⽆状态登录原理
在讲解无状态登录的前提下,我们先了解一下什么是有状态登录?
什么是有状态?
有状态服务,即服务端需要记录每次会话的客户端信息,从⽽识别客户端身份,根据⽤户身份进⾏请求的处理,典型的设计如tomcat中session。
例如登录:⽤户登录后,我们把登录者的信息保存在服务端session中,并且给⽤户⼀个cookie值,记录对应的session。然后下次请求,⽤户携带cookie值来,我们就能识别到对应session,从⽽找到⽤户的信息。
缺点是什么?
- 服务端保存⼤量数据,增加服务端压⼒
- 服务端保存⽤户状态,⽆法进⾏⽔平扩展
- 客户端请求依赖服务端,多次请求必须访问同⼀台服务器
什么是⽆状态
微服务集群中的每个服务,对外提供的都是Rest⻛格的接⼝。⽽Rest⻛格的⼀个最重要的规范就是:
服务的⽆状态性,即:
- 服务端不保存任何客户端请求者信息
- 客户端的每次请求必须具备⾃描述信息,通过这些信息识别客户端身份带来的好处是什么呢?
- 客户端请求不依赖服务端的信息,任何多次请求不需要必须访问到同⼀台服务
- 服务端的集群和状态对客户端透明
- 服务端可以任意的迁移和伸缩
- 减⼩服务端存储压⼒
如何实现⽆状态
⽆状态登录的流程:
- 当客户端第⼀次请求服务时,服务端对⽤户进⾏信息认证(登录)
- 认证通过,将⽤户信息进⾏加密形成token,返回给客户端,作为登录凭证
- 以后每次请求,客户端都携带认证的token服务端对token进⾏解密,判断是否有效。
- 服务端对token进⾏解密,判断是否有效。
流程图如下:
整个登录过程中,最关键的点是什么?
token的安全性
token是识别客户端身份的唯⼀标示,如果加密不够严密,被⼈伪造那就完蛋了。
采⽤何种⽅式加密才是安全可靠的呢?
我们将采⽤ JWT + RSA⾮对称加密
下面我们就针对上面的问题引入JWT,看一下JWT是如果解决上面token的安全性的问题的。
JWT简介
JWT,全称是Json Web Token, 是JSON⻛格轻量级的授权和身份认证规范,可实现⽆状态、分布式的Web应⽤授权;官⽹:https://jwt.io,JWT的github地址:https://github.com/jwtk/jjwt
JWT数据格式
JWT包含三部分数据:
-
Header:头部,通常头部有两部分信息:
- 声明类型,这⾥是JWT
- 加密算法,⾃定义
我们会对头部进⾏base64加密(可解密),得到第⼀部分数据
-
Payload:载荷,就是有效数据,⼀般包含下⾯信息:
- ⽤户身份信息(注意,这⾥因为采⽤base64加密,可解密,因此不要存放敏感信息)
- 注册声明:如token的签发时间,过期时间,签发⼈等
这部分也会采⽤base64加密,得到第⼆部分数据
- Signature:签名,是整个数据的认证信息。⼀般根据前两步的数据,再加上服务的的密钥(secret)(不要泄漏,最好周期性更换),通过加密算法⽣成。⽤于验证整个数据完整和可靠性
⽣成的数据格式如下:
可以看到分为3段,每段就是上⾯的⼀部分数据
JWT交互流程
流程图如下:
步骤翻译:
1、⽤户登录
2、服务的认证,通过后根据secret⽣成token
3、将⽣成的token返回给浏览器
4、⽤户每次请求携带token
5、服务端利⽤公钥解读jwt签名,判断签名有效后,从Payload中获取⽤户信息
6、处理请求,返回响应结果
因为JWT签发的token中已经包含了⽤户的身份信息,并且每次请求都会携带,这样服务的就⽆需保存⽤
户信息,甚⾄⽆需去数据库查询,完全符合了Rest的⽆状态规范。
结合Zuul的鉴权流程
我们逐步演进系统架构设计。需要注意的是:secret是签名的关键,因此⼀定要保密,我们放到鉴权中⼼保存,其它任何服务中都不能获取secret。
没有RSA加密时
在微服务架构中,我们可以把服务的鉴权操作放到⽹关中,将未通过鉴权的请求直接拦截,如图:
流程解释:
1、⽤户请求登录
2、Zuul将请求转发到授权中⼼,请求授权
3、授权中⼼校验完成,颁发JWT凭证
4、客户端请求其它功能,携带JWT
5、Zuul将jwt交给授权中⼼校验,通过后放⾏
6、⽤户请求到达微服务
7、微服务将jwt交给鉴权中⼼,鉴权同时解析⽤户信息
8、鉴权中⼼返回⽤户数据给微服务
9、微服务处理请求,返回响应
发现什么问题了?
每次鉴权都需要访问鉴权中⼼,系统间的⽹络请求频率过⾼,效率略差,鉴权中⼼的压⼒较⼤。
结合RSA的鉴权
使用这个方式之前,咱们先大概了解一下RSA非对称加密。
⾮对称加密
加密技术是对信息进⾏编码和解码的技术,编码是把原来可读信息(⼜称明⽂)译成代码形式(⼜称密
⽂),其逆过程就是解码(解密),加密技术的要点是加密算法,加密算法可以分为三类:
- 对称加密,如AES
- 基本原理:将明⽂分成N个组,然后使⽤密钥对各个组进⾏加密,形成各⾃的密⽂,最后把所有的分组密⽂进⾏合并,形成最终的密⽂。
- 优势:算法公开、计算量⼩、加密速度快、加密效率⾼
- 缺陷:双⽅都使⽤同样密钥,安全性得不到保证
- ⾮对称加密,如RSA
- 基本原理:同时⽣成两把密钥:私钥和公钥,私钥隐秘保存,公钥可以下发给信任客户端
- 私钥加密,持有私钥或公钥才可以解密
- 公钥加密,持有私钥才可解密
- 优点:安全,难以破解
- 缺点:算法⽐较耗时
- 基本原理:同时⽣成两把密钥:私钥和公钥,私钥隐秘保存,公钥可以下发给信任客户端
- 不可逆加密,如MD5,SHA
- 基本原理:加密过程中不需要使⽤密钥,输⼊明⽂后由系统直接经过加密算法处理成密⽂,这种加密后的数据是⽆法被解密的,⽆法根据密⽂推算出明⽂。
RSA算法历史:
1977年,三位数学家Rivest、Shamir 和 Adleman 设计了⼀种算法,可以实现⾮对称加密。这种算法⽤他们三个⼈的名字缩写:RSA
了解了RSA非对称加密之后咱们在说回结合RSA加密方式怎么来实现JWT鉴权流程。
直接看下面的流程图:
流程解释:
1、我们⾸先利⽤RSA⽣成公钥和私钥。私钥保存在授权中⼼,公钥保存在Zuul和各个微服务
2、⽤户请求登录
3、授权中⼼校验,通过后⽤私钥对JWT进⾏签名加密
4、返回jwt给⽤户
5、⽤户携带JWT访问
6、Zuul直接通过公钥解密JWT,进⾏验证,验证通过则放⾏
7、请求到达微服务,微服务直接⽤公钥解析JWT,获取⽤户信息,⽆需访问授权中⼼
