• 微服务用户状态保持(JWT与Session公共服务)


    2017.3.1   微服务
    在做微服务中 做单点登录的时候,需要记住用户的状态,而记住用户状态大致有两种思路:一是把用户状态放在客户端(浏览器)叫做JWT( JSON Web Token);另一种就是放在服务端,做成一个公共的服务,每个服务组件通过内部网关都可以访问用户的数据,这种相当于把session持久化,通常的做法是放在redis数据库中,当然其他数据库也可以,只要对速度没有什么太严格的要求。
    JWT:
    一个典型的jwt:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
    JWT 的三个部分依次如下。
    • Header(头部)
    • Payload(负载)
    • Signature(签名)
    Header.Payload.Signature
    Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。
    {
    "alg": "HS256",
    "typ": "JWT"}
    上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。
    最后,将上面的 JSON 对象使用 Base64URL 算法(详见后文)转成字符串。

    Payload

    Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。
    • iss (issuer):签发人
    • exp (expiration time):过期时间
    • sub (subject):主题
    • aud (audience):受众
    • nbf (Not Before):生效时间
    • iat (Issued At):签发时间
    • jti (JWT ID):编号
    除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。
    {
    "sub": "1234567890",
    "name": "John Doe",
    "admin": true}
    注意,JWT 默认是不加密的,任何人都可以读到,当然你可以对这个进行加密
    这个 JSON 对象也要使用 Base64URL 算法转成字符串。

    Signature

    Signature 部分是对前两部分的签名,防止数据篡改。
    首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
    HMACSHA256(
    base64UrlEncode(header) + "." +
    base64UrlEncode(payload),
    secret)
    算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

    Base64URL

    前面提到,Header 和 Payload 串型化的算法是 Base64URL。这个算法跟 Base64 算法基本类似,但有一些小的不同。
    JWT 作为一个令牌(token),有些场合可能会放到 URL(比如 api.example.com/?token=xxx)。Base64 有三个字符+、/和=,在 URL 里面有特殊含义,所以要被替换掉:=被省略、+替换成-,/替换成_ 。这就是 Base64URL 算法。
     
    对应JWT,还有一个重要的概念就是零知识证明:
    零知识证明(Zero—Knowledge Proof),是由S.Goldwasser、S.Micali及C.Rackoff在20世纪80年代初提出的。它指的是证明者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的。零知识证明实质上是一种涉及两方或更多方的协议,即两方或更多方完成一项任务所需采取的一系列步骤。证明者向验证者证明并使其相信自己知道或拥有某一消息,但证明过程不能向验证者泄漏任何关于被证明消息的信息。大量事实证明,零知识证明在密码学中非常有用。如果能够将零知识证明用于验证,将可以有效解决许多问题。
    而jwt就是一种零知识证明的方式。
    JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
    JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
    为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。
     
    JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
     
    而服务端对于用户状态是有许多的操作需求的。所以有另一种session公共服务的方式:
    而对于cookie跨域和安全性的改进就是OAuth2 协议。它定义了每次会话的token,每次访问都会改变。参见:xxxxxx
     
    业务服务拿着token去session公共服务,去兑换真正的用户信息。而token方式则最大保证了安全性。
     
     
     
     
     
     
  • 相关阅读:
    Mac下使用charles遇到的问题以及解决办法
    webp图片实践之路
    一个粗心的Bug,JSON格式不规范导致AJAX错误
    IE6/7下空div占用空间的问题
    通俗易懂的来讲讲DOM
    Javascript
    简单入门canvas
    HTML5 Boilerplate
    网页字体知识
    备战CKA每日一题——第8天 | initContainer概念、用法、使用场景简介;k8s secret env、volume考题引出
  • 原文地址:https://www.cnblogs.com/wanglao/p/11162761.html
Copyright © 2020-2023  润新知