SSO:JWT安全认证的应用问题
博客专区 > wiitht 的博客 > 博客详情
SSO:JWT安全认证的应用问题
wiitht 发表于5个月前
SSO:JWT安全认证的应用问题
  • 发表于 5个月前
  • 阅读 31
  • 收藏 1
  • 点赞 0
  • 评论 0

腾讯云 技术升级10大核心产品年终让利>>>   

    Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。   

    基于JWT安全认证机制来实现SSO登录;在这个过程中对于SSO的基础实现我们采用一台单独的SSO服务器来进行登录验证,一旦有某一台服务器登录后SSO服务器自然会有验证记录,其他域名下的服务器只需要和SSO服务器校验便可以知道用户是否登录(通过跨域实现),整体机制是构建与cookie之上。

    JWT在SSO过程中起到了一种无状态传输的效果,我们只关心请求中所附加的token,通过token进行鉴权从而确认请求的合法性;这样的话整个实现不在立足于session,至于token的存储在前端是通过cookie或者localstorage实现我们并不关心。

    1.基于shiro机制实现的方案尤其要注意以下几点:

    1)多机器情况下,每台机器都用shiro控制,shiro的登录依赖自己的session,如果每台机器都产生自己的sessionid会导致同一域名下cookie存在大量的不同的sessionid;其次sessionid对于每次请求浏览器都会附加都请求cookie中,使得不同机器对sessionid的识别会出现模糊不清,导致登录不稳定!

    2)SSO登录的解决方案有几种,如:共享cookie,共享session;我们是基于共享用户信息的cookie,传递JWT的形式来解决SSO登录的问题,所以去掉对session的依赖,以及不同域名下的token保证不一致各自维护自己的token,并且cookie中token通过域名,path等等做好限制;

    3)SSO机制采用无状态原理(JWT原理) 

    这几点意味着每次请求在shiro中都需要进行shiro内部的登录(subject.login方法调用),实际测试来看shiro过滤器里面进行登录速度是非常快的,所以几乎不受什么影响。

    shiro无状态登录参考

    2.JWT登录实现要注意的问题:
    1)jwt的续签和注销 

    ~ 注销登录通过redis来解决

    ~ 统一通过redis设置的过期时间来管理用户登录的key,这个key一旦过期自动将用户重定向到登录页

    2) token的过期时间问题  

    JWT对于传统的方式需要管理session,cookie比较麻烦,同时安全性上做的不是很好提供了一些比较好的处理方案,具体的JWT实现我这里不做过多的论述,留几个地址作为参考即可:

    http://www.cnblogs.com/xiekeli/p/5607107.html 

    http://blog.csdn.net/a82793510/article/details/53509427 

    http://riddickbryant.iteye.com/blog/561596  

共有 人打赏支持
粉丝 3
博文 157
码字总数 113789
×
wiitht
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: