基于Session,JWT,Kisso的身份认证
1. 基于服务器的身份认证
1.1 概念介绍
基于服务器的身份认证,用户登陆成功后,服务器会为你开辟一块内存区间 (可以理解为session),用于存放你这次会话的一些内容,比如姓名、性别、年龄等;
存放数据的同时,会生成 session id来标记这块内存区间是属于你的,并且,这个 session id( jsessionid ) 会写入到你的浏览器 cookie 中,只要你浏览器没关闭,每次向服务器发送请求,服务器就会从你发送过来的 cookie 中去取这个 session id,然后根据这个 session id 到相应的内存中取出你之前存放的数据,但是,如果退出登录。服务器会清除属于你的内存区域,再登录时,重新生成新的 session
1.2 解决方案
我们清楚 http 协议是无状态的,也就是说,如果我们已经认证了一个用户,那么他下一次请求的时候,服务器不知道我是谁,我们就必须要再次认证。我们可以session来保存登录的用户信息,并把session id写入到浏览器的cookie中,下次请求浏览器会自动回传session id到服务器,来解决用户的身份认证。
cookie和session都是key-value类型的数据结构.cookie中要存储可以识别出用户身份的信息,因为存储在浏览器端,不安全,所以不能存储敏感的信息。
常见API:
获取Session: HttpSession session = ((HttpServletRequest) request).getSession(true);
Session中保存用户信息: session.setAttribute(user.getUserId() + "", user);
获取Cookie: Cookie cookie = new Cookie("loginuser", user.getUserId() + "");
写Cookie: ((HttpServletResponse) response).addCookie(cookie);
1.3 优缺点
1). sessions : 每次用户认证通过以后,服务器需要创建一条记录保存用户信息,通常是在内存中,随着认证通过的用户越来越多,服务器的在这里的开销就会越来越大。
2).scalability : 由于Session是在内存中的,这就带来一些扩展性的问题。
3).CORS : 当我们想要扩展我们的应用,让我们的数据被多个移动设备使用时,我们必须考虑跨资源共享问题。当使用AJAX调用从另一个域名下获取资源时,我们可能会遇到禁止请求的问题。
4).CSRF : 用户很容易受到CSRF攻击。
2. JWT
2.1 概念介绍
JWT(JSON WEB TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串
2.2 解决方案
Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。
Information Exchange (信息交换) : 对于安全的在各方之间传输信息而言,JSON Web Tokens无疑是一种很好的方式。因为JWT可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。另外,由于签名是使用头和有效负载计算的,您还可以验证内容没有被篡改。
基于Token身份认证的工作流程及注意事项
1). 用户携带用户名和密码请求访问
2). 服务器校验用户凭据
3). 应用提供一个token给客户端
4). 客户端存储token,并且在随后的每一次请求中都带着它
5). 服务器校验token并返回数据
注意:
每一次请求都需要token
Token应该放在请求header中
我们还需要将服务器设置为接受来自所有域的请求,用Access-Control-Allow-Origin: *
2.3 优缺点
无状态和可扩展性:Tokens存储在客户端。完全无状态,可扩展。我们的负载均衡器可以将用户传递到任意服务器,因为在任何地方都没有状态或会话信息。
安全:每次请求的时候Token都会被发送。而且,由于没有Cookie被发送,还有助于防止CSRF攻击。即使在你的实现中将token存储到客户端的Cookie中,这个Cookie也只是一种存储机制,而非身份认证机制
3. kisso
3.1 概念介绍
kisso = cookie sso
是基于Cookie的单点登录中间件,能够快速开发javaweb登录系统单点登录。
Kisso采用加密会话,Cookie机制实现单点登录服务,具备“无状态”,“分散验证”等特性。
3.2 解决方案
用户在登录业务系统的时候。检查本地是否有Cookie。如果没有Cookie。访问SSO项目。SSO也没有Cookie的话。则进行登录。登录成功将加密的Token写入Cookie并回传给业务系统。通过几次的加密。认证,双方认证OK后,在业务系统域名下写入Cookie,完成登录。
原理如下图:
常用API:
# kisso配置SSOConfig kisso: config: signkey: xxxx # 对称签名密钥(非必须) cookieName: token # COOKIE 名称 cookieDomain: www.95coder.com # COOKIE 域名(必须配置,不然不能清除cookie) cookieMaxage: 8640000 #COOKIE过期(秒数)7天=604800,30天=2592000,100天=8640000 accessTokenName: token |
public void test(HttpServletRequest request, HttpServletResponse response) throws IOException { //用户登录代码 SSOToken ssoToken = SSOToken.create(); ssoToken.setIp(request).setId("userId").setIssuer("loginName");//保存登录用户id、账号、IP int cookieMaxage = SSOConfig.getInstance().getCookieMaxage(); ssoToken.setTime(new Date().getTime()+cookieMaxage*1000);//设置过期时间 SSOHelper.setCookie(request, response, ssoToken, true);//cookie模式登录,写入加密token值 //获取生成的token值,一般用于返回给前端,前端在请求时可存放在header中 String token = ssoToken.getToken(); //用户退出登录代码(清除cookie对应的token信息) SSOHelper.logout(request, response); //获取登录用户id, 登录账号 ssoToken = SSOHelper.getSSOToken(request); String userId = ssoToken.getId(); String loginName = ssoToken.getIssuer(); //是否已过期:true是,false否 boolean expireFlag = new Date().getTime() > ssoToken.getTime(); if(expireFlag){ throw new RuntimeException("登录已过期,请重新登录!"); } } |
3.3 优缺点
优点:
1.提高用户效率
2.提高开发效率
3.简化管理
缺点:
单点登录指在多个应用系统中,用户只需要登陆一次就可以访问相互信任的应用系统,所以这些应用系统要互相兼容,耗时,存在信息泄露的问题
本文暂时没有评论,来添加一个吧(●'◡'●)