鑑權 5 兄弟:cookie、session、token、jwt、單點登入,終於有人說清楚了!

語言: CN / TW / HK

作者:Henrylulu\ 來源:juejin.cn/post/6898630134530752520

本文你將看到:

  • 基於 HTTP 的前端鑑權背景
  • cookie 為什麼是最方便的儲存方案,有哪些操作 cookie 的方式
  • session 方案是如何實現的,存在哪些問題
  • token 方案是如何實現的,如何進行編碼和防篡改?jwt 是做什麼的?refresh token 的實現和意義
  • session 和 token 有什麼異同和優缺點
  • 單點登入是什麼?實現思路和在瀏覽器下的處理

從狀態說起

「HTTP 無狀態」我們知道,HTTP 是無狀態的。也就是說,HTTP 請求方和響應方間無法維護狀態,都是一次性的,它不知道前後的請求都發生了什麼。但有的場景下,我們需要維護狀態。最典型的,一個使用者登陸微博,釋出、關注、評論,都應是在登入後的使用者狀態下的。「標記」那解決辦法是什麼呢?::標記::。

在學校或公司,入學入職那一天起,會錄入你的身份、賬戶資訊,然後給你發個卡,今後在園區內,你的門禁、打卡、消費都只需要刷這張卡。

「前端儲存」 這就涉及到一發、一存、一帶,發好辦,登陸介面直接返回給前端,儲存就需要前端想辦法了。

前提是,你要把卡帶在身上。

前端的儲存方式有很多。

  • 最矬的,掛到全域性變數上,但這是個「體驗卡」,一次重新整理頁面就沒了
  • 高階點的,存到 cookie、localStorage 等裡,這屬於「會員卡」,無論怎麼重新整理,只要瀏覽器沒清掉或者過期,就一直拿著這個狀態。

前端儲存這裡不展開了。有地方存了,請求的時候就可以拼到引數裡帶給介面了。

基石:cookie

可是前端好麻煩啊,又要自己存,又要想辦法帶出去,有沒有不用操心的?

有,cookie。cookie 也是前端儲存的一種,但相比於 localStorage 等其他方式,藉助 HTTP 頭、瀏覽器能力,cookie 可以做到前端無感知。一般過程是這樣的:

  • 在提供標記的介面,通過 HTTP 返回頭的 Set-Cookie 欄位,直接「種」到瀏覽器上
  • 瀏覽器發起請求時,會自動把 cookie 通過 HTTP 請求頭的 Cookie 欄位,帶給介面

「配置:Domain / Path」

你不能拿清華的校園卡進北大。

cookie 是要限制::「空間範圍」::的,通過 Domain(域)/ Path(路徑)兩級。

Domain屬性指定瀏覽器發出 HTTP 請求時,哪些域名要附帶這個 Cookie。如果沒有指定該屬性,瀏覽器會預設將其設為當前 URL 的一級域名,比如 www.example.com 會設為 example.com,而且以後如果訪問example.com的任何子域名,HTTP 請求也會帶上這個 Cookie。如果伺服器在Set-Cookie欄位指定的域名,不屬於當前域名,瀏覽器會拒絕這個 Cookie。Path屬性指定瀏覽器發出 HTTP 請求時,哪些路徑要附帶這個 Cookie。只要瀏覽器發現,Path屬性是 HTTP 請求路徑的開頭一部分,就會在頭資訊裡面帶上這個 Cookie。比如,PATH屬性是/,那麼請求/docs路徑也會包含該 Cookie。當然,前提是域名必須一致。—— Cookie — JavaScript 標準參考教程(alpha)

「配置:Expires / Max-Age」

你畢業了卡就不好使了。

cookie 還可以限制::「時間範圍」::,通過 Expires、Max-Age 中的一種。

Expires屬性指定一個具體的到期時間,到了指定時間以後,瀏覽器就不再保留這個 Cookie。它的值是 UTC 格式。如果不設定該屬性,或者設為null,Cookie 只在當前會話(session)有效,瀏覽器視窗一旦關閉,當前 Session 結束,該 Cookie 就會被刪除。另外,瀏覽器根據本地時間,決定 Cookie 是否過期,由於本地時間是不精確的,所以沒有辦法保證 Cookie 一定會在伺服器指定的時間過期。Max-Age屬性指定從現在開始 Cookie 存在的秒數,比如60 * 60 * 24 * 365(即一年)。過了這個時間以後,瀏覽器就不再保留這個 Cookie。如果同時指定了Expires和Max-Age,那麼Max-Age的值將優先生效。如果Set-Cookie欄位沒有指定Expires或Max-Age屬性,那麼這個 Cookie 就是 Session Cookie,即它只在本次對話存在,一旦使用者關閉瀏覽器,瀏覽器就不會再保留這個 Cookie。—— Cookie — JavaScript 標準參考教程(alpha)

「配置:Secure / HttpOnly」

有的學校規定,不帶卡套不讓刷(什麼奇葩學校,假設);有的學校不讓自己給卡貼貼紙。

cookie 可以限制::「使用方式」::。

Secure屬性指定瀏覽器只有在加密協議 HTTPS 下,才能將這個 Cookie 傳送到伺服器。另一方面,如果當前協議是 HTTP,瀏覽器會自動忽略伺服器發來的Secure屬性。該屬性只是一個開關,不需要指定值。如果通訊是 HTTPS 協議,該開關自動開啟。HttpOnly屬性指定該 Cookie 無法通過 JavaScript 指令碼拿到,主要是Document.cookie屬性、XMLHttpRequest物件和 Request API 都拿不到該屬性。這樣就防止了該 Cookie 被指令碼讀到,只有瀏覽器發出 HTTP 請求時,才會帶上該 Cookie。—— Cookie — JavaScript 標準參考教程(alpha)

「HTTP 頭對 cookie 的讀寫」 回過頭來,HTTP 是如何寫入和傳遞 cookie 及其配置的呢?HTTP 返回的一個 Set-Cookie 頭用於向瀏覽器寫入「一條(且只能是一條)」cookie,格式為 cookie 鍵值 + 配置鍵值。例如:

Set-Cookie: username=jimu; domain=jimu.com; path=/blog; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Secure; HttpOnly

那我想一次多 set 幾個 cookie 怎麼辦?多給幾個 Set-Cookie 頭(一次 HTTP 請求中允許重複)

Set-Cookie: username=jimu; domain=jimu.com Set-Cookie: height=180; domain=me.jimu.com Set-Cookie: weight=80; domain=me.jimu.com

HTTP 請求的 Cookie 頭用於瀏覽器把符合當前「空間、時間、使用方式」配置的所有 cookie 一併發給服務端。因為由瀏覽器做了篩選判斷,就不需要歸還配置內容了,只要傳送鍵值就可以。

Cookie: username=jimu; height=180; weight=80

「前端對 cookie 的讀寫」 前端可以自己建立 cookie,如果服務端建立的 cookie 沒加HttpOnly,那恭喜你也可以修改他給的 cookie。呼叫document.cookie可以建立、修改 cookie,和 HTTP 一樣,一次document.cookie能且只能操作一個 cookie。

document.cookie = 'username=jimu; domain=jimu.com; path=/blog; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Secure; HttpOnly';

呼叫document.cookie也可以讀到 cookie,也和 HTTP 一樣,能讀到所有的非HttpOnly cookie。

console.log(document.cookie); // username=jimu; height=180; weight=80

(就一個 cookie 屬性,為什麼讀寫行為不一樣?get / set 瞭解下)「cookie 是維持 HTTP 請求狀態的基石」瞭解了 cookie 後,我們知道 cookie 是最便捷的維持 HTTP 請求狀態的方式,大多數前端鑑權問題都是靠 cookie 解決的。當然也可以選用別的儲存方式(後面也會多多少少提到)。那有了儲存工具,接下來怎麼做呢?

應用方案:服務端 session

現在回想下,你刷卡的時候發生了什麼?

其實你的卡上只存了一個 id(可能是你的學號),刷的時候物業系統去查你的資訊、賬戶,再決定「這個門你能不能進」「這個雞腿去哪個賬戶扣錢」。

這種操作,在前後端鑑權系統中,叫 session。典型的 session 登陸/驗證流程:

  • 瀏覽器登入傳送賬號密碼,服務端查使用者庫,校驗使用者
  • 服務端把使用者登入狀態存為 Session,生成一個 sessionId
  • 通過登入介面返回,把 sessionId set 到 cookie 上
  • 此後瀏覽器再請求業務介面,sessionId 隨 cookie 帶上
  • 服務端查 sessionId 校驗 session
  • 成功後正常做業務處理,返回結果

「Session 的儲存方式」 顯然,服務端只是給 cookie 一個 sessionId,而 session 的具體內容(可能包含使用者資訊、session 狀態等),要自己存一下。儲存的方式有幾種:

  • Redis(推薦):記憶體型資料庫,redis中文官方網站。以 key-value 的形式存,正合 sessionId-sessionData 的場景;且訪問快。
  • 記憶體:直接放到變數裡。一旦服務重啟就沒了
  • 資料庫:普通資料庫。效能不高。

「Session 的過期和銷燬」很簡單,只要把儲存的 session 資料銷燬就可以。 「Session 的分散式問題」 通常服務端是叢集,而使用者請求過來會走一次負載均衡,不一定打到哪臺機器上。那一旦使用者後續介面請求到的機器和他登入請求的機器不一致,或者登入請求的機器宕機了,session 不就失效了嗎?這個問題現在有幾種解決方式。

  • 一是從「儲存」角度,把 session 集中儲存。如果我們用獨立的 Redis 或普通資料庫,就可以把 session 都存到一個庫裡。
  • 二是從「分佈」角度,讓相同 IP 的請求在負載均衡時都打到同一臺機器上。以 nginx 為例,可以配置 ip_hash 來實現。

但通常還是採用第一種方式,因為第二種相當於閹割了負載均衡,且仍沒有解決「使用者請求的機器宕機」的問題。「node.js 下的 session 處理」 前面的圖很清楚了,服務端要實現對 cookie 和 session 的存取,實現起來要做的事還是很多的。在npm中,已經有封裝好的中介軟體,比如 express-session - npm,用法就不貼了。這是它種的 cookie:

express-session - npm 主要實現了:

  • 封裝了對cookie的讀寫操作,並提供配置項配置欄位、加密方式、過期時間等。
  • 封裝了對session的存取操作,並提供配置項配置session儲存方式(記憶體/redis)、儲存規則等。
  • 給req提供了session屬性,控制屬性的set/get並響應到cookie和session存取上,並給req.session提供了一些方法。

應用方案:token

session 的維護給服務端造成很大困擾,我們必須找地方存放它,又要考慮分散式的問題,甚至要單獨為了它啟用一套 Redis 叢集。有沒有更好的辦法?

我又想到學校,在沒有校園卡技術以前,我們都靠「學生證」。門衛小哥直接對照我和學生證上的臉,確認學生證有效期、年級等資訊,就可以放行了。

回過頭來想想,一個登入場景,也不必往 session 存太多東西,那為什麼不直接打包到 cookie 中呢?這樣服務端不用存了,每次只要核驗 cookie 帶的「證件」有效性就可以了,也可以攜帶一些輕量的資訊。這種方式通常被叫做 token。

token 的流程是這樣的:

  • 使用者登入,服務端校驗賬號密碼,獲得使用者資訊
  • 把使用者資訊、token 配置編碼成 token,通過 cookie set 到瀏覽器
  • 此後使用者請求業務介面,通過 cookie 攜帶 token
  • 介面校驗 token 有效性,進行正常業務介面處理

「客戶端 token 的儲存方式」 在前面 cookie 說過,cookie 並不是客戶端儲存憑證的唯一方式。token 因為它的「無狀態性」,有效期、使用限制都包在 token 內容裡,對 cookie 的管理能力依賴較小,客戶端存起來就顯得更自由。但 web 應用的主流方式仍是放在 cookie 裡,畢竟少操心。 「token 的過期」 那我們如何控制 token 的有效期呢?很簡單,把「過期時間」和資料一起塞進去,驗證時判斷就好。

token 的編碼

編碼的方式豐儉由人。「base64」 比如 node 端的 cookie-session - npm 庫

不要糾結名字,其實是個 token 庫,但保持了和 express-session - npm 高度一致的用法,把要存的資料掛在 session 上

預設配置下,當我給他一個 userid,他會存成這樣:

這裡的 eyJ1c2VyaWQiOiJhIn0=,就是 {"userid":"abb”} 的 base64 而已。「防篡改」

那問題來了,如果使用者 cdd 拿{"userid":"abb”}轉了個 base64,再手動修改了自己的 token 為 eyJ1c2VyaWQiOiJhIn0=,是不是就能直接訪問到 abb 的資料了?

是的。所以看情況,如果 token 涉及到敏感許可權,就要想辦法避免 token 被篡改。解決方案就是給 token 加簽名,來識別 token 是否被篡改過。例如在 cookie-session - npm 庫中,增加兩項配置:

secret: 'iAmSecret',signed: true,

這樣會多種一個 .sig cookie,裡面的值就是 {"userid":"abb”}iAmSecret通過加密演算法計算出來的,常見的比如HMACSHA256 類 (System.Security.Cryptography) | Microsoft Docs。

好了,現在 cdd 雖然能偽造出eyJ1c2VyaWQiOiJhIn0=,但偽造不出 sig 的內容,因為他不知道 secret。「JWT」 但上面的做法額外增加了 cookie 數量,資料本身也沒有規範的格式,所以 JSON Web Token Introduction - jwt.io 橫空出世了。

JSON Web Token (JWT) 是一個開放標準,定義了一種傳遞 JSON 資訊的方式。這些資訊通過數字簽名確保可信。

它是一種成熟的 token 字串生成方案,包含了我們前面提到的資料、簽名。不如直接看一下一個 JWT token 長什麼樣:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyaWQiOiJhIiwiaWF0IjoxNTUxOTUxOTk4fQ.2jf3kl_uKWRkwjOP6uQRJFqMlwSABcgqqcJofFH5XCo

這串東西是怎麼生成的呢?看圖:

型別、加密演算法的選項,以及 JWT 標準資料欄位,可以參考 RFC 7519 - JSON Web Token (JWT)node 上同樣有相關的庫實現:express-jwt - npm koa-jwt - npm

refresh token

token,作為許可權守護者,最重要的就是「安全」。業務介面用來鑑權的 token,我們稱之為 access token。越是許可權敏感的業務,我們越希望 access token 有效期足夠短,以避免被盜用。但過短的有效期會造成 access token 經常過期,過期後怎麼辦呢?一種辦法是,讓使用者重新登入獲取新 token,顯然不夠友好,要知道有的 access token 過期時間可能只有幾分鐘。另外一種辦法是,再來一個 token,一個專門生成 access token 的 token,我們稱為 refresh token。

  • access token 用來訪問業務介面,由於有效期足夠短,盜用風險小,也可以使請求方式更寬鬆靈活
  • refresh token 用來獲取 access token,有效期可以長一些,通過獨立服務和嚴格的請求方式增加安全性;由於不常驗證,也可以如前面的 session 一樣處理

有了 refresh token 後,幾種情況的請求流程變成這樣:

如果 refresh token 也過期了,就只能重新登入了。

session 和 token

session 和 token 都是邊界很模糊的概念,就像前面說的,refresh token 也可能以 session 的形式組織維護。狹義上,我們通常認為 session 是「種在 cookie 上、資料存在服務端」的認證方案,token 是「客戶端存哪都行、資料存在 token 裡」的認證方案。對 session 和 token 的對比本質上是「客戶端存 cookie / 存別地兒」、「服務端存資料 / 不存資料」的對比。「客戶端存 cookie / 存別地兒」 存 cookie 固然方便不操心,但問題也很明顯:

  • 在瀏覽器端,可以用 cookie(實際上 token 就常用 cookie),但出了瀏覽器端,沒有 cookie 怎麼辦?
  • cookie 是瀏覽器在域下自動攜帶的,這就容易引發 CSRF 攻擊(前端安全系列(二):如何防止CSRF攻擊?- 美團技術團隊)

存別的地方,可以解決沒有 cookie 的場景;通過引數等方式手動帶,可以避免 CSRF 攻擊。「服務端存資料 / 不存資料」

  • 存資料:請求只需攜帶 id,可以大幅縮短認證字串長度,減小請求體積
  • 不存資料:不需要服務端整套的解決方案和分散式處理,降低硬體成本;避免查庫帶來的驗證延遲

單點登入

前面我們已經知道了,在同域下的客戶端/服務端認證系統中,通過客戶端攜帶憑證,維持一段時間內的登入狀態。但當我們業務線越來越多,就會有更多業務系統分散到不同域名下,就需要「一次登入,全線通用」的能力,叫做「單點登入」。

“虛假”的單點登入(主域名相同)

簡單的,如果業務系統都在同一主域名下,比如wenku.baidu.com tieba.baidu.com,就好辦了。可以直接把 cookie domain 設定為主域名 baidu.com,百度也就是這麼幹的。

“真實”的單點登入(主域名不同)

比如滴滴這麼潮的公司,同時擁有didichuxing.com xiaojukeji.com didiglobal.com等域名,種 cookie 是完全繞不開的。這要能實現「一次登入,全線通用」,才是真正的單點登入。這種場景下,我們需要獨立的認證服務,通常被稱為 SSO。「一次「從 A 系統引發登入,到 B 系統不用登入」的完整流程」

  • 使用者進入 A 系統,沒有登入憑證(ticket),A 系統給他跳到 SSO
  • SSO 沒登入過,也就沒有 sso 系統下沒有憑證(注意這個和前面 A ticket 是兩回事),輸入賬號密碼登入
  • SSO 賬號密碼驗證成功,通過介面返回做兩件事:一是種下 sso 系統下憑證(記錄使用者在 SSO 登入狀態);二是下發一個 ticket
  • 客戶端拿到 ticket,儲存起來,帶著請求系統 A 介面
  • 系統 A 校驗 ticket,成功後正常處理業務請求
  • 此時使用者第一次進入系統 B,沒有登入憑證(ticket),B 系統給他跳到 SSO
  • SSO 登入過,系統下有憑證,不用再次登入,只需要下發 ticket
  • 客戶端拿到 ticket,儲存起來,帶著請求系統 B 介面

「完整版本:考慮瀏覽器的場景」 上面的過程看起來沒問題,實際上很多 APP 等端上這樣就夠了。但在瀏覽器下不見得好用。看這裡:

對瀏覽器來說,SSO 域下返回的資料要怎麼存,才能在訪問 A 的時候帶上?瀏覽器對跨域有嚴格限制,cookie、localStorage 等方式都是有域限制的。這就需要也只能由 A 提供 A 域下儲存憑證的能力。一般我們是這麼做的:

圖中我們通過顏色把瀏覽器當前所處的域名標記出來。注意圖中灰底文字說明部分的變化。

  • 在 SSO 域下,SSO 不是通過介面把 ticket 直接返回,而是通過一個帶 code 的 URL 重定向到系統 A 的介面上,這個介面通常在 A 向 SSO 註冊時約定
  • 瀏覽器被重定向到 A 域下,帶著 code 訪問了 A 的 callback 介面,callback 介面通過 code 換取 ticket
  • 這個 code 不同於 ticket,code 是一次性的,暴露在 URL 中,只為了傳一下換 ticket,換完就失效
  • callback 介面拿到 ticket 後,在自己的域下 set cookie 成功
  • 在後續請求中,只需要把 cookie 中的 ticket 解析出來,去 SSO 驗證就好
  • 訪問 B 系統也是一樣

總結

  • HTTP 是無狀態的,為了維持前後請求,需要前端儲存標記
  • cookie 是一種完善的標記方式,通過 HTTP 頭或 js 操作,有對應的安全策略,是大多數狀態管理方案的基石
  • session 是一種狀態管理方案,前端通過 cookie 儲存 id,後端儲存資料,但後端要處理分散式問題
  • token 是另一種狀態管理方案,相比於 session 不需要後端儲存,資料全部存在前端,解放後端,釋放靈活性
  • token 的編碼技術,通常基於 base64,或增加加密演算法防篡改,jwt 是一種成熟的編碼方案
  • 在複雜系統中,token 可通過 service token、refresh token 的分權,同時滿足安全性和使用者體驗
  • session 和 token 的對比就是「用不用cookie」和「後端存不存」的對比
  • 單點登入要求不同域下的系統「一次登入,全線通用」,通常由獨立的 SSO 系統記錄登入狀態、下發 ticket,各業務系統配合儲存和認證 ticket

近期熱文推薦:

1.1,000+ 道 Java面試題及答案整理(2022最新版)

2.勁爆!Java 協程要來了。。。

3.Spring Boot 2.x 教程,太全了!

4.Spring Boot 2.6 正式釋出,一大波新特性。。

5.《Java開發手冊(嵩山版)》最新發布,速速下載!

覺得不錯,別忘了隨手點贊+轉發哦!