JWT＋Interceptor实现无状态登录和鉴权

无状态登录原理

先提一下啥是有状态登录

单台tomcat的情况下:编码的流程如下

前端提交表单里用户的输入的账号密码

后台接受,查数据库,

在数据库中找到用户的信息后,把用户的信息存放到session里面,返回给用户cookie

以后用户的请求都会自动携带着cookie去访问后台,后台根据用户的cookie辨识用户的身份

但是有缺点

如果有千千万的用户都往session里面存放信息,

session很难跨服务器,也就是说,用户每次请求,都必须访问同一台tomcat,新的tomcat不认识用户的cookie

无状态登录

对于服务端,不再保存任何用户的信息,对于他们来说,所有的用户地位平等

对于用户,他们需要自己携带着信息去访问服务端,携带的信息可以被所有服务端辨认,所以,对于用户,所有的服务地位平等

具体如何实现呢?

用户登录,服务端返回给用户的个人信息+token令牌

前端为了自己使用方便,将用户的个人信息缓存进浏览器(因为后端只是给了他一个token)

用户携带自己的token去访问服务端

认证通过,把用户请求的数据返回给客户端

以后不论用户请求哪个微服务,都携带着token

微服务对token进行解密,判断他是否有效

JWT(Json Web Token)生成规则

整个登录.授权.鉴权的过程token的安全性至关重要,而JWT就是一门有关于如何生成一个不可仿造的token的规范

他是JSON风格轻量级的授权和身份认证规范，可实现无状态、分布式的Web应用授权,而且它不是技术,和语言无关,java有对这个规范的实现 叫做jjwt-- 点击进入jjwt的github项目

由JWT算法得到的token格式如上图，由头部，载荷，签名三部分组成

头部

由两部分组成，alg表示使用的加密算法 typ表示使用的token的类型

载荷,存放用户相关的信息

Copy

第三步分的签名是由 头+载荷+盐 三部分加密组成

从图可以看出,头部和载荷被串改后,生成的编码会发生改变,因此保证了token的安全 ,还有,载荷部分可解密,因此不要往里面放入敏感的信息(比如密码 )

只要密钥不泄露,别人就无法伪造任何信息

jwt的交互过程

RSA非对称加密算算法

由美国麻 省理工 学院三 位学者 Riv est、Sh amir 及Adleman 研 究发 展出 一套 可实 际使用 的公 开金 钥密 码系 统，那 就是

RSA(Rivest-Shamir-Adleman)密码系统

jwt(是一种非对称加密算法) JWT不一定非要搭配RSA算法,但是拥有RSA算法公钥私钥的特性,会使我们的业务逻辑变的简单,做到校验变少

对称加密，如AES(Advanced Encryption Standard) 高级加密标准

基本原理：将明文分成N个组，然后使用密钥对各个组进行加密，形成各自的密文，最后把所有的分组密文进行合并，形成最终的密文。

优势：算法公开、计算量小、加密速度快、加密效率高

缺陷：双方都使用同样密钥，安全性得不到保证

非对称加密，如RSA

基本原理：同时生成两把密钥：私钥和公钥，私钥隐秘保存，公钥可以下发给信任客户端

私钥加密，持有私钥或公钥才可以解密

公钥加密，持有私钥才可解密

优点：安全，难以破解

缺点：算法比较耗时

不可逆加密，如MD5，SHA

使用JJWT实现JWT

JJWT(java json web token)

坐标

Copy

创建jwt令牌

token最终会颁发给前端,这时候就得去和前端的哥们商量它想要什么信息

Copy

经过它处理的token长这个样子, 三部组成

Copy

解析token

能成功解析出结果的前提是两次的盐是一样的才行

Copy

拦截器

注意哦,使用的是SpringMvc的拦截器,而不是Servlet的过滤器

拦截器的体系架构

在拦截器的体系中,我们常用的是上面的来两个

HandlerInterceptor: 是顶级接口如下:

虽然是接口, 但是拥有jdk8的特性,是默认的方法,所以允许我们挑选它的部分方法实现而不会报错

prehandler: 请求到达控制器之间被回调,可以在这里进行设置编码,安全控制,权限校验, 一般全部返回ture,表示放行

postHandler: 控制器处理请求之后生成了ModelAndView,但是未进行渲染,提供了修改ModelAndView的机会

afterCompletion: 返回给用户ModelAndView之后执行, 用于收尾工作

第二个是HandlerInterceptorAdapter如下图

这个适配器方法全是空实现,同样可以满足我们的需求,但是它同时实现了AsyncHandlerInterceptor,拥有了一个新的方法,afterConcrruentHandingStarted(request,response,handler)

这个方法会在Controller方法异步执行时开始执行, 而Interceptor的postHandle方法则是需要等到Controller的异步执行完才能执行

编码实现

其实到这里改如何做已经清晰明了

用户登录,授权

授权的很简单

用户发送登录请求提交form表单

后端根据用户名密码查询用户的信息

把用户的信息封装进jwt的载荷部分

返回给前端token

用户再次请求,鉴权

后台会有很多方法需要指定权限的人才能访问,所谓鉴定权限,其实就是把前端放在请求头中的token信息解析出来,如果解析成功了,说明用户的合法的,否则就提示前端用户没有权限

把token从请求头中解析出来的过程,其实是在大量的重复性工作,所以我们放在拦截器中实现

使用拦截器两步走

第一步,继承HandlerInterAdapter,选择重写它的方法

设计的逻辑,这个方法肯定要返回true, 因为后台的方法中肯定存在大量的不需要任何权限就能访问的方法

所以这个方法的作用就是,解析出请求头中的用户的权限信息,重新放回到request中,

这样每个需要进行权限验证的请求,就不需要再进行解析请求头,而是直接使用当前回调方法的处理结果

Copy

这样 控制器中的方法需要进行权限验证时,就免去了解析的麻烦,直接从request中获取即可

第二步,将拦截器注册进容器

Copy