|
. ]- F4 g/ w# S6 U& P: T# x
一. 前言二. OAuth2和JWT的关系1. 什么是OAuth2?OAUth2就是一套广泛流行的认证授权协议,大白话说呢OAuth2这套协议中有两个核心的角色,认证服务器和资源服务器两个角色和 youlai-mall 模块对应关系如下:。 ; J0 @4 X% q2 B4 ?
模块名称youlai-mall模块OAuth2角色服务地址认证中心youlai-auth认证服务器localhost:8000网关youlai-gateway资源服务器localhost:9999用户不能直接去访问资源服务器(网关),必须先到认证服务器认证,通过后颁发一个token令牌给你,你只有拿着token访问资源服务器才能通过,令牌token是有时间限制的,到时间了就无效。
( m# f* f: [" A) x) n1 X 这个模式相信经常到甲方爸爸的地方做驻场的小伙伴深有体会,一般人家可不会给你一个正式员工工牌,要么拿身份证抵押换个临时访问牌,隔天就失效,这样人家才有安全感嘛~其中网关为什么能作为“资源服务器”呢? 网关是作为各个微服务(会员服务、商品服务、订单服务等)统一入口,也就是这些资源服务的统一门面,在这里可以对JWT验签、JWT有效期判断、JWT携带角色权限判断。
, {$ ~, L. ]! V8 ?" O' J! n6 I 2. 什么是JWT?JWT(JSON Web Token)它没啥悬乎的,就是一个特殊的token,最大的特性就是无状态,因为它本身可以携带用户的信息(用户ID、用户名、用户的角色集合等),我们先看下一个解析过后的JWT是什么样子的。
$ n6 X% I7 { m/ [ JWT字符串由Header(头部)、Payload(负载)、Signature(签名)三部分组成复制代码12345LANGUAGE-MAKEFILEHeader: JSON对象,用来描述JWT的元数据,alg属性表示签名的算法,typ标识token的类型' ^- O3 m# B. i1 F4 b3 p3 ~
$ d% N; H! t0 B 。 ; f: a0 _6 L* {1 K6 X
Payload: JSON对象,重要部分,除了默认的字段,还可以扩展自定义字段,比如用户ID、姓名、角色等等- n% }7 E7 \6 M- u
2 j- a/ o9 T# u1 s. V% c
Signature: 对Header、Payload这两部分进行签名,认证服务器使用私钥签名,然后在资源服务器使用公钥验签,防止数据被人动了手脚
+ W$ h+ {& s5 H1 Q+ F* J6 P1 [ 8 `% h* r+ k5 w& N+ R; H
JWT和传统的Cookie/Session会话管理相比较有着多方面的优势,因为Cookie/Session需要在服务器Session存用户信息,然后拿客户端Cookie存储的SessionId获取用户信息,这个过程需要消耗服务器的内存和对客户端的要求比较严格(需支持Cookie),而JWT最大的特性在于就是无状态、去中心化,所以JWT更适用分布式的场景,不需要在多台服务器做会话同步这种消耗服务器性能的操作。
3 y" U8 n `7 E+ H 另外JWT和Redis+Token这两种会话管理小伙伴们看项目情况选择,别有用了JWT还使用Redis存储的,因为你这种做法对JWT来说就是“伤害不大,但侮辱性极强”的做法,就当着它的面说我就看不上你的最自以为是的“无状态”特性。 & u4 d1 b; [9 l. C7 E
3. OAuth2和JWT关系?OAuth2是一种认证授权的协议规范JWT是基于token的安全认证协议的实现OAuth2的认证服务器签发的token可以使用JWT实现,JWT轻量且安全三. 认证服务器。 3 j. T8 b3 \/ P# _
认证服务器落地 youlai-mall 的youlai-auth认证中心模块,完整代码地址: Gitee| Github1. pom依赖复制代码123456789LANGUAGE-XML
+ q1 |0 `. g0 R; t {- Z >org.springframework.cloudspring-cloud-starter-oauth2 ( Z4 U" j( w0 X7 P! k, w! a! W
>org.springframework.securityspring-security-oauth2-jose3 A# S1 z; o. k
`" W9 z* K" R: v% d& v9 e
( y# a/ P7 w) t' z
, m i1 A6 ~/ v' ?! Z( ?
* K- P; y" s' f |