使用JWT進(jìn)行用戶認(rèn)證和授權(quán)，而Session在一定程度上起到了輔助作用。讓我們?cè)敿?xì)討論JWT和Session在這種結(jié)合模式中的各自作用以及為什么需要Session。

JWT的作用

• 用戶認(rèn)證： JWT包含了用戶的身份信息和權(quán)限信息，客戶端每次請(qǐng)求時(shí)將JWT發(fā)送給服務(wù)器，服務(wù)器通過(guò)驗(yàn)證JWT來(lái)確認(rèn)用戶身份。
• 無(wú)狀態(tài)性： JWT不需要在服務(wù)器端存儲(chǔ)用戶會(huì)話信息，因此服務(wù)器可以是無(wú)狀態(tài)的，便于擴(kuò)展和負(fù)載均衡。

Session的作用

• 附加的安全層： 即使JWT是無(wú)狀態(tài)的，但在某些應(yīng)用場(chǎng)景中，僅依賴JWT可能存在一些安全問(wèn)題，例如Token的泄露或?yàn)E用。Session可以作為一個(gè)額外的安全層，確保Token即使有效，也必須在服務(wù)器的Session管理器中存在對(duì)應(yīng)的會(huì)話。
• 管理Token的生命周期： 通過(guò)Session，可以更方便地管理Token的生命周期，例如強(qiáng)制用戶重新登錄、手動(dòng)注銷Token等操作。
• 控制“記住我”功能： 如果用戶選擇了“記住我”選項(xiàng)，Session可以記錄這個(gè)狀態(tài)，并在JWT過(guò)期后，通過(guò)Session來(lái)決定是否允許繼續(xù)使用舊的Token。

為什么需要?jiǎng)?chuàng)建Session

盡管JWT可以在無(wú)狀態(tài)環(huán)境中使用，但Session的引入帶來(lái)了以下好處：

• 防止Token濫用： 通過(guò)在服務(wù)器端驗(yàn)證Session，可以確保即使Token有效，也必須是經(jīng)過(guò)服務(wù)器端認(rèn)證的，從而防止Token被惡意使用。
• 支持用戶主動(dòng)注銷： 當(dāng)用戶選擇注銷時(shí)，可以直接刪除服務(wù)器端的Session記錄，確保Token即使沒有過(guò)期，也無(wú)法再被使用。
• 提供更精細(xì)的控制： 通過(guò)Session，可以實(shí)現(xiàn)更精細(xì)的權(quán)限控制和用戶狀態(tài)管理，例如強(qiáng)制下線、會(huì)話過(guò)期時(shí)間控制等。
• 狀態(tài)追蹤： 在某些場(chǎng)景下，追蹤用戶狀態(tài)是必要的，例如監(jiān)控用戶的活躍度、登錄歷史等，這些信息可以通過(guò)Session進(jìn)行管理。

結(jié)合JWT和Session的優(yōu)勢(shì)

結(jié)合使用JWT和Session，可以同時(shí)利用兩者的優(yōu)點(diǎn)，實(shí)現(xiàn)安全性和擴(kuò)展性的平衡：

• 無(wú)狀態(tài)認(rèn)證： JWT可以實(shí)現(xiàn)無(wú)狀態(tài)認(rèn)證，便于系統(tǒng)的水平擴(kuò)展和負(fù)載均衡。
• 狀態(tài)管理和安全性： Session可以提供額外的狀態(tài)管理和安全性，確保Token的使用更加安全可靠。

代碼示例

以下是一個(gè)簡(jiǎn)化的代碼示例，展示了如何在用戶登錄時(shí)創(chuàng)建JWT和Session：

public LoginResponse login(String username, String password) throws AuthException {
    // 驗(yàn)證用戶名和密碼
    User user = userService.authenticate(username, password);
    if (user == null) {
        thrownew AuthException("Invalid username or password");
    }
    
    // 生成JWT Token
    String token = createJwt(user.getId(), user.getRoles());
    
    // 創(chuàng)建會(huì)話
    sessionManagerApi.createSession(token, user);
    
    // 返回Token
    returnnew LoginResponse(token);
}

public void createSession(String token, User user) {
    LoginUser loginUser = new LoginUser();
    loginUser.setToken(token);
    loginUser.setUserId(user.getId());
    loginUser.setRoles(user.getRoles());
    
    sessionManagerApi.saveSession(token, loginUser);
}

在請(qǐng)求驗(yàn)證時(shí)，首先驗(yàn)證JWT的有效性，然后檢查Session中是否存在對(duì)應(yīng)的會(huì)話：

@Override
public DefaultJwtPayload validateToken(String token) throws AuthException {
    try {
        // 1. 先校驗(yàn)jwt token本身是否有問(wèn)題
        JwtContext.me().validateTokenWithException(token);

        // 2. 獲取jwt的payload
        DefaultJwtPayload defaultPayload = JwtContext.me().getDefaultPayload(token);

        // 3. 如果是7天免登陸，則不校驗(yàn)session過(guò)期
        if (defaultPayload.getRememberMe()) {
            return defaultPayload;
        }

        // 4. 判斷session里是否有這個(gè)token
        LoginUser session = sessionManagerApi.getSession(token);
        if (session == null) {
            thrownew AuthException(AUTH_EXPIRED_ERROR);
        }

        return defaultPayload;
    } catch (JwtException jwtException) {
        if (JwtExceptionEnum.JWT_EXPIRED_ERROR.getErrorCode().equals(jwtException.getErrorCode())) {
            thrownew AuthException(AUTH_EXPIRED_ERROR);
        } else {
            thrownew AuthException(TOKEN_PARSE_ERROR);
        }
    } catch (io.jsonwebtoken.JwtException jwtSelfException) {
        thrownew AuthException(TOKEN_PARSE_ERROR);
    }
}

總結(jié)

在這個(gè)場(chǎng)景中，JWT用于無(wú)狀態(tài)的用戶認(rèn)證，提供便捷和擴(kuò)展性；Session作為輔助，提供額外的安全性和狀態(tài)管理。通過(guò)這種結(jié)合，可以充分利用兩者的優(yōu)點(diǎn)，確保系統(tǒng)既具備高擴(kuò)展性，又能提供細(xì)致的安全控制。