牛逼! 8 幅漫画让你秒懂单点登录系统
点击关注公众号,回复“1024”获取2TB学习资源!
我尝试用八幅漫画先让大家理解如何设计正常的用户认证系统,然后再延伸到单点登录系统。
JWT 简介
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。
让我们来假想一下一个场景。在A用户关注了B用户的时候,系统发邮件给B用户,并且附有一个链接“点此关注A用户”。链接的地址可以是这样的
https://your.awesome-app.com/make-friend/?from_user=B&target_user=A
上面的URL主要通过URL来描述这个当然这样做有一个弊端,那就是要求用户B用户是一定要先登录的。可不可以简化这个流程,让B用户不用登录就可以完成这个操作。JWT就允许我们做到这点。
JWT 的组成
一个JWT实际上就是一个字符串,它由三部分组成:头部、载荷与签名。
载荷(Payload)
我们先将上面的添加好友的操作描述成一个JSON对象。其中添加了一些其他的信息,帮助今后收到这个JWT的服务器理解这个JWT。
{"iss": "John Wu JWT","iat": 1441593502,"exp": 1441594722,"aud": "www.example.com","sub": "jrocket@example.com","from_user": "B","target_user": "A"
}
这里面的前五个字段都是由JWT的标准所定义的。
iss: 该JWT的签发者
sub: 该JWT所面向的用户
aud: 接收该JWT的一方
exp(expires): 什么时候过期,这里是一个Unix时间戳
iat(issued at): 在什么时候签发的
这些定义都可以在标准中找到。
将上面的JSON对象进行[base64编码]
可以得到下面的字符串。这个字符串我们将它称作JWT的Payload(载荷)。
eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9
如果你使用Node.js,可以用Node.js的包base64url来得到这个字符串。
var base64url = require('base64url')
var header = {"from_user": "B","target_user": "A"
}
console.log(base64url(JSON.stringify(header)))
// 输出:eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9
头部(Header)
JWT还需要一个头部,头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。
{"typ": "JWT","alg": "HS256"
}
在这里,我们说明了这是一个JWT,并且我们所用的签名算法(后面会提到)是HS256算法。
对它也要进行Base64编码,之后的字符串就成了JWT的Header(头部)。
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
签名(签名)
将上面的两个编码后的字符串都用句号.连接在一起(头部在前),就形成了
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0
这一部分的过程在node-jws的源码中有体现
最后,我们将上面拼接完的字符串用HS256算法进行加密。在加密的时候,我们还需要提供一个密钥(secret)。如果我们用mystar作为密钥的话,那么就可以得到我们加密后的内容
rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
这一部分又叫做签名。
最后将这一部分签名也拼接在被签名的字符串后面,我们就得到了完整的JWT
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
于是,我们就可以将邮件中的URL改成
https://your.awesome-app.com/make-friend/?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
这样就可以安全地完成添加好友的操作了!
用户认证八步走
所谓用户认证(Authentication),就是让用户登录,并且在接下来的一段时间内让用户访问网站时可以使用其账户,而不需要再次登录的机制。
小知识:可别把用户认证和用户授权(Authorization)搞混了。用户授权指的是规定并允许用户使用自己的权限,例如发布帖子、管理站点等。
首先,服务器应用(下面简称“应用”)让用户通过Web表单将自己的用户名和密码发送到服务器的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。
接下来,应用和数据库核对用户名和密码。
核对用户名和密码成功后,应用将用户的id(图中的user_id)作为JWT Payload的一个属性,将其与头部分别进行Base64编码拼接后签名,形成一个JWT。这里的JWT就是一个形同lll.zzz.xxx的字符串。
应用将JWT字符串作为该请求Cookie的一部分返回给用户。注意,在这里必须使用HttpOnly属性来防止Cookie被JavaScript读取,从而避免跨站脚本攻击(XSS攻击)。
在Cookie失效或者被删除前,用户每次访问应用,应用都会接受到含有jwt的Cookie。从而应用就可以将JWT从请求中提取出来。
应用通过一系列任务检查JWT的有效性。例如,检查签名是否正确;检查Token是否过期;检查Token的接收方是否是自己(可选)。
应用在确认JWT有效之后,JWT进行Base64解码(可能在上一步中已经完成),然后在Payload中读取用户的id值,也就是user_id属性。这里用户的id为1025。
应用从数据库取到id为1025的用户的信息,加载到内存中,进行ORM之类的一系列底层逻辑初始化。
应用根据用户请求进行响应。
单点登录
Session方式来存储用户id,一开始用户的Session只会存储在一台服务器上。对于有多个子域名的站点,每个子域名至少会对应一台不同的服务器,例如:
www.taobao.com
nv.taobao.com
nz.taobao.com
login.taobao.com
所以如果要实现在login.taobao.com登录后,在其他的子域名下依然可以取到Session,这要求我们在多台服务器上同步Session。
使用JWT的方式则没有这个问题的存在,因为用户的状态已经被传送到了客户端。因此,我们只需要将含有JWT的Cookie的domain设置为顶级域名即可,例如
Set-Cookie: jwt=lll.zzz.xxx; HttpOnly; max-age=980000; domain=.taobao.com
注意domain必须设置为一个点加顶级域名,即.taobao.com。这样,taobao.com和*.taobao.com就都可以接受到这个Cookie,并获取JWT了。
作者:子回(John Wu)
blog.leapoahead.com/2015/09/07/user-authentication-with-jwt/
推荐阅读 点击标题可跳转
牛逼哄哄的全链路监控系统!搭建起来没那么难
怎么办?不到 20 人的 IT 公司我该去吗?
华为:活下来!或将卖掉 X86 服务器业务?
吊炸天 !京东开源!单机 QPS 高达 37万
装逼神器,用起来真香!网友们直呼 666
牛逼,竟然有人开源躺平学习资料!
2021 最牛逼的监控系统,它始终位列第一!
Spring Batch 批处理框架,真的强啊!!
速来!整理了 25 个 PDF 电子书免费下载
PS:因为公众号平台更改了推送规则,如果不想错过内容,记得读完点一下“在看”,加个“星标”,这样每次新文章推送才会第一时间出现在你的订阅列表里。
随手在看、转发是最大的支持!
牛逼! 8 幅漫画让你秒懂单点登录系统相关推荐
- 漫画图解JWT设计单点登录系统
JSON Web Token(JWT)是一个非常轻巧的规范.这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息. 让我们来假想一下一个场景.在A用户关注了B用户的时候,系统发邮件给B用户, ...
- 区块链到底是个什么鬼,一幅漫画让你秒懂
区块链到底是个什么鬼,一幅漫画让你秒懂 字体: 小 中 大 | 打印发布: 2018-1-12 10:58 作者: n 来源: 21世纪经济报道 查看: 930 次 区块链技 ...
- 八幅漫画理解 JWT 设计的单点登录系统
来自:https://u.nu/2k4wk JSON Web Token(JWT)是一个非常轻巧的规范.这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息. 让我们来假想一下一个场景.在A ...
- 八幅漫画理解使用 JWT 设计的单点登录系统
程序员的成长之路 互联网/程序员/技术/资料共享 关注 阅读本文大概需要 6 分钟. 来自:https://u.nu/2k4wk JSON Web Token(JWT)是一个非常轻巧的规范.这个规范允 ...
- 牛逼了!github上一个 身份证号码识别系统
前言 最近发现一个有趣的项目. 这个项目是通过学习https://gitee.com/nbsl/idCardCv 后整合 tess4j,不需要经过训练直接使用的,当然,你也可以进行训练后进行使用. 该 ...
- 单点登录系统用 8 张漫画就解释了
以下文章来源方志朋的博客,回复"666"获面试宝典 来源:http://blog.leapoahead.com/2015/09/07/user-authentication-wit ...
- 厉害了!单点登录系统用 8 张漫画就解释了。。。
JSON Web Token(JWT)是一个非常轻巧的规范.这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息. 让我们来假想一下一个场景.在A用户关注了B用户的时候,系统发邮件给B用户, ...
- 求求你别再写上千行的类了,试试 IDEA 这些牛逼的重构技巧吧!
原文:juejin.cn/post/6844904038383747086 答应我,别再写上千行的类了好吗 最近在对已有项目进行扩展的时候,发现要改动的一个类它长766行,开放了近40个public接 ...
- 漫画:大数据的社交牛逼症是怎么得的?
图文原创:谭婧 指导专家:鲁蔚征 用户在APP里不是静止的,买买,逛逛,点点,划划就会产生海量行为数据. 很多人可能不知道,手机APP里有很多"埋点". 你在手机APP里的动 ...
最新文章
- 微信公众号分享链接自定义hash值的处理
- C语言嵌入式系统编程修炼之四:屏幕操作
- django中的admin组件之自定义组件的增删改查的完善
- linux rm 命令删除文件恢复_Linux之恢复误删除文件
- linux tbb 安装_Ubuntu18.04 GCC9 安装
- mysql 字符串截取_mysql数据库13种常用函数方法总结
- 洛谷——P2820 局域网
- 软件开发整理的一些工具
- iOS 信号量解决-网络异步请求的数据同步返回问题
- 文后参考文献著录规则 GB/T 7714-2005
- STM32F4移植ucos_II
- struct和typedef struct的用法和区别
- 短视频引流拓客涨粉的逻辑
- 斗图表情包爬虫(基于多线程)
- 简单实现图片多选功能
- Eclipse快捷键,IDEA中使用Eclipse快捷键
- The following packages have unmet dependencies: build-essential : Depends: libc6-dev but it is not
- SDN环境搭建和基本功能验证
- 支持向量机(一)——深入理解函数间隔与几何间隔
- 吴恩达深度学习课程之第四门课 卷积神经网络 第二周 深度卷积网络
热门文章
- 使用Log-Pilot + logstash+Elasticsearch + Kibana 收集 kubernetes 日志
- 现在投资加密货币晚了吗?
- “开源 · 开放 · 共享 · 创新” 「2022 木兰峰会」议程公布!
- Android开源库V - Layout,适用于电商首页、活动页多布局的Layout
- Homekit智能家居DIY一智能通断开关
- 将图片存储到mysql数据库
- c++版MC(我的世界)
- ESP32驱动3.2寸ILI9341显示屏+XPT2046触摸,GUIslice用户图形库
- B站韩顺平老师超全超详细的Java企业级学习路线图(后期整理每一小部分的学习内容)
- 微课程在线教育付费直播平台系统