = build.parseClaimsJws(token).getBody();
}catch (Exception e){
return null;
}
return claims;
}
//从token获取信息
public static Integer getIDByToken(String token){
Claims claims = parseJWT(token);
Integer id = (Integer) claims.get(Constants.ID);
if(id > 0){
return id;
}
return null;
}
}这里唯一多了一个方法就是使用token解析得到的内容进行特定的内容的获取,这里就是使用解析得到的用户ID,并进行了校验是否合理;
🚀3.2controller层
代码如下所示:
//如果这里的输入是正确的,那么就可以返回令牌了
Map<String,Object> claim = new HashMap<>();
claim.put(Constants.ID, userInfo.getId());
claim.put(Constants.USER_NAME, userInfo.getUserName());
//创建一个令牌
String token = JWTUtils.genJWT(claim);
return Result.success(token);解释:
这里要从Model层中输入用户的id以及名称,放到token令牌中保存;最后统一结果返回;
最后一步就是解析拿到:
@RequestMapping("getUserInfo")
public UserInfo getUserInfo(HttpServletRequest request){
String token = request.getHeader(Constants.USER_TOKEN_HEADER);
Integer id = JWTUtils.getIDByToken(token);
if(id == null){
return null;
}
UserInfo userInfo = userService.selectById(id);
return userInfo;
}解释:
最后就是解析token令牌后,拿到用户id,然后进行判断id是否合理之后,根据用户ID返回关于用户的所有信息;
📚️4.总结
本期小编主要讲解了关于登录验证信息返回的相关知识,阐述了session与cookie在集群环境下的不足之处,如何使用令牌技术解决这个问题,以及包括JWT令牌技术编程实现,和如何修改controller层实现此功能;
🌅🌅🌅~~~~最后希望与诸君共勉,共同进步!!!
腾讯云开发者
