目录
1. 了解用户认证成功后 登录成功信息存储到哪里
-> cookie和session技术
Cookie和Session虽然是非常常见的Web开发技术,但它们会被逐渐淘汰,原因主要有以下几点:
隐私和安全问题:在Cookie中存储敏感信息,可能会被黑客盗取,从而造成损失。另外,Cookie的过期时间通常是长期的,这意味着用户的信息可能会一直被存储在本地,从而被滥用。
跨域问题:如果用户在多个域名下使用同一个网站,Cookie在不同域名之间传递会遇到阻碍,导致用户在使用该网站时出现问题。
扩展性问题:Cookie和Session是基于HTTP协议的,而随着Web技术的发展,HTTP协议已经无法满足一些需要实现的业务需求,如WebSockets等。
因此,开发人员正在逐渐采用新的技术替代Cookie和Session,如Token、JWT等。这些新的技术可以更安全地存储用户信息,并克服了传统技术的一些缺点。
2. 如何查看这些用户信息(账号,密码和权限)
/**
* 获取登录用户信息
* 登录成功会存到哪
* 如何获取登录信息
* @return
*/
@GetMapping("/doGetUser")
public String doGetUser(){
Authentication authentication =
SecurityContextHolder.getContext().getAuthentication();
User principal = (User)authentication.getPrincipal();
System.out.println("principal.class="+principal.getClass());
//.getClass 表示获取获取类型
return principal.getUsername()+","+principal.getAuthorities();
}
3. 无状态会话分析
三种登录(会话状态)设计模式
---> cookie session 单体登录
一个单体 直接cookie+session, 小规模业务 老业务存在 但是在分布式系统中 显得有些鸡肋了
----> 中小型单点登录设计模式(相对简单)
----> sso单点登录
客户端记录会话状态 服务端只负责解析token
简约图 注册中心呀 远程调用 日志收集 数据库等没画
4 具体实现
1. jwt(token)jsonwebtoken
官网 : https://jwt.io
三部分 JWT通常由三部分构成,分别为Header(头部),Payload(负载),Signature(签名)
xxxxx.yyyyy.zzzzz
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
---------->
2. 测试类 了解制作token和解析token过程
package com.cy.jt.security;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
@SpringBootTest
public class JwtTests {
public static final String JWT_SECRET ="AAABBBCCCDDDDEEE";//加密盐
//测试创建解析token
@Test
void testCreateAndParseToken(){
//创建token(头信息,负载信息,签名信息)
//1.1 获取登录认证信息(例如用户名,权限)
Map<String,Object> map=new HashMap<>();
map.put("username", "pzy");
map.put("permissions", "sys:res:create,sys:res:retrieve");
//日历对象 Date方法中的方法已经不再推荐使用了 对日期进行加减运算
Calendar calendar = Calendar.getInstance();//当前时间
//在当前时间的基础上加30分钟
calendar.add(Calendar.MINUTE, 30);
Date expirationTime = calendar.getTime();//获取30分钟后的时间
System.out.println("expirationTime:==>"+expirationTime);
//jwts方法创建token
String token = Jwts.builder()
.setSubject("jwt")//主题
.setClaims(map)// 负载信息(登录信息,没有密码)
//.setExpiration(new Date(System.currentTimeMillis() + 30 * 1000))//过期时间
.setExpiration(expirationTime)//过期时间
.setIssuedAt(new Date())//签发时间
.signWith(SignatureAlgorithm.HS256,JWT_SECRET)//设置签名加密算法和盐
.compact();//制作token
System.out.println("token:===>"+token);
//解析token
//eyJhbGciOiJub25lIn0.eyJwZXJtaXNzaW9ucyI6InN5czpyZXM6Y3JlYXRlLHN5czpyZXM6cmV0cmlldmUiLCJleHAiOjE2MzQ4NzM1MjAsImlhdCI6MTYzNDg3MzQ5MCwidXNlcm5hbWUiOiJqYWNrIn0.
Claims claims = Jwts.parser()
.setSigningKey(JWT_SECRET)
.parseClaimsJws(token) //最爱出错的问题
.getBody();
System.out.println("claims: ===> "+claims);
}
}
在security中配合jwt实现认证登录鉴权操作, 而在oauth2中 更是简化了操作步骤, 传入基本参数,注入@bean就可以了
密码也从后台明文记录变成md5加盐加密 在变化到bcrypt加密
一般配合拦截器使用
import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springframework.stereotype.Component; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; @Component public class AuthInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String token = request.getHeader("Authorization"); // 验证token的过程 if (verifyToken(token)) { return true; } else { response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized"); return false; } } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception exception) throws Exception { } private boolean verifyToken(String token) { // 进行token的验证 // 如果验证成功返回true,否则返回false } }