微服务中,如果我们使用session来鉴别用户的身份,session保存在服务器端,那就会有session共享问题,而且对服务端的压力也大。当然,你会说,使用rediss解决session共享问题,这也是可以的。但是,有没有一种不需要自己存放session信息就能实现身份验证的方式呢?使用Token即可!JWT(JSON Web Token)就是这种范式实行的,通过这种方式服务端就不需要保存session数据了,只用在客户端保存服务端返回给客户的Token就可以了,扩展性得到提升。
JWT本质上就是一段签名的json格式的数据。由于它是带有签名的,因此接受者便可以验证它的真实性。
- Header :描述JWT的元数据。定义了生成签名的算法以及Token的类型。
- PayLoad(负载):用来存放实际需要传递的数据
- Signature(签名):服务器通过Payload、Header和一个密钥(secret)和使用Header里面指定的签名算法(默认是HMAC SHA256)生成;
在基于Token进行身份验证的应用程序中,服务器通过Payload、Header和一个密钥(secret)创建令牌(Token)并将Token发送给客户端,客户端将Token保存在cookie或者localStorage里面,以后客户端发出的所有请求都会携带这个令牌。你可以把它放在cookie里面自动发送,但是这样不能跨域,所以更好的做法是放在HTTP Header的Authoization字段中:BearerToken
1、用户向服务器发送用户名和密码用于登陆系统。
2、算法验证服务响应并返回了签名的JWT,上面包含了优化是谁的内容。
3、用户以后每次向后端发请求都在Header中带上JWT。
4、服务端检查JWT并从中获取用户相关消息。
