Session的產生:
在說session是啥之前,我們先來說說爲什麼會出現session會話,它出現的機理是什麼?我們知道,我們用瀏覽器打開一個網頁,用到的是HTTP協議,htpp協議是無狀態的,什麼是無狀態呢?就是說這一次請求和上一次請求是沒有任何關係的,互不認識的,沒有關聯的,這種無狀態的好處是快速。
所以就會帶來一個問題就是,我希望幾個請求的頁面要有關聯,比如:我在www.a.com/login.html裏面登陸了,我在www.a.com/index.html 也希望是登陸狀態,但是,這是2個不同的頁面,也就是2個不同的HTTP請求,這2個HTTP請求是無狀態的,也就是無關聯的,所以無法單純的在index.html中讀取到它在login.html中已經登陸了!
那咋搞呢?我不可能這2個頁面我都去登陸一遍吧。
(1)用笨方法這2個頁面都去查詢數據庫,如果有登陸狀態,就判斷是登陸的了。這種查詢數據庫的方案雖然可行,但是每次都要去查詢數據庫不是個事,會造成數據庫的壓力。
(2)所以正是這種訴求,這個時候,一個新的客戶端存儲數據方式出現了:cookie。cookie是把少量的信息存儲在用戶自己的電腦上,它在一個域名下是一個全局的,只要設置它的存儲路徑在域名www.a.com下 ,那麼當用戶用瀏覽器訪問時,前端js就可以從這個域名的任意頁面讀取cookie中的信息。所以就很好的解決了我在www.a.com/login.html頁面登陸了,我也可以在www.a.com/index.html獲取到這個登陸信息了。同時又不用反覆去查詢數據庫。
雖然這種方案很不錯,也很快速方便,但是由於cookie 是存在用戶端,而且它本身存儲的尺寸大小也有限,最關鍵是用戶可以是可見的,並可以隨意的修改,很不安全。那如何又要安全,又可以方便的全局讀取信息呢?於是,這個時候,一種新的存儲會話機制:session 誕生了。
(3)從上面的描述來講,它就是在一次會話中解決2次HTTP的請求的關聯,讓它們產生聯繫,讓2兩個頁面都能讀取到找個這個全局的session信息。session信息存在於服務器端,所以也就很好的解決了安全問題。
Springboot+Vue集成JWT實現token驗證
(1)Json web token (JWT), 是爲了在網絡應用環境間傳遞聲明而執行的一種基於JSON
的開放標準((RFC 7519).定義了一種簡潔的,自包含的方法用於通信雙方之間以JSON
對象的形式安全的傳遞信息。因爲數字簽名的存在,這些信息是可信的,JWT可以使用HMAC
算法或者是RSA
的公私祕鑰對進行簽名。
1. 用戶使用賬號和麪發出post請求;
2. 服務器使用私鑰創建一個jwt;
3. 服務器返回這個jwt給瀏覽器;
4. 瀏覽器將該jwt串在請求頭中像服務器發送請求;
5. 服務器驗證該jwt;
6. 返回響應的資源給瀏覽器。
jwt的主要應用場景
身份認證在這種場景下,一旦用戶完成了登陸,在接下來的每個請求中包含JWT,可以用來驗證用戶身份以及對路由,服務和資源的訪問權限進行驗證。由於它的開銷非常小,可以輕鬆的在不同域名的系統中傳遞,所有目前在單點登錄(SSO)中比較廣泛的使用了該技術。 信息交換在通信的雙方之間使用JWT對數據進行編碼是一種非常安全的方式,由於它的信息是經過簽名的,可以確保發送者發送的信息是沒有經過僞造的。
優點
1.簡潔(Compact): 可以通過URL
,POST
參數或者在HTTP header
發送,因爲數據量小,傳輸速度也很快
2.自包含(Self-contained):負載中包含了所有用戶所需要的信息,避免了多次查詢數據庫
3.因爲Token
是以JSON
加密的形式保存在客戶端的,所以JWT
是跨語言的,原則上任何web形式都支持。
4.不需要在服務端保存會話信息,特別適用於分佈式微服務。
JWT的結構
JWT是由三段信息構成的,將這三段信息文本用.鏈接一起就構成了JWT字符串。
就像這樣:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
JWT包含了三部分:
Header 頭部(標題包含了令牌的元數據,並且包含簽名和/或加密算法的類型)
Payload 負載 (類似於飛機上承載的物品)
Signature 簽名/簽證
Header
JWT的頭部承載兩部分信息:token類型和採用的加密算法。
{
"alg": "HS256",
"typ": "JWT"
}
聲明類型:這裏是jwt
聲明加密的算法:通常直接使用 HMAC SHA256
加密算法是單向函數散列算法,常見的有MD5、SHA、HAMC。
MD5(message-digest algorithm 5) (信息-摘要算法)縮寫,廣泛用於加密和解密技術,常用於文件校驗。校驗?不管文件多大,經過MD5後都能生成唯一的MD5值
SHA (Secure Hash Algorithm,安全散列算法),數字簽名等密碼學應用中重要的工具,安全性高於MD5
HMAC (Hash Message Authentication Code),散列消息鑑別碼,基於密鑰的Hash算法的認證協議。用公開函數和密鑰產生一個固定長度的值作爲認證標識,用這個標識鑑別消息的完整性。常用於接口簽名驗證
Payload
載荷就是存放有效信息的地方。
有效信息包含三個部分
1.標準中註冊的聲明
2.公共的聲明
3.私有的聲明
標準中註冊的聲明 (建議但不強制使用) :
iss
: jwt簽發者sub
: 面向的用戶(jwt所面向的用戶)aud
: 接收jwt的一方exp
: 過期時間戳(jwt的過期時間,這個過期時間必須要大於簽發時間)nbf
: 定義在什麼時間之前,該jwt都是不可用的.iat
: jwt的簽發時間jti
: jwt的唯一身份標識,主要用來作爲一次性token
,從而回避重放攻擊。
公共的聲明 :
公共的聲明可以添加任何的信息,一般添加用戶的相關信息或其他業務需要的必要信息.但不建議添加敏感信息,因爲該部分在客戶端可解密.
私有的聲明 :
私有聲明是提供者和消費者所共同定義的聲明,一般不建議存放敏感信息,因爲base64
是對稱解密的,意味着該部分信息可以歸類爲明文信息。
Signature
jwt的第三部分是一個簽證信息,這個簽證信息由三部分組成:
header (base64後的)
payload (base64後的)
secret
這個部分需要base64
加密後的header
和base64
加密後的payload
使用.
連接組成的字符串,然後通過header
中聲明的加密方式進行加鹽secret
組合加密,然後就構成了jwt
的第三部分。
密鑰secret
是保存在服務端的,服務端會根據這個密鑰進行生成token
和進行驗證,所以需要保護好。
VUE+JWT
在請求攔截器中配置請求頭中攜帶token
// request interceptor
service.interceptors.request.use(
config => {
config.url += '?date=' + new Date().getTime()
// 如果是登錄和註冊的請求,就不需要加JWT
if (config.url.indexOf("login") == -1 && config.url.indexOf("register") == -1) {
const JWT = sessionStorage.getItem("EPDP_session");
config.headers['token'] = JWT
}
return config
},
error => {
// do something with request error
console.log(error) // for debug
return Promise.reject(error)
}
)
Springboot+JWT
(1)引入JWT
依賴,由於是基於Java
,所以需要的是java-jwt
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
(2)編寫兩個註解
用來跳過驗證的PassToken
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {
boolean required() default true;
}
需要登錄才能進行操作的註解UserLoginToken
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserLoginToken {
boolean required() default true;
}
(3)簡單定義三個controller
@PassToken
@RequestMapping("/register")
public Map<String, Object> Register(String usrname, String password1, String password2) throws IOException {
Map<String, Object> map = new HashMap<>();
String message = "註冊成功";
//密碼不一致
if (!password1.equals(password2)) {
message = "密碼不一致";
map = new HashMap<>();
map.put("message", message);
return map;
}
HBaseUsr hBaseUsr = new HBaseUsr();
Usr usr = hBaseUsr.SelectFromTable(usrname);
//賬戶名已存在
if (usr.getUsrname().equals(usrname)) {
message = "賬戶名已存在";
map = new HashMap<>();
map.put("message", message);
return map;
}
try {
//初始化項目信息表others:projects,將用戶插入到項目信息表
projectService.initUsrProject(usrname);
//建立用戶模型歷史記錄表usr_history:usrname
modelHistoryService.initUsrHistory(usrname);
//建立用戶模型表usr_model:usrname
HBaseModel hBaseModel = new HBaseModel(usrname);
hBaseModel.CreateUsrModelTable();
//建立用戶模型任務表usr_task:usrname
modelTaskService.initModelTask(usrname);
} catch (Exception e) {
e.printStackTrace();
throw new MyException("20000","用戶信息添加失敗,請稍後重試","/usr/register");
}
//插入hBaseUsr表
usr.setUsrname(usrname);
usr.setPassword(password1);
hBaseUsr.InsertToTable(usr);
message = "success";
map = new HashMap<>();
map.put("message", message);
return map;
}
@PassToken
@RequestMapping("/login")
public ResultBean Login(String usrname, String password) throws Exception {
String password_desEncrypt = AES_encryption.desEncrypt(new String(password.getBytes(), "UTF-8")).trim();
Map<String, Object> map = new HashMap<>();
try {
HBaseUsr hBaseUsr = new HBaseUsr();
Usr usr = hBaseUsr.SelectFromTable(usrname);
//賬戶名不存在
if (!usr.getUsrname().equals(usrname)) {
return ResultBean.failed("賬戶名不存在");
}
//密碼不一致
else if (!usr.getPassword().equals(password_desEncrypt)) {
// else if (!usr.getPassword().equals(password)) {
return ResultBean.failed("密碼不一致");
}else {
//登陸成功
map = new HashMap<>();
String token = tokenService.getToken(usr);
map.put("token", token);
}
} catch (IOException e) {
e.printStackTrace();
}
return ResultBean.success(map);
}
@UsrLoginToken
@GetMapping("/showInfo")
public Map<String, Object> ShowInfo(String usrname) {
Map<String, Object> map = new HashMap<>();
try {
HBaseUsr hBaseUsr = new HBaseUsr();
Usr usr = hBaseUsr.SelectFromTable(usrname);
map = new HashMap<>();
map.put("data", usr);
} catch (IOException e) {
e.printStackTrace();
}
return map;
}
(4)配置攔截器去攔截token並獲取token
攔截器配置
package springapplication.interceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
/**
* @author fourier
* @date 2018-07-08 22:33
*/
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(authenticationInterceptor())
.addPathPatterns("/**"); // 攔截所有請求,通過判斷是否有 @LoginRequired 註解 決定是否需要登錄
}
@Bean
public AuthenticationInterceptor authenticationInterceptor() {
return new AuthenticationInterceptor();
}
}
從請求頭中獲取token並處理
package springapplication.interceptor;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.exceptions.JWTVerificationException;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import springapplication.annotation.PassToken;
import springapplication.annotation.UsrLoginToken;
import springapplication.exception.MyException;
import springapplication.hdfscore.HBaseUsr;
import springapplication.pojo.Usr;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.reflect.Method;
/**
* @author fourier
* @date 2018-07-08 20:41
*/
public class AuthenticationInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
String token = httpServletRequest.getHeader("token");// 從 http 請求頭中取出 token
// 如果不是映射到方法直接通過
if(!(object instanceof HandlerMethod)){
return true;
}
HandlerMethod handlerMethod=(HandlerMethod)object;
Method method=handlerMethod.getMethod();
//檢查是否有passtoken註釋,有則跳過認證
if (method.isAnnotationPresent(PassToken.class)) {
PassToken passToken = method.getAnnotation(PassToken.class);
if (passToken.required()) {
return true;
}
}
//檢查有沒有需要用戶權限的註解
if (method.isAnnotationPresent(UsrLoginToken.class)) {
UsrLoginToken userLoginToken = method.getAnnotation(UsrLoginToken.class);
if (userLoginToken.required()) {
// 執行認證
if (token == null) {
throw new MyException("50000","無token,請重新登錄","AuthenticationInterceptor");
}
// 獲取 token 中的 usrname
String usrname;
try {
usrname = JWT.decode(token).getAudience().get(0);
} catch (JWTDecodeException j) {
throw new MyException("50000","token錯誤,請重新登錄","AuthenticationInterceptor");
}
HBaseUsr hBaseUsr = new HBaseUsr();
Usr usr = hBaseUsr.SelectFromTable(usrname);
if (usr == null) {
throw new MyException("50000","用戶不存在,請重新登錄","AuthenticationInterceptor");
}
// 驗證 token
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(usr.getPassword())).build();
try {
jwtVerifier.verify(token);
} catch (JWTVerificationException e) {
throw new MyException("50000","token錯誤,請重新登錄","AuthenticationInterceptor");
}
return true;
}
}
return true;
}
@Override
public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
}
}
測試的話推薦使用Postman