|
: F$ D2 R B- H; V 一. 前言二. OAuth2和JWT的关系1. 什么是OAuth2?OAUth2就是一套广泛流行的认证授权协议,大白话说呢OAuth2这套协议中有两个核心的角色,认证服务器和资源服务器两个角色和 youlai-mall 模块对应关系如下:。
/ I: l9 O6 f& V 模块名称youlai-mall模块OAuth2角色服务地址认证中心youlai-auth认证服务器localhost:8000网关youlai-gateway资源服务器localhost:9999用户不能直接去访问资源服务器(网关),必须先到认证服务器认证,通过后颁发一个token令牌给你,你只有拿着token访问资源服务器才能通过,令牌token是有时间限制的,到时间了就无效。
0 Q# n) v& Q$ V; ^0 y9 @ 这个模式相信经常到甲方爸爸的地方做驻场的小伙伴深有体会,一般人家可不会给你一个正式员工工牌,要么拿身份证抵押换个临时访问牌,隔天就失效,这样人家才有安全感嘛~其中网关为什么能作为“资源服务器”呢? 网关是作为各个微服务(会员服务、商品服务、订单服务等)统一入口,也就是这些资源服务的统一门面,在这里可以对JWT验签、JWT有效期判断、JWT携带角色权限判断。
2 ?% D3 ?& l7 f. F3 \ 2. 什么是JWT?JWT(JSON Web Token)它没啥悬乎的,就是一个特殊的token,最大的特性就是无状态,因为它本身可以携带用户的信息(用户ID、用户名、用户的角色集合等),我们先看下一个解析过后的JWT是什么样子的。
$ {1 ]& W& N( e9 r: ~# x JWT字符串由Header(头部)、Payload(负载)、Signature(签名)三部分组成复制代码12345LANGUAGE-MAKEFILEHeader: JSON对象,用来描述JWT的元数据,alg属性表示签名的算法,typ标识token的类型
% x$ K6 q: N( l: T5 p3 ? ?5 h$ L$ p- U0 a
。
" j+ V" u, Y, W$ E+ ~: F Payload: JSON对象,重要部分,除了默认的字段,还可以扩展自定义字段,比如用户ID、姓名、角色等等
# Z9 y' T) s1 r. N: } z7 i$ M4 _7 R" |
Signature: 对Header、Payload这两部分进行签名,认证服务器使用私钥签名,然后在资源服务器使用公钥验签,防止数据被人动了手脚
0 T- `. k, d' l/ K, v, i 5 D; I2 O; m; i$ j
JWT和传统的Cookie/Session会话管理相比较有着多方面的优势,因为Cookie/Session需要在服务器Session存用户信息,然后拿客户端Cookie存储的SessionId获取用户信息,这个过程需要消耗服务器的内存和对客户端的要求比较严格(需支持Cookie),而JWT最大的特性在于就是无状态、去中心化,所以JWT更适用分布式的场景,不需要在多台服务器做会话同步这种消耗服务器性能的操作。
' i: {; Q: @7 Z! V/ d 另外JWT和Redis+Token这两种会话管理小伙伴们看项目情况选择,别有用了JWT还使用Redis存储的,因为你这种做法对JWT来说就是“伤害不大,但侮辱性极强”的做法,就当着它的面说我就看不上你的最自以为是的“无状态”特性。
2 p. S1 `9 Q& A- C* P' k 3. OAuth2和JWT关系?OAuth2是一种认证授权的协议规范JWT是基于token的安全认证协议的实现OAuth2的认证服务器签发的token可以使用JWT实现,JWT轻量且安全三. 认证服务器。 7 }$ [/ U! _9 u$ |$ P* ]
认证服务器落地 youlai-mall 的youlai-auth认证中心模块,完整代码地址: Gitee| Github1. pom依赖复制代码123456789LANGUAGE-XML 6 E1 w; j4 ]# M4 q5 M
>org.springframework.cloudspring-cloud-starter-oauth2
/ v/ `3 O0 H: {' |1 Y0 k/ p >org.springframework.securityspring-security-oauth2-jose: O. _/ h% H% B9 g" y" d' l% c
0 d1 b& u2 J2 p5 I
. ^4 {+ ?* m) m. A$ _( R
/ n% S c& [ l, Q$ u; m
5 V7 c# i$ j/ ]) w |