springboot登陆token（jwt+token，springsecurity认证方式总结）

基于redis的认证方式分析

redis解决短信验证码时效性    
    
   ，以及使用token的方式判断是否登录的问题    
    
   。(没用jwt)

这里面使用两个拦截器的方式解决：1. 给token有效期刷新 2.判断用户是否已登录

目前验证用户是否已登录    


     


     

，仍然是用到redis和服务端程序去判断




 




 




，这个和使用session的判断方式有点相似   

   

  ，因为也会用到服务端资源    


     


     

。

但是token与session还是有非常大的不同     

     

     
，认证通过后




  




  




，(认证信息)session都是保存在内存中（服务端服务器中）占内存
  


  


 ，如果是分布式的架构     
     
     ，那么也会影响性能




 




 




。

而对于token的方式 




   




   




，认证通过后

 



 



，(认证信息)token都是保存在redis中的               ，即使是分布式系统  




    




    



，对于该token都能拿到   

   

  。也就实现了单点登录 就是在多个系统中












，用户只需一次登录              ，各个系统即可感知该用户已经登录     

     

     
。

且能控制用户登录状态的




  




  




。

jwt分析

头部   



     



     


，载体













，签名

服务端根据秘钥信息    
    
   ，生成jwt(token)    


     


     

，将token作为数据

返回




 




 




，然后用户每次请求过来都在请求头携带该token
  


  


 。

如果用户携带token过来   

   

  ，服务端会用秘钥去解析该token     

     

     
，看是否通过     
     
     。如果通过则代表该用户已登录 




   




   




。

key-value : token-userInfo 存入redis中

可以控制该token的有效期(也就是用户登录的有效期)




  




  




，且能够将用户的一些信息保存到redis中

用户请求到达服务端
  


  


 ，服务端根据秘钥再签发一个jwt(token)     
     
     ，与用户携带的token作比较 




   




   




，如果一致

 



 



，则再去操作redis

security认证授权分析

认证流程：

调用框架方法               ，重写登录认证逻辑  




    




    



，JWT的载体可以存东西

将token返回给用户












，让他每次访问都携带过来

 



 



。

而解析token能得到它里面的载体              ，包含key的信息   



     



     


，能根据这个条件去redis中查找用户是否已经登录已经他的权限信息               。

要让用户注销













，那么就删除redis中的对应k-v    
    
   ，那么如果它再想请求需要登录才能访问的接口    


     


     

，会被jwt拦截器给拦截住  




    




    



。

每次用户访问需要登录才能访问的接口时




 




 




，都会走jwt拦截器这么一个流程












。

网上看到的解决方案

   

   

  ，就是将权限信息也放在jwt的载体中     

     

     
，而不是redis的v中              。这样符合逻辑吗？

答：不行   



     



     


。1.此时的放redis中起到一个单点登录




  




  




，且能做登录超时下线的功能
  


  


 ，能够控制用户的状态













。只使用jwt的话     
     
     ，是无法控制用户登录状态的    
    
   。

如果需要给这个方案加一个token刷新机制呢？

加一个过滤

器 




   




   




，拦截所有请求

 



 



，且在jwt过滤器之前执行    


     


     

。实质上就是刷新该用户对应于redis中的key




 




 




。

如果请求头中没有携带token => 直接放行

如果携带了 => 那么jwt解析token => 去redis中操作 => 判断该key是否过期

=> 是               ，放行

=>否  




    




    



，更新token有效期

再次回顾了security的知识












，三更的那个jwt过滤器是必要的              ，这种方式和session的方式还是具有区别   

   

  。

对于session的方式   



     



     


，(认证信息)session都是保存在内存中（服务端服务器中）占内存 对于token的方式













，认证通过后    
    
   ，(认证信息)token都是保存在redis中的 且重新整合加入了token刷新机制