Java中高级核心知识全面解析——认证授权(Token-认证)

最新推荐文章于 2024-06-12 09:45:54 发布
最新推荐文章于 2024-06-12 09:45:54 发布
阅读量837 收藏 1
点赞数
分类专栏: 程序员 文章标签: 面试 java 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/I89Z9545452_V/article/details/117876837
版权
一、Token 认证的优势相比于 Session 认证的方式来说,使用 token 进行身份认证主要有下面三个优势:1.无状态token 自身包含了身份验证所需要的所有信息,使得我们的服务器不需要存储 Session 信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。但是,也正是由于 token 的无状态,也导致了它最大的缺点:当后端在token 有效期内废弃一个 token 或者更改它的权限的话,不会立即生效,一般需要等到有效期过后才可以。另外,当用户 Logout 的话,token
摘要由CSDN通过智能技术生成

一、Token 认证的优势

相比于 Session 认证的方式来说,使用 token 进行身份认证主要有下面三个优势:

1.无状态

token 自身包含了身份验证所需要的所有信息,使得我们的服务器不需要存储 Session 信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。但是,也正是由于 token 的无状态,也导致了它最大的缺点:当后端在token 有效期内废弃一个 token 或者更改它的权限的话,不会立即生效,一般需要等到有效期过后才可以。另外,当用户 Logout 的话,token 也还有效。除非,我们在后端增加额外的处理逻辑。

2.有效避免了CSRF 攻击

**CSRF(Cross Site Request Forgery)**一般被翻译为 跨站请求伪造,属于网络攻击领域范围。相比于 SQL 脚本注入、XSS等等安全攻击方式,CSRF 的知名度并没有它们高。但是,它的确是每个系统都要考虑的安全隐患,就连技术帝国 Google 的 Gmail 在早些年也被曝出过存在 CSRF 漏洞,这给 Gmail 的用户造成了很大的损失。

那么究竟什么是 跨站请求伪造 呢?说简单用你的身份去发送一些对你不友好的请求。举个简单的例子:

小壮登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接,结果发现自己的账户少了10000元。这是这么回事呢?原来黑客在链接中藏了一个请求,这个请求直接利用小壮的身份给银行发送了一个转账请求,也就是通过你的 Cookie 向银行发出请求。

<a src=http://www.mybank.com
最低0.47元/天 解锁文章
cxy小刚.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT(JSON Web Token)原理简介
u014545085的博客
07-26 293
原理说的非常清楚。总结如下: 首先这个先说这个东西是什么,干什么用的,一句话说:就是这是一种认证机制,让后台知道请求是来自于受信的客户端。 那么从这个角度而言,这个东西跟浏览器的cookie是一个作用,好比我在一个网站登录了,就可以往这个网站发送restful请求,请求的同时会捎带上cookie,后台检查这个cookie发现你是合法的,才响应你的请求。 只不过这里JWT的原理不同,但基本上最顶层的原理还是非常简单: 这个图中有三个主体: user, application server和auth
JWT身份认证优缺点分析以及常见问题解决方案
weixin_41924879的博客
10-20 1099
JWT身份认证优缺点分析以及常见问题解决方案 Token 认证的优势 相比于 Session 认证的方式来说,使用 token 进行身份认证主要有下面四个优势: 1.无状态 token 自身包含了身份验证所需要的所有信息,使得我们的服务器不需要存储 Session 信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。但是,也正是由于 token 的无状态,也导致了它最大的缺点:当后...
Java中的Token
最新发布
m0_65732083的博客
06-12 963
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。基于 Token 的身份验证使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。流程是这样的:客户端使用用户名跟密码请求登录服务端收到请求,去验证用户名与密码验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端。
如何使jwt生成的 token在用户登之后失效?
Gavin
08-02 2176
这里做了一个设计是"将所有用户(同一用户)登录token已list的形式存在redis中",如果一个用户登,则将该用户的token从list中删除,下次请求时会校验list中是否有该key,如果有放行,否则就要重新登录;这里要考虑用户可以多端同时登陆(即每个设备都会产生一个token),如果一个设备登而不想影响其他设备的登录,此时就要将登的那个token单独处理;1,加入黑名单的方式需要额外的占用存储空间,本次暂未考虑该方式;问题1:如何使jwt生成的 token在用户登之后失效?
一文带你搞懂 JWT 常见概念 & 优缺点
程序员小明1024
07-13 2638
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
Java面试宝典知识点汇总(精华版).pdf
03-25
综上所述,《Java面试宝典知识点汇总(精华版)》覆盖了从基本排序算法到高级框架的多个方面,对于准备Java面试的候选人来说是一份宝贵的资料。希望以上内容能帮助大家更好地理解和掌握这些关键技术点。
dragon-front-source.rar_编译器/解释器_Java_
08-12
Java中,Bison或ANTLR等工具可以生成解析器。压缩包中的源码可能包含Parser类,用于构建抽象语法树(AST)。 3. **语义分析**:此阶段检查源代码的语义,确保其符合编程语言的规则。这包括类型检查、作用域管理、...
Android高级应用源码-新浪微博+九宫格快捷分享.zip
10-14
微博分享是社交应用中常见的功能,它涉及到了OAuth授权、网络请求、JSON解析等多个关键知识点。OAuth授权是确保用户安全登录和授权第三方应用访问其信息的一种机制。在Android中,你需要创建新浪API的客户端,并在...
编译方法实验.zip
02-03
Java中,可以使用JFlex这样的库来生成扫描器,它允许定义正则表达式来匹配不同的Token。设计扫描器时,我们需要明确每个Token的规则,并处理好边界情况,例如注释和字符串字面量的识别。 **中间代码生成器的设计...
编译原理词法分析源码语法分析源码java
01-11
Java中实现编译器,开发者通常会使用Java的强类型系统和丰富的库来构建这些复杂的分析器。例如,`java.util.regex`库可以用于词法分析,而`javacc`或`Antlr`这样的第三方库可以帮助实现语法分析。此外,为了实现...
JWT入门以及常见的登录问题
热门推荐
霁晨晨晨的博客
05-31 3万+
本文主要介绍了JWT是什么,如何使用JWT以及实际开发中可能会遇到的有关JWT登录问题,比如token的续签、续期和登问题等。
jwt优缺点 如何使用jwt
j9922816的博客
05-06 2901
在生成JWT令牌时,我们使用了一个密钥来签名令牌,并设置了令牌的过期时间为1小时。在验证JWT令牌时,我们使用相同的密钥来验证令牌的真实性,并获取令牌中的信息。而JWT是无状态的,不需要在服务器上存储任何信息,因此可以减轻服务器的负担。1. 令牌过期问题:JWT的令牌过期时间是固定的,无法在令牌生成后更改。2. 令牌大小问题:JWT令牌的大小通常比Session令牌大,因为它包含了更多的信息。本文将介绍JWT的优缺点以及为什么使用JWT而不是Session,并提供使用JWT的示例代码。
关于使用JWT我的一些建议及避坑指南(非必须建议别用)
wh445306
01-09 7640
关于jwt的一些不足之处,可以参考这里:(译)别再使用 JWT 作为 Session 系统!问题重重且很危险。 JWT存在的意义是什么?很显然就是去中心化,无状态化!这是他存在的核心意义和价值,除去这两点JWT可以说是一无是处! 如果你尝试使用jwt构建session方案,我直接告诉你,赶紧放弃!越早越好!会玩死你,JWT在作为session时, 最大的痛苦就是自动续期和指定失效2个方面是致命伤。而且无解! 最重要的,不要考虑在服务器维护 JWT,比如在服务端维护一个 token...
Spring Security中利用JWT退登录大部分人都写错了配置
码农小胖哥
10-14 2256
最近有个粉丝提了个问题,说他在Spring Security中用JWT做退登录的时无法获取当前用户,导致无法证明“我就是要退的那个我”,业务失败!经过我一番排查找到了原因,而且这个错误...
Jwt退登陆
qq_40369277的博客
09-24 1384
我们之前可以使用退登录接口直接退,用户Session中的验证信息也会被销毁,但是现在是无状态的,用户来管理Token令牌,服务端只认Token是否合法,那这个时候该怎么让用户正确退登录呢?这里我们以黑名单机制为例,让用户退登录之后,无法再次使用之前的JWT进行操作,首先我们需要给JWT额外添加一个用于判断的唯一标识符,这里就用UUID好了。首先我们从最简单的方案开始,我们可以直接让客户端删除自己的JWT令牌,这样不就相当于退登录了吗,这样甚至不需要请求服务器,直接就退了。
用refresh token获取access token在springboot框架中的实例
magasea
07-23 3693
用refresh token获取access token在springboot框架中的实例 springboot 上代码 @Configuration @EnableAuthorizationServer @Slf4j public class OAuth2AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter ...
让开发者释放接口对接的怒火(四)【Jwt篇】
fzsdchenbigui的专栏
05-07 261
权限体系JWT 权限体系互联网时代非常的多,auth2.0等,每家公司都有各自的差异。 传统权限体系基本是cookie和session模式。 对于企业统一权限体系,对数据中台、业务中台实现是关键中的关键。 下面将分享权限体系中的token实现标准 auth–新建token(post) url http://localhost:58582/bo/api/v1/auth/token header...
Java中的token认证如何实现
08-27
Java中的token认证可以使用JSON Web Token(JWT)。JWT是一种基于JSON的开放标准,它允许发布者在受信任的第三方之间传递受保护的声明。使用JWT,发布者可以使用密钥签名和验证声明,以确保它们不被篡改或伪造。JWT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值