简单说说基于JWT的token认证方式

一、什么是认证

好多人不知道什么是认证，认证，其实就是服务端确认用户身份。Http协议是无状态的，客户端发送一条请求，服务端返回一条响应，二者就算做成一单买卖，一拍两散。在很久以前，互联网所能提供的服务仅仅是一些页面的浏览，服务器并不需要知道是谁在访问自己，而随着互联网的发展，在很多应用场景记住用户的登录状态，比如购物网站，服务器需要知道具体是什么人买了哪些商品，这个时候，就有了登录认证这个需求，目的就是为了确认发起请求的客户端的身份。

二、认证的方式

认证服务的方式主要有两种，一种是有状态的，一种是无状态的。

2.1什么是有状态？

有状态服务，即服务端需要记录每次会话的客户端信息，从而识别客户端身份，根据用户身份进行请求的处理，典型的设计如tomcat中的session。

例如登录：用户登录后，我们把登录者的信息保存在服务端session中，并且给用户一个cookie值，记录对应的session。然后下次请求，用户携带cookie值来，我们就能识别到对应session，从而找到用户的信息。

缺点：

• 服务端保存大量数据，增加服务端压力

• 服务端保存用户状态，无法进行水平扩展

• 客户端请求依赖服务端，多次请求必须访问同一台服务器

2.2什么是无状态？

微服务集群中的每个服务，对外提供的都是Rest风格的接口。而Rest风格的一个最重要的规范就是：服务的无状态性，即：

• 服务端不保存任何客户端请求者信息

• 客户端的每次请求必须具备自描述信息，通过这些信息识别客户端身份

优点：

• 客户端请求不依赖服务端的信息，任何多次请求不需要必须访问到同一台服务

• 服务端的集群和状态对客户端透明

• 服务端可以任意的迁移和伸缩

• 减小服务端存储压力

2.3如何实现无状态？

无状态登录的流程：

• 当客户端第一次请求服务时，服务端对用户进行信息认证（登录）

• 认证通过，将用户信息进行加密形成token，返回给客户端，作为登录凭证

• 以后每次请求，客户端都携带认证的token

• 服务的对token进行解密，判断是否有效。

流程图：

token是识别客户端身份的唯一标示，整个登录过程中，最重要的就是要保证token的安全性。

三、JWT介绍

JWT，全称是Json Web Token， 是JSON风格轻量级的授权和身份认证规范，可实现无状态、分布式的Web应用授权。

3.1JWT数据格式：

• Header：头部，通常头部有两部分信息：

  • 声明类型，这里是JWT

  • 签名算法，自定义

  我们会对头部进行base64加密（可解密），得到第一部分数据

• Payload：载荷，就是有效数据，一般包含下面信息：

  • 用户身份信息（注意，这里因为采用base64加密，可解密，因此不要存放敏感信息）

  • tokenID：当前这个JWT的唯一标示

  • 注册声明：如token的签发时间，过期时间，签发人等

  这部分也会采用base64加密，得到第二部分数据

• Signature：签名，是整个数据的认证信息。一般根据前两步的数据，再加上服务的的密钥（secret）（不要泄漏，最好周期性更换），通过加密算法生成。用于验证整个数据完整和可靠

3.2JWT 的交互流程

流程图：

• 授权流程：

  • 1、用户请求登录，携带用户名密码到授权中心

  • 2、授权中心携带用户名密码，到用户中心查询用户

  • 3、查询如果正确，生成JWT凭证

  • 4、返回JWT给用户

• 鉴权流程：

  • 1、用户请求某微服务功能，携带JWT

  • 2、微服务将jwt交给授权中心校验

  • 3、授权中心返回校验结果到微服务

  • 4、微服务判断校验结果，成功或失败

  • 5、失败则直接返回401

  • 6、成功则处理业务并返回

  ========================================================================================

  不要简单的收集学习资料，知识活在百度云或者书签列表中意义不大。

  把自己困惑的地方，真正搞懂，写出来。如果别人也能看懂，那才是真的掌握了，坚持下去，应该会有收获。

  ========================================================================================