http协议特性:无状态(无法保留用户的状态(比如登录状态))
session:服务端提供了一种session机制,对于每个用户的请求,会生成一个唯一的标识,当程序为某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求是否包含了一个session标识-session id,如果包含一个session id则说明服务器已经为客户端创建了一个session,服务器按照session id把这个session检索出来使用(如果检索不到,会新建一个),如果客户端请求不包含sessionid,则为此客户端创建一个session并且生成一个与此session相关联的session id,session id的值是一个既不会重复,又不容易被找到规律的仿造字符串,“客户端是如何存储sessionid的呢?”
cookie:浏览器提供了一种cookie机制,保存当前会话的唯一标识,每次HTTP请求,客户端都会发送相应的cookie信息到服务器端,客户端第一次请求,由于cookie中并没有携带sessionid,服务端会创建一个sessionid,写入到客户端的cookie中,以后每次请求都会携带这个id给服务器端,这样一来便解决了无状态的问题。”如果浏览器禁用了cookie,一般会通过URL重写的方式来进行会话,也就是在URL中携带sessionid,还有一种方式就是在header携带sessionid“
在集群或者分布式环境中,对于客户端的请求,会采用负载均衡算法将客户端请求分配到不同的后端服务器(负载均衡算法:轮询算法或者轮询加权算法,随机算法或者随机加权算法,hash算法,最小连接数),那么将导致session共享问题,如何解决session共享问题:
第一种:tomcat之间session复制(tomcat可以实现session复制),这种方案存在的问题:存在session同步造成网络开销、延迟问题,如果集群规模越大,每个节点需要保存集群中所有节点的session数据,占用内存很大问题,不建议使用。
第二种:集群中各个节点的session数据统一在redis集中式存储,很多中小型公司都选择使用这种方式(redis主从热备),这种方式存在的问题:读写session数据需要进行网络操作,存在不稳定性和延迟性,如果存储session的redis服务器出现故障,将大规模的影响到应用。
以上这两种方案都存在不理想的地方,那么有更好的方案吗?
基于JWT实现的交互(网址:https://jwt.io/)
JWT强调的是服务端不对token进行存储,而是直接通过签名算法验证并解密token得到相应数据进行处理。
jwt token由三部分组成,头部(header)、有效载荷(payload)、签名(signature),
header格式:typ和alg分别对应的全称是type(类型)和algorithm(算法),类型可以自定义,alg:hs256表示当前token是使用HS256算法来进行加密的。
{
"alg": "HS256",
"typ": "JWT"
}
payload里面是token的具体内容,也就是一个json字符串,用来承载要传递的数据,所以payload的json结构实际上是对JWT要传递的数据的一组声明,这些声明被JWT标准称为claims,JWT默认提供了一些标准的claim,具体内容如下:
iss(Issuser):代表jwt的签发主体;
sub(Subject):代表jwt的主体,即它的所有人;
aud(Audience):代表jwt的接收对象;
exp(Expiration time):是一个时间戳,代表jwt的过期时间;
nbf(Not Before):是一个时间戳,代表jwt生效的开始时间,意味着在这个时间之前验证jwt是会失败的;
iat(Issued at):是一个时间戳,代表jwt的签发时间;
jti(JWT ID):代表JWT的唯一标识;
按照JWT标准说明:标准的claims都是可选的,在生成payload不强制用上面的那些claim,完全可以按照自己的想法来定义playload结构。
signature:
创建签名需要使用编码后的header和payload以及一个密钥,使用header中指定的签名算法进行签名,组成格式如下:
header(base64编码后的内容)
payload(base64编码后的内容)
secret(是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以secret就是服务器端的私钥,在任何场景都不应该泄露出去。)
signature=hs256(base64(header)+"."+base64(payload),secret)
最后将构成完整的JWT=base64(header)+"."+base64(payload)+"."+signature
