jwt优点
使用cookie的话,不支持跨域,使用jwt的话放置到请求头里面支持跨域
支持移动端
jwt的认证流程
第一步 :
通过用户名和密码进行验证的Post请求,https类型
第二步:
验证通过后将用户的基本信息,作为jwt的载体,和jwt的头部分别进行base64编码,形成一个JWTToken字符串
第三步:
将JWTToken字符串作为登录成功的结果返回给前端,
第四步:
前端将返回的tOKEN
第五步:
后端检查传过来的jwtToken验证其有效性,检查是否过期,签名是否正确等等
第六步:
验证通过后,后端解析出token里面所包含的信息,返回用户的权限、
不使用Session的原因
1、session不支持跨域,无法适应微服务
2、session基于cookie,安全性不能保证
3、session储存在服务器无法实现单点登录,加redis的话会降低性能
对称加密
私钥加密 私钥解密
非对称加密
私钥加密 公钥解密