漫步SpringSecurity---小短文搞懂分布式中的单点登录、JWT与RSA是个啥?

编程语言 2020-06-19 06:03:20 阅读次数: 0

基本上每一个系统都会有一个认证功能,这个认证功能其实就是我们平时所做的登录。用户通过输入自己的用户名和密码,我们后台查询数据库,如果输入都正确,那么就给你登录进入系统,同时后端保存下session信息。反之如果用户名或密码不正确则告诉用户登录失败。今天介绍的两位主角(JWT、RSA)就和认证有关

这一篇没有代码。

平时我们自己写登录功能的话,业务逻辑就是上面说的那样。可是现在我们介绍的Security已经写好了认证的功能,我们只需要引入依赖,稍作配置就可以"开箱即用"了。

这里现在的Java web应用一般分为两种,一种就是传统开发,一种是分布式开发。认证的的场景也是分为这两种。

传统开发

先说一下传统开发,传统开发就是我们基本做的项目,所有的业务、controller、DAO、配置文件、前端页面、各种静态资源...都堆在一个工程中,并把它们统一打成一个jar/war在发布到线上。

这时我们的登录逻辑,也比较简单,就是判断用户名和密码是否正确,正确则保存session信息,错误,则转发回登录页,并要求重新登录。

但是某一天系统流量大了之后,一个服务器扛不住了怎么办,就比如淘宝,双11或618,一瞬间的高并发访问量,不仅网站资源承受高并发访问,认证功能这里也是,想想一下子也会有很多用户进行访问,这样单个服务器也会面临死机的风险。

接下来针对这种情况,我们就介绍今天的主角们登场了。

分布式开发

简单先介绍一下分布式开发,这个在之前的博客中也有记录到,就是把各种模块都打散,比如用户模块放到一个服务器,订单模块放到另外一个服务器等等。认证模块也是同理,将认证相关的模块单独放到一个服务器中。这么可以提高耦合性,同时提高了容错率,可以面对高并发的场景。。

但是有一个问题,认证模块单独占一个服务器,那么假设用户登录成功之后,我们把用户信息保存至session中,接着用户访问别的模块,由于它们不是在同一台服务器上,那么session是不能共享的。别的模块怎么判断你是否登录了呢?

有些朋友可能会想到一个东西叫global-session,它的确可以共享session,但是今天不是用这个。这里就要介绍第一个主角:

扫描二维码关注公众号,回复: 11310102 查看本文章

分布式开发中的单点登录

单点登录的实现分两大环节:

  • 用户认证: 这一环节主要是用户向认证服务器发起认证请求,认证服务器给用户返回一个成功的令牌token,
    主要在认证服务器中完成,即图中的A系统,注意A系统只能有一个。

  • 身份校验: 这一环节是用户携带token去访问其他服务器时,在其他服务器中要对token的真伪进行检验,主
    要在资源服务器中完成,即图中的B系统,这里B系统可以有很多个。

在这里插入图片描述

这里的关键就是token,在A服务器中登录成功拿到token后,返回给用户,然后用户访问别的服务器时就需要带着这个token了。

接着有情第二位主角:

JWT

从分布式认证流程中,我们不难发现,这中间起最关键作用的就是token,token的安全与否,直接关系到系统的健壮性,这里我们选择使用JWT来实现token的生成和校验。

JWT,全称JSON Web Token,官网地址https://jwt.io,是一款出色的分布式身份校验方案。可以生成token,也可以解析检验token。

它其实就是在分布式的环境中负责token的生成和验证的。

JWT生成的token由三部分组成:

  • 头部: 主要设置一些规范信息,签名部分的编码格式就在头部中声明。

  • 载荷:token中存放有效信息的部分,比如用户名,用户角色,过期时间等,但是不要放密码,会泄露!

  • 签名:将头部与载荷分别采用base64编码后,用“.”相连,再加入盐,最后使用头部声明的编码类型进行编
    码,就得到了签名。

从JWT生成的token组成上来看,要想避免token被伪造,主要就得看签名部分了,而签名部分又有三部分组成,其中头部和载荷的base64编码,几乎是透明的,毫无安全性可言,那么最终守护token安全的重担就落在了加入的盐上面了!

试想:**如果生成token所用的盐与解析token时加入的盐是一样的。岂不是类似于中国人民银行把人民币防伪技术公开了?**大家可以用这个盐来解析token,就能用来伪造token。

这时,我们就需要对盐采用非对称加密的方式进行加密,以达到生成token与校验token方所用的盐不一致的安全效果!

而这个非对称加密,就是第三位主角:

RSA

  • 基本原理:同时生成两把密钥:私钥和公钥,私钥隐秘保存,公钥可以下发给信任客户端

  • 优点:安全,难以破解

  • 缺点:算法比较耗时,为了安全,可以接受

  • 历史:三位数学家Rivest、Shamir 和 Adleman 设计了一种算法,可以实现非对称加密。这种算法用他们三
    个人的名字缩写:RSA。

这个非对称加密有分为两种:

  1. 私钥加密,持有私钥或公钥才可以解密
  2. 公钥加密,持有私钥才可解密

我们一般使用的是私钥加密,为什么呢?

这里试想一下,如果我们分布式系统中,在认证模块里通过公钥加密后,那么别的模块只能放置私钥了。如果有人做坏事,他自己拿公钥加密(公钥是暴露的),那么加密出来,他可以直接拿去访问别的模块,从而不用登录。那这个RSA算法就是形同虚设了。

这时候换成私钥加密,别的模块放置公钥,如果别人拿公钥(他只能拿公钥)伪造加密,那别的模块因为放置的是公钥的,也解密不了,所以伪造失败。

平时我们用到的还是私钥加密

今天就记录到这里,后续会接着记录Security的相关知识。帮到忙的话就多多关注下我哦~

猜你喜欢

转载自blog.csdn.net/Jokeronee/article/details/106844836
今日推荐
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
报告:Django 仍然是 74% 开发者的首选
《2024 年一季度互联网投融资运行情况》研究报告
15 年前上了“FFmpeg 耻辱柱”,今天他还得谢谢咱——腾讯QQPlayer一雪前耻?
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
GCC 14.1 发布
周排行
curl的POST请求,封装方法
8.1.1. Integer Types
Java基础 Day05(个人复习整理)
Python - Django - 中间件 process_exception
小L的试卷
【Shell编程】 (函数)判断用户是否存在
python(css样式)
spring ant path 匹配原则 - 【笔记】
《JavaScript与JScript从入门到精通》(美)James.Jaworski.中译本.扫描版.pdf
Eclipse运行带参数的java程序
每日归档
更多
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022