免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

1.COOKIE使用和優(yōu)缺點

1.1cookie原理：用戶名 密碼

• cookie是保存在用戶瀏覽器端，用戶名和密碼等明文信息

1.2 session使用原理

• session是存儲在服務(wù)器端的一段字符串,相當(dāng)于字典的key

• 1.用戶向服務(wù)器發(fā)送用戶名和密碼。
• 2.驗證服務(wù)器后，相關(guān)數(shù)據(jù)（如用戶角色，登錄時間等）將保存在當(dāng)前會話中。
• 3.服務(wù)器向用戶返回session_id，session信息都會寫入到用戶的Cookie。
• 4.用戶的每個后續(xù)請求都將通過在Cookie中取出session_id傳給服務(wù)器。
• 5.服務(wù)器收到session_id并對比之前保存的數(shù)據(jù)，確認(rèn)用戶的身份

1.3 session使用缺點

• 1.這種模式最大的問題是，沒有分布式架構(gòu)，無法支持橫向擴展。
• 2.如果使用一個服務(wù)器，該模式完全沒有問題。
• 3.但是，如果它是服務(wù)器群集或面向服務(wù)的跨域體系結(jié)構(gòu)的話，則需要一個統(tǒng)一的session數(shù)據(jù)庫庫
• 來保存會話數(shù)據(jù)實現(xiàn)共享，
• 4.這樣負(fù)載均衡下的每個服務(wù)器才可以正確的驗證用戶身份。

1.4 常用解決session方法

• 1.一種解決方式是通過持久化session數(shù)據(jù)，寫入數(shù)據(jù)庫或文件持久層等。

• 2.收到請求后，驗證服務(wù)從持久層請求數(shù)據(jù)

• 3.依賴于持久層的數(shù)據(jù)庫或者問題系統(tǒng)，會有單點風(fēng)險 ，如果持久層失敗，整個認(rèn)證體系都會垮掉

• 第一種：沒有session持久化

  • 沒有分布式架構(gòu)，無法支持橫向擴展
  • session默認(rèn)存儲在內(nèi)存中，如果把代碼部署在多臺機器上，session保存到了其中某一臺機器的內(nèi)存中
  • 用戶如果在A機器上登錄，只有A機器的內(nèi)存中存了這個session的key，如果請求nginx路由到B機器，B機器內(nèi)存中沒有這個session數(shù)據(jù)，就需要從新登錄

• 第二種：寫入數(shù)據(jù)庫或文件持久層

  • 解決了橫向擴展問題
  • 數(shù)據(jù)庫持久層出現(xiàn)問題，所有集群都沒辦法登錄， 單點故障
  • 如果數(shù)據(jù)放到mysql中，用戶量過大，查詢很慢，效率很低

2. JWT介紹

2.1 jwt原則

• 最簡單理解：jwt本質(zhì)就是， 把用戶信息通過加密后生成的一個字符串

JWT的原則是在服務(wù)器身份驗證之后，將生成一個JSON對象并將其發(fā)送回用戶{  "UserName": "Chongchong",   "Role": "Admin",   "Expire": "2018-08-08 20:15:56"}之后，當(dāng)用戶與服務(wù)器通信時，客戶在請求中發(fā)回JSON對象，服務(wù)器僅依賴于這個JSON對象來標(biāo)識用戶。 為了防止用戶篡改數(shù)據(jù)，服務(wù)器將在生成對象時添加簽名（有關(guān)詳細(xì)信息，請參閱下文）。 服務(wù)器不保存任何會話數(shù)據(jù)，即服務(wù)器變?yōu)闊o狀態(tài)，使其更容易擴展

2.2 JWT的數(shù)據(jù)結(jié)構(gòu)

• 1. jwt頭：JWT頭部分是一個描述JWT元數(shù)據(jù)的JSON對象

• 2）有效載荷：七個默認(rèn)字段 自定義私有字段

• 3）簽名=HMACSHA256(base64UrlEncode(header) "." base64UrlEncode(payload),secret)

第一部分 ：JWT頭

• base64UrlEncode(header)—>字符串

# JWT頭部分是一個描述JWT元數(shù)據(jù)的JSON對象，通常如下所示。{   "alg": "HS256",   "typ": "JWT"}# 1）alg屬性表示簽名使用的算法，默認(rèn)為HMAC SHA256（寫為HS256）；# 2）typ屬性表示令牌的類型，JWT令牌統(tǒng)一寫為JWT。# 3）最后，使用Base64 URL算法將上述JSON對象轉(zhuǎn)換為字符串保存。

第二部分： 有效載荷 沒有敏感數(shù)據(jù)的用戶信息

base64UrlEncode(payload)—>字符串

#1、有效載荷部分，是JWT的主體內(nèi)容部分，也是一個JSON對象，包含需要傳遞的數(shù)據(jù)。 JWT指定七個默認(rèn) 字段供選擇。'''iss：發(fā)行人exp：到期時間sub：主題aud：用戶nbf：在此之前不可用iat：發(fā)布時間jti：JWTID用于標(biāo)識該JWT'''#2、除以上默認(rèn)字段外，我們還可以自定義私有字段，如下例：{"sub": "1234567890","name": "chongchong","admin": true}#3、注意 默認(rèn)情況下JWT是未加密的，任何人都可以解讀其內(nèi)容，因此不要構(gòu)建隱私信息字段，存放保密信息，以防 止信息泄露。JSON對象也使用Base64 URL算法轉(zhuǎn)換為字符串保存

第三部分： 簽名哈希

• 簽名=HMACSHA256(base64UrlEncode(header) "." base64UrlEncode(payload),secret)

  # 1.簽名哈希部分是對上面兩部分?jǐn)?shù)據(jù)簽名，通過指定的算法生成哈希，以確保數(shù)據(jù)不會被篡改。# 2.首先，需要指定一個密碼（secret），該密碼僅僅為保存在服務(wù)器中，并且不能向用戶公開。# 3.然后，使用標(biāo)頭中指定的簽名算法（默認(rèn)情況下為HMAC SHA256）根據(jù)以下公式生成簽名。# 4.HMACSHA256(base64UrlEncode(header)   "."   base64UrlEncode(payload),secret)# 5.在計算出簽名哈希后，JWT頭，有效載荷和簽名哈希的三個部分組合成一個字符串，每個部分用"."分 隔，就構(gòu)成整個JWT對象

2.3 jwt核心

• 1）給用戶頒發(fā)的token值相當(dāng)于一把鎖，服務(wù)器端的秘鑰相當(dāng)于一把鑰匙

• 2）每次客戶端請求都會攜帶這把鎖，服務(wù)器端用秘鑰去開這把鎖，若果無法打開就證明是偽造的

2.4 jwt特點分析

• 1、JWT的最大缺點是服務(wù)器不保存會話狀態(tài)，所以在使用期間不可能取消令牌或更改令牌的權(quán)

  限，一旦JWT簽發(fā)，在有效期內(nèi)將會一直有效。

• 2、JWT本身包含認(rèn)證信息，因此一旦信息泄露，任何人都可以獲得令牌的所有權(quán)限。

• 3、為了減少盜用和竊取，JWT不建議使用HTTP協(xié)議來傳輸代碼，而是使用加密的HTTPS協(xié)議進行

  傳輸。

間不可能取消令牌或更改令牌的權(quán)

限，一旦JWT簽發(fā)，在有效期內(nèi)將會一直有效。

• 2、JWT本身包含認(rèn)證信息，因此一旦信息泄露，任何人都可以獲得令牌的所有權(quán)限。

• 3、為了減少盜用和竊取，JWT不建議使用HTTP協(xié)議來傳輸代碼，而是使用加密的HTTPS協(xié)議進行

  傳輸。

• 4、JWT不僅可用于認(rèn)證，還可用于信息交換，善用JWT有助于減少服務(wù)器請求數(shù)據(jù)庫的次數(shù)。