微服务中的用户会话管理（一）Session与Cookies&Token

Session与Cookies&Token

• cookies是由作用域的；
• Session与Cokies可以自动保持会话，UA提交的服务器但服务器没法标记这个人是谁，所以不管来的是谁，服务器给你生成个唯一字符串，针对当前来的用户绑定住，存在服务器端，管理服务器字符串的技术叫session，并且发给浏览器就叫cookies；
• 每次访问都是一个轨迹，就知道是同一个用户，和登录无关；
• token是服务器直接下发给客户端，客户端请求服务器时可以放到header里，也可以放到uri，每次请求都加上token字符串；可以跨平台；

浏览器同源策略与跨域

同源（安全策略）

• 域名、协议、端口都会造成不同源；

  和这个地址差不多的要不要使用这个字符串；

  相同的源使用相同的会话机制，域名一样资源地址不一样；

跨域

jsonp 需要写代码

• 只能发get请求

  <script>、<img> 、<iframe>、<link>、<video>这些标签都可以发起跨域请求

回调函数实现跨域

1. login.html登录请求新浪接口，用写调用新浪的登录，
2. login接口返回用户信息放到js里并且写成function，响应回login.html，调用login.html里的say()方法，

cors 浏览器+服务器

• 能发任何请求

• 达成共识完成的

  请求头写上Origin来源直接发Ajax，和服务器设置的允许的来源对上了，就成功跨域了；

保持会话的框架

• 认证
• 授权：基于用户的
• 角色

Shiro

用户Subject->登录Authentication->认证Authorization->授权Realm

核心功能

Authentication：身份

认证/登录

，验证用户是不是拥有相应的身份；

Authorization：授权，即

权限验证

，验证某个已认证的用户是否拥有某个权限；即判断用户是否能做事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限；

Session Manager：

会话管理

，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通JavaSE环境的，也可以是如Web环境的；

Cryptography：

加密

（解密 摘要算法），保护数据的安全性，如密码加密存储到数据库，而不是明文存储；

Web Support：Web支持，可以非常容易的集成到Web环境；

Caching：缓存，比如

用户登录后

，其用户信息、

拥有的角色/权限不必每次去查

，这样可以提高效率；

Concurrency：shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去；

Testing：提供测试支持；

Run As：允许一个用户

假装为另一个用户

（如果他们允许）的身份进行访问；

模拟切换角色权限

；

Remember Me：

记住我

，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了。

设置session永不过期，下发cookies永不过期

；

组件（下边3个组件组成了shiro）

Subject：主体，代表了当前“

用户

”，这个用户不一定是一个具体的人，与当前应用交互的任何东西都是Subject，如网络爬虫，机器人等；即一个抽象概念；所有Subject都绑定到SecurityManager，与Subject的所有交互都会委托给SecurityManager；可以把Subject认为是一个门面；SecurityManager才是实际的执行者；

SecurityManager：安全管理器；即

所有与安全有关的操作都会与SecurityManager交互

；且它

管理着所有Subject

；可以看出它

是Shiro的核心

，它负责与后边介绍的

其他组件进行交互

，如果学习过SpringMVC，你

可以把它看成DispatcherServlet前端控制器

；

Realm：域，Shiro从从Realm获取安全数据（如用户、角色、

权限

），就是说SecurityManager要验证用户身份，那么它需要

从Realm获取相应的用户进行比较以确定用户身份是否合法

；也需要

从Realm得到用户相应的角色/权限

进行验证用户是否能进行操作；可以把Realm看成DataSource，即

安全数据源

。

Spring security

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反转Inversion of Control ,DI:Dependency Injection 依赖注入）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

它是一个轻量级的安全框架，它确保基于Spring的应用程序提供身份验证和授权支持。

它与Spring MVC有很好地集成，并配备了流行的安全算法实现捆绑在一起。安全主要包括两个操作“认证”与“验证”（有时候也会叫做权限控制）。

“认证”是为用户建立一个其声明的角色的过程，这个角色可以一个用户、一个设备或者一个系统。“验证”指的是一个用户在你的应用中能够执行某个操作。在到达授权判断之前，角色已经在身份认证过程中建立了。

Spring Security 前身是Acegi Security

JWT

SSO

SSO 是英文 Single Sign On 的缩写，翻译过来就是单点登录

Session共享

session复制

• 同步不及时
• 浪费资源过大

session放到第三方里

• redis

  

统一网关

oauth

相同一套系统网关可以放前边

所以请求先打到统一网关实现统一鉴权，下发token，在发送到真实服务器；

不同一套系统网关可以放后边

• 鉴权运行在网关里的；
• 客户端和服务端之间又建立了一套服务；
• 服务器不直接和第三方存储服务器交互，session管理不由服务器，单独交给一套系统也叫网关，服务器把会话扔给网关系统由网关系统完成鉴权以及token下发，只是网关在前边和在后边的概念；
• 都是用token令牌鉴权的；

  

CAS

中心认证服务（Central Authentication Service）SSO 仅仅是一种架构，一种设计，而 CAS 则是实现 SSO 的一种手段

• 鉴权专用服务器，鉴权独立出来成为一个应用；
• 网关只管理token，鉴权在CAS；

  

OpenID

• 让别人的网站登录我的系统拿到一部分信息的

  ；
• 用户不愿意在weto.top注册，拿别人家的账号来登录：微博、QQ、支付宝；
• 在weto.top通过微博的接口，登录完能拿到必要信息；

  

SCRF XSS攻击安全与防御

用户授权拒绝用户时候为的是系统安全，账号安全，浏览器安全，

XSS流量攻击正常请求（CC/DDOS流量攻击非法请求）

跨站点脚本攻击

• 流量比较大的新浪网站，在html里嵌入违规的代码（发起外站百度请求的能力）；
• 把新浪

  服务器黑了

  ，在里面写js img iframe，在标签里写请求百度；
• 海量的流量就流入百度了，百度并发量就增大了，浪费百度的流量；

  

• 黑不进去服务器，

  利用漏洞

  ，富文本编辑器引入网络图片的url填写成一个网址；

  

  

• 漏洞被修复（修补bug转义）

  

CSRF（XSRF） 跨站攻击伪装请求

• 一个浏览器开启多个页签，zfb.com登录了，wx.com在html嵌入

  <img src="http://zfb.com/hi">

  ，就不需要登录也可以访问zfb.com，因为浏览器有zfb.com的cookie；
• 怎么防？
  • 敏感操作加验证码
  • 全站POST；GET请求下次请求带服务器下发的hash码，下次请求校验有没有这个hash，hash都是一次性使用，hash不能放在cookie；/add?hash=a1b2c3

Spring Security使用

官网

https://spring.io/projects/spring-security

HelloWorld

pom

<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
	<groupId>org.springframework.security</groupId>
	<artifactId>spring-security-test</artifactId>
	<scope>test</scope>
</dependency>
           

启动项目

启动成功后会生成一个默认密码

接下来访问系统使用用户名 user

自定义账号密码

spring.security.user.name=lichun
spring.security.user.password=123