微服务下的用户登录权限校验解决方案
1)方案一:单机tomcat应用登录校验
session保存在浏览器和应用服务器会话之间,用户登录成功,服务端会保存一个session,当然会给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId
2)方案二:分布式应用中session共享
真实的应用不可能单节点部署,所以就有多个结点登录session共享的问题需要解决。
-
tomcat支持session共享,但是有广播风暴,用户量大的时候,占用资源就很严重,不推荐
-
使用redis存储token:
服务端使用UUID生成随机64位或128为token,放入redis中,然后返回给客户端并存储在cookie中,用户每次访问都携带此token,服务端去redis中检验是否有此用户即可
3)方案三:JWT(JSON Wen Token)
JWT是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以JSON对象的形式安全传递信息的方法。JWT可以使用HMAC算法或者是RSA的公钥密钥进行签名。简单来说,就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息。
-
优点:
1)生产的token可以 包含基本信息,比如id、用户昵称、头像等信息,避免再次查库
2)存储在客户端,不占用服务端内存资源
-
缺点:token是经过base64编码,所以可以解码,因此token加密前的对象不应该包含敏感信息,如用户权限,密码等。
1.JWT格式组成:头部、负载、签名
header+payload+signature
- 头部:主要是描述签名算法
- 负载:主要描述加密对象的信息,如用户的id,也可以加些规范里面的东西,如iss签发者,exp过期时间,sub面向的用户
- 签名:主要是把前面两部分进行加密,防止别人拿到token进行base解密后篡改token
2.JWT客户端存储
可以存储在cookie,localstorage和sessionStorage里面
3.JWT校验实战封装通用方法
1)加入依赖
<!-- JWT相关依赖 -->
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>