前后端分离登录验证

今天修改项目的登陆认证问题,之前用的shiro+freemarker。后来项目改成了前后端分离,全部使用json进行前后台数据交互,于是想做一个登录认证的功能,网上找了下资料,这里做下总结。

使用token

  1. 前端把account和password,提交到服务端的登录api;
  2. 服务端验证正确后,生成一个token,并把token和userId,存在缓存里(推荐redis数据库),然后把token返回给前端;
  3. 前端每次的请求头中带token。

这里要说下JWT。

JWT基本概念

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

组成部分

由三部分构成:

1
header.payload.signature

header(头部)

1
2
3
4
{
"typ": "JWT", // 声明这是JWT
"alg": "HS256" // 声明签名的加密方式
}

将这部分信息进行BASE64编码后,就是jwt.头部

payload(载荷)

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明
  1. 1
    2
    3
    4
    5
    6
    7
    8
    9
    {
    "iss": "John Wu JWT",
    "iat": 1441593502,
    "exp": 1441594722,
    "aud": "www.example.com",
    "sub": "jrocket@example.com",
    "from_user": "B",
    "target_user": "A"
    }
  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
  1. 公共的声明
    公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

  2. 私有的声明
    私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

自定义一个payload

1
2
3
4
5
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}

将其进行BASE64编码后就是JWT的载荷部分

signature(签名)

签名是header.payload加盐secretSHA256加密后生成的编码,即头部的BASE64编码和载荷的BASE64编码由句号.相连后,加上服务器的密钥,再由头部中定义的算法(一般是SHA256)加密生成的编码

验证过程

客户端向服务器发起请求后,服务端验证通过后生成jwt字符串返回给客户端,客户端在每次请求的时候在头部加上Authorization,服务器接收请求后获取,解析头部的JWT字符串,会根据头部和载荷中的字符串,加上服务器本地储存的密钥进行SHA256加密计算,计算出的字符串如果跟请求中的JWT的签名一致,则认为认证通过。
如果头部和载荷中的任一字符改动,都会验证失败。

使用cookie

  1. client发送username和password到server;
  2. server验证成功后, 写cookie到client,然后返回ok的json,其中cookie的key要存储在redis中,value就是用户信息,并且要设置key的超时时间,如:60分钟;
  3. client收到ok后,进行相应的业务操作,以后每次请求server都会自动带上cookie;
  4. server端的filter(用filter来实现)中会每次验证传过来的cookie的key在redis中是否存在, 有就代表登录成功过可以操作,没有就返回错误标识。注意: 在登录成功后,每次调用服务器接口时候, 都要为redis的key进行续期,如60分钟;
  5. 当redis的key超过60分钟,自己会删除这个key,那么再次请求server时,就会收到需要登录的返回值;
  6. 当用户主动退出系统的时候,也要在server中删除redis的key。