随着移动端和web端的普及,越来越多的企业将重点转向了如何设计系统的身份认证。使用传统的账号密码形式,企业和应用都无法拒绝盗用和Hijacking的攻击,解决账号安全问题就成为一个重要而又急迫的工作。JWT,即“JSON Web Token”,是一个基于JSON数据协议来认证用户身份的轻量级标准。它完全可以用来代替传统的账号密码机制,极大地简化了安全认证。接下来将讨论如何基于Redis集群来构建一个JWT认证系统。
1. 设计集群节点架构。建议采用Redis Sentinel来监控Redis集群的可用状态,采用Lead-Follower的方式保存数据,使每个节点都保持高可用状态。
2. 编写认证相关逻辑代码。在用户发出登录请求时,基于Redis集群判定用户是否有权限登录,如果认证成功,则生成一个jwt token存入Redis中,并以http header的方式返回给用户。
“`java
//计算JWT的方法
String generateJwtToken(String userName, Long expireTime){
//按时标生成一个JWT token
Long now = System.currentTimeMillis();
//jwt的头部
Map header = new HashMap();
//可以指定加密的算法
header.put(“alg”, “HS256”);
header.put(“type”, “JWT”);
//负载内容
Map payload = new HashMap();
//用户名
payload.put(“userName”, userName);
//过期时间
payload.put(“expireTime”, expireTime);
//生成JWT
return Jwts.builder()
.setHeader(header)
.setSubject(“Hello”)
.setIssuedAt(new Date(now))
.setExpiration(new Date(now + expireTime))
.clm(“userName”, userName)
.signWith(SignatureAlgorithm.HS256, SECRET)
.compact();
}
3. 远程持久化JWT token。当用户成功登录后,将JWT token存入redis集群,以便随时通过客户端发起验证请求,校验用户身份。
4. 编写用户鉴权服务。在收到用户的请求后,首先从收到的http header中提取JWT token,然后从redis中获取JWT token并判断是否过期,如果未过期则表示用户身份已被确认,否则返回重新登录的通知。
```java
public boolean verifyJwtToken(String jwtToken){
//从redis中获取JWT token
String tokenValue = redisCluster.get(jwtToken);
if(tokenValue == null){
return false
}
//jwt token校验
Clms clms = Jwts.parser().setSigningKey(SECRET)
.parseClmsJws(jwtToken).getBody();
//判断是否过期
Date expireTime = clms.getExpiration();
if( expireTime.getTime()
return false;
}
return true;
}
本文讨论了如何基于Redis集群来构建一个JWT认证系统,首先我们采用Redis Sentinel来监控Redis集群的可用状态,然后设计一套JWT认证的逻辑代码,将JWT token存入redis集群并提供用户鉴权服务。基于Redis集群的JWT认证系统不但可以提高应用的安全性,同时也极大地简化了安全认证。
香港服务器首选树叶云,2H2G首月10元开通。
树叶云(www.IDC.Net)提供简单好用,价格厚道的香港/美国云服务器和独立服务器。IDC+ISP+ICP资质。ARIN和APNIC会员。成熟技术团队15年行业经验。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/277981.html<
