Json web token (JWT),是为了在网络应用环境声明而执行的一种基于 JSON 的开放标准。特别适用于分布式站点的单点登录 (SSO),用于认证用户身份信息。
假如有以下几个taobao域名:
www.taobao.com nv.taobao.com nz.taobao.com login.taobao.com
我们在其中login.taobao.com登录之后,跳转到www.taobao.com不希望再次登录,这就涉及到了单点登录技术。
实现方法也很简单,就是在在登录成功后,服务器端在httpServletResponse中设置一下主域名的cookie就行了,value是jwt生成的token,这样所有子域名都能访问到这个cookie里面的token(注意必须在同一个浏览器中才能互相访问)。
然后其它子域名访问时,把主域名cookie中获取的token传给服务端,进行验证即可。
多顶级域名下的单点登录
基于 cookie 的单点登录模式有一个弊病在于,其对应的多个站点的顶级域名必须相同。为了解决多顶级域名的站点单点登录,内部开发了一套登录模块,其架构如下:
具体流程图如下:
单点退出问题
jwt的实现,实要完美地失效JWT是没办法做到的,有以下几个方法可以做到失效 JWT token:
1. 将 token 存入 DB(如 Redis)中,失效则删除;但增加了一个每次校验时候都要先从 DB 中查询 token 是否存在的步骤,而且违背了 JWT 的无状态原则(这不就和 session 一样了么?)。
2. 维护一个 token 黑名单,失效则加入黑名单中。
比如创建一个公共的ConcurrentHashMap,当收到logout请求时,把当前请求的token添加到map中,下次请求时在Filter中判断是否在黑名单中,如果是则返回token失效给客户端。
3. 在 JWT 中增加一个版本号字段,失效则改变该版本号。在服务端设置加密的 key 时,为每个用户生成唯一的 key,失效则改变该 key。
Redis方案单点退出
一、将Jwt Token存入Redis中
项目中使用的TokenStore为JwtTokenStore,JwtTokenStore的storeAccessToken是个空方法,我实现了方法,在该方法将token存入redis中,代码如下:
@Bean
public TokenStore tokenStore() {
return new JwtTokenStore(accessTokenConverter()) {
@Override
public void storeAccessToken(OAuth2AccessToken token, OAuth2Authentication authentication) {
//添加Jwt Token白名单,将Jwt以jti为Key存入redis中,并保持与原Jwt有一致的时效性
if (token.getAdditionalInformation().containsKey("jti")) {
String jti = token.getAdditionalInformation().get("jti").toString();
redisTemplate.opsForValue().set(jti, token.getValue(), token.getExpiresIn(), TimeUnit.SECONDS);
}
super.storeAccessToken(token, authentication);
}
};
}二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效
实现JwtClaimsSetVerifier,在verify方法中验证Redis中Jwt Token是否过期,代码如下:
public class RedisJwtClaimsSetVerifier implements JwtClaimsSetVerifier {
......
省略部分代码
......
/**
* 检查jti是否在Redis中存在(即是否过期),如过期则抛异常
*/
@Override
public void verify(Map<String, Object> claims) throws InvalidTokenException {
if (claims.containsKey("jti")) {
String jti = claims.get("jti").toString();
Object value = redisTemplate.opsForValue().get(jti);
if (value == null) {
throw new InvalidTokenException("无效的令牌");
}
}
}三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效
客户端退出时,删除客户端存储的token,并调用服务器的接口删除服务器上存储的令牌,删除令牌最终调用的是tokenStore.removeAccessToken方法,所以只要实现该方法,就能达到删除令牌的效果,实现代码如下:
@Bean
public TokenStore tokenStore() {
return new JwtTokenStore(accessTokenConverter()) {
@Override
public void storeAccessToken(OAuth2AccessToken token, OAuth2Authentication authentication) {
//添加Jwt Token白名单,将Jwt以jti为Key存入redis中,并保持与原Jwt有一致的时效性
if (token.getAdditionalInformation().containsKey("jti")) {
String jti = token.getAdditionalInformation().get("jti").toString();
redisTemplate.opsForValue().set(jti, token.getValue(), token.getExpiresIn(), TimeUnit.SECONDS);
}
super.storeAccessToken(token, authentication);
}
@Override
public void removeAccessToken(OAuth2AccessToken token) {
if (token.getAdditionalInformation().containsKey("jti")) {
String jti = token.getAdditionalInformation().get("jti").toString();
redisTemplate.delete(jti);
}
super.removeAccessToken(token);
}
};
}