[系统运维]JWT详解与Shiro认证与授权

一）JWT与Shiro基础：

1、单点登录：

了解JWT之前，我们先了解一下JWT的最多应用场景----单点登录。

图中有四个系统，sso只有登录的功能，1系统处理订单，2系统处理购物车，3系统处理用于数据的。如果没有单点登录，管理者就需要登录4次系统输入4次用户名和密码，这就导致我们要输入很多次用户名和密码。于是出现了单点登录，只需要在sso登录一次，然后所有与其绑定的信任系统都不用再次登录就可以使用。

再举一个简单的例子，淘宝和天猫是两个相互信任的系统，你会发现当你登录了天猫或者淘宝之后另一个系统就不用登录即可使用。

2、JWT

1、基本理解：说白了就是为了实现单点登录(一次登录一段时间之内该应用及其信任应用都不用再次登录)

2、实现原理：第一次登录之后服务器A会根据内部的加密算法给客户端返回一串字符串叫做令牌，用于验证，当下次使用时，客户端将令牌发给服务器B，B会根据发来的令牌以及服务器内部令牌解密算法进行令牌解密，成功就允许用户使用相关功能，失败就会抛出异常拒绝访问。

3、每个jsw令牌都存在一定的时间(自己设定)，超出这个时间令牌就会失效，需要重新登录