JWT | 简介
- 全称:JSON Web Token;
- JWT 主要用于身份认证和信息加密;
- JWT 是一个简单而有效的安全认证方式;
JWT 身份认证
JWT 身份认证.png
JWT 进阶特性
- JWT 可以携带数据进行传输,方便后端使用;
- JWT 可以对传输数据进行签名,增强安全性;
JWT 颁发流程
- 用户登录;
- 登录成功,用 randomKey 和 userId 生成 Token 返回可客户端;
- 客户端把 Token 带在 Header 的 Authorization 字段中,通过 Zuul 访问其他微服务的时候,经过自定义的 JWTFilter 完成身份验证逻辑:
- 判断请求头的 Authorization 字段中是否带有 Token;
- 判断 Token 是否过期;
- 从 Token 中解析出 randomKey 和 userId;
- 判断是否需要验签,需要的话获得验签的算法;
- 判断解析出来的 userId 是否有效;
- 如果都没问题,放行请求;如果有问题,直接返回给客户端;
跨域资源共享 | CORS
- Cross-origin Resource Sharing
- 前端和后端是两个独立部署的服务,拥有各自的域名,不同域名之间的服务相互访问资源;
- 这是 HTTP 协议规定的安全策略,限定了谁可以访问资源,以什么样的形式访问;
- 比如一个前后端分离的服务:
- 前端: node + vue -> admin.meetingfilm.com
- 后端: springboot -> backend.meetingfilm.com
跨域
- 当一个请求的协议、域名和端口三者之一不同即为跨域;
- 跨域的时候,默认是不能相互访问的;只有当后端,就是被访问的域,发现有一个域要来分享我的资源,后端需要提前做申请,源地址才有可能取到目标地址的资源;
跨域策略配置在代码中的缺陷
- 如果出现跨域策略不足的情况,需要修改代码,重新部署;
- 一般建议将跨域的策略配置在 Nginx 中;
Eureka Server | 安全问题
Spring Security
- Spring Cloud 默认可以使用 Spring Security 解决身份认证;
- Eureka Server 可以使用 Spring Security 建立安全连接;
- Spring Cloud 新版增加了 CSRF 的防御,会导致一些错误;