JWT,英文全称JSON Web Token,一种开放行业标准。
应用场景为单点登录,API授权等。
假想的黑粉:“所以这篇文章是要详细介绍JWT是什么吗?”
非也非也,如果各位看官还不了解什么是JWT以及JWT的工作流程,还请自己先去GOOGLE下哈
我是不会跑题的,准备愉快地进入主题。
JWT的优点:用户会话信息保存在客户端,服务端再也不用操心用户的会话信息,即服务端无状态
JWT的缺点:只能被动等到token过期,不能主动失效token
假想的黑粉:“这个缺点有啥影响吗?”
当然啦,想想退出登录,是不是就是一种主动失效的应用场景
假想的黑粉:“好像是,但这个容易解决啊,把token保存在后端服务,如redis,退出时在redis中把它干掉不就完事了吗”<( ̄︶ ̄)>
可以啊,脑袋转得这么快,好像可以解决问题
等等,好像哪里不对,这样又把会话信息存放在服务端,JWT的优势木有了,那要它何用?用传统的session方案就行了啊
简单讲讲服务端有状态的传统session方案:用户登录后,服务端把用户会话信息存放在session中(保存在服务端的某个地方,例如缓存),然后把session ID存放于cookie中,后续用户的请求中都会携带cookie,服务端通过cookie中的session ID即可判断用户的登录状态
假想的黑粉:“能解决问题就行,那么纠结干嘛呢?”
这。。。不行不行,不能为了用而用啊
假想的黑粉:“那你有解决方案吗?弃JWT而用session?”
我觉得吧,还是有使用的可能正确姿势的,先来个华丽丽的分隔线
先来简单看一下JWT校验token的原理:
- 签名:数据 + 密钥 => Hash
- 验证:数据 + 密钥 => hash => compare 携带的签名
由上图可见存放于服务端的密钥只要不被窃取,数据就无法被篡改,一旦修改了数据,则compare步骤一定不通过,则该token无效
假想的黑粉:“哦,我知道了,那就篡改数据,token自动就失效了”
你不是认真的吧?在客户端修改?Oh no!在服务端修改?Oh no!
假想的黑粉:“难道是修改密钥?密钥可是全局共用的哦,一经修改,其它颁发的token也跟着失效,这可是灾难性的”
差不多猜对了,全局不行,那就不要全局,来个一一对应, 一个用户专属一个唯一的密钥。
当要主动失效A用户的token,只要修改A用户所对应的密钥即可,仔细想想,这个方案其实挺优雅的,只是稍微修改了下密钥的获取方式,JWT的优势可以继续发挥,我们来用下图作个形象的理解吧
token验证流程比全局密钥的模式多了一步:从Cache中取出某个用户的密钥。是否会对性能造成影响,就需要在实际的应用场景中进行评估了
好了,到此结束,谢谢观看
假想的黑粉:“等等啊,我想问续期怎么破啊,比如API授权续期问题”
续期问题可用:失效token,重新获取新token的来解决
好的,真的要结束了,拜拜拜拜。。。
