简单说说基于JWT的token认证方式

1、什么是认证

好多人不知道什么是认证，认证，其实就是服务端确认用户身份。Http协议是无状态的，客户端发送一条请求，服务端返回一条响应，两者就算作成一单买卖，一拍两散。在好久之前，互联网所能提供的服务仅仅是一些页面的浏览，服务器并不须要知道是谁在访问本身，而随着互联网的发展，在不少应用场景记住用户的登陆状态，好比购物网站，服务器须要知道具体是什么人买了哪些商品，这个时候，就有了登陆认证这个需求，目的就是为了确认发起请求的客户端的身份。

2、认证的方式

认证服务的方式主要有两种，一种是有状态的，一种是无状态的。

2.1什么是有状态？

有状态服务，即服务端须要记录每次会话的客户端信息，从而识别客户端身份，根据用户身份进行请求的处理，典型的设计如tomcat中的session。

例如登陆：用户登陆后，咱们把登陆者的信息保存在服务端session中，而且给用户一个cookie值，记录对应的session。而后下次请求，用户携带cookie值来，咱们就能识别到对应session，从而找到用户的信息。

缺点：

• 服务端保存大量数据，增长服务端压力

• 服务端保存用户状态，没法进行水平扩展

• 客户端请求依赖服务端，屡次请求必须访问同一台服务器

2.2什么是无状态？

微服务集群中的每一个服务，对外提供的都是Rest风格的接口。而Rest风格的一个最重要的规范就是：服务的无状态性，即：

• 服务端不保存任何客户端请求者信息

• 客户端的每次请求必须具有自描述信息，经过这些信息识别客户端身份

优势：

• 客户端请求不依赖服务端的信息，任何屡次请求不须要必须访问到同一台服务

• 服务端的集群和状态对客户端透明

• 服务端能够任意的迁移和伸缩

• 减少服务端存储压力

2.3如何实现无状态？

无状态登陆的流程：

• 当客户端第一次请求服务时，服务端对用户进行信息认证（登陆）

• 认证经过，将用户信息进行加密造成token，返回给客户端，做为登陆凭证

• 之后每次请求，客户端都携带认证的token

• 服务的对token进行解密，判断是否有效。

流程图：

token是识别客户端身份的惟一标示，整个登陆过程当中，最重要的就是要保证token的安全性。

3、JWT介绍

JWT，全称是Json Web Token， 是JSON风格轻量级的受权和身份认证规范，可实现无状态、分布式的Web应用受权。

3.1JWT数据格式：

• Header：头部，一般头部有两部分信息：

  • 声明类型，这里是JWT

  • 签名算法，自定义

  咱们会对头部进行base64加密（可解密），获得第一部分数据

• Payload：载荷，就是有效数据，通常包含下面信息：

  • 用户身份信息（注意，这里由于采用base64加密，可解密，所以不要存放敏感信息）

  • tokenID：当前这个JWT的惟一标示

  • 注册声明：如token的签发时间，过时时间，签发人等

  这部分也会采用base64加密，获得第二部分数据

• Signature：签名，是整个数据的认证信息。通常根据前两步的数据，再加上服务的的密钥（secret）（不要泄漏，最好周期性更换），经过加密算法生成。用于验证整个数据完整和可靠

3.2JWT 的交互流程

流程图：

• 受权流程：

  • 一、用户请求登陆，携带用户名密码到受权中心

  • 二、受权中心携带用户名密码，到用户中心查询用户

  • 三、查询若是正确，生成JWT凭证

  • 四、返回JWT给用户

• 鉴权流程：

  • 一、用户请求某微服务功能，携带JWT

  • 二、微服务将jwt交给受权中心校验

  • 三、受权中心返回校验结果到微服务

  • 四、微服务判断校验结果，成功或失败

  • 五、失败则直接返回401

  • 六、成功则处理业务并返回