微服務用戶狀態保持（JWT與Session公共服務）

本文轉載自查看原文 2019-07-10 11:24 1167 微服務

2017.3.1 微服務

在做微服務中做單點登錄的時候，需要記住用戶的狀態，而記住用戶狀態大致有兩種思路：一是把用戶狀態放在客戶端（瀏覽器）叫做JWT（ JSON Web Token）；另一種就是放在服務端，做成一個公共的服務，每個服務組件通過內部網關都可以訪問用戶的數據，這種相當於把session持久化，通常的做法是放在redis數據庫中，當然其他數據庫也可以，只要對速度沒有什么太嚴格的要求。

JWT：

一個典型的jwt：eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JWT 的三個部分依次如下。

Header（頭部）

Payload（負載）

Signature（簽名）

Header.Payload.Signature

Header 部分是一個 JSON 對象，描述 JWT 的元數據，通常是下面的樣子。

{

"alg": "HS256",

"typ": "JWT"}

上面代碼中，alg屬性表示簽名的算法（algorithm），默認是 HMAC SHA256（寫成 HS256）；typ屬性表示這個令牌（token）的類型（type），JWT 令牌統一寫為JWT。

最后，將上面的 JSON 對象使用 Base64URL 算法（詳見后文）轉成字符串。

Payload

Payload 部分也是一個 JSON 對象，用來存放實際需要傳遞的數據。JWT 規定了7個官方字段，供選用。

iss (issuer)：簽發人

exp (expiration time)：過期時間

sub (subject)：主題

aud (audience)：受眾

nbf (Not Before)：生效時間

iat (Issued At)：簽發時間

jti (JWT ID)：編號

除了官方字段，你還可以在這個部分定義私有字段，下面就是一個例子。

{

"sub": "1234567890",

"name": "John Doe",

"admin": true}

注意，JWT 默認是不加密的，任何人都可以讀到，當然你可以對這個進行加密

這個 JSON 對象也要使用 Base64URL 算法轉成字符串。

Signature

Signature 部分是對前兩部分的簽名，防止數據篡改。

首先，需要指定一個密鑰（secret）。這個密鑰只有服務器才知道，不能泄露給用戶。然后，使用 Header 里面指定的簽名算法（默認是 HMAC SHA256），按照下面的公式產生簽名。

HMACSHA256(

base64UrlEncode(header) + "." +

base64UrlEncode(payload),

secret)

算出簽名以后，把 Header、Payload、Signature 三個部分拼成一個字符串，每個部分之間用"點"（.）分隔，就可以返回給用戶。

Base64URL

前面提到，Header 和 Payload 串型化的算法是 Base64URL。這個算法跟 Base64 算法基本類似，但有一些小的不同。

JWT 作為一個令牌（token），有些場合可能會放到 URL（比如 api.example.com/?token=xxx）。Base64 有三個字符+、/和=，在 URL 里面有特殊含義，所以要被替換掉：=被省略、+替換成-，/替換成_ 。這就是 Base64URL 算法。

對應JWT，還有一個重要的概念就是零知識證明：

零知識證明(Zero—Knowledge Proof)，是由S.Goldwasser、S.Micali及C.Rackoff在20世紀80年代初提出的。它指的是證明者能夠在不向驗證者提供任何有用的信息的情況下，使驗證者相信某個論斷是正確的。零知識證明實質上是一種涉及兩方或更多方的協議，即兩方或更多方完成一項任務所需采取的一系列步驟。證明者向驗證者證明並使其相信自己知道或擁有某一消息，但證明過程不能向驗證者泄漏任何關於被證明消息的信息。大量事實證明，零知識證明在密碼學中非常有用。如果能夠將零知識證明用於驗證，將可以有效解決許多問題。

而jwt就是一種零知識證明的方式。

JWT 不僅可以用於認證，也可以用於交換信息。有效使用 JWT，可以降低服務器查詢數據庫的次數。

JWT 本身包含了認證信息，一旦泄露，任何人都可以獲得該令牌的所有權限。為了減少盜用，JWT 的有效期應該設置得比較短。對於一些比較重要的權限，使用時應該再次對用戶進行認證。

為了減少盜用，JWT 不應該使用 HTTP 協議明碼傳輸，要使用 HTTPS 協議傳輸。

JWT 的最大缺點是，由於服務器不保存 session 狀態，因此無法在使用過程中廢止某個 token，或者更改 token 的權限。也就是說，一旦 JWT 簽發了，在到期之前就會始終有效，除非服務器部署額外的邏輯。

而服務端對於用戶狀態是有許多的操作需求的。所以有另一種session公共服務的方式：

而對於cookie跨域和安全性的改進就是OAuth2 協議。它定義了每次會話的token，每次訪問都會改變。參見：xxxxxx

業務服務拿着token去session公共服務，去兌換真正的用戶信息。而token方式則最大保證了安全性。

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 Webservice服務中如何保持Session Session和幾種狀態保持方案理解 flask 狀態保持session和上下文session的區別微服務 session 共享的問題 Spring Cloud微服務（一）：公共模塊的搭建 ASP.NET MVC中使用Session來保持表單的狀態 Django中狀態保持總結[Cookie,session,的概述，特點，用法] Python爬蟲之Requests模塊session進行登錄狀態保持 SpringSecurity-JWT-微服務授權項目 spring security 之通過 token 驗證用戶保持登錄狀態