登录认证

会话技术

• 会话：用户打开浏览器，访问web服务器的资源，会话建立，直到有一方断开连接，会话结束。在一次会话中可以包含多次请求和响应。
• 会话跟踪：一种维护浏览器状态的方法，服务器需要识别多次请求是否来自于同一浏览器，以便在同一次会话的多次请求间共享数据。
• 会话跟踪方案：
  1. 客户端会话跟踪技术：Cookie
  2. 服务端会话跟踪技术：Session

会话跟踪方案对比

方案一 : Cookie

优点：HTTP协议中支持的技术
缺点：

• 移动端APP无法使用Cookie
• 不安全，用户可以自己禁用Cookie
• Cookie不能跨域

方案二 : Session

优点：存储在服务端，安全
缺点：

• 服务器集群环境下无法直接使用Session
• Cookie的缺点

方案三 : 令牌技术（重要）

优点：

• 支持PC端、移动端
• 解决集群环境下的认证问题
• 减轻服务器端存储压力

缺点：需要自己实现

JWT令牌（重要）

简介：

全称：JSON Web Token （https://jwt.io/）
定义了一种简洁的、自包含的格式，用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在，这些信息是可靠的。
base64编解码工具：http://www.ed0.cc/

场景：登录认证。

• 登录成功后，生成令牌
• 后续每个请求，都要携带JWT令牌，系统在每次请求处理之前，先校验令牌，通过后，再处理

JWT-生成

令牌生成：登录成功后，生成JWT令牌，并返回给前端。

//pom.xml
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

//生成JWT
@Test
    public void genJwt(){
    Map<String,Object> claims = new HashMap<>();
    claims.put(“id”,1);
    claims.put(“username”,“Tom”);
    String jwt = Jwts.builder()
        .setClaims(claims) //自定义内容(载荷)
        .signWith(SignatureAlgorithm.HS256, “itheima”) //签名算法
        .setExpiration(new Date(System.currentTimeMillis() + 12*3600*1000)) //有效期
        .compact();
    System.out.println(jwt);
}

JWT-校验

令牌校验：在请求到达服务端后，对令牌进行统一拦截、校验。

//校验JWT
@Test
public void parseJwt(){
Claims claims = Jwts.parser()
.setSigningKey(“itheima”) //指定签名秘钥
.parseClaimsJws(“eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwiZXhwIjoxNjU5OTk1NTE3LCJ1c2VybmFtZSI6IlRvbSJ9.EUTfeqPkGslekdKBezcWCe7a7xbcIIwB1MXlIccTMwo”) //解析令牌
.getBody();
System.out.println(claims);
}

注意事项

• JWT校验时使用的签名秘钥，必须和生成JWT令牌时使用的秘钥是配套的。
• 如果JWT令牌解析校验时报错，则说明 JWT令牌被篡改 或 失效了，令牌非法。