关于JWT原理和相关问题,一定要先阅读我的另一篇文章《JWT技术——基于token的鉴权机制》
根据文中的论述,JWT存在许多安全隐患,建议使用HTTPS。
但是本文以实现JWT方案为主,不考虑安全性——JWT方案是可以扩展的,为了提高安全性,可以在后期的设计中去加强。
JWT登录的原理:
-> 客户端 携带认证名和密码 发起登录请求
-> 服务器端验证成功,返回 token 给客户端
-> 客户端保存 token(通常是保存在Cookie或者LocalStorage中)
-> 客户端以后每次请求,都在Header中 携带该Token
-> 服务器端,每次接收非登录请求,都验证Header中是否有token
注意:
服务端要支持CORS(跨来源资源共享)策略,以便接收其他不同客户端的请求。
平滑的处理token过期,如果用户一直在活动,需要刷新token,客户端要配合。
Session登录的原理:
-> 客户端 携带认证名和密码 发起登录请求
-> 服务器端验证成功,将用户信息存储下来,生成一个 sessionId, 返回给客户端,并通知客户端将sessionId set到cookie中
-> 客户端自动执行服务器端将sessionId set到cookie中的命令,sessionId被自动保存在cookie中
-> 客户端以后每次请求,都会自动将cookie中的sessionId发送给服务器端
-> 服务器端,每次接收请求,都从cookie中取出sessionId,根据这个id找到存储的用户信息,如果有,说明登录,否则说明未登录或者已过期。
两者是非常相似的,不同之处在于:
1、Session登录方式,sessionId是自动保存到cookie中的,且发送请求时,浏览器是自动附加上cookie信息的,这一切的前提是:前后端处于同一域下面,如果不是相同的域,cookie信息是不会自动提交给后端的。
2、Session登录方式,服务器端缓存了登录用户的信息,而JWT方式,服务器端可以不存储任何信息,只要验证Token通过即可,不一定要知道用户信息,实际上JWT方式,JWT的Token本身存储了一些关键数据(比如用户名,过期时间),token是根据密码学算法生成的,无法更改token里面的内容。
3、Session登录方式,缓存的过期时间是由服务器端设定的,而JWT方式,token信息中自带过期时间(服务器端生成token的时候就设定好了过期时间),过期之后token验证失败。
4、Session登录方式,优点是不存在CORS跨域问题,且服务器端处理登录过期很简单、自然。但不支持跨域访问在某些情况下是硬伤!!(比如APP登录)
5、Session登录方式,sessionId是自动保存和发送的,而JWT方案,客户端需要写代码实现token的保存,并配置AJAX的header实现token的发送。
Session和JWT登录 整合方案:
1、用类似于JWT的token作为SessionId,客户端采用JWT模式来保存和发送这个sessionId,保存在cookie或localStorage中,发送时用header;
2、为了接收非同源客户端的AJAX请求,服务器端需要启用 CORS(Cross-Origin Resource Sharing) 跨域访问,为指定域名的客户端开通白名单;
3、服务器端采用session的处理方式,保存session信息,并根据请求来更新过期时间,同时,服务器端兼容从cookie或者header中取得sessionId。
具体在 Shiro 框架中,实现起来也简单,重写DefaultWebSessionManager的getSessionId方法,加入从header中获取的策略即可,
代码如下:
public class HeaderBasedWebSessionManager extends DefaultWebSessionManager implements WebSessionManager {
@Override
protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
Serializable id = super.getSessionId(request, response);
if (id != null) {
return id;
}
id = getSessionIdFromHeader((HttpServletRequest) request);
if (id != null) {
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
}
return id;
}
private Serializable getSessionIdFromHeader(HttpServletRequest request) {
return request.getHeader(getSessionIdName()); // JSESSIONID
}
}