一. cookie

A）cookie如何認(rèn)證

1.用戶輸入用戶名與密碼，發(fā)送給服務(wù)器。

2.服務(wù)器驗(yàn)證用戶名和密碼，正確的就創(chuàng)建一個會話（session），同時會把這個會話的ID保存到客戶端瀏覽器中，因?yàn)楸４娴牡胤绞菫g覽器的cookie，所以這種認(rèn)證方式叫做基于cookie的認(rèn)證方式。

3.后續(xù)的請求中，瀏覽器會發(fā)送會話ID到服務(wù)器，服務(wù)器上如果能找到對應(yīng)的ID的會話，那么服務(wù)器就會返回需要的數(shù)據(jù)給瀏覽器。

4.當(dāng)用戶退出登錄，會話會同時在客戶端和服務(wù)器端被銷毀。

B）cookie認(rèn)證方式的不足之處

1.服務(wù)器要為每個用戶保留session信息，連接用戶過多會造成服務(wù)器內(nèi)存壓力過大。

2.適合單一域名，不適合第三方請求。

二. token

A）token的認(rèn)證過程

1.用戶輸入用戶名和密碼，發(fā)送給服務(wù)器。

2.服務(wù)器驗(yàn)證用戶名和密碼，正確的話就返回一個簽名過的token（token 可以認(rèn)為就是個長長的字符串），瀏覽器客戶端拿到這個token。

3.后續(xù)每次請求中，瀏覽器會把token作為http header發(fā)送給服務(wù)器，服務(wù)器驗(yàn)證簽名是否有效，如果有效那么認(rèn)證就成功，可以返回客戶端需要的數(shù)據(jù)。

4.一旦用戶退出登錄，只需要客戶端銷毀token即可，服務(wù)器端不需要任何操作。

B）token認(rèn)證方式的特點(diǎn)

這種方式的特點(diǎn)就是客戶端的token中自己保留有大量信息，服務(wù)器沒有存儲這些信息，而只負(fù)責(zé)驗(yàn)證，不必進(jìn)行數(shù)據(jù)庫查詢，執(zhí)行效率大大提高。

三. JWT

A）JWT介紹

1.JWT是json web token縮寫。它將用戶信息加密到token里，服務(wù)器不保存任何用戶信息。服務(wù)器通過使用保存的密鑰驗(yàn)證token的正確性，只要正確即通過驗(yàn)證。

2.優(yōu)點(diǎn)是在分布式系統(tǒng)中，很好地解決了單點(diǎn)登錄問題，很容易解決了session共享的問題。jwt長度較小，且可以使用URL傳輸(URLsafe)。不想cookies只能在web環(huán)境起作用。 JWT可以同時使用在web環(huán)境和RESTfull的接口。

缺點(diǎn)是無法作廢已頒布的令牌/不易應(yīng)對數(shù)據(jù)過期。

B）JWT組成

JWT包含三個部分： Header頭部，Payload負(fù)載和Signature簽名。由三部分生成token，三部分之間用“.”號做分割。

列如 ：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

1.Header

在Header中通常包含了兩部分：type：代表token的類型，這里使用的是JWT類型。 alg:使用的Hash算法，例如HMAC SHA256或RSA.

{
“alg”: “HS256”,
“typ”: “JWT”
}

這會被經(jīng)過base64Url編碼形成第一部分

2.Payload

token的第二個部分是荷載信息，它包含一些聲明Claim(實(shí)體的描述，通常是一個User信息，還包括一些其他的元數(shù)據(jù))

聲明分三類：

1)Reserved Claims,這是一套預(yù)定義的聲明，并不是必須的,這是一套易于使用、操作性強(qiáng)的聲明。包括：iss(issuer)、exp(expirationtime)、sub(subject)、aud(audience)等

2)Plubic Claims,

3)Private Claims,交換信息的雙方自定義的聲明

{
“sub”: “1234567890”,
“name”: “John Doe”,
“admin”: true
}

同樣經(jīng)過Base64Url編碼后形成第二部分

3.signature

使用header中指定的算法將編碼后的header、編碼后的payload、一個secret進(jìn)行加密。

例如使用的是HMAC SHA256算法，大致流程類似于: HMACSHA256( base64UrlEncode(header) + “.” + base64UrlEncode(payload), secret)

這個signature字段被用來確認(rèn)JWT信息的發(fā)送者是誰，并保證信息沒有被修改

C）為什么要使用JWT

相比XML格式，JSON更加簡潔，編碼之后更小，這使得JWT比SAML更加簡潔，更加適合在HTML和HTTP環(huán)境中傳遞。

在安全性方面，SWT只能夠使用HMAC算法和共享的對稱秘鑰進(jìn)行簽名，而JWT和SAML

token則可以使用X.509認(rèn)證的公私秘鑰對進(jìn)行簽名。與簡單的JSON相比，XML和XML數(shù)字簽名會引入復(fù)雜的安全漏洞。

因?yàn)镴SON可以直接映射為對象，在大多數(shù)編程語言中都提供了JSON解析器，而XML則沒有這么自然的文檔-對象映射關(guān)系，這就使得使用JWT比SAML更方便

java json web token工具類

D）JWT的Maven引入

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

以上為個人經(jīng)驗(yàn)，希望能給大家一個參考，也希望大家多多支持腳本之家。如有錯誤或未考慮完全的地方，望不吝賜教。