怎樣使用JSONWebToken設(shè)計(jì)單點(diǎn)登錄系統(tǒng)

這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)?lái)有關(guān)八幅漫畫(huà)理解使用JSON Web Token設(shè)計(jì)單點(diǎn)登錄系統(tǒng),文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。

創(chuàng)新互聯(lián)是一家業(yè)務(wù)范圍包括IDC托管業(yè)務(wù),虛擬空間、主機(jī)租用、主機(jī)托管,四川、重慶、廣東電信服務(wù)器租用,綿陽(yáng)機(jī)房托管,成都網(wǎng)通服務(wù)器托管,成都服務(wù)器租用,業(yè)務(wù)范圍遍及中國(guó)大陸、港澳臺(tái)以及歐美等多個(gè)國(guó)家及地區(qū)的互聯(lián)網(wǎng)數(shù)據(jù)服務(wù)公司。

用戶認(rèn)證

所謂用戶認(rèn)證(Authentication),就是讓用戶登錄,并且在接下來(lái)的一段時(shí)間內(nèi)讓用戶訪問(wèn)網(wǎng)站時(shí)可以使用其賬戶,而不需要再次登錄的機(jī)制。

小知識(shí):可別把用戶認(rèn)證和用戶授權(quán)(Authorization)搞混了。用戶授權(quán)指的是規(guī)定并允許用戶使用自己的權(quán)限,例如發(fā)布帖子、管理站點(diǎn)等。

首先,服務(wù)器應(yīng)用(下面簡(jiǎn)稱“應(yīng)用”)讓用戶通過(guò)Web表單將自己的用戶名和密碼發(fā)送到服務(wù)器的接口。這一過(guò)程一般是一個(gè)HTTP POST請(qǐng)求。建議的方式是通過(guò)SSL加密的傳輸(https協(xié)議),從而避免敏感信息被嗅探。

接下來(lái),應(yīng)用和數(shù)據(jù)庫(kù)核對(duì)用戶名和密碼。

核對(duì)用戶名和密碼成功后,應(yīng)用將用戶的id(圖中的user_id)作為JWT Payload的一個(gè)屬性,將其與頭部分別進(jìn)行Base64編碼拼接后簽名,形成一個(gè)JWT。這里的JWT就是一個(gè)形同lll.zzz.xxx的字符串。

應(yīng)用將JWT字符串作為該請(qǐng)求Cookie的一部分返回給用戶。注意,在這里必須使用HttpOnly屬性來(lái)防止Cookie被JavaScript讀取,從而避免跨站腳本攻擊(XSS攻擊)。

在Cookie失效或者被刪除前,用戶每次訪問(wèn)應(yīng)用,應(yīng)用都會(huì)接受到含有jwt的Cookie。從而應(yīng)用就可以將JWT從請(qǐng)求中提取出來(lái)。

應(yīng)用通過(guò)一系列任務(wù)檢查JWT的有效性。例如,檢查簽名是否正確;檢查Token是否過(guò)期;檢查Token的接收方是否是自己(可選)。

應(yīng)用在確認(rèn)JWT有效之后,JWT進(jìn)行Base64解碼(可能在上一步中已經(jīng)完成),然后在Payload中讀取用戶的id值,也就是user_id屬性。這里用戶的id為1025。

應(yīng)用從數(shù)據(jù)庫(kù)取到id為1025的用戶的信息,加載到內(nèi)存中,進(jìn)行ORM之類的一系列底層邏輯初始化。

應(yīng)用根據(jù)用戶請(qǐng)求進(jìn)行響應(yīng)。

和Session方式存儲(chǔ)id的差異

Session方式存儲(chǔ)用戶id的最大弊病在于要占用大量服務(wù)器內(nèi)存,對(duì)于較大型應(yīng)用而言可能還要保存許多的狀態(tài)。一般而言,大型應(yīng)用還需要借助一些KV數(shù)據(jù)庫(kù)和一系列緩存機(jī)制來(lái)實(shí)現(xiàn)Session的存儲(chǔ)。

而JWT方式將用戶狀態(tài)分散到了客戶端中,可以明顯減輕服務(wù)端的內(nèi)存壓力。除了用戶id之外,還可以存儲(chǔ)其他的和用戶相關(guān)的信息,例如該用戶是否是管理員、用戶所在的分桶(見(jiàn)[《你所應(yīng)該知道的A/B測(cè)試基礎(chǔ)》一文](/2015/08/27/introduction-to-ab-testing/)等。

雖說(shuō)JWT方式讓服務(wù)器有一些計(jì)算壓力(例如加密、編碼和解碼),但是這些壓力相比磁盤(pán)I/O而言或許是半斤八兩。具體是否采用,需要在不同場(chǎng)景下用數(shù)據(jù)說(shuō)話。

單點(diǎn)登錄

Session方式來(lái)存儲(chǔ)用戶id,一開(kāi)始用戶的Session只會(huì)存儲(chǔ)在一臺(tái)服務(wù)器上。對(duì)于有多個(gè)子域名的站點(diǎn),每個(gè)子域名至少會(huì)對(duì)應(yīng)一臺(tái)不同的服務(wù)器,例如:

  • www.taobao.com

  • nv.taobao.com

  • nz.taobao.com

  • login.taobao.com

所以如果要實(shí)現(xiàn)在login.taobao.com登錄后,在其他的子域名下依然可以取到Session,這要求我們?cè)诙嗯_(tái)服務(wù)器上同步Session。

使用JWT的方式則沒(méi)有這個(gè)問(wèn)題的存在,因?yàn)橛脩舻臓顟B(tài)已經(jīng)被傳送到了客戶端。因此,我們只需要將含有JWT的Cookie的domain設(shè)置為頂級(jí)域名即可,例如

1

Set-Cookie: jwt=lll.zzz.xxx; HttpOnly; max-age=980000; domain=.taobao.com

注意domain必須設(shè)置為一個(gè)點(diǎn)加頂級(jí)域名,即.taobao.com。這樣,taobao.com和*.taobao.com就都可以接受到這個(gè)Cookie,并獲取JWT了。

上述就是小編為大家分享的八幅漫畫(huà)理解使用JSON Web Token設(shè)計(jì)單點(diǎn)登錄系統(tǒng)了,如果剛好有類似的疑惑,不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí),歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

當(dāng)前題目:怎樣使用JSONWebToken設(shè)計(jì)單點(diǎn)登錄系統(tǒng)
網(wǎng)站網(wǎng)址:http://muchs.cn/article38/ihpdpp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站維護(hù)、營(yíng)銷型網(wǎng)站建設(shè)、企業(yè)建站標(biāo)簽優(yōu)化、網(wǎng)站設(shè)計(jì)、ChatGPT

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

成都定制網(wǎng)站網(wǎng)頁(yè)設(shè)計(jì)