单机和分布式应用下登陆校验，session共享，分布式缓存使用讲解

1、单机tomcat应用登录检验

​ sesssion保存在浏览器和应用服务器会话之间
​ 用户登录成功，服务端会保证一个session，当然会给客户端一个sessionId，
​ 客户端会把sessionId保存在cookie中，每次请求都会携带这个sessionId

2、分布式应用中session共享

​ 真实的应用不可能单节点部署，所以就有个多节点登录session共享的问题需要解决
​ 1）tomcat支持session共享，但是有广播风暴；用户量大的时候，占用资源就严重，不推荐
​ 2）使用redis存储token:
​ 服务端使用UUID生成随机64位或者128位token，放入redis中，然后返回给客户端并存储在cookie中
​ 用户每次访问都携带此token，服务端去redis中校验是否有此用户即可

​ 3）但使用redis存储如果你并发量很高，一种io的传输也是消耗流量传输的，但现在也有很多公司在使用，因为比较便捷，第三种方式就是使用JWT，通过用户登陆加密生成密钥token返回给浏览器存储，每次用户发请求过来将密钥进行解密算法，如果能解密成功说明登陆过了，如果解密失败，可能是生成的密钥过期了，或者是伪造的，就需要重新登陆。这样就避免了流量的传输也不占内存

JWT

JWT是一个开放标准，它定义了一种用于简介，自包含的用于通信双方之间以JSON对象的形式安全传递信息的方法。JWT可以使用HMAC算法或者是RSA的公钥密钥对进行签名

简单来说，就是通过一定规范来生成token，然后可以通过解密算法逆向解密token，这样就可以获取用户信息

{
                id:888,
                name:'xxx',
                //过期时间
                expire:10000
            }
            
            funtion 加密(object, appsecret){
                xxxx
                return base64( token);
            }

            function 解密(token ,appsecret){

                xxxx
                //成功返回true,失败返回false
            }

优点：

​ 1）生成的token可以包含基本信息，比如id，用户昵称、头像信息等，可以避免查库

​ 2）存储在客户端，不占用服务端的内存资源

缺点：

token是经过base64编码，所以可以节码，因此token‘加密前的对象不应该包含敏感信息，如用户权限，密码等

JWT格式组成

​ 头部、负载、签名
​ header+payload+signature

​ 头部：主要是描述签名算法
​ 负载：主要描述是加密对象的信息，如用户的id等，也可以加些规范里面的东西，如iss签发者，exp过期时间，sub面向的用户
​ 签名：主要是把前面两部分进行加密，防止别人拿到token进行base解密后篡改token

关于JWT客户端存储说明

​ 可以存储在cookie、localstorage和sessionStorage里面

​ localstorage：本地存储

​ sessionStorage：会话存储 关闭页面再打开也需要登陆

​

JWT的使用

Step1：引入依赖

		<dependency>
			<groupId>io.jsonwebtoken</groupId>
			<artifactId>jjwt</artifactId>
			<version>0.7.0</version>
		</dependency>

Step2：构建工具类

/**
 * JWT工具类
 * 1.生成的token，是可以通过base64进行解密出明文信息
 * 2.base64进行解密出明文信息，修改再进行编码，则会解密失败
 * 3.无法作为已颁布的token，除非改密钥 -SECRET
 */
public class JWTUtils {

    /**
     * 过期时间 一周
     */
    private static final long EPIRE = 6000 * 60 *24 * 7;

    /**
     * 加密密钥
     */
    private static final String SECRET = "jhclass.net168";

    /**
     * 令牌前缀
     */
    private static final String TOKEN_PREFIX = "jhclas";

    /**
     * 主题 发行者
     */
    private static final String SUBJECT = "jhclass";


    /**
     * 生成token令牌
     * @param user 用户实体
     * @return
     */
    public static String geneJsonWebToken(User user){
        //构建令牌
        String token = Jwts.builder().setSubject(SUBJECT)
                //自定义业务信息 key_value形式
                .claim("head_img",user.getHeadImg())
                .claim("id",user.getId())
                .claim("username",user.getUsername())
                .setIssuedAt(new Date())//令牌下发时间
                .setExpiration(new Date(System.currentTimeMillis()+ EPIRE))//设置过期时间
                .signWith(SignatureAlgorithm.HS256,SECRET).compact();//指定签名加密方式 返回token
        //频接前缀
        token = TOKEN_PREFIX + token;

        return token;

    }


    /**
     * 解密校验token  通过Claims拿用户信息 相当于一个map
     * @param token
     * @return
     */
    public static Claims checkJWT(String token){

        try {
            //解析传入密钥
            final Claims claims = Jwts.parser().setSigningKey(SECRET)
                    //解析            替换前缀
                    .parseClaimsJws(token.replace(TOKEN_PREFIX,"")).getBody();
            return claims;
        }catch (Exception e){
            //解密失败  密钥不正确 时间过期
            return null;
        }
    }
}

Step4：实现类调用

dao层的操作就省略了，就是一个根据手机号密码查用户信息，很简单

@Service
public class UserServiceImpl implements UserService {

    @Autowired
    private UserMapper userMapper;
    
    @Override
    public String findByPhoneAndPwd(String phone, String userpwd) {

        User user = userMapper.findByPhoneAndPwd(phone,CommonUtils.MD5(userpwd));
        if(user==null){
            return null;
        }else {
            //JWT生成密钥
            String token = JWTUtils.geneJsonWebToken(user);
            return token;
        }
    }

}

Step5：控制层

/**
 * User用户控制层
 */
@RestController
@RequestMapping("api/v1/pri/user")
public class UserController {

    @Autowired
    private UserService userService;

    /**
     * 用户登陆
     * @param loginRequest
     * @return
     */
    @PostMapping("loginUser")
    public Dto loginUser(@RequestBody LoginRequest loginRequest){
        String token = userService.findByPhoneAndPwd(loginRequest.getPhone(),loginRequest.getUserpwd());
        return token == null?DtoUtil.returnFail("登陆失败,账号密码错误","-1")
                :DtoUtil.returnSuccess("登陆成功",token);
    }
}

测试

可以看到data里返回了生成密钥

测试解密

@SpringBootTest
class OnlineJhclassApplicationTests {

	@Test
	public void testGeneJwt(){
		String token ="jhclaseyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJqaGNsYXNzIiwiaGVhZF9pbWciOiJodHRwczovL3NzMS5iZHN0YXRpYy5jb20vNzBjRnZYU2hfUTFZbnhHa3BvV0sxSEY2aGh5L2l0L3U9MjkyODE2OTc3NCw4MzMxMDU5MzEmZm09MjYmZ3A9MC5qcGciLCJpZCI6MSwidXNlcm5hbWUiOiLpmYjkvJ_pnIYiLCJpYXQiOjE2MDg4ODc0NzcsImV4cCI6MTYwODk0Nzk1N30.ip0IPYjg9WtoMLvUi5R9wtmqMlM_mz_k4TtMI8a-wBs";
		//传输token调取解密方法
		Claims claims = JWTUtils.checkJWT(token);
		//获取解密后存储的用户信息
		if(claims!=null){
			String username = (String)claims.get("username");
			String have_img = (String)claims.get("head_img");
			int id = (Integer)claims.get("id");
			System.out.println(username);
			System.out.println(have_img);
			System.out.println(id);
		}
	}
}