Session跨域及单点登录解决方案

cookie机制关于cookie和seesion的联系cookie中会包含那些信息名字，值，过期时间，路径，域cookie会带到http请求头中发送给服务端如果cookie没有设置过期时间的话，那么cookie的默认生命周期是浏览器的会话session机制1，session是容器对象，客户端在请求服务端的时候，服务端会根据客户端的请求判断是否包含了jsession...

tengxvincent

8320人浏览 · 2018-09-14 12:46:11

tengxvincent · 2018-09-14 12:46:11 发布

cookie机制

关于cookie和seesion的联系

cookie中会包含那些信息

名字，值，过期时间，路径，域

cookie会带到http请求头中发送给服务端

如果cookie没有设置过期时间的话，那么cookie的默认生命周期是浏览器的会话

session机制

1，session是容器对象，客户端在请求服务端的时候，服务端会根据客户端的请求判断是否包含了jsessionId的标识

2，如果已经包含了，说明客户端之前已经创建了会话。sessionId是一个唯一的值

3，如果sessionid不存在，那么服务端为这个客户端生成一个sessionid. JESSIONID

session cookie 存储的是JSESSIONID

session存储在服务器端 cookie存储在浏览器端

服务器端(Tomcat) 会生成一个唯一的sessionId号存储在cookie中叫 jessionid

在服务器端（tomcat）中存储serssion 使用concurrentMap (ConcurrentMap key JSESSIONID values session)

浏览器端下次请求服务器端是将jsessionId带过来找到对应的session 获取session中存储的信息（用户信息）

客户端浏览器禁用了cookie怎么办？

[如果客户端浏览器禁用了cookie，一般会通过URL重写的方式来进行会话会话嗯个总，也就是在url中携带sessionid]

解决session跨域共享问题

1. session sticky ：会话保存在单机上保证会话请求落在同一台服务器上

采用源地址哈希法进行负载均衡，同一IP地址的客户端，当后端服务器列表不变时，它每次都会映射到同一台后端服务器进行访问

根据获取客户端的IP地址，通过哈希函数计算得到的一个数值，用该数值对服务器列表的大小进行取模运算，得到的结果便是客服端要访问服务器的序号。采用源地址哈希法进行负载均衡，同一IP地址的客户端，当后端服务器列表不变时，它每次都会映射到同一台后端服务器进行访问

这种实现方式会有些问题：如果一台web服务器宕机或者重启，那么这台机器上保存的会话数据都会丢失，会造成用户暂时无法访问的问题，或者用户之前的授权操作需要再执行一次

2. session replication：session 复制每一台服务器上都保持一份相同的session （造成额外的存储开销和网络开销）

session复制，通过相关技术实现session复制，使得集群中的各个服务器相互保存各自节点存储的 session 数据。 tomcat本身就可以实现session复制的功能，基于IP组播放方式。

这种实现方式的问题：

1. 同步session数据会造成网络开销，随着集群规模越大，同步session带来的带宽影响也越大

2. 每个节点需要保存集群中所有节点的 session 数据，就需要比较大的内存来存储。

3. session 集中存储：存储在db、存储在缓存服务器（redis）

使用 spring-session -data-redis

http://www.glmapper.com/

4. 基于cookie (主流)

a）

access_token(userid/token/timestamp(过期时间) 加密)

将access_token存储在客户端的cookie中每次客户端过来访问服务器端拦截其中获取cookie中的access_token 根据 userid和timestamp(过期时间) 判断是否有效

b)基于JWT的解决方案

json web Token 客户端和服务端信息安全传递，身份认证的一种解决方案。用在登陆上

jwt由三个组成：header，payload 载荷,signature

header{

typ:"jwt" //类型

alg:"HS256" //加密算法

zip: "gzip/deflate" //压缩算法加密之后的字符串比较长的时候可以使用压缩算法

}

payload ：jwt本身规范提供的格式 claims

｛

iss:“签发者”

iat:“签发时间”

exp:“过期时间”

sub:

｝

可以自己定一些claims,放入自定义的信息如 uid 等

signature：将 header+ payload 组合成为一个字符串

Base64(header).Base64(payload) + head中定义的算法 +密钥生成一个字符串 str.签名字符串就是 JWT的token

<!-- https://mvnrepository.com/artifact/com.auth0/java-jwt -->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.3.0</version>
        </dependency>


        <!-- https://mvnrepository.com/artifact/joda-time/joda-time -->
        <dependency>
            <groupId>joda-time</groupId>
            <artifactId>joda-time</artifactId>
            <version>2.9.9</version>
        </dependency>


/**
 * @Auther: tengxiao
 * @Date: 2018/9/13 16:47
 * @Description:
 */
public class JWTTokenUtil {

    private static final String JWT_KEY_USER_ID="JWT_KEY_USER_ID";
    private static final int EXPIRED_TIME=6000;
    private static final String SECRET_KEY="tengvincent_user";

    public static String generatorToken(Long userId)throws Exception{
        //header Map
        Map<String,Object> headerMap=new HashMap<>();
        headerMap.put("typ","JWT");
        headerMap.put("alg","HS256");

        String token=JWT.create()
                .withHeader(headerMap)
                .withClaim("iss","Service")//签发者
                .withClaim("aud","APP")
                .withClaim(JWT_KEY_USER_ID,userId)
                .withIssuedAt(DateTime.now().toDate())//sign time
                .withExpiresAt(DateTime.now().plusMinutes(EXPIRED_TIME).toDate())//expired time
                .sign(Algorithm.HMAC256(SECRET_KEY));

        return token;
    }

    public static Map<String,Claim> varifyToken(String token){
        DecodedJWT jwt=null;
        try{
         JWTVerifier verifer= JWT.require(Algorithm.HMAC256(SECRET_KEY)).build();
         jwt=verifer.verify(token);
        }catch (Exception e){
            // e.printStackTrace();
            // token 校验失败, 抛出Token验证非法异常
        }
        return jwt.getClaims();
    }


    public static Long getTokenInfo(String token){
        Map<String, Claim> claims = varifyToken(token);
        Claim user_id_claim = claims.get("user_id");
        if (null == user_id_claim || StringUtils.isEmpty(user_id_claim.asString())) {
            // token 校验失败, 抛出Token验证非法异常
        }
        return Long.valueOf(user_id_claim.asString());
    }

}

1.token+redis与jwt的区别

（1）简单的说，token只是一个标识，以token加redis为例，服务端将token保存在redis中，客服端访问时带上token，如果在redis中能够查到这个token，说明身份有效。

（2）jwt不需要查库，本身已经包含了用户的相关信息，可以直接通过服务端解析出相关的信息，与session，token的最大区别就是服务端不保存任何信息（服务端只需要保存密钥key）。

2.如何实现jwt续期

在jwt中保存过期时间，解析时进行判定，如果即将超时则重新设置过期时间返回一个新的jwt给客户端。

3.jwt登出失效

登出时将相关的信息比如用户名存储在redis中，并设置过期时间。当再次访问时，从jwt中解析出用户名去redis中查找，如果存在则表示此jwt已登出失效。这里需要注意的是，如果用此方法，则验证jwt是否登出应该放在第一位。思考一个场景，如果redis中存储的是用户名，那么当用户登出后，redis中已经有了相应的用户名，当用户再次登录时，解析jwt发现此用户已登出，则jwt失效，所以在登录时要清空相关的登出缓存。

参考文档

jwt demo 代码： https://github.com/tengxvincent/spring-boot-vincent/tree/master/vincent-jwt

https://www.cnblogs.com/mantoudev/p/8994341.html

https://bbs.huaweicloud.com/blogs/06607ea7b53211e7b8317ca23e93a891

https://blog.csdn.net/w57685321/article/details/79463837

向您推荐>>Eolink开发者社区

权威｜前沿｜技术｜干货｜国内首个API全生命周期开发者社区

更多推荐

ELK实现containerd的容器日志采集展示【基于logging的全栈监测】

企业级ELK Stack构建介绍

云原生

深入理解 Mocha 测试框架：从零实现一个 Mocha

前言什么是自动化测试自动化测试在很多团队中都是Devops环节中很难执行起来的一个环节，主要原因在于测试代码的编写工作很难抽象，99%的场景都需要和业务强绑定，而且写测试代码的编写工作量往往比编写实际业务代码的工作量更多。在一些很多业务场景中投入产出比很低，适合写自动化测试的应该是那些中长期业务以及一些诸如组件一样的基础库。自动化测试是个比较大的概念，其中分类也比较多，比如单元测试，端对端测试，集

云原生

(20200916 Solved)docker-compose up创建容器自动退出

问题描述如题，创建容器后自动退出了。并且docker start container无效解决方案原因是缺失了控制终端的配置，需要在docker-compose.yml中增加tty:true ，有时候这样也不行，需要再增加一个command:/bin/bash，命令不一定是这个，需要是一个不会退出的命令，然后用-d后台启动容器。Referencesdocker-compose启动容器后自动退出...