這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)?lái)有關(guān)八幅漫畫(huà)理解使用JSON Web Token設(shè)計(jì)單點(diǎn)登錄系統(tǒng)，文章內(nèi)容豐富且以專(zhuān)業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

創(chuàng)新互聯(lián)是一家業(yè)務(wù)范圍包括IDC托管業(yè)務(wù),虛擬空間、主機(jī)租用、主機(jī)托管，四川、重慶、廣東電信服務(wù)器租用,綿陽(yáng)機(jī)房托管，成都網(wǎng)通服務(wù)器托管,成都服務(wù)器租用,業(yè)務(wù)范圍遍及中國(guó)大陸、港澳臺(tái)以及歐美等多個(gè)國(guó)家及地區(qū)的互聯(lián)網(wǎng)數(shù)據(jù)服務(wù)公司。

用戶(hù)認(rèn)證

所謂用戶(hù)認(rèn)證（Authentication），就是讓用戶(hù)登錄，并且在接下來(lái)的一段時(shí)間內(nèi)讓用戶(hù)訪問(wèn)網(wǎng)站時(shí)可以使用其賬戶(hù)，而不需要再次登錄的機(jī)制。

小知識(shí)：可別把用戶(hù)認(rèn)證和用戶(hù)授權(quán)（Authorization）搞混了。用戶(hù)授權(quán)指的是規(guī)定并允許用戶(hù)使用自己的權(quán)限，例如發(fā)布帖子、管理站點(diǎn)等。

首先，服務(wù)器應(yīng)用（下面簡(jiǎn)稱(chēng)“應(yīng)用”）讓用戶(hù)通過(guò)Web表單將自己的用戶(hù)名和密碼發(fā)送到服務(wù)器的接口。這一過(guò)程一般是一個(gè)HTTP POST請(qǐng)求。建議的方式是通過(guò)SSL加密的傳輸（https協(xié)議），從而避免敏感信息被嗅探。

接下來(lái)，應(yīng)用和數(shù)據(jù)庫(kù)核對(duì)用戶(hù)名和密碼。

核對(duì)用戶(hù)名和密碼成功后，應(yīng)用將用戶(hù)的id（圖中的user_id）作為JWT Payload的一個(gè)屬性，將其與頭部分別進(jìn)行Base64編碼拼接后簽名，形成一個(gè)JWT。這里的JWT就是一個(gè)形同lll.zzz.xxx的字符串。

應(yīng)用將JWT字符串作為該請(qǐng)求Cookie的一部分返回給用戶(hù)。注意，在這里必須使用HttpOnly屬性來(lái)防止Cookie被JavaScript讀取，從而避免跨站腳本攻擊（XSS攻擊）。

在Cookie失效或者被刪除前，用戶(hù)每次訪問(wèn)應(yīng)用，應(yīng)用都會(huì)接受到含有jwt的Cookie。從而應(yīng)用就可以將JWT從請(qǐng)求中提取出來(lái)。

應(yīng)用通過(guò)一系列任務(wù)檢查JWT的有效性。例如，檢查簽名是否正確；檢查T(mén)oken是否過(guò)期；檢查T(mén)oken的接收方是否是自己（可選）。

應(yīng)用在確認(rèn)JWT有效之后，JWT進(jìn)行Base64解碼（可能在上一步中已經(jīng)完成），然后在Payload中讀取用戶(hù)的id值，也就是user_id屬性。這里用戶(hù)的id為1025。

應(yīng)用從數(shù)據(jù)庫(kù)取到id為1025的用戶(hù)的信息，加載到內(nèi)存中，進(jìn)行ORM之類(lèi)的一系列底層邏輯初始化。

應(yīng)用根據(jù)用戶(hù)請(qǐng)求進(jìn)行響應(yīng)。

和Session方式存儲(chǔ)id的差異

Session方式存儲(chǔ)用戶(hù)id的最大弊病在于要占用大量服務(wù)器內(nèi)存，對(duì)于較大型應(yīng)用而言可能還要保存許多的狀態(tài)。一般而言，大型應(yīng)用還需要借助一些KV數(shù)據(jù)庫(kù)和一系列緩存機(jī)制來(lái)實(shí)現(xiàn)Session的存儲(chǔ)。

而JWT方式將用戶(hù)狀態(tài)分散到了客戶(hù)端中，可以明顯減輕服務(wù)端的內(nèi)存壓力。除了用戶(hù)id之外，還可以存儲(chǔ)其他的和用戶(hù)相關(guān)的信息，例如該用戶(hù)是否是管理員、用戶(hù)所在的分桶（見(jiàn)[《你所應(yīng)該知道的A/B測(cè)試基礎(chǔ)》一文](/2015/08/27/introduction-to-ab-testing/）等。

雖說(shuō)JWT方式讓服務(wù)器有一些計(jì)算壓力（例如加密、編碼和解碼），但是這些壓力相比磁盤(pán)I/O而言或許是半斤八兩。具體是否采用，需要在不同場(chǎng)景下用數(shù)據(jù)說(shuō)話(huà)。

單點(diǎn)登錄

Session方式來(lái)存儲(chǔ)用戶(hù)id，一開(kāi)始用戶(hù)的Session只會(huì)存儲(chǔ)在一臺(tái)服務(wù)器上。對(duì)于有多個(gè)子域名的站點(diǎn)，每個(gè)子域名至少會(huì)對(duì)應(yīng)一臺(tái)不同的服務(wù)器，例如：

• www.taobao.com

• nv.taobao.com

• nz.taobao.com

• login.taobao.com

所以如果要實(shí)現(xiàn)在login.taobao.com登錄后，在其他的子域名下依然可以取到Session，這要求我們?cè)诙嗯_(tái)服務(wù)器上同步Session。

使用JWT的方式則沒(méi)有這個(gè)問(wèn)題的存在，因?yàn)橛脩?hù)的狀態(tài)已經(jīng)被傳送到了客戶(hù)端。因此，我們只需要將含有JWT的Cookie的domain設(shè)置為頂級(jí)域名即可，例如

1	Set-Cookie: jwt=lll.zzz.xxx; HttpOnly; max-age=980000; domain=.taobao.com

注意domain必須設(shè)置為一個(gè)點(diǎn)加頂級(jí)域名，即.taobao.com。這樣，taobao.com和*.taobao.com就都可以接受到這個(gè)Cookie，并獲取JWT了。

上述就是小編為大家分享的八幅漫畫(huà)理解使用JSON Web Token設(shè)計(jì)單點(diǎn)登錄系統(tǒng)了，如果剛好有類(lèi)似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

當(dāng)前題目：怎樣使用JSONWebToken設(shè)計(jì)單點(diǎn)登錄系統(tǒng)
網(wǎng)站網(wǎng)址：http://chinadenli.net/article38/ihpdpp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站維護(hù)、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)、企業(yè)建站、標(biāo)簽優(yōu)化、網(wǎng)站設(shè)計(jì)、ChatGPT

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)