单机和分布式应用下登陆校验,session共享,分布式缓存使用讲解
1、单机tomcat应用登录检验
sesssion保存在浏览器和应用服务器会话之间
用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId,
客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId
2、分布式应用中session共享
真实的应用不可能单节点部署,所以就有个多节点登录session共享的问题需要解决
1)tomcat支持session共享,但是有广播风暴;用户量大的时候,占用资源就严重,不推荐
2)使用redis存储token:
服务端使用UUID生成随机64位或者128位token,放入redis中,然后返回给客户端并存储在cookie中
用户每次访问都携带此token,服务端去redis中校验是否有此用户即可
3)但使用redis存储如果你并发量很高,一种io的传输也是消耗流量传输的,但现在也有很多公司在使用,因为比较便捷,第三种方式就是使用JWT,通过用户登陆加密生成密钥token返回给浏览器存储,每次用户发请求过来将密钥进行解密算法,如果能解密成功说明登陆过了,如果解密失败,可能是生成的密钥过期了,或者是伪造的,就需要重新登陆。这样就避免了流量的传输也不占内存
JWT
JWT是一个开放标准,它定义了一种用于简介,自包含的用于通信双方之间以JSON对象的形式安全传递信息的方法。JWT可以使用HMAC算法或者是RSA的公钥密钥对进行签名
简单来说,就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息
{
id:888,
name:'xxx',
//过期时间
expire:10000
}
funtion 加密(object, appsecret){
xxxx
return base64( token);
}
function 解密(token ,appsecret){
xxxx
//成功返回true,失败返回false
}
优点:
1)生成的token可以包含基本信息,比如id,用户昵称、头像信息等,可以避免查库
2)存储在客户端,不占用服务端的内存资源
缺点:
token是经过base64编码,所以可以节码,因此token‘加密前的对象不应该包含敏感信息,如用户权限,密码等
JWT格式组成
头部、负载、签名
header+payload+signature
头部:主要是描述签名算法
负载:主要描述是加密对象的信息,如用户的id等,也可以加些规范里面的东西,如iss签发者,exp过期时间,sub面向的用户
签名:主要是把前面两部分进行加密,防止别人拿到token进行base解密后篡改token
关于JWT客户端存储说明
可以存储在cookie、localstorage和sessionStorage里面
localstorage:本地存储
sessionStorage:会话存储 关闭页面再打开也需要登陆
JWT的使用
Step1:引入依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.7.0</version>
</dependency>
Step2:构建工具类
/**
* JWT工具类
* 1.生成的token,是可以通过base64进行解密出明文信息
* 2.base64进行解密出明文信息,修改再进行编码,则会解密失败
* 3.无法作为已颁布的token,除非改密钥 -SECRET
*/
public class JWTUtils {
/**
* 过期时间 一周
*/
private static final long EPIRE = 6000 * 60 *24 * 7;
/**
* 加密密钥
*/
private static final String SECRET = "jhclass.net168";
/**
* 令牌前缀
*/
private static final String TOKEN_PREFIX = "jhclas";
/**
* 主题 发行者
*/
private static final String SUBJECT = "jhclass";
/**
* 生成token令牌
* @param user 用户实体
* @return
*/
public static String geneJsonWebToken(User user){
//构建令牌
String token = Jwts.builder().setSubject(SUBJECT)
//自定义业务信息 key_value形式
.claim("head_img",user.getHeadImg())
.claim("id",user.getId())
.claim("username",user.getUsername())
.setIssuedAt(new Date())//令牌下发时间
.setExpiration(new Date(System.currentTimeMillis()+ EPIRE))//设置过期时间
.signWith(SignatureAlgorithm.HS256,SECRET).compact();//指定签名加密方式 返回token
//频接前缀
token = TOKEN_PREFIX + token;
return token;
}
/**
* 解密校验token 通过Claims拿用户信息 相当于一个map
* @param token
* @return
*/
public static Claims checkJWT(String token){
try {
//解析传入密钥
final Claims claims = Jwts.parser().setSigningKey(SECRET)
//解析 替换前缀
.parseClaimsJws(token.replace(TOKEN_PREFIX,"")).getBody();
return claims;
}catch (Exception e){
//解密失败 密钥不正确 时间过期
return null;
}
}
}
Step4:实现类调用
dao层的操作就省略了,就是一个根据手机号密码查用户信息,很简单
@Service
public class UserServiceImpl implements UserService {
@Autowired
private UserMapper userMapper;
@Override
public String findByPhoneAndPwd(String phone, String userpwd) {
User user = userMapper.findByPhoneAndPwd(phone,CommonUtils.MD5(userpwd));
if(user==null){
return null;
}else {
//JWT生成密钥
String token = JWTUtils.geneJsonWebToken(user);
return token;
}
}
}
Step5:控制层
/**
* User用户控制层
*/
@RestController
@RequestMapping("api/v1/pri/user")
public class UserController {
@Autowired
private UserService userService;
/**
* 用户登陆
* @param loginRequest
* @return
*/
@PostMapping("loginUser")
public Dto loginUser(@RequestBody LoginRequest loginRequest){
String token = userService.findByPhoneAndPwd(loginRequest.getPhone(),loginRequest.getUserpwd());
return token == null?DtoUtil.returnFail("登陆失败,账号密码错误","-1")
:DtoUtil.returnSuccess("登陆成功",token);
}
}
测试
可以看到data里返回了生成密钥
测试解密
@SpringBootTest
class OnlineJhclassApplicationTests {
@Test
public void testGeneJwt(){
String token ="jhclaseyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJqaGNsYXNzIiwiaGVhZF9pbWciOiJodHRwczovL3NzMS5iZHN0YXRpYy5jb20vNzBjRnZYU2hfUTFZbnhHa3BvV0sxSEY2aGh5L2l0L3U9MjkyODE2OTc3NCw4MzMxMDU5MzEmZm09MjYmZ3A9MC5qcGciLCJpZCI6MSwidXNlcm5hbWUiOiLpmYjkvJ_pnIYiLCJpYXQiOjE2MDg4ODc0NzcsImV4cCI6MTYwODk0Nzk1N30.ip0IPYjg9WtoMLvUi5R9wtmqMlM_mz_k4TtMI8a-wBs";
//传输token调取解密方法
Claims claims = JWTUtils.checkJWT(token);
//获取解密后存储的用户信息
if(claims!=null){
String username = (String)claims.get("username");
String have_img = (String)claims.get("head_img");
int id = (Integer)claims.get("id");
System.out.println(username);
System.out.println(have_img);
System.out.println(id);
}
}
}