目录
关于Session
关于Token
关于JWT
关于Session
HTTP协议是一种无状态协议,即:当某个客户端向服务器发起请求,服务器端进行处理,后续,此客户端再次发起请求,服务器端并不能直接知道它就是此前来访过的客户端。
从软件技术上,可以使用Session机制来识别客户端的身份,当某个客户端第1次向服务器端发起请求,服务器端会生成一个随机的Session ID(本质上是一个UUID值)并响应给客户端,后续,客户端每次请求时,都会携带这个Session ID来访问服务器端,而服务器端的内存中,使用K-V结构记录每个客户端对应的数据,使用Session ID作为Key,所以,每个客户端在服务器端都有一份属于自己的数据,这个数据就是Session。
由于Session是保存在服务器端的内存中的数据,所以:
-
不适合存储特别大的数据
-
可以通过开发规范来解决
-
-
不便于应用到集群或分布式系统
-
可以通过共享Session的做法缓解此问题
-
-
不适合长期存储数据(存在内存里面资源紧张,如果时间有效期设置为一个星期,外一此时有很多人来访问,他们的session数据都不销毁,内存就会放不下了。清除机制清除太慢了)
-
无解
-
提示:Spring Security的SecurityContext
默认情况下也是基于Session的。
Session不适合长期存储数据,但很多场景是需要长时间保存的,比如微信登录进去很长时间都不需要再次登录,Token可以很好的解决这个问题。
关于Token
Token:票据,令牌
当某个客户端第1次向服务器端发起请求,服务器端会生成Token并响应给客户端,后续,客户端每次请求时,都会携带这个Token来访问服务器端,与Session ID不同,Token本身是有意义的数据,例如,可以包含用户的ID,或用户名等(完全由你来设计),对于服务器端而言,只需要具备“验证并解读Token”的机制即可,并不需要在服务器端保存相关的数据。(好比我们做飞机,我们拿自己的身份证,机场有验证我身份证的机制就可以,对方就能识别我们的身份)
由于Token的机制决定了,它天生就适用于集群和分布式系统中,并且,可以非常长时间的保存用户的身份信息!
提示:虽然Token比Session能解决更多的问题,但是,Token的整个使用过程都需要自行编写代码来实现,而Session则简单很多,所以,如果开发特别小型的项目,对存储用户身份信息也没有“长时间”这样的要求,用Session其实更方便。
Token是一个很大的一个概念, 只要是使用一组数据去记录下你是谁,这个东西就可以叫Token,Token里面怎么去记数据,记多个数据的时候怎么去组织,是什么格式是有讲究的,目前主流的是JWT,它是Token的一种,Token是大概念,JWT是小概念。
关于JWT
JWT:JSON Web Token
JWT的官网:JSON Web Tokens - jwt.io
访问官网的主页,就可以看到JWT的数据表现格式 (下图红色框)。回头,当你的客户端尝试去找服务器做登录,然后服务器验证用户名密码什么的都没问题,然后就会生成一个这个JWT数据给到客户端,以后客户端每次提交请求都要把这个玩意给带上,然后服务器收到后去解析,解析出包含用户名,包含你的ID等等,就能够从中解读出你的身份来了,这就是JWT。
很显然这条数据是经过编码的一条数据,所谓编码就是通过一种算法把一组数据变成另外一组数据,比如加密也是编码的一种。在它的右边部分就是它的原始数据。
从它的原始数据可以看出,它包含三个部分,即
每个JWT数据都是由3大部分组成:
-
Header(头部):声明算法与Token类型(例如下图的算法用的是“HS256”,Token类型是JWT)
-
Payload(载荷):数据(这部分是你想放什么数据就放什么数据,比如用户名,用户ID等)
-
Verify Signature(验证签名)
这部分会算出一部分数据,主要是辨别这组JWT数据是否有效,或者是否伪造,因为我们说Token是一张票,你买票了以后,这个票就在自己手上,然后回头你去拿这张票,服务器就能识别你的身份。但是票在你手上,你是不是可以改啊,所以有某种机制能够识别出你这张票是真的还是假的。
以上是Token的三个部分,所以回头如果我们想生成一个Token就需要准备这三部分数据,才能得到最终编码后的一个数据。
假设现在已经准备好了这三部分,怎么得到编码后的一个Token数据呢?需要用到一些工具包:
里面列举了各种编程语言的主流的工具包,我们选择java的:
点进去以后能看到7个java的工具包库(有一些比如算法之间的不同),随便用一个。案例中用的下图这一个
使用它的需要的依赖项:
<jjwt.version>0.9.1</jjwt.version>
<!-- JJWT(Java JWT) -->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>${jjwt.version}</version>
</dependency>