JWT实现分布式Session?行不?

最新推荐文章于 2024-07-22 17:41:30 发布
最新推荐文章于 2024-07-22 17:41:30 发布
阅读量733 收藏 15
点赞数 17
分类专栏: 程序员 文章标签: 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84048467/article/details/137803688
版权

三者组合在一起

Header.Payload.Signature

案例

看上去是不是满乱,我们来依次看下里面的结构。

Header

这个是JWT第一段数据,表示头部信息,主要的作用是描述JWT的元数据,上面的案例就是:

{
alg: “HS256”,
typ: “JWT”
}

1、alg属性表示签名的算法,默认算法为HS256,可以自行别的算法。
2、typ属性表示这个令牌的类型,JWT令牌就为JWT。

上面的JSON数据会通过Base64算法进行编码而成,看工具图

Payload

此为JWT第二段数据,用来存放实际需要传递的数据。JWT官方也规定了7个字段供选用

当然除了官方字段,我们可以自定义字段,以上面的案例,我们看下实际的数据

注意:这段也是用Base64算法,JWT默认是不加密的,任何人都可以获取,只要进行Base64解码就行了,所以不要把隐密的信息放到JWT中

Signature

此为JWT第三段数据,主要作用是对前面两段的数据进行签名,防止数据篡改。一般我们进行签名的时候会有个密钥(secret)只有服务器知道,然后利用Header中的签名算法进行签名,公式如下:

HMACSHA256(
base64UrlEncode(header) + “.” + base64UrlEncode(payload),
secret)

算出签名后,把Header、Payload、Signature三个部分拼成一个字符串,之间用(.)分隔,这样就可以把组合而成的字符串返回给用户了。

JWT的工作方式

在用户进行认证登录时,登录成功后服务器会返回一个JWT给客户端;那这个JWT就是用户的凭证,以后到哪里去都要带上这个凭证token。尤其访问受保护的资源的时候,通常把JWT放在Authorization header中。要用 Bearer schema,如header请求头中:

Authorization: Bearer

基于JWT的身份认证

上面的JWT的工作方式,其实就是一个完整的身份认证流程,我们这里把这个讲的在通俗一点。

1、用户提供用户名和密码登录
2、服务器校验用户是否正确,如正确,就返回token给客户端,此token可以包含用户信息
3、客户端存储token,可以保存在cookie或者local storage
4、客户端以后请求时,都要带上这个token,一般放在请求头中
5、服务器判断是否存在token,并且解码后就可以知道是哪个用户
6、服务器这样就可以返回该用户的相关信息

这个流程小伙伴们有没有发现,用户信息是放在JWT中的是存放在客户端(cookie,local storage)中的,服务器只需解码验证就行了,就可以知道获取到用户信息。而我们之前的Session方式就不一样。

与Session-Cookie方式的区别

Session-Cookie方式的这里就不多作介绍了,之前文章已经介绍了。直接上图说明区别

上图是Sesson服务器方式,我们发现Session用户信息是在服务器端存储的。
我们再来看看JWT方式

上面的token即用户信息是存储在客户端的,服务器端只要解码即可。

JWT方式认证的好处

1、因为token存储在客户端,服务器只负责解码。这样不需要占用服务器端资源
2、服务器端可以无限扩展,负载均衡器可以将用户传递到任何服务器,服务器都能知道用户信息,因为jwt里面包含了。
3、数据安全,因为有签名,防止了篡改,但信息还是透明的,不要放敏感信息。
4、放入请求头提交,很好的防止了csrf攻击

说了这么多的好处,那是不是JWT就非常适合替换掉Session方式呢?
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

如果你觉得这些内容对你有帮助,可以扫码获取!!(备注Java获取)

img

2021年Java中高级面试必备知识点总结

在这个部分总结了2019年到目前为止Java常见面试问题,取其面试核心编写成这份文档笔记,从中分析面试官的心理,摸清面试官的“套路”,可以说搞定90%以上的Java中高级面试没一点难度。

本节总结的内容涵盖了:消息队列、Redis缓存、分库分表、读写分离、设计高并发系统、分布式系统、高可用系统、SpringCloud微服务架构等一系列互联网主流高级技术的知识点。

目录:

(上述只是一个整体目录大纲,每个点里面都有如下所示的详细内容,从面试问题——分析面试官心理——剖析面试题——完美解答的一个过程)

部分内容:

对于每一个做技术的来说,学习是不能停止的,小编把2019年到目前为止Java的核心知识提炼出来了,无论你现在是处于什么阶段,如你所见,这份文档的内容无论是对于你找面试工作还是提升技术广度深度都是完美的。

不想被后浪淘汰的话,赶紧搞起来吧,高清完整版一共是888页,需要的话可以点赞+关注
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!

2401_84048467
关注
  • 17
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT实现分布式Session不?,nginx架构图
m0_64204730的博客
11-15 117
JWT是什么 JWT一看就是简称,它的全称JSON Web Token,从字面上我们看出 1、数据是JSON格式 2、用于Web应用 3、是一个Token,也就是一个令牌方式 看看官方的说明,它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象进安全传输信息。这些信息可以通过对称/非对称方式进签名,防止信息被串改。 紧凑的含义:就是JWT比较小,数据量不大,可以通过URL、POST参数或Header请求头方式进传输。 **自包含的 【一线大厂Java面试题解析+后端开发学习笔记+最新架
JWT实现分布式Session不?,android开发者指南
m0_66685270的博客
03-01 79
3、Signature 三者组合在一起 Header.Payload.Signature 案例 看上去是不是满乱,我们来依次看下里面的结构。 Header 这个是JWT第一段数据,表示头部信息,主要的作用是描述JWT的元数据,上面的案例就是: { alg: “HS256”, typ: “JWT” } 1、alg属性表示签名的算法,默认算法为HS256,可以自别的算法。 2、typ属性表示这个令牌的类型,JWT令牌就为JWT。 上面的JSON数据会通过Base64算法进编码而成,看工具图 Pay.
基于JWT验证原理解决分布式系统session一致性问题
嘎嘎的博客
12-15 2806
session一致性问题 在集群或者分布式系统中,用户登录后的,由于服务端是集群环境或者分布式环境,如何保证用户每次与服务器交互都是使用原来的session或者实现单点登录,这里就涉及session一一致性的问题。 解决session一致性问题可以从两种思路实现,一种是session服务端存储,一种是session客户端存储。 session服务端存储 服务端存储session,需要保证用户请求过...
JWT实现分布式Session不?,最详细的解释小白也能听懂
feifei99_8820的博客
04-08 614
如:姓名、昵称等(
JWT实现分布式Session不?(1)
2401_84048034的博客
05-16 679
小伙伴们怎么去选择Session的方式,是用传统的Sesion-Cookie服务器方式,还是用JWT方式,具体集合业务看。不过老顾这里推荐还是用传统的方式,因为以后的业务很有可能会用到用户Session。!!自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。
Java社招面经分享!JWT实现分布式Session不?
m0_56662269的博客
06-15 91
享学课堂特邀作者:老顾 转载请声明出处! 前言 小伙伴们老顾在上一篇【微服务架构下分布式Session】介绍了Session实现方式,这篇文章中我们来了解一下JWT是何方神圣?以及JWT实现分布式SessionJWT是什么 JWT一看就是简称,它的全称JSON Web Token,从字面上我们看出 1、数据是JSON格式 2、用于Web应用 3、是一个Token,也就是一个令牌方式 看看官方的说明,它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象进安全传输信息。这些信息可以通过对.
JWT实现分布式Session不?,作为一个程序员你觉得最大的悲哀是什么
m0_65146275的博客
12-19 493
这个是JWT第一段数据,表示头部信息,主要的作用是描述JWT的元数据,上面的案例就是: { alg: “HS256”, typ: “JWT” } 1、alg属性表示签名的算法,默认算法为HS256,可以自别的算法。 2、typ属性表示这个令牌的类型,JWT令牌就为JWT。 上面的JSON数据会通过Base64算法进编码而成,看工具图 Payload 此为JWT第二段数据,用来存放实际需要传递的数据。JWT官方也规定了7个字段供选用 当然除了官方字段,我们可以自定义字段,以上面的案例,我们看下实际的数
43_说说你们的分布式session方案是啥?怎么做的?.zip
11-13
附件中的"笔记.docx"可能详细记录了分布式Session的各种实现方法和优缺点,"01_分布式会话是什么.png"可能是一张解释分布式会话概念的图表,而"PPT.pptx"则可能是更全面的讲解,包括具体的配置示例和实战经验分享。...
分布式session 共享
07-29
总的来说,分布式Session共享是微服务架构中不可或缺的一部分,它涉及到如何在多个独立服务之间共享和管理用户的状态信息。常见的解决方案包括使用中央化的存储系统(如Redis),通过Token或JWT实现无状态认证,以及...
Spring Boot Security 结合 JWT 实现无状态的分布式API接口
10-17
在Spring Boot项目中集成JWT,可以实现高效且灵活的身份验证流程,尤其是对于前后端分离的应用,JWT可以帮助消除传统的session依赖,从而实现无状态API接口。 要开始使用Spring Boot Security结合JWT,首先需要理解...
分布式Session解决方案.docx
10-26
分布式系统中,Session管理是一...总的来说,分布式Session管理是现代Web应用不可或缺的一部分,通过合理选择和实施解决方案,我们可以确保用户在多服务器环境下的体验连贯一致,同时保证系统的可扩展性和高可用性。
Zabbix监控系统:zabbix服务部署+基于Proxy分布式部署+zabbix主动与被动监控模式
最新发布
m0_67497257的博客
07-22 621
zabbix 是一个基于 Web 界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix 能监视各种网络参数,保证服务器系统的安全运营,提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。zabbix 由 2 部分构成,zabbix server 与可选组件 zabbix agent。通过 C/S 模式采集数据,通过 B/S 模式在 Web 端展示和配置。
【Git远程操作】理解分布式管理 | 创建远程仓库
m0_74841364的博客
07-18 1003
【Git远程操作】理解分布式管理 | 创建远程仓库
分布式搜索引擎ES-Elasticsearch进阶
TOMORROW6COME的博客
07-18 959
设置相应的数据结构:(mapping,就是定义数据的类型)Index:false:表示不被识别,如果存放私密信息的时候设置为FALSEtext与keyword异同:同:都是String异:text大的文本,需要分词;keyword:精确匹配的搜索,微信号,手机号,QQ号等无需分词创建索引的同时创建mapping},为已经存在的索引创建mappings或者创建mappings"id": {},"age": {},},},},"sex": {},"score": {},
TiDB实践—索引加速+分布式框架创建索引提升70+倍
TiDB 社区干货传送门
07-19 838
作者: 数据源的TiDB学习之路 原文来源: https://tidb.net/blog/92d348c2 ...
钡铼分布式 IO 系统 OPC UA边缘计算耦合器BL205
钡铼技术工业物联网
07-18 1256
钡铼技术专注工业智能网关,工业物联网关,数据采集终端,数据采集模块,工业4G路由器,Lora网关,远程IO,以太网IO,4G RTU,4G DTU, 断电报警器,PLC网关,modbus网关,MQTT网关,BACnet网关,边缘计算网关,数据采集系统等研发与制造。想要顺利的访问BL205耦合器节点,必须要将它正确的安装并且和计算机建立连接,所以我们要做好配置前的准备——给它们配置正确的IP地址,使他们保持在同一个网段内。3.在登录界面输入“用户名“ 和 ”密码“,然后点击登录。BL205耦合器IP登录。
高性能分布式IO系统BL205 OPC UA耦合器
钡铼技术工业物联网
07-18 1251
钡铼技术专注工业智能网关,工业物联网关,数据采集终端,数据采集模块,工业4G路由器,Lora网关,远程IO,以太网IO,4G RTU,4G DTU, 断电报警器,PLC网关,modbus网关,MQTT网关,BACnet网关,边缘计算网关,数据采集系统等研发与制造。同理数值逻辑和布尔逻辑,逻辑原理一样,数值逻辑只是判断条件为“大于”、“小于”或“等于”某个数值,作为联动条件。(7)输入3:选择“无”,因不需要这个条件选项,故选择“无”,这根据需求选择,可以选择寄存器、常数、无。也可选择“无”条件2。
站在资本投资领域如何看待分布式光纤传感业?
厘米级分布式光纤传感
07-22 110
随着技术的创新和应用场景的不断拓展,分布式光纤传感业有望吸引更多的资本投资。综上所述,尽管近年来分布式光纤传感业在资本投资领域相对较为冷清,但随着无锡布里渊等企业在技术方面的突破和创新,以及业应用场景的拓展,未来仍有望吸引更多的资本投资。在未来,为了吸引更多的资本投资,分布式光纤传感业需要加强技术创新和应用场景的开拓。此外,业企业还需要加强与投资者的沟通和合作,共同推动分布式光纤传感技术的发展。在过去的十年里,分布式光纤传感技术领域并未出现特别大的技术突破和创新,仍然停留在米级别的精度水平。
谷粒商城V2.0:实现分布式单点登录与JWT安全解决方案
分布式应用环境中,传统的session共享模式不再适用,因为多业务之间的数据独立管理需求使得统一维护session数据变得复杂且不安全。 单点登录的核心在于用户身份信息的集中管理和认证过程。通过将用户认证和授权...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值