jwt shiro springsecurity oauth2

1 实现token的方式概述

在cookie\session\token辨析一文已经知道了token这个概念，里面简单说明了token的组成就是数据+签名，给出了token实现身份验证的流程，并且详细说明了token可以保存的位置（一般在localstrage，也可以在cookie）

就像session有多种实现方式一般，token也有很多实现方式。

session可以通过tomcat实现，也可以通过自定义session然后放在redis实现共享session，解决session跨服务器问题，又或者使用spring框架提供的springsession实现共享session。

而token最开始的实现方式很简单，就是对数据手动加密再返回给前端，然后保存到cookie中，倒是cookie存在跨域无法共享问题，后面出现了JWT，使用jwt生成token再保存到localstrage而解决跨域资源共享问题（CORS）。

2 JWT 实现token

https://www.jianshu.com/p/576dbf44b2ae

https://www.yuque.com/pig4cloud/pig/egcx5x#GV0Nm

2.1什么是JWT

JSON Web Token（简称 JWT）是目前最流行的跨域认证解决方案。

客户端收到服务器返回的 JWT，可以储存在 Cookie 里面，也可以储存在 localStorage。

jwt由三段信息构成的，将这三段信息文本用.链接一起就构成了Jwt字符串。就像下面的字符串

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

第一部分是header，承载两部分信息：

声明类型，这里是jwt
声明加密的算法通常直接使用 HMAC SHA256

完整的头部就像下面这样的JSON：

{
  'typ': 'JWT',
  'alg': 'HS256'
}

通过base64加密得到jwt第一段

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

2.3 第二部分 playload

第二部分是playload，存放有效信息的地方

标准中注册的声明(建议但不强制使用) ：

- iss : jwt签发者

- sub : jwt所面向的用户

- aud : 接收jwt的一方

- exp : jwt的过期时间，这个过期时间必须要大于签发时间

- nbf : 定义在什么时间之前，该jwt都是不可用的.

- iat : jwt的签发时间

- jti : jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击。

公共的声明

公共的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息，因为该部分在客户端可解密.

私有的声明

私有声明是提供者和消费者所共同定义的声明，一般不建议存放敏感信息，因为base64是对称解密的，意味着该部分信息可以归类为明文信息。

比如有这样一个playload

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

将其进行base64加密，得到Jwt的第二部分

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

2.4 第三部分 signature

第三部分是signature，是一个签证信息，由三部分组成：

header (base64后的)
payload (base64后的)
secret

创建signature的伪代码如下

// javascript
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

2.5 使用jwt的注意事项

生成jwt的第三部分signature时，很关键的就是密钥secret，secret是保存在服务器端的，jwt的签发生成也是在服务器端的，secret就是用来进行jwt的签发和jwt的验证，所以，它在任何场景都不应该流露出去。

2.6 最初的Token 和 JWT生成的Token 的区别

相同：

都是访问资源的令牌
都可以记录用户的信息
都是使服务端无状态化
都是只有验证成功后，客户端才能访问服务端上受保护的资源

区别：

Token：服务端验证客户端发送过来的 Token 时，还需要查询数据库获取用户信息，然后验证 Token 是否有效。
JWT：将 Token 和 Payload 加密后存储于客户端，服务端只需要使用密钥解密进行校验（校验也是 JWT 自己实现的）即可，不需要查询或者减少查询数据库，因为 JWT 自包含了用户信息和加密的数据。

3 shiro

3.1 出现shiro的原因

https://www.imooc.com/wenda/detail/543427

早期系统就是简单的使用session实现用户登录管理，而后面出现了安全框架shiro。

为什么session这么简单的方式不用，要用Shiro这种框架来做登录？

首先，你的系统需要用户登录的目的一定是某些页面需要登录才能查看，那么在这些页面中是否都需要加上一个判断if(session.get(xxx) != null)，这样比较繁琐，简单一点应该加上一个Filter，根据URL来过滤用户，这样你需要写一个Filter。---- 这些Shiro已经帮你做好了

然后，你可能需要不同的用户有不同的权限，例如A用户可以修改数据，B用户只有权限查看数据。那么你需要设计一个用户组、权限，给每个方法或者URL加上判断，是否当前登录的用户满足条件。 ---- 这些Shiro已经帮你做好了

用户密码明文保存是不是安全，应不应该MD5加密，是不是应该加盐，你又要写密码加密的代码。 ---- 这些Shiro已经帮你做好了

很多网站带有“记住我”或者“下次自动登录”这样的功能，如果你去自己开发，估计又要花不少时间，还做得不一定安全。 ---- 这些Shiro已经帮你做好了

所以shiro作为一个安全框架，集成了权限认证，管理，筛选等功能，是一个完整的企业级Session 解决方案，它的出现令网站实现安全登录、权限管理的操作更为简便。