基于Session,JWT,Kisso的身份认证

1. 基于服务器的身份认证

1.1 概念介绍

基于服务器的身份认证,用户登陆成功后，服务器会为你开辟一块内存区间 （可以理解为session），用于存放你这次会话的一些内容，比如姓名、性别、年龄等；

存放数据的同时，会生成 session id来标记这块内存区间是属于你的，并且，这个 session id( jsessionid ) 会写入到你的浏览器 cookie 中，只要你浏览器没关闭，每次向服务器发送请求，服务器就会从你发送过来的 cookie 中去取这个 session id，然后根据这个 session id 到相应的内存中取出你之前存放的数据，但是，如果退出登录。服务器会清除属于你的内存区域，再登录时，重新生成新的 session

1.2 解决方案

我们清楚 http 协议是无状态的，也就是说，如果我们已经认证了一个用户，那么他下一次请求的时候，服务器不知道我是谁，我们就必须要再次认证。我们可以session来保存登录的用户信息，并把session id写入到浏览器的cookie中，下次请求浏览器会自动回传session id到服务器，来解决用户的身份认证。

cookie和session都是key-value类型的数据结构.cookie中要存储可以识别出用户身份的信息，因为存储在浏览器端，不安全，所以不能存储敏感的信息。

常见API:
获取Session: HttpSession session = ((HttpServletRequest) request).getSession(true);

Session中保存用户信息: session.setAttribute(user.getUserId() + "", user);

获取Cookie: Cookie cookie = new Cookie("loginuser", user.getUserId() + "");

写Cookie: ((HttpServletResponse) response).addCookie(cookie);

1.3 优缺点

1). sessions : 每次用户认证通过以后，服务器需要创建一条记录保存用户信息，通常是在内存中，随着认证通过的用户越来越多，服务器的在这里的开销就会越来越大。

2).scalability : 由于Session是在内存中的，这就带来一些扩展性的问题。

3).CORS : 当我们想要扩展我们的应用，让我们的数据被多个移动设备使用时，我们必须考虑跨资源共享问题。当使用AJAX调用从另一个域名下获取资源时，我们可能会遇到禁止请求的问题。

4).CSRF : 用户很容易受到CSRF攻击。

2. JWT

2.1 概念介绍

JWT（JSON WEB TOKEN）：JSON网络令牌，JWT是一个轻便的安全跨平台传输格式，定义了一个紧凑的自包含的方式在不同实体之间安全传输信息（JSON格式）。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称；狭义上JWT指的就是用来传递的那个token字符串

2.2 解决方案

Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录，后续每个请求都将包含JWT，允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性，因为它的开销很小，并且可以轻松地跨域使用。

Information Exchange (信息交换) : 对于安全的在各方之间传输信息而言，JSON Web Tokens无疑是一种很好的方式。因为JWT可以被签名，例如，用公钥/私钥对，你可以确定发送人就是它们所说的那个人。另外，由于签名是使用头和有效负载计算的，您还可以验证内容没有被篡改。

基于Token身份认证的工作流程及注意事项

1). 用户携带用户名和密码请求访问

2). 服务器校验用户凭据

3). 应用提供一个token给客户端

4). 客户端存储token，并且在随后的每一次请求中都带着它

5). 服务器校验token并返回数据

注意：

每一次请求都需要token

Token应该放在请求header中

我们还需要将服务器设置为接受来自所有域的请求，用Access-Control-Allow-Origin: *

2.3 优缺点

无状态和可扩展性：Tokens存储在客户端。完全无状态，可扩展。我们的负载均衡器可以将用户传递到任意服务器，因为在任何地方都没有状态或会话信息。

安全：每次请求的时候Token都会被发送。而且，由于没有Cookie被发送，还有助于防止CSRF攻击。即使在你的实现中将token存储到客户端的Cookie中，这个Cookie也只是一种存储机制，而非身份认证机制

3. kisso

3.1 概念介绍

kisso = cookie sso

是基于Cookie的单点登录中间件，能够快速开发javaweb登录系统单点登录。

Kisso采用加密会话，Cookie机制实现单点登录服务，具备“无状态”，“分散验证”等特性。

3.2 解决方案

用户在登录业务系统的时候。检查本地是否有Cookie。如果没有Cookie。访问SSO项目。SSO也没有Cookie的话。则进行登录。登录成功将加密的Token写入Cookie并回传给业务系统。通过几次的加密。认证，双方认证OK后，在业务系统域名下写入Cookie，完成登录。

原理如下图:

常用API:

3.3 优缺点

优点：

1.提高用户效率

2.提高开发效率

3.简化管理

缺点：

单点登录指在多个应用系统中，用户只需要登陆一次就可以访问相互信任的应用系统，所以这些应用系统要互相兼容，耗时，存在信息泄露的问题