BCrypt加密原理:
Spring security提供了BCryptPasswordEncoder类,实现spring的PasswordEncoder接口使用BCrypt强哈希方法来加密密码
管理员登陆的业务逻辑:
1 从前台获取登陆的用户名,密码
2 判断用户名是不是null,说明登陆成功,否则登陆用户名或密码错误
用户登陆与密码验证:
1 当添加用户用BCryptPasswordEncoder的encoder对用户密码进行加密
2 根据手机号查询到用户,在获取用户密码,使用BCryptPasswordEncoder的encoder的matches方法判断用户判断用户密码是否正确,当用户名和密码都正确是登陆成功,否则密码或者用户名错误
常见的认证机制
1 HTTP Basic Auth(容易暴露密码个第三方)
2 Cookie Auth
3 OAuth(适用于个人消费者类的互联网产品)
4 Token Auth
认证流程:
1. 客户端使用用户名跟密码请求登录
2. 服务端收到请求,去验证用户名与密码
3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
4. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里
5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
优点:
1. 支持跨域访问
2. 服务器可扩展性
3. 解耦
4. 更适用于移动应用
5. 高性能
6. 基于标准化
JJWT: 一个提供端到端的JWT创建和验证的库
流程:创建了token,web应用中这个操作是由服务端进行然后发送给客户端,客户端下次发送请求携带这个token,那服务端接到到这个token,应该解析出token中的信息,查询这些信息查询数据库返回相应的结果
token的过期时间可以自行设置
