JWT面试总结

已于 2024-03-26 21:14:28 修改
阅读量282 收藏 5
点赞数 6
文章标签: java 开发语言
于 2024-03-26 21:06:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Attteng/article/details/137056925
版权

什么是JWT

json web token 简称jwt,是应用程序上的用户进行身份验证时的标志。使用jwt的应用程序可以不用存储客户端的cookie和其他的session等数据。提高了延伸性和应用程序的安全性。

在用户进行身份验证的时候,当用户根据凭证成功登录时,会在客户端返回jwt,必须在本地保存(通常在本地存储中)。

当用户访问受保护的资源和路由的时候,前端代理会向后端发送请求,并将jwt保存在请求的授权标头中,后端接收jwt并验证token的有效性。

JWT的组成

jwt实际上就是一个字符串,它主要是由三部分组成的。头部(header)载荷(payload)签名(signature)

头部(header)

主要是用来存放基本信息的,主要是包含jwt基本类型和jwt签名的算法,可以将其表示成为一个json对象。

eg:{ " typ " : " JWT " , " alg " : " HS256 " }

载荷(payload)

主要是用来存放有效信息的,主要包含三个部分:

标准中注册的声明:

iss:jwt签发者      sub:jwt面向的对象    aud:jwt返回的一方     exp:jwt过期时间,过期时间要大于签发时间        isa:jwt签发时间         nbf:在规定时间之前,jwt失效      jti:jwt的id,用于唯一标识jwt

公共声明:

可以存储jwt任何信息,一般用来存储和用户相关的信息和业务有关的必要信息,一般不建议存储用户的隐私信息,因为在客户端会被解密

私有声明:

是持有者和消费者共同定义的声明,一般不建议存储用户的隐私信息,因为base64会被对称解密,该类信息可以被归类为明文信息

签名(signature)

这一部分也是由三部分组成的:header(base64编码) payload(会被base64编码)  secret

由被base64编码的header和payload使用“.”连接组成的字符串,被header中的加密算法和加盐secret共同加密

JWT场景问题

1. http中的token泄露了怎么办?

首先使用https对程序进行加密,将返回客户端的jwt设置其httponly=true,并且使用cookie存储而不是localstorage,这样可以防止XSS攻击和CSRF攻击

2. 如何设计secret?

jwt存储在服务端的secret只有一个,因此个人认为应该将其设置为和用户相关的属性,而不是所有用户都能使用的统一值,从而避免用户注销和修改密码产生的尴尬。

3. 多次登录生成的token是否一样?是否有效?

单点登录中多次登录生成的token是一样的,但是可以在jwt的payload加上时间戳,从而使其不同,都是有效的。

4. 单点登录如何实现?

1. 用户访问其他服务的时候,网关会验证token的有效性

2. 如果token无效,则返回401(即认证失败),跳转到登陆页面

3. 当发送登录请求时,返回浏览器一个token,将其保存到cookie中

4. 再次访问其他服务的时候,会携带这个token,网关会验证token的有效性,如果有效则路由到目标服务

阿腾在造bug
关注
全网最全-谷粒商城项目-面试总结-简历优化
成功最快的秘诀: 抱团取暖 。
09-20 28万+
该系用采用SpringCloud架构,利用SpringBoot构建应用,利用Nacos作为服务的注册、配置中心,利用OpenFeign实现与其他模块进行交互,利用Sentinel实现熔断降级和错误处理,利用Gateway作为服务网关,利用RabbitMQ实现延迟队列,利用Redis作为缓存解决读多写少的场景,利用MySQL进行持久化,利用MyBatisPlus作为持久化框架。
4、JWT常见面试总结
Java__EE小白成长之路
09-01 1742
关于JWT面试看它就够了
有关JWT面试问题总结
qq_52880445的博客
11-03 1636
这个问题我们要知道JWT它是如何进行加密的。首先它有自己的一个加密算法,虽然该算法是可逆的,也就是说它是有可能被破解的,这个其实不需要担心,因为它还有一个签名,也就是签名+加密算法都要正确才能解锁,所以我们完全不害怕JWT被拦截伪造。以上就是我在JTW登录中常遇到的一些问题,也写了一些我的理解,如有错误,请练习我。对于这个问题,首先我们要明白啥是有状态,啥事无状态?
jwt面试问题
weixin_45566576的博客
05-30 1205
看了一个面试题,找的解决办法原帖:https://juejin.cn/post/7347947619746086939#heading-2提示:以下是本篇文章正文内容,下面案例可供参考不要将所有信息存储在 JWT 中:只存储必要的身份和授权信息,避免存储敏感数据。JWT 并非绝对安全:其安全性取决于正确的使用方式和配置,如使用强加密、短期有效性、HTTPS 传输等。保护 JWT:防止 JWT 被盗用的措施包括使用短期令牌和刷新令牌、撤销机制、绑定 IP 和 User-Agent 以及加密敏感数据。
jwt----入门面试
m0_52681702的博客
11-17 1751
课程目标: ①、jwt出现的原因及工作原理 ②、jwt工具类介绍,三种场景 ③、jwt与vuex配合在SPA项目中的应用 一.jwt出现的原因及工作原理 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserNam...
苍穹外卖面试总结
m0_72252418的博客
05-08 4558
递归:方法自己调用自己优点:代码简介。缺点:1.性能开销大;2.栈溢出;3.调试困难。Java中动态获取类及类的成员、方法的技术。框架的底层都用了大量的反射。异步的JavaScript和XML。用来做前端和后端的异步请求的技术。异步请求:只更新部分前端界面的请求,做到局部更新。比如注册,提示用户名已存在而整个页面没有动比如百度图片搜索美女,进度条越变越短,可以一直往下拉把创造对象的权利交给容器,就是IOC有需要使用就注入,就是DI依赖注入。
SpringBoot+JWT+Shiro,java简单算法题面试
2301_82242296的博客
04-01 782
5.搭配Shiro注解配置权限,高度灵活,提供按钮级别的权限控制,后端接口只验证权限,不看角色。JWT可以跨不同语言,自带身份信息,并且非常容易传递。4.使用bcrypt算法加密密码,著名代码托管网站Github和美国军方防火墙同样采用此算法,靠bcrypt算法会成功保住密码强度不算很高的大部分账户。1.填写用户名密码用POST请求访问/login接口,返回token令牌等信息,失败则直接跳转401错误页面。7.使用POST请求登录返回token和权限信息,保证请求无状态,返回实体如果属性为空不显示。
浅析JWT原理及牛客出现过的相关面试
Kixuan214的博客
07-25 1386
总结jwt相关原理及牛客出现的面试题(含答案)
java面试总结
dsadsagfsg的博客
02-22 804
一个在内存中运行的应用程序。每个进程都有自己独立的一块内存空间,一个进程可以有多个线程,比如在Windows系统中,一个运行的xx.exe就是一个进程。进程中的一个执行任务(控制单元),负责当前进程中程序的执行。一个进程至少有一个线程,一个进程可以运行多个线程,多个线程可共享数据。根本区别:进程是操作系统资源分配的基本单位,而线程是处理器任务调度和执行的基本单位。同一进程的线程共享本进程的地址空间和资源,而进程之间的地址空间和资源是相互独立的。
JavaSE面试总结
XiaoFanMi的博客
12-03 2464
网络&反射网络OSI 的七层模型都有哪些?TCP与UDP区别什么是三次握手四次挥手?socket编程time_wait状态如何产生tcp为什么要三次握手?TCP如何保证可靠传输?什么是 TCP 粘包,它的产生原因以及解决方法?TCP 粘包:避免粘包?建立连接,客户端出现故障怎么办了解ARP协议吗ARP的工作流程:IP地址和MAC地址说一下ping的过程Http协议无状态协议的优缺点:明文传输的优缺点:浏览器输入url,会经历什么一次完整的HTTP请求过程:一次完整的HTTPS请求过程dns是什么?d
JWTJava和Android中的使用,【面试总结
m0_61418377的博客
09-05 266
public void JWTDecode(String token) { try { DecodedJWT jwt = JWT.decode(token); /** * Header Claims */ //Returns the Algorithm value or null if it's not defined in the Header. String algorithm = jwt.g.
spring-security-jwt总结与实现
V539413949的博客
04-24 1601
jwt总结与实现 请求和响应 请求实体-规定的客户端传给jwt认证服务器的参数 响应实体-规定了jwt服务端颁发给客户端的jwt token的结果 jwtUtil类 主要提供了jwt的实现方法,如加密规则,生成token,获取token等 SecurityConfigurer类 主要设置了加密方法,用户信息读取方法,配置路由的授权规则等 过滤器JwtRequestFilter 对指定的http请求进行拦截和用户认证等 测试类 可以使用postman类似的工具进行jwt的测试 post http://
Java实现JWT的Token认证机制
m0_75011249的博客
05-03 1029
我们刚才的例子只是存储了id和subject两个信息,如果你想存储更多的信息(例如角色)可以定义自定义claims//为了方便测试,我们将过期时间设置为1分钟//当前时间//过期时间为1分钟.setSubject(“小白”)System.out.println(“签发时间:”+sdf.format(claims.getIssuedAt()));System.out.println(“过期时间:”+sdf.format(claims.getExpiration()));
【C++刷题】力扣-#121-买卖股票的最佳时机
会写代码的饭桶
10-16 555
给定一个数组 prices,其中 prices[i] 表示第 i 天的股票价格。假设你可以在第 i 天买入并在第 j 天卖出股票(i ≤ j),设计一个算法来计算你所能获取的最大利润。注意你只能持有一股股票,并且你不能同时参与多笔交易(即在再次买入前必须卖出股票)。
No provider available from registry RegistryDirectory
最新发布
小道仙的后宫
10-20 220
最近在做配置文件升级,服务比较多,之前的Dubbo配置各个服务写的比较乱,有的用Nacos上的 data-id,有的又是在自己的服务引入配置遂准备统一了,全部都用Nacos上的配置,同时修改了Dubbo服务名发到线上的时候,线上崩了,部分服务出现如下错误注: IP和服务名做了隐藏处理。
java 异常包装
fdvvg的博客
10-17 333
通过异常包装,可以在Java中有效地处理和传递异常。这样做不仅能保持原始异常的信息,还能为上层调用者提供更多的上下文信息。
基于SSM班级事务管理系统的设计
2401_87849773的博客
10-15 421
管理员账户功能包括:系统首页,个人中心,学生管理,班委管理,班会组织管理,健康档案管理,党员发展管理,党员培训管理,学生成绩管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。班委账号功能包括:系统首页,学生管理,学生成绩管理,活动信息管理,班费通知管理。服务器:SpringBoot自带 apache tomcat。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发系统:Windows。
代理模式、BigDecimal详解
Mr.W的博客
10-14 1074
BigDecimal可以实现对浮点数的运算,不会造成精度丢失。通常情况下,大部分需要浮点数精确运算结果的业务场景(比如涉及到钱的场景)都是通过BigDecimal来做的。浮点数之间的等值判断,基本数据类型不能用 == 来比较,包装数据类型不能用 equals 来判断。想要解决浮点数运算精度丢失这个问题,可以直接使用BigDecimal来定义浮点数的值,然后再进行浮点数的运算操作即可​​// 0。
pyserini安装&使用
DreamLike_zzg的博客
10-14 616
代码。
苍穹外卖技术:个人JWT总结与实战应用
在本篇个人总结中,我们关注的是苍穹外卖技术,特别是关于JWT(Json Web Tokens)的运用。JWT是一种轻量级的身份验证协议,用于在网络应用中安全地传递用户信息。以下是总结中的关键知识点: 1. **JWT准备工作**: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值