1、简介
通过前文知道了Identity Server4的基本用途,现在必须了解一些实现它的基本细节.
2、关于服务端生成Token令牌
头部(Header):
{
“typ”: “JWT”, //token的类型
“alg”: “HS256” //Token使用的加密算法
}
将头部使用Base64编码可得到如下个格式的字符串:
eyJhss6iOaaJIUasddasd
有效载荷(用户信息等关键信息):
{ “iss”: “Online JWT Builder”, //token的签发者 “iat”: 666666, //签发时间 “exp”: 66666, //过期时间 ……. “userid”:10001 //用户Id
//下面可以继续编写用户信息,但不能存放敏感信息 }
有效载荷也使用Base64编码得到如下格式的字符串:
eyJhss6iOaaJIUasddasd
接着将Header和Playload拼接生成一个字符串“eyJhss6iOaaJIUasddasdeyJhss6iOaaJIUasddasd”,使用HS256算法对该字符串进行加密,得到的字符串在通过我们提供的密钥(secret,服务器自己提供的一个字符串)对字符串进行证书签名字符串,最终得到一个包含头部信息(Base64字符串)和有效载荷(用户信息等Base64字符串)和一个进行层层加密的签名字符串组成的一个JWTtoken
3、关于服务端如何解密令牌
当用户登陆成功后,继续访问页面,那么会带上这个token,服务端拿到token之后,对头部信息和有效载荷在进行一次HS256算法和使用当前用户对应的密钥进行一次签名,判断这个签名是否和token中的签名是否一致,就可以判断这个token是否有效.因为密钥存在我们服务器上,别人不可能能伪造.
4、Token的优点
不用保存在服务器,Session需要保存在服务器,而且Session不能跨服务器,只能保存在一台服务器上,所以当用户登陆了这个站点,那么做了负载均衡后,下次访问必须还是访问这个站点,所以可扩展性强比较灵活.