在原来的单体系统中,有状态服务,即服务端须要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,session+cookie。在现在的大多数分布式系统中,暴露出不少缺点算法
在分布式/微服务中,服务的无状态性更加的重要,即:浏览器
带来的好处是什么呢?安全
整个登陆过程当中,最关键的点是什么?服务器
token的安全性cookie
token是识别客户端身份的惟一标示,若是加密不够严密,被人伪造那就完蛋了。
采用何种方式加密才是安全可靠的呢?
咱们将采用JWT + RSA非对称加密
session
JWT,全称是Json Web Token, 是JSON风格轻量级的受权和身份认证规范,可实现无状态、分布式的Web应用受权; 参考jwt官网分布式
JWT包含三部分数据:微服务
Header:头部,一般头部有两部分信息:加密
咱们会对头部进行base64加密(可解密),获得第一部分数据code
Payload:载荷,就是有效数据,通常包含下面信息:
这部分也会采用base64加密,获得第二部分数据
Signature:签名,是整个数据的认证信息。通常根据前两步的数据,再加上服务的的密钥(secret)(不要泄漏,最好周期性更换),经过加密算法生成。用于验证整个数据完整和可靠性
生成的数据:
一、用户登陆
二、服务的认证,经过后根据secret生成token
三、将生成的token返回给浏览器
四、用户每次请求携带token
五、服务端利用公钥解读jwt签名,判断签名有效后,从Payload中获取用户信息
六、处理请求,返回响应结果