概述

在上一篇文章我們聊完了授權(quán)的過程，在服務(wù)器對客戶端完成授權(quán)之后，服務(wù)器會給客戶端頒發(fā)對應(yīng)的憑證，客戶端持有該憑證訪問服務(wù)端，服務(wù)器便能知道你是誰，你有什么權(quán)限等信息。這一章我們具體聊聊常見的憑證管理技術(shù)有哪些。

在軟件架構(gòu)中，關(guān)于憑證如何存儲和傳遞，一直有兩種不同的解決思路，兩種不同的解決方式，實際上反映了兩種不同的架構(gòu)思路：

1. 一種是把所有狀態(tài)信息都放在服務(wù)器端 （Cookie-Session 方案）
2. 一種是把所有狀態(tài)將信息存儲在客戶端（JWT 方案）

在互聯(lián)網(wǎng)早期，這個問題早就有了明確的答案。大多數(shù)應(yīng)用都采用了 “Cookie-Session” 的方法，這種方法通過在服務(wù)器上存儲用戶狀態(tài)，來實現(xiàn)用戶身份的識別和信息的傳遞。這種方法在很長一段時間里都是主流。

然而，隨著微服務(wù)和分布式系統(tǒng)的興起，我們發(fā)現(xiàn)由于 CAP 的限制，服務(wù)器端存儲狀態(tài)信息的方式開始面臨很多問題（微服務(wù)要求服務(wù)端本身是無狀態(tài)，才能實現(xiàn)動態(tài)擴縮容）。這就迫使我們重新考慮被放棄的客戶端狀態(tài)存儲方法。在這個背景下，JWT（JSON Web Token）的令牌的方案開始受到關(guān)注。JWT 是一種在客戶端存儲用戶狀態(tài)信息的方式，它允許用戶在不同的服務(wù)器之間自由切換，而不需要重新登錄。這種特性在分布式系統(tǒng)中非常有用。但是要明白，JWT 和 Cookie-Session 只是對授權(quán)信息存儲的主體（客戶端，服務(wù)端）不同，各有優(yōu)勢，合適場景不同，不存在誰比誰要先進的問題。在本節(jié)中，我們將探討 Cookie-Session 和 JWT 兩種方案的相同點和不同點，幫你更好地理解這兩種方案的優(yōu)缺點，以及它們在不同場景下的應(yīng)用。

cookie-session

總所周知，因為 HTTP 是無狀態(tài)協(xié)議，所以 Cookie-Session 的原理其實很簡單，就是解決 HTTP 協(xié)議無狀態(tài)的問題，在 RFC 6265 中定義了 HTTP 的狀態(tài)管理機制，增加 Set-Cookie 指令，服務(wù)端向客戶端發(fā)送一組信息（標(biāo)識）示例：

HTTP/1.1 200 OK
Content-type: text/html
Set-Cookie: session_token=abc123; Expires=Wed, 09 Jun 2021 10:18:14 GMT; Path=/

客戶端收到指令后在此后一段時間的 HTTP 請求中都發(fā)給服務(wù)端會話信息（在 Header 中攜帶 cookie 信息），以便服務(wù)器區(qū)分不同的客戶端：

GET /profile HTTP/1.1
Host: www.example.com
Cookie: sessionid=xyzasdzxc123789456

客戶端的 Cookies 里通常只存儲一個無意義，不重復(fù)的字符串，通常命名是 sessionid 或 jessionid ，服務(wù)端則根據(jù)該字符串作為 Key，和用戶信息建立關(guān)聯(lián)后存儲在服務(wù)端的內(nèi)存或者緩存中。再輔以一些超時自動清理的措施來管理會話。

它們的交互過程如下：

圖片

這種服務(wù)端的狀態(tài)管理機制就是 Session，Cookie-Session 也是最傳統(tǒng)，但今天依然廣泛應(yīng)用于大量系統(tǒng)中的，由服務(wù)端與客戶端聯(lián)動來完成的狀態(tài)管理機制。

總結(jié)

cookie-session 的方案在存儲授權(quán)信息具有以下優(yōu)勢：

1. 安全性：由于狀態(tài)信息都存儲在服務(wù)端，cookie-session 方案在安全性上有天然的優(yōu)勢，能完全規(guī)避上下文信息在傳輸過程中被篡改的風(fēng)險
2. 靈活性：由于存儲在服務(wù)端，服務(wù)端可以存儲各種數(shù)據(jù)對象，而不僅僅是字符串
3. 狀態(tài)控制：服務(wù)端維護狀態(tài)的優(yōu)勢在于可以根據(jù)自己的意愿隨時修改，清除上下文信息，可以很輕松實現(xiàn)用戶強制下線的功能。

Cookie-Session 在單體服務(wù)環(huán)境中是最合適的方案，但是因為服務(wù)端有狀態(tài)，當(dāng)需要水平擴展服務(wù)能力，要部署集群時就開始面臨麻煩了。接下來的 JWT 令牌就是 Cookie-Session 在分布式環(huán)境的替代品，但是不能說 JWT 要比 Cookie-Session 更加先進，更不可能全面取代 Cookie-Session 機制。

JWT

當(dāng)服務(wù)端有多臺，并且不能存儲狀態(tài)的時候，客戶端就要承擔(dān)存儲有狀態(tài)（授權(quán)信息）的職責(zé)了。這就是 JWT 令牌的方案思路。

JWT（JSON Web Token）是一種定義在 RFC 7519 標(biāo)準(zhǔn)中的令牌格式，主要應(yīng)用于現(xiàn)代分布式應(yīng)用系統(tǒng)中，經(jīng)常與 OAuth2 協(xié)議配合使用。在深入探討 JWT 的結(jié)構(gòu)之前，我們先來直觀地了解一下它的基本形式。示例：

圖片

注意：JWT 令牌不加密，只使用 Base64URL 轉(zhuǎn)碼，所以 JWT 令牌里別放敏感信息，令牌只解決防篡改的問題，并不解決防泄漏的問題，JWT 令牌都可以在 JWT 官網(wǎng)（https://jwt.io）上進行解碼。如圖所示，JWT（JSON Web Token）由三部分組成：Header（頭部）、Payload（負(fù)載）、Signature（簽名）。這三部分之間使用點（.）分隔。

Header：Header 部分通常包含令牌的類型（通常是 JWT）和使用的加密算法，例如 HS256：

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload：Payload 部分包含所需的聲明，這些聲明可以包括用戶信息或其他相關(guān)數(shù)據(jù)。例如，用戶ID和過期時間：

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "exp": 1516242622
}

負(fù)載部分，JWT 在 RFC 7519 中推薦（非強制約束）了七項聲明名稱（Claim Name），如有需要用到這些內(nèi)容，建議字段名與官方的保持一致：

• iss（Issuer）：簽發(fā)人。
• exp（Expiration Time）：令牌過期時間。
• sub（Subject）：主題。
• aud （Audience）：令牌受眾。
• nbf （Not Before）：令牌生效時間。
• iat （Issued At）：令牌簽發(fā)時間。
• jti （JWT ID）：令牌編號。

此外在 RFC 8225、RFC 8417、RFC 8485 等規(guī)范文檔，以及 OpenID 等協(xié)議中，都定義有約定好公有含義的名稱，可以參考 IANA JSON Web Token Registry。

Signature：Signature 是使用 Header 中指定的算法和一個密鑰對 Header 和 Payload 進行簽名得到的。對前面兩部分內(nèi)容進行加密計算，以例子里使用的 JWT 默認(rèn)的 HMAC SHA256 算法為例，將通過以下公式產(chǎn)生簽名值：

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload) , secret)

簽名的意義在于確保負(fù)載中的信息是可信的、沒有被篡改的，也沒有在傳輸過程中丟失任何信息。因為被簽名的內(nèi)容哪怕發(fā)生了一個字節(jié)的變動，也會導(dǎo)致整個簽名發(fā)生顯著變化。JWT 默認(rèn)使用的 HMAC SHA256 算法是一種密鑰哈希算法，適用于單體應(yīng)用中，因為加密和驗證都需要由同一授權(quán)服務(wù)完成。在多方或分布式應(yīng)用中，通常使用非對稱加密算法進行簽名。這種情況下，授權(quán)服務(wù)使用私鑰簽名，并通過遵循 JSON Web Key 規(guī)范公開一個公鑰。這個公鑰用于驗證簽名，使其他服務(wù)能夠獨立驗證 JWT 的真實性，無需直接與授權(quán)服務(wù)通信。

JWT 令牌的交互流程如下：

圖片

說明：如果是在分布式環(huán)境下，通常會有單獨的認(rèn)證服務(wù)器來負(fù)責(zé)頒發(fā)令牌。

發(fā)送令牌

按照 HTTP 協(xié)議的規(guī)范，客戶端可以通過多種方式使用 HTTP 協(xié)議發(fā)送 JWT 令牌給服務(wù)端。最標(biāo)準(zhǔn)的方式是將 JWT 放在 HTTP 的 Authorization 頭部中，通常與 Bearer 方案一起使用。這種方法簡單且符合 RESTful API 的最佳實踐：

GET /api/resource HTTP/1.1
Host: example.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIx......

總結(jié)

JWT 令牌是分布式系統(tǒng)下憑證載體的優(yōu)秀解決方案，它優(yōu)點眾多：

1. 解決了分布式系統(tǒng)下的狀態(tài)信息的管理問題，讓服務(wù)端無狀態(tài)，實現(xiàn)動態(tài)擴縮容。
2. 結(jié)構(gòu)簡單，輕量，憑證本身包含重要信息，服務(wù)端無需再查詢數(shù)據(jù)庫
3. 通過密鑰對和簽名的方式，保證憑證信息的無法被篡改，保證了憑證的真實性

但是沒有完美的解決方案，cookie-session 的優(yōu)點也 JWT 也缺點：

1. 會話難以主動失效：服務(wù)端難以注銷令牌，如果非要實現(xiàn)，就要把狀態(tài)信息轉(zhuǎn)移存儲到 redis 中。
2. 攜帶的信息有限：雖然 HTTP 沒有限制 Header 中可存儲的大小限制，但是 HTTP 服務(wù)端大多都有存儲上限，例如 tomcat 限制 8kb，nginx 限制 4kb
3. 客戶端令牌泄露風(fēng)險：客戶端令牌存在哪里 ？Cookie ? localStrong ? Indexed ? 存在哪里都有泄露風(fēng)險。只要拿到令牌就能冒認(rèn)客戶端身份
4. 服務(wù)端無狀態(tài)會導(dǎo)致很多常見的功能難以實現(xiàn)，例如：踢人下線，統(tǒng)計在線人數(shù)等等。。