JWT避坑指南(遇坑无数,持续更新,希望对新手有用)

最新推荐文章于 2024-03-28 10:53:22 发布
最新推荐文章于 2024-03-28 10:53:22 发布
阅读量2k 收藏 3
点赞数 1
分类专栏: My Unclassified
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KimSoft/article/details/107305108
版权

本文不画图,不秀 code, 只讲一些概念上的东西, 防止大家误入歧途。
当然水平有限,有错误之处,请多指正,勿喷。

1 最重要的,不要考虑在服务器维护 JWT

Session是把用户认证信息放在服务器管理,JWT则是拿到了客户端,如果再在服务器维护JWT,不如直接用Session,若支持非Web客户端,手写个类Web Session的机制来管理客户端也不是难事,加上还有Redis加持。

理解这一点,能少走很多弯路。只要有在服务器维护JWT的念想,就直接干掉吧,比如:

  • 在服务器端维护一个 JWT token 黑名单。

2 鱼与熊掌不可兼得

2.1 Web Session 方案

优点
  • 自动续期
  • 在线用户列表
  • 踢人下线
  • 并发登录控制等
缺点
  • 依赖 Cookie
  • CSRF攻击(有解决方案)
  • 扩展性问题(spring session + redis)
  • 传说中的性能问题

2.2 JWT Session 方案

优点
  • 不依赖 Cookie,支持各种客户端
  • 自包含(自带防篡改的用户身份信息,比如Payload中存一个用户id或uuid)
  • 服务器存取Session的资源得以释放
  • JSON格式通用,支持各种语言
缺点
  • 看Session优点中的几个问题
  • 用户状态变化(删除,禁用,注销等)影响到业务而Token仍然有效时

3 几个应该知道的

  • JWT是防篡改的,不能通过修改他的过期时间(exp) 来实现续期,一量修改,其实是生成了一个新的 Token
  • 每次请求返回一个新的JWT token 虽然能“解决”续签问题,不说性能上的损耗,光这种做法就觉得不是正确的

4 使用 JWT,几个最佳实践

如果能容忍 JWT 的缺点,采用 JWT,以下是几个比较好的实践

使用 accessToken + refreshToken

  • 认证后,返回 accessToken + refreshToken,并保存在本地, Web下推荐 HttpOnly cookie
  • accessToken 使用 JWT 格式
  • refreshToken 使用 UUID, 并维护在服务器端(使用得较少),不用 JWT (原因见第一大点)
  • accessToken 失效时间应该设置较短,比如10分钟
  • refreshToken 失效时间可以长一点,比如 7 天
  • 请求时只用 accessToken
  • accessToken 失效时,用 refreshToken 返回一个新的 accessToken(刷新 token)
  • 刷新 token 时可对 refreshToken 做自动续期,提高用户体验
  • 最好在 accessToken 在失效前主动 refreshToken
  • 避免同时发送多个 refreshToken 请求

JWT 续签问题

  1. 客户端主动续签
    客户端搞个线程定时主动检查Token过期时间,在过期前 (例如过期前1分钟) refresh一下Token

  2. 服务器端每次都续签
    这个前面讲过,只是一种方法,但太不优雅

  3. 服务器端在Token过期前(例如过期前1分钟)续签
    这个其实比较难掌控,假过期前1分内,客户端没有发请求,就续签不了,眼巴巴看着 session 过期,如果设置得过长,那么前面一个Token还会在相当长的时间内有效。而且假如一个 page 有10个请求同时过来,都达到刷新时间,那么会刷10次,最只有最后一次的起作用

所有续签的话,还是推荐客户端主动续签。

用户注销

用户点击注销,删除客户端 token。如果直接关客户端,只有等 accessToken过期

用户修改密码/禁用用户/删除用户

这几种情况在Session环境中可以更新/失效 session来达到安全要求,
但JWT不行,有效期内的accessToken会通过第一道验JWT的关卡,如果没有第二道验 user 的关卡,就直接通过去做业务逻辑了。

5 关于安全方面,几个认识和实践

  • 使用 https保护你的应用
  • sessionid 和 accessToken 泄露,造成的影响是一样,没有哪个更安全 (所以说 accessToken失效时间越短越安全)
  • 不要在payload中不应该存放敏感信息,这部分客户端是可以解密的。
  • secret_key 放在服务器端,不能泄露。

6 JWT 的使用场景

适合的

  • OneTime Token
  • App Token

不适合的

  • 替代 Session 管理
  • 单点登录

6 BFF, 了解下?

  • 不要设计成让所有类型的客户端调用相同的 API Servers
  • 不同的Front 调用不同的Backend For Frontend Server
  • 那么 WebServer用Session不香么

先写这么多,待补充。

KimSoft
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
jwt-decode:解码JWT令牌; 对浏览器应用程序有用
05-10
警告:从版本2升级到版本3 ,可能会有重大更改如果您先前import * as jwt_decode from 'jwt-decode'将库import * as jwt_decode from 'jwt-decode'为import * as jwt_decode from 'jwt-decode' ,则必须更改导入, ...
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
02-24
这是一个使用了springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
JWT
xiaoguangtouqiang的博客
06-24 1521
http状态保持
理解 JWT 的使用场景和优劣
ShangRudy的专栏
04-12 646
经过前面两篇文章《JSON Web Token - 在 Web 应用间安全地传递信息》《八幅漫画理解使用 JSON Web Token 设计单点登录系统》的科普,相信大家应该已经知道了 JWT 协议是什么了。至少看到 1 eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJxaWFubWlJZCI6InFtMTAzNTNzaEQiLCJpc3MiOiJhcHBfcW0xMDM1M3NoRCIsInBsYXRmb3JtIjoiYXBwIn0.c
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
最新发布
民工哥的博客
03-28 213
点击下方“Java编程鸭”关注并标星更多精彩 第一时间直达今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功能的菜鸡甜来说也是一种锻炼吧技术选型要实现认证功能,很容易就会想到JWT或者session,但是两者有啥区别?各自的优缺点?应该Pick谁?夺命三连区别基于session和基于JWT的方式的主要区别就是用户的状态保存的位置,session是保存在服...
使用jwt能控制人数吗_什么是JWT,您应该使用它们吗?
编程故事的地方
06-22 189
使用jwt能控制人数吗 JWT是JSON Web令牌的缩写。 JSON Web令牌(JWT)是一个开放标准( RFC 7519 ),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。 由于此信息是经过数字签名的,因此可以进行验证和信任。 可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名 。 授权 :这是使用JWT的最常见...
JSON Web Token(JWT
weixin_30822451的博客
08-05 103
什么的JWT Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接...
JWT的问题记录:关于授权服务器的时间同步问题
changlu1119的博客
01-11 3474
在开发当中使用了JWT做登陆验证,结果碰到授权服务器的时间老是快20s的问题,导致业务服务器拿到token再去解析的时候会报解析错误,因为生产token的时候会把当前时间加上过期时间写到claims中,其中有一个方法setNotBefore,就是解析时间不能在生产token之前。 我本身只是个码农,之前在linux服务环境下也没碰到过这个问题,现在客户要求windows(因为他们想自己维护服务器
详解用JWT对SpringCloud进行认证和鉴权
08-26
"详解用JWT对SpringCloud进行认证和鉴权" 本文主要介绍了使用JSON WEB TOKEN(JWT)对SpringCloud进行认证和鉴权的详细过程。JWT是一种基于RFC 7519标准定义的可以安全传输的小巧和自包含的JSON对象。由于数据是...
nextjs-jwt:Next.js应用程序中有关JWT身份验证的实用指南。 https
05-08
页面在您编辑文件时自动更新。 学到更多 要了解有关Next.js的更多信息,请查看以下资源: -了解Next.js功能和API。 交互式Next.js教程。 您可以查看-欢迎您提供反馈和意见! 在Vercel上部署 部署Next.js应用程序...
JWT4B:JWT对Burp的支持
05-15
JWT4B Burp拦截代理的JSON Web令牌(JWT)支持。 JWT4B可以让您即时操作JWT,自动执行针对JWT的常见攻击,并在代理历史记录中为您解码。 JWT4B自动以“授权承载”标头以及可自定义的帖子正文参数和正文内容的形式...
JWT(无状态token)过期自动刷新流程详解
大西瓜超帅
09-07 2910
JWT(无状态token)过期自动刷新 步骤: 通过过滤器拦截用户请求接口、判断header是否携带有token、没有携带的话返回提示直接写入response 响应前端。 携带了token的话我们自定义shiro 用户认证的 UsernamePasswordToken 把前端携带过来的业务访问token(accessToken) 整合成一个 UsernamePasswordToken。 主体提交认证(getSubject(servletRequest,servletResponse).login(cust
JWT Token、ID Token、Access Token、Refresh Token
乌龟的专栏
02-22 7114
JWT Token、ID Token、Access Token、Refresh Token
AccessToken和JwtToken使用经验
xzlAwin的博客
04-01 1455
AccessToken和JwtToken使用经验 AccessToken 优点:刷新令牌后,上一个令牌失效 缺点:不支持加密传输数据 JwtToken 优点:支持加密传输数据 缺点:刷新令牌后,之前的令牌不会失效 建议: 1.如果你想废弃之前的令牌,建议使用AccessToken 2.如果你想传输普通数据,不建议传输敏感数据,推荐使用JwtToken 3.如果你即想传输数据,又想手动控制令牌失效,建议使用redis存储令牌白名单,手动控制失效,这样做可能违背token无状态设计原理来换取token绝对
JWT登录验证遇到的
weixin_42010530的博客
02-13 661
问题:ajax即没有进入success也没有进入error 经验证发现是在ajax的异步传输还未完成验证,页面已进行刷新。由于页面用的是layui框架(基于bootstrap),bootstrap框架下form表单中的按钮被点击后会自动刷新页面。 解决方案,将form改为div即可,页面样式不会发生变化。 ...
之路---JWT验证
03-10 429
使用JWT验证客户的携带的token 客户端在请求接口时,需要在request的head中携带一个token令牌 服务器拿到这个token解析获取用户资源,这里的资源是非重要的用户信息 目前我的理解,用于校验的几种方式 1. 拦截器 2. SpringSecurity验证(目前没有弄懂) 3. shiro拦截验证拦截器 配置好拦截器后,过滤掉无需验证的接口,其他...
关于jwt token失效的.
热门推荐
叶叶叶叶大爷的博客
05-23 4万+
最近项目中使用jwt token作为客户端发送请求的验证,自己一直没有深入研究源码,造成了修改用户的手机号后导致token失效.前端无法进行二次请求,每次请求都是401未授权,一开始以为是token过期,后来查看源码发现是生成token的时候用了手机号这个字段.    分析401错误有2类,一类是未经授权(未登录)发送请求,过滤器会将其过滤掉;第二类是token失效,token失效有token过期...
springSecurity+jwt中实现互踢功能
jockha的博客
11-24 1802
一.思路: 原来的实现用户登录态是: 1.后台登陆成功后生成一个令牌(uuid)----JwtAuthenticationSuccessHandler 2.后台把它包装成jwt数据,然后返回给前端—JwtAuthenticationSuccessHandler 3.后台把它加入redis缓存中,并设置失效时间----JwtAuthenticationSuccessHandler 4.前端调用接口时,带入jwt 5.后台写个拦截器或者过滤器,在前端调用接口的时候,从request的header中获取jwt,在
jwt挤下线,不能重复登陆功能具体实现,基于ruoyi后台管理框架(分离版)
爱音乐的程序猿的博客
03-16 5552
文章目录前言基于ruoyi管理框架,前后端分离版做的修改,大致思路在我上一篇博客中有,这里直接讲具体实现一、用户结构二、修改登录接口,在登陆的同时随机生成新版本号,用户id加前缀当做key存入redis当中这一步做完redis当中有用户信息,还有一个key存储了登录版本三 在token过滤器中校验版本号最终,当有另一个人登录同一个账号时,前面人带着之前的token信息访问会被拒绝,如下效果总结 前言 我之前写过一次jwt挤下线的功能实现,不过不够具体 jwt挤下线的功能实现 这次详细写一写, 基于ruoy
jwt更新token
08-15
在使用JWT (JSON Web Token) 进行身份验证和授权时,通常会在令牌过期或需要更新时生成新的令牌。以下是一种常见的JWT更新令牌的方法: 1. 客户端在进行身份验证后,服务器生成一个JWT令牌,并将其返回给客户端。 2. 服务器在生成JWT令牌时,通常会设置一个过期时间(expiration time)。 3. 客户端在后续的请求中,将JWT令牌作为授权凭证携带在请求头或请求参数中发送给服务器。 4. 当服务器接收到带有JWT令牌的请求时,首先会验证令牌的签名和有效性。 5. 如果JWT令牌未过期且通过了签名验证,服务器会处理请求。 6. 如果JWT令牌已过期,服务器可以返回一个特定的响应,提示客户端需要更新令牌。 7. 客户端收到服务器返回的“需要更新令牌”的响应后,可以重新进行身份验证,并请求服务器生成新的JWT令牌。 8. 服务器再次生成一个新的JWT令牌,并将其返回给客户端。 9. 客户端在后续的请求中,将新生成的JWT令牌作为授权凭证携带在请求中。 通过这种方式,可以保持用户的登录状态,并在需要时自动更新令牌,而无需用户手动重新登录。更新令牌的频率可以根据具体需求和安全策略进行调整。 需要注意的是,在更新JWT令牌时,建议使用安全的传输方式,如HTTPS,以确保令牌在传输过程中的安全性。 此外,还可以在JWT令牌的有效期内,使用刷新令牌(refresh token)机制来更新令牌。刷新令牌是一个长期有效的令牌,用于获取新的访问令牌。在刷新令牌过期之前,用户可以使用刷新令牌来获取新的JWT令牌,以延长其访问权限。 总结而言,JWT更新令牌的过程是在令牌过期或需要更新时,重新进行身份验证并生成新的JWT令牌,以便维持用户的登录状态。具体的实现方式可以根据实际需求和安全策略来确定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值