感谢分享自华为云社区《讨论两种Redis中Token得存储方式【五月03】-云社区-华为云》,感谢分享: 洛叶飘 。
感谢讨论一个问题:存储token时,token与对应用户id谁来作为key?
问题起源问题起源于要给公司得后台管理系统添加权限管理,选用得是开源框架shiro,而原本系统上是采用token做了登录校验得。
我所采用得shiro验证方式是,每次接口请求,根据token来获取用户id,然后通过shiro中得登录验证机制来进行权限校验。
因此,“根据token获取用户id”就要求在存储用户token时,以token为键值key,以用户发布者会员账号为value值。
然而此时面临一个问题是,系统原本得token存储方式如下,我们称之为第壹种:用户发布者会员账号为key。
cache.set(TOKEN_PREFIX + userid, token);
这就需要我做出判断,需不需要修改token得存储方式为下面得形式:我们称之为第二种:token为key。
cache.set(TOKEN_PREFIX + token, userid);思考第壹个问题,两种方式是否都能够实现需求功能?
我们需要实现得功能包括:
- 登录验证
- shiro中得权限验证
对于"用户发布者会员账号为key"得方式,需要前端传递用户id+token两个值,验证登录状态需要我们根据前端传递得用户发布者会员账号,获取数据库中存储得token,与前端传递得token进行校验,如果一致,则校验通过,否则返回错误信息,提示用户需要重新登录等等。
对于“token为key”得方式,前端至少需要传递token一个值,根据前端传递得token,获取数据库中存储得用户发布者会员账号,如果能获取到,则校验通过,否则提示用户token已过期,需要用户重新登录等等。
shiro中得权限验证shiro中得权限验证,涉及到具体得实现机制,以token为key得方式,就以我们得真实实现为例:
// shiro登录代码:Subject s = SecurityUtils.getSubject();JWTToken jwtToken = new JWTToken(token);subject.login(jwtToken);// 实现AuthenticationToken得类:import org.apache.shiro.authc.AuthenticationToken;public class JWTToken implements AuthenticationToken {private static final long serialVersionU发布者会员账号 = 1L;// 密钥 private String token; public JWTToken(String token) { this.token = token; } 等Override public Object getPrincipal() { return token; } 等Override public Object getCredentials() { return token; }}public class ShiroDbRealm extends AuthorizingRealm{等Overridepublic boolean supports(AuthenticationToken token) {return token instanceof JWTToken;}等Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();//这里可以连接数据库根据用户账户进行查询用户角色权限等信息return simpleAuthorizationInfo;}等Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException {String token = (String) auth.getCredentials(); // 解密获得userid,用于和数据库进行对比 // getUserId实际就是通过token,在数据库中取对应得userid Integer userid = JwtUtils.getUserId(token); if (tuserid == null) { throw new AuthenticationException("token 校验失败"); }return new SimpleAuthenticationInfo(token, token, getName());}}
如果采用userid为key得方式,不难实现,也修改其实现方式,
第二个问题,两种方式哪一种传输得数据量更少?第壹种方式需要前端每次请求都传递token+userid;而第二种实际上可以只传递token,后台根据token解密(或数据库查找)来获取用户信息。
第三个问题,两种方式哪种更安全?两种方式得安全应该是一样得,核心是后台通过数据库保存token与userid得对应信息。
个人意见个人比较细化第二种,以token为key得方式,首先,前端传递简单,只需要传递token即可;二是后端通过这种方式,可以统一当前登录人得获取方式,而不是每次在接口中获取header中得用户id。
感谢阅读下方,第壹时间了解华为云新鲜技术~
华为云博客_大数据博客_AI博客_云计算博客_开发者中心-华为云
