登录认证: 为什么要使用JWT去替代cookie和session技术

目录

1. 了解用户认证成功后  登录成功信息存储到哪里

-> cookie和session技术

2. 如何查看这些用户信息(账号,密码和权限)

3.  无状态会话分析

---> cookie session 单体登录

 ----> 中小型单点登录设计模式(相对简单)

 ----> sso单点登录

4 具体实现

1. jwt(token)jsonwebtoken

官网 : https://jwt.io

2. 测试类 了解制作token和解析token过程

---

1. 了解用户认证成功后  登录成功信息存储到哪里

-> cookie和session技术

Cookie和Session虽然是非常常见的Web开发技术，但它们会被逐渐淘汰，原因主要有以下几点：

1. 隐私和安全问题：在Cookie中存储敏感信息，可能会被黑客盗取，从而造成损失。另外，Cookie的过期时间通常是长期的，这意味着用户的信息可能会一直被存储在本地，从而被滥用。

2. 跨域问题：如果用户在多个域名下使用同一个网站，Cookie在不同域名之间传递会遇到阻碍，导致用户在使用该网站时出现问题。

3. 扩展性问题：Cookie和Session是基于HTTP协议的，而随着Web技术的发展，HTTP协议已经无法满足一些需要实现的业务需求，如WebSockets等。

因此，开发人员正在逐渐采用新的技术替代Cookie和Session，如Token、JWT等。这些新的技术可以更安全地存储用户信息，并克服了传统技术的一些缺点。

2. 如何查看这些用户信息(账号,密码和权限)

/**
     * 获取登录用户信息
     * 登录成功会存到哪
     * 如何获取登录信息
     * @return
     */
    @GetMapping("/doGetUser")
    public String doGetUser(){
        Authentication authentication =
                SecurityContextHolder.getContext().getAuthentication();
        User principal = (User)authentication.getPrincipal();
        System.out.println("principal.class="+principal.getClass());
        //.getClass 表示获取获取类型
        return principal.getUsername()+","+principal.getAuthorities();
    }

3.  无状态会话分析

        三种登录(会话状态)设计模式

---> cookie session 单体登录

一个单体 直接cookie+session, 小规模业务 老业务存在 但是在分布式系统中 显得有些鸡肋了 

 ----> 中小型单点登录设计模式(相对简单)

 

 ----> sso单点登录

客户端记录会话状态 服务端只负责解析token 

简约图 注册中心呀 远程调用 日志收集 数据库等没画 

4 具体实现

1. jwt(token)jsonwebtoken

官网 : https://jwt.io

 三部分  JWT通常由三部分构成，分别为Header(头部)，Payload(负载)，Signature(签名)

xxxxx.yyyyy.zzzzz
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

 ---------->

2. 测试类 了解制作token和解析token过程

package com.cy.jt.security;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;

import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

@SpringBootTest
public class JwtTests {
    public static final String JWT_SECRET ="AAABBBCCCDDDDEEE";//加密盐
    //测试创建解析token
    @Test
    void testCreateAndParseToken(){
        //创建token(头信息,负载信息,签名信息)
        //1.1 获取登录认证信息(例如用户名,权限)
        Map<String,Object> map=new HashMap<>();
        map.put("username", "pzy");
        map.put("permissions", "sys:res:create,sys:res:retrieve");
//日历对象 Date方法中的方法已经不再推荐使用了 对日期进行加减运算

        Calendar calendar = Calendar.getInstance();//当前时间
        //在当前时间的基础上加30分钟
        calendar.add(Calendar.MINUTE, 30);
        Date expirationTime = calendar.getTime();//获取30分钟后的时间
        System.out.println("expirationTime:==>"+expirationTime);

//jwts方法创建token
        String token = Jwts.builder()
                .setSubject("jwt")//主题
                .setClaims(map)// 负载信息(登录信息,没有密码)
                //.setExpiration(new Date(System.currentTimeMillis() + 30 * 1000))//过期时间
                .setExpiration(expirationTime)//过期时间
                .setIssuedAt(new Date())//签发时间
                .signWith(SignatureAlgorithm.HS256,JWT_SECRET)//设置签名加密算法和盐
                .compact();//制作token
        System.out.println("token:===>"+token);
        //解析token
//eyJhbGciOiJub25lIn0.eyJwZXJtaXNzaW9ucyI6InN5czpyZXM6Y3JlYXRlLHN5czpyZXM6cmV0cmlldmUiLCJleHAiOjE2MzQ4NzM1MjAsImlhdCI6MTYzNDg3MzQ5MCwidXNlcm5hbWUiOiJqYWNrIn0.

        Claims claims = Jwts.parser()
                .setSigningKey(JWT_SECRET)
                .parseClaimsJws(token) //最爱出错的问题
                .getBody();
        System.out.println("claims: ===> "+claims);


    }
}

在security中配合jwt实现认证登录鉴权操作, 而在oauth2中 更是简化了操作步骤, 传入基本参数,注入@bean就可以了

密码也从后台明文记录变成md5加盐加密 在变化到bcrypt加密

一般配合拦截器使用

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

@Component
public class AuthInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("Authorization");

        // 验证token的过程
        if (verifyToken(token)) {
            return true;
        } else {
            response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized");
            return false;
        }
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception exception) throws Exception {
    }

    private boolean verifyToken(String token) {
        // 进行token的验证
        // 如果验证成功返回true，否则返回false
    }
}