登录校验-会话技术/JWT令牌

已于 2023-06-29 09:04:14 修改
阅读量286 收藏
点赞数
文章标签: java
于 2023-06-28 08:55:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hey_Join/article/details/131426287
版权
本文介绍了HTTP协议的无状态特性以及会话跟踪的重要性。对比了Cookie和Session的优缺点,重点讲解了令牌技术,特别是JWT(JsonWebToken),包括其组成(Header,Payload,Signature)和使用方法。还提到了JWT在处理跨域、服务器集群和安全性方面的能力,并提供了JWT令牌的生成与校验代码示例。最后,针对可能出现的错误,建议了添加JAXB依赖的解决方案。
摘要由CSDN通过智能技术生成

登录校验

  1. 会话技术
    会话:
    用户打开浏览器,访问web资源的时候,会话建立。直到一方断开连接,会话结束,一次会话中包含多次响应
    会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自同一浏览器,以便在多次会话中的多次数据共享
    会跟踪方案:
    客户端会话跟踪技术:Cookie
    服务端会话跟踪技术:Session
    令牌技术(主流技术)

浏览器与服务器交互使用的http协议,它是无状态的,即每条请求都是独立的,下一次请求不会携带上一次的数据
2.会话跟踪方案的对比

1.cookie

在这里插入图片描述
优点:http中协议支持的技术
缺点:1.移动端App无法使用cookie2.数据保存在客户端,不安全,用户可以在自己电脑禁用cookie 3.cookie不能实现跨域
跨域分为三个维度:协议、ip/域名、端口,有一者不同,则为跨域

2.session

在这里插入图片描述
优点:存储在服务器,安全性高
缺点:服务器集群环境下无法直接使用。Cookie的缺点
在这里插入图片描述

3.令牌技术

优点:
1.支持pc、移动端、小程序
2.解决集群服务器环境下的认证
3.减轻服务器存储的压力
缺点:
需要自己实现

jwt令牌(Json Web Token)

jwt官网
jwt:
定义了一种简介(即字符串)、自包含(即自定义)的格式,用于在通信双方以json数据格式的安全传输信息。这些信息是可靠的

jwt令牌的组成:
1.Header(头):记录令牌类型和签名算法。如:{“alg”:“HS256”,“type”:“JWT”}
2.Payload(有效载荷):携带一些自定义的信息 例如{“id”:“1”,“username”:“tom”}
3.Signature(签名):防止Token被篡改,确保安全性。将header、payload、并加入指定密钥,通过指定签名算法来计算
在这里插入图片描述
#主要用于登录认证

Jtw令牌的使用

  1. 导入jtw依赖
<denpendency>
  <groupId>io.jsonwebtoken</groupId>
	<artifactId>jjwt</artifactId>
	<version>0.9.1</version>
</dependency>

2.生成jwt令牌
在这里插入图片描述3.校验jwt令牌
在这里插入图片描述

//parseClaimsJwt(jwt),不需要解析签名
//parse(jwt),需要解析签名
 public static Claims parseJWT(String jwt)
{
Claims claims=Jwts.parser().setSigningKey(signkey).parseClaimsJwt(jwt).getBody();

Claims claims = (Claims) Jwts.parser().setSigningKey(signkey).parse(jwt).getBody();
  return claims;
}

错误解析

java.lang.ClassNotFoundException: javax.xml.bind.DatatypeConverter
//按照以上步骤,如果还是报错的话,如果您的项目使用了 Maven 或 Gradle 等构建工具,请确保您的项目依赖项中包含了适用于 Java 9+ 的 JAXB 实现。在 Maven 中,您可以在 pom.xml 文件中添加以下依赖项:
<dependency>-->
         <groupId>javax.xml.bind</groupId>-->
          <artifactId>jaxb-api</artifactId>-->
          <version>2.3.1</version>-->
</dependency>
Hey_米氏胡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
会话令牌:安全,高效,简单的随机会话令牌生成
02-05
会话令牌:安全,高效,简单的随机会话令牌生成
tomcat-jwt-security:基于JWT令牌实现安全阀
05-10
基于Valve的身份验证应该可以与放置在web.xml文件中的Java标准安全性约束一起使用,并使服务器保持无状态:使用JWT令牌,您可以使Tomcat摆脱http会话的困扰。 从3.0.0版开始,已进行了一些改进(进行了许多重大...
保护你的会话令牌
博文视点(北京)官方博客
01-07 3338
保护你的会话令牌 通常我们会采取以下的措施来保护会话。 1.采用强算法生成Session ID 正如我们前面用Web Scrab分析的那样,会话ID必须具有随机性和不可预测性。一般来说,会话ID的长度至少为128位。下面我们就拿常见的应用服务器Tomcat来说明如何配置会话ID的长度和生成算法。 首先我们找到{TOMCAT_HOME}\conf\context.xml,然后加入下面一段设置
会话 令牌
weixin_43803780的博客
07-14 193
在Web开发中,当一个用户首次访问网站时,服务器会给这个用户创建一个唯一的session(会话),并生成一个session ID,这个ID就像是会员卡,会被存储在用户的浏览器上(通常是在cookie中)。在整个音乐会期间,你不需要出示身份证或门票,只需要扫描这个手环上的二维码,就能证明你的身份,享受音乐会提供的服务。这种方式的好处是无状态的,即服务器不需要存储关于你的任何会话信息,所有的信息都在token中,这使得系统更加轻量级,也更易于扩展。两者都有各自的适用场景,选择哪种取决于具体的需求和系统的架构。
会话令牌
libo_java的专栏
05-13 2353
Struts的Token(令牌)机制能够很好的解决表单重复提交的问题,基本原理是:服务器端在处理到达的请求之前,会将请求中包含的令牌值与保存在当前用户会话中的令牌值进行比较,看是否匹配。在处理完该请求后,且在答复发送给客户端之前,将会产生一个新的令牌,该令牌除传给客户端以外,也会将用户会话中保存的旧的令牌进行替换。这样如果用户回退到刚才的提交页面并再次提交的话,客户端传过来的令牌就和服务器端的令牌
JavaWeb学习笔记】登录实现与校验
最新发布
07-28
同时,文章还介绍了jwt(json web token)令牌的使用,包括生成和校验jwt的过程,如何将jwt用于登录流程,并详细说明了过滤器(filter)和拦截器(interceptor)在登录校验中的应用。此外,文章还提供了全局异常...
Springboot前后端分离,JWT+Security+Redis实现登录拦截及权限认证,包含全局异常处理以及统一返回风格
12-25
- 定义API接口,根据JWT令牌进行权限校验。 通过以上步骤,我们可以构建一个安全、高效且具有良好用户体验的Web应用。这个项目涵盖了Web开发中的关键环节,是学习和实践Spring Boot、JWT、Spring Security和Redis...
shiro-jwt-oauth权限认证
11-11
Shiro和JWT(JSON Web Tokens)以及OAuth都是这个领域的重要工具和技术。下面将详细讲解这些概念及其相互结合的应用。 **Shiro** 是一个强大的、轻量级的Java安全框架,提供身份验证、授权、会话管理和加密服务。它...
spring-security-jwt-auth:JWT的Spring Security培训资源-S2IT孵化器
05-19
2. **令牌生成**:一旦用户被认证,Spring Security可以生成一个JWT,其中包含用户的信息和签名校验。这个JWT通常包含`subject`(主题,即用户标识)、`expiration`(过期时间)、`issuer`(发行者)和`audience`...
Web-登录功能实现(含JWT令牌
y_k_j_c的博客
07-15 835
就是你比如复制一个url用一个未曾登陆对应url系统的浏览器访问他会先进入登陆页面登陆校验就是实现这个功能简而言之,就是不能让你直接访问内部数据,要先登陆才可以首先http协议是无状态的每次请求都是独立的而我们浏览器和web服务器之间就是http协议实现思路存一个登陆标记每个请求前有if判断对应队列标记登陆就正常执行,没有登陆就去登陆界面但是:这样太繁琐了所以我们使用统一拦截来做对应技术主要介绍登陆标记(会话技术)和统一拦截呗三部分之间用.隔开。
VMware vSphere Web Services SDK编程指南(五)- 5.4 客户端应用(Web 服务器会话令牌)
zhouxukun123的专栏
08-06 1516
5.4 Web 服务器会话令牌 与其他Web服务一样,vSphere Web 服务通过在 HTTP 头中使用一个令牌来标识会话为每个客户端连接维护会话状态。vSphere 服务器对客户端连接请求响应中返回一个会话令牌给客户端,客户端和服务器之间的后续消息会自动包含该令牌
会话跟踪——JWT令牌
Summer_Shorts的博客
04-08 1166
登陆中运用令牌
会话令牌、加密、过滤器、拦截器及全局异常
javaFrom0To100的博客
08-18 214
1、概念:在java会话技术就是浏览器和服务器之间的连接,一次连接代表一次会话2、会话跟踪技术:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。为什么要引入会话跟踪技术:在应用系统服务端,每时每刻都会接收请求或者会话,那么服务器是如何不会混淆这些请求呢,如何判断这些来自哪个客户端,这时候就需要用到会话跟踪技术3、会话跟踪技术的几种方式Cookie:(客户端会话跟踪技术
Web安全:会话令牌
weixin_26753891的博客
08-21 921
Web security has turned into a major topic, it plays an important role in building applications that are secure, and don’t suffer external attacks like XSS. Over the years, web security has evolved dr...
【web-攻击会话管理】(4.2.1)会话令牌生成过程中的薄弱:令牌含义、加密令牌
08-16 442
会话令牌生成过程中的薄弱】令牌含义、加密令牌
【web-攻击会话管理】(4.4)保障会话管理的安全:生成强大的令牌、保障令牌的安全、日志、监控与警报
08-17 437
【保障会话管理的安全】生成强大的令牌、保障令牌的安全、日志、监控与警报
会话令牌写入URL
good good study
03-28 6246
目录 一. 漏洞描述 二. 漏洞修复 一. 漏洞描述 会话令牌即Token,关于Token,传送门-》如何理解Session、Cookie与Token。 用户在进行get请求将用户的令牌写入url,导致中间人攻击获取令牌进行登陆。如下 二. 漏洞修复 禁止将令牌写入url ...
gin-jwt/v2 与 "github.com/golang-jwt/jwt/v4" 使用jwt 冲突
03-17
gin-jwt/v2 和 "github.com/golang-jwt/jwt/v4" 都是 Go 语言中用于处理 JSON Web Token (JWT) 的库,它们之间可能存在一些使用上的冲突。 gin-jwt/v2 是一个专门为 Gin 框架设计的 JWT 中间件,它提供了一些方便的功能来验证和生成 JWT。它使用了 "github.com/dgrijalva/jwt-go" 这个库来处理 JWT 的生成和验证。 而 "github.com/golang-jwt/jwt/v4" 是一个通用的 JWT 库,它提供了一些基本的功能来生成和验证 JWT。它是由 Go 官方团队维护的,相对来说更加稳定和可靠。 由于这两个库都涉及到 JWT 的生成和验证,所以在使用时可能会存在一些冲突。例如,可能会出现导入冲突或者函数命名冲突的情况。 为了解决这个问题,你可以考虑以下几种方法: 1. 使用不同的别名导入库:可以给其中一个库起一个别名,以避免导入冲突。 2. 手动处理 JWT:如果你只需要基本的 JWT 功能,你也可以选择手动处理 JWT,而不使用这两个库中的任何一个。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值