基本上每一个系统都会有一个认证功能,这个认证功能其实就是我们平时所做的登录。用户通过输入自己的用户名和密码,我们后台查询数据库,如果输入都正确,那么就给你登录进入系统,同时后端保存下session信息。反之如果用户名或密码不正确则告诉用户登录失败。今天介绍的两位主角(JWT、RSA)就和认证有关
这一篇没有代码。
平时我们自己写登录功能的话,业务逻辑就是上面说的那样。可是现在我们介绍的Security已经写好了认证的功能,我们只需要引入依赖,稍作配置就可以"开箱即用"了。
这里现在的Java web
应用一般分为两种,一种就是传统开发,一种是分布式开发。认证的的场景也是分为这两种。
传统开发
先说一下传统开发,传统开发就是我们基本做的项目,所有的业务、controller、DAO、配置文件、前端页面、各种静态资源...
都堆在一个工程中,并把它们统一打成一个jar/war在发布到线上。
这时我们的登录逻辑,也比较简单,就是判断用户名和密码是否正确,正确则保存session
信息,错误,则转发回登录页,并要求重新登录。
但是某一天系统流量大了之后,一个服务器扛不住了怎么办,就比如淘宝,双11或618,一瞬间的高并发访问量,不仅网站资源承受高并发访问,认证功能这里也是,想想一下子也会有很多用户进行访问,这样单个服务器也会面临死机的风险。
接下来针对这种情况,我们就介绍今天的主角们登场了。
分布式开发
简单先介绍一下分布式开发,这个在之前的博客中也有记录到,就是把各种模块都打散,比如用户模块放到一个服务器,订单模块放到另外一个服务器等等。认证模块也是同理,将认证相关的模块单独放到一个服务器中。这么可以提高耦合性,同时提高了容错率,可以面对高并发的场景。。
但是有一个问题,认证模块单独占一个服务器,那么假设用户登录成功之后,我们把用户信息保存至session
中,接着用户访问别的模块,由于它们不是在同一台服务器上,那么session
是不能共享的。别的模块怎么判断你是否登录了呢?
有些朋友可能会想到一个东西叫global-session
,它的确可以共享session
,但是今天不是用这个。这里就要介绍第一个主角:
分布式开发中的单点登录
单点登录的实现分两大环节:
-
用户认证: 这一环节主要是用户向认证服务器发起认证请求,认证服务器给用户返回一个成功的令牌token,
主要在认证服务器中完成,即图中的A系统,注意A系统只能有一个。 -
身份校验: 这一环节是用户携带token去访问其他服务器时,在其他服务器中要对token的真伪进行检验,主
要在资源服务器中完成,即图中的B系统,这里B系统可以有很多个。
这里的关键就是token
,在A服务器中登录成功拿到token
后,返回给用户,然后用户访问别的服务器时就需要带着这个token
了。
接着有情第二位主角:
JWT
从分布式认证流程中,我们不难发现,这中间起最关键作用的就是token,token的安全与否,直接关系到系统的健壮性,这里我们选择使用JWT来实现token的生成和校验。
JWT,全称JSON Web Token,官网地址https://jwt.io,是一款出色的分布式身份校验方案。可以生成token,也可以解析检验token。
它其实就是在分布式的环境中负责token
的生成和验证的。
JWT生成的token由三部分组成:
-
头部: 主要设置一些规范信息,签名部分的编码格式就在头部中声明。
-
载荷:token中存放有效信息的部分,比如用户名,用户角色,过期时间等,但是不要放密码,会泄露!
-
签名:将头部与载荷分别采用base64编码后,用“.”相连,再加入盐,最后使用头部声明的编码类型进行编
码,就得到了签名。
从JWT生成的token组成上来看,要想避免token被伪造,主要就得看签名部分了,而签名部分又有三部分组成,其中头部和载荷的base64编码,几乎是透明的,毫无安全性可言,那么最终守护token安全的重担就落在了加入的盐上面了!
试想:**如果生成token所用的盐与解析token时加入的盐是一样的。岂不是类似于中国人民银行把人民币防伪技术公开了?**大家可以用这个盐来解析token,就能用来伪造token。
这时,我们就需要对盐采用非对称加密的方式进行加密,以达到生成token与校验token方所用的盐不一致的安全效果!
而这个非对称加密,就是第三位主角:
RSA
-
基本原理:同时生成两把密钥:私钥和公钥,私钥隐秘保存,公钥可以下发给信任客户端
-
优点:安全,难以破解
-
缺点:算法比较耗时,为了安全,可以接受
-
历史:三位数学家Rivest、Shamir 和 Adleman 设计了一种算法,可以实现非对称加密。这种算法用他们三
个人的名字缩写:RSA。
这个非对称加密有分为两种:
- 私钥加密,持有私钥或公钥才可以解密
- 公钥加密,持有私钥才可解密
我们一般使用的是私钥加密,为什么呢?
这里试想一下,如果我们分布式系统中,在认证模块里通过公钥加密后,那么别的模块只能放置私钥了。如果有人做坏事,他自己拿公钥加密(公钥是暴露的),那么加密出来,他可以直接拿去访问别的模块,从而不用登录。那这个RSA算法就是形同虚设了。
这时候换成私钥加密,别的模块放置公钥,如果别人拿公钥(他只能拿公钥)伪造加密,那别的模块因为放置的是公钥的,也解密不了,所以伪造失败。
平时我们用到的还是私钥加密。
今天就记录到这里,后续会接着记录Security的相关知识。帮到忙的话就多多关注下我哦~