Session 和 JWT(JSON Web Token)都是用於在用戶和服務器之間建立認證狀態的機制,但它們在工作原理、存儲方式和安全性等方面存在着一些差異,下面我們一起來看。
1.什麼是JWT?
Session 我們已經很熟悉了,那什麼是 JWT 呢?
JWT(JSON Web Token)是一種開放標準(RFC 7519),用於在網絡上安全傳輸信息的簡潔、自包含的方式。它通常被用於身份驗證和授權機制。
JWT 由三部分組成:頭部(Header)、載荷(Payload)和簽名(Signature)。
- 頭部(Header):包含了關於生成該 JWT 的信息以及所使用的算法類型。
- 載荷(Payload):包含了要傳遞的數據,例如身份信息和其他附屬數據。JWT 官方規定了 7 個字段,可供使用:
- iss (Issuer):簽發者。
- sub (Subject):主題。
- aud (Audience):接收者。
- exp (Expiration time):過期時間。
- nbf (Not Before):生效時間。
- iat (Issued At):簽發時間。
- jti (JWT ID):編號。
- 簽名(Signature):使用密鑰對頭部和載荷進行簽名,以驗證其完整性。
JWT 官網:https://jwt.io/
2.JWT優點分析
JWT 相較於傳統的基於會話(Session)的認證機制,具有以下優勢:
- 無需服務器存儲狀態:傳統的基於會話的認證機制需要服務器在會話中存儲用戶的狀態信息,包括用戶的登錄狀態、權限等。而使用 JWT,服務器無需存儲任何會話狀態信息,所有的認證和授權信息都包含在 JWT 中,使得系統可以更容易地進行水平擴展。
- 跨域支持:由於 JWT 包含了完整的認證和授權信息,因此可以輕鬆地在多個域之間進行傳遞和使用,實現跨域授權。
- 適應微服務架構:在微服務架構中,很多服務是獨立部署並且可以橫向擴展的,這就需要保證認證和授權的無狀態性。使用 JWT 可以滿足這種需求,每次請求攜帶 JWT 即可實現認證和授權。
- 自包含:JWT 包含了認證和授權信息,以及其他自定義的聲明,這些信息都被編碼在 JWT 中,在服務端解碼後使用。JWT 的自包含性減少了對服務端資源的依賴,並提供了統一的安全機制。
- 擴展性:JWT 可以被擴展和定製,可以按照需求添加自定義的聲明和數據,靈活性更高。
總結來說,使用 JWT 相較於傳統的基於會話的認證機制,可以減少服務器存儲開銷和管理複雜性,實現跨域支持和水平擴展,並且更適應無狀態和微服務架構。
3.JWT基本使用
在 Java 開發中,可以藉助 JWT 工具類來方便的操作 JWT,例如 HuTool 框架中的 JWTUtil。
HuTool 介紹:https://doc.hutool.cn/pages/JWTUtil/
使用 HuTool 操作 JWT 的步驟如下:
- 添加 HuTool 框架依賴
- 生成 Token
- 驗證和解析 Token
3.1 添加 HuTool 框架依賴
在 pom.xml 中添加以下信息:
<dependency>
<groupId>cn.hutool</groupId>
<artifactId>hutool-all</artifactId>
<version>5.8.16</version>
</dependency>
3.2 生成 Token
Map<String, Object> map = new HashMap<String, Object>() {
private static final long serialVersionUID = 1L;
{
put("uid", Integer.parseInt("123")); // 用戶ID
put("expire_time", System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 15); // 過期時間15天
}
};
JWTUtil.createToken(map, "服務器端祕鑰".getBytes());
3.3 驗證和解析 Token
驗證 Token 的示例代碼如下:
String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJleHAiOjE2MjQwMDQ4MjIsInVzZXJJZCI6MSwiYXV0aG9yaXRpZXMiOlsiUk9MRV_op5LoibLkuozlj7ciLCJzeXNfbWVudV8xIiwiUk9MRV_op5LoibLkuIDlj7ciLCJzeXNfbWVudV8yIl0sImp0aSI6ImQ0YzVlYjgwLTA5ZTctNGU0ZC1hZTg3LTVkNGI5M2FhNmFiNiIsImNsaWVudF9pZCI6ImhhbmR5LXNob3AifQ.aixF1eKlAKS_k3ynFnStE7-IRGiD5YaqznvK2xEjBew";
JWTUtil.verify(token, "123456".getBytes());
解析 Token 的示例代碼如下:
String rightToken = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiYWRtaW4iOnRydWUsIm5hbWUiOiJsb29seSJ9.U2aQkC2THYV9L0fTN-yBBI7gmo5xhmvMhATtu8v0zEA";
final JWT jwt = JWTUtil.parseToken(rightToken);
jwt.getHeader(JWTHeader.TYPE);
jwt.getPayload("sub");
3.4 代碼實戰
在登錄成功之後,生成 Token 的示例代碼如下:
// 登錄成功,使用 JWT 生成 Token
Map<String, Object> payload = new HashMap<String, Object>() {
private static final long serialVersionUID = 1L;
{
put("uid", userinfo.getUid());
put("manager", userinfo.getManager());
// JWT 過期時間爲 15 天
put("exp", System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 15);
}
};
String token = JWTUtil.createToken(payload, AppVariable.JWT_KEY.getBytes());
例如在 Spring Cloud Gateway 網關中驗證 Token 的實現代碼如下:
import cn.hutool.jwt.JWT;
import cn.hutool.jwt.JWTUtil;
import com.example.common.AppVariable;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;
import java.util.List;
/**
* 登錄過濾器(登錄判斷)
*/
@Component
public class AuthFilter implements GlobalFilter, Ordered {
// 排除登錄驗證的 URL 地址
private String[] skipAuthUrls = {"/user/add", "/user/login"};
@Override
public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
// 當前請求的 URL
String url = exchange.getRequest().getURI().getPath();
for (String item : skipAuthUrls) {
if (item.equals(url)) {
// 繼續往下走
return chain.filter(exchange);
}
}
ServerHttpResponse response = exchange.getResponse();
// 登錄判斷
List<String> tokens =
exchange.getRequest().getHeaders().get(AppVariable.TOKEN_KEY);
if (tokens == null || tokens.size() == 0) {
// 當前未登錄
response.setStatusCode(HttpStatus.UNAUTHORIZED);
return response.setComplete();
}
// token 有值
String token = tokens.get(0);
// JWT 效驗 token 是否有效
boolean result = false;
try {
result = JWTUtil.verify(token, AppVariable.JWT_KEY.getBytes());
} catch (Exception e) {
result = false;
}
if (!result) {
// 無效 token
response.setStatusCode(HttpStatus.UNAUTHORIZED);
return response.setComplete();
} else { // 判斷 token 是否過期
final JWT jwt = JWTUtil.parseToken(token);
// 得到過期時間
Object expObj = jwt.getPayload("exp");
if (expObj == null) {
response.setStatusCode(HttpStatus.UNAUTHORIZED);
return response.setComplete();
}
long exp = Long.parseLong(expObj.toString());
if (System.currentTimeMillis() > exp) {
// token 過期
response.setStatusCode(HttpStatus.UNAUTHORIZED);
return response.setComplete();
}
}
return chain.filter(exchange);
}
@Override
public int getOrder() {
// 值越小越早執行
return 1;
}
}
4.JWT實現原理
JWT 本質是將祕鑰存放在服務器端,並通過某種加密手段進行加密和驗證的機制。加密簽名=某加密算法(header+payload+服務器端私鑰),因爲服務端私鑰別人不能獲取,所以 JWT 能保證自身其安全性。
5.Session VS JWT
Session 和 JWT 的區別主要有以下幾點:
- 工作原理不同:Session 機制依賴於服務器端的存儲。當用戶首次登錄時,服務器會創建一個會話,並生成一個唯一的會話 ID,然後將這個 ID 返回給客戶端(通常是通過Cookie)。客戶端在後續的請求中會攜帶這個會話 ID,服務器根據會話ID來識別用戶並獲取其會話信息;而 JWT 是一種無狀態的認證機制,它通過在客戶端存儲令牌(Token)來實現認證。當用戶登錄時,服務器會生成一個包含用戶信息和有效期的 JWT,並將其返回給客戶端。客戶端在後續的請求中會攜帶這個 JWT,服務器通過驗證 JWT 的有效性來識別用戶。
- 存儲方式不同:Session 信息存儲在服務器端,通常是保存在內存或數據庫中。這種方式需要服務器維護會話狀態,因此在分佈式系統或微服務架構中,會話信息的共享和同步可能會成爲問題;而 JWT信息存儲在客戶端,通常是保存在瀏覽器的本地存儲或 HTTP 請求的頭部中。這種方式無需服務器維護會話狀態,使得 JWT 在分佈式系統或微服務架構中更加靈活和易於擴展。
- 有效期和靈活性不同:Session 的有效期通常由服務器控制,並且在會話期間用戶狀態可以在服務器端動態改變。但這也意味着服務器需要管理會話的生命週期;而 JWT 的有效期可以在令牌生成時設置,並且可以在客戶端進行緩存和重複使用。這使得 JWT 在需要頻繁訪問資源且不需要頻繁更改用戶狀態的場景中更加適用。此外,JWT 還支持在令牌中包含自定義的用戶信息,提供了更大的靈活性。
課後思考
既然 JWT 的有效期是在令牌生成時設置的,那如何實現 JWT 的自動續期呢?又如何將已經泄漏的 JWT 令牌作廢呢?
本文已收錄到我的面試小站 www.javacn.site,其中包含的內容有:Redis、JVM、併發、併發、MySQL、Spring、Spring MVC、Spring Boot、Spring Cloud、MyBatis、設計模式、消息隊列等模塊。