JWT实现分布式登陆认证方案

末蓝、 2022-01-29 00:15 208阅读 0赞

最近做基于[BFF架构][BFF]的分布式移动端API接口的系统设计。在这里把关于JWT常见的一些疑问统一回答下吧。

1.  JWT认证方案

[JSON Web Token (JWT)][JSON Web Token _JWT]是一种基于 token 的认证方案。  
JSON Web Tokens are an open, industry standard [RFC 7519][] method for representing claims securely between two parties.  
简单的说，JWT就是一种Token的编码算法，服务器端负责根据一个密码和算法生成Token，然后发给客户端，客户端只负责后面每次请求都在HTTP header里面带上这个Token，服务器负责验证这个Token是不是合法的，有没有过期等，并可以解析出subject和claim里面的数据。

注意JWT里面的数据是BASE64编码的，没有加密，因此不要放如敏感数据。

可以通过[https://jwt.io/][https_jwt.io]这个网站对JWT Token进行解析。  
  
一个JWT token 看起来是这样的:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjEzODY4OTkxMzEsImlzcyI6ImppcmE6MTU0ODk1OTUiLCJxc2giOiI4MDYzZmY0Y2ExZTQxZGY3YmM5MGM4YWI2ZDBmNjIwN2Q0OTFjZjZkYWQ3YzY2ZWE3OTdiNDYxNGI3MTkyMmU5IiwiaWF0IjoxMzg2ODk4OTUxfQ.uKqU9dTB6gKwG6jQCuXYAiMNdfNRw98Hw_IWuA5MaMo

可以简化为下面这样的结构:

base64url_encode(Header) + '.' + base64url_encode(Claims) + '.' + base64url_encode(Signature)

1.  JWT优势

JWT只通过算法实现对Token合法性的验证，不依赖数据库，Memcached的等存储系统，因此可以做到跨服务器验证，只要密钥和算法相同，不同服务器程序生成的Token可以互相验证。

1.  JWT Token需要持久化在Memcached中吗？  
    不应该这样做，这样就背离了JWT通过算法验证的初心。
2.  在退出登录时怎样实现JWT Token失效呢？  
    退出登录， 只要客户端端把Token丢弃就可以了，服务器端不需要废弃Token。
3.  怎样保持客户端长时间保持登录状态？

服务器端提供刷新Token的接口， 客户端负责按一定的逻辑刷新服务器Token。

1.  服务器端是否应该从JWT中取出userid用于业务查询？

REST API是无状态的，意味着服务器端每次请求都是独立的，即不依赖以前请求的结果，因此也不应该依赖JWT token做业务查询， 应该在请求报文中单独加个userid 字段。  
为了做用户水平越权的检查，可以在业务层判断传入的userid和从JWT token中解析出的userid是否一致， 有些业务可能会允许查不同用户的数据。

1.  JWT Java项目实现

生成Token

String token = Jwts.builder().setSubject(userId)
                  .setExpiration(new Date(System.currentTimeMillis() + Constant.TOKEN_EXP_TIME))
                  .claim("roles", userId).setIssuedAt(new Date())
                  .signWith(SignatureAlgorithm.HS256, "testwebtoken@20200901").compact();
          loginResponse.setToken(token);

验证JWT Token

final String authHeader = request.getHeader("Authorization");
    
         if (authHeader == null || !authHeader.startsWith("token+")) {
            log.debug("no Authorization ", e);
             return;
         } else {
             try {
                 final String token = authHeader.substring(7); // The part after "Bearer "
                 log.debug("token " + token);
    
                 final Claims claims = Jwts.parser().setSigningKey("testwebtoken@20200901")
                         .parseClaimsJws(token).getBody();
                 log.debug(claims.toString());
             } catch (SignatureException e) {
    	        throw new Exception("token签名异常");
    	    } catch (IllegalArgumentException e) {
    	        throw new Exception("非法token");
    	    } catch (Exception e) {
    	        throw new Exception("验证token异常");
    	    }
         }

注意客户端发送的Authorization HTTP HEADER格式是 "token+YOUR\_JWT\_TOKEN",这是OAuth的规范规定的。

[BFF]: https://link.jianshu.com?t=http://samnewman.io/patterns/architectural/bff/
[JSON Web Token _JWT]: https://link.jianshu.com?t=http://tools.ietf.org/html/rfc7519
[RFC 7519]: https://link.jianshu.com?t=https://tools.ietf.org/html/rfc7519
[https_jwt.io]: https://link.jianshu.com?t=https://jwt.io/