Spring Security 整合 JSON Web Token(JWT)

1 单点登录（SSO）

这种方案意味着每个面向用户的服务都必须与认证服务交互，这会产生大量非常琐碎的网络流量和重复的工作，当动辄数十个微应用时，这种方案的弊端会更加明显。
2 分布式 Session 方案

分布式会话方案原理主要是将关于用户认证的信息存储在共享存储中，且通常由用户会话作为 key 来实现的简单分布式哈希映射。当用户访问微服务时，用户数据可以从共享存储中获取。在某些场景下，这种方案很不错，用户登录状态是不透明的。同时也是一个高可用且可扩展的解决方案。这种方案的缺点在于共享存储需要一定保护机制，因此需要通过安全链接来访问，这时解决方案的实现就通常具有相当高的复杂性了。
3 客户端 Token 方案

令牌在客户端生成，由身份验证服务进行签名，并且必须包含足够的信息，以便可以在所有微服务中建立用户身份。令牌会附加到每个请求上，为微服务提供用户身份验证，这种解决方案的安全性相对较好，但身份验证注销是一个大问题，缓解这种情况的方法可以使用短期令牌和频繁检查认证服务等。对于客户端令牌的编码方案，Borsos（David Borsos） 更喜欢使用 JSON Web Tokens（JWT），它足够简单且库支持程度也比较好。
4 客户端 Token 与 API 网关结合

这个方案意味着所有请求都通过网关，从而有效地隐藏了微服务。 在请求时，网关将原始用户令牌转换为内部会话 ID 令牌。在这种情况下，注销就不是问题，因为网关可以在注销时撤销用户的令牌。

JWT就是一个字符串，经过加密处理与校验处理的字符串，形式为： ABC

header格式为

它就是一个json串，两个字段是必须的，不能多也不能少。alg字段指定了生成C的算法，默认值是HS256
将header用Base64Url编码，得到A
通常，JWT库中，可以把A部分固定写死，用户最多指定一个alg的取值

将上面的JSON对象进行Base64Url编码,得到B

将AB使用RS256加密（其实是用header中指定的算法），当然加密过程中还需要密钥（自行指定的一个字符串）。
加密得到C，学名signature，其实就是一个字符串。作用类似于CRC校验，保证加密没有问题。
现在ABC就是生成的token了。

可以使用
JWT调试

Objective-C JWT >