[java]关于Session&关于Token&关于JWT

已于 2023-06-10 16:36:40 修改
阅读量866 收藏 1
点赞数 2
文章标签: java 开发语言 spring
于 2023-06-10 16:35:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YJH000_/article/details/131142645
版权
文章介绍了HTTP协议的无状态特性以及如何通过Session和Token来管理用户会话。Session存储在服务器端,适合短期存储,但在集群和分布式环境中存在挑战。Token,尤其是JWT(JSONWebToken),提供了一种适合长期存储和跨服务器验证用户身份的方法,其包含头部、载荷和验证签名三个部分,适用于分布式系统。
摘要由CSDN通过智能技术生成

目录

关于Session

关于Token

关于JWT

关于Session

HTTP协议是一种无状态协议,即:当某个客户端向服务器发起请求,服务器端进行处理,后续,此客户端再次发起请求,服务器端并不能直接知道它就是此前来访过的客户端。

从软件技术上,可以使用Session机制来识别客户端的身份,当某个客户端第1次向服务器端发起请求,服务器端会生成一个随机的Session ID(本质上是一个UUID值)并响应给客户端,后续,客户端每次请求时,都会携带这个Session ID来访问服务器端,而服务器端的内存中,使用K-V结构记录每个客户端对应的数据,使用Session ID作为Key,所以,每个客户端在服务器端都有一份属于自己的数据,这个数据就是Session。

由于Session是保存在服务器端的内存中的数据,所以:

  • 不适合存储特别大的数据

    • 可以通过开发规范来解决

  • 不便于应用到集群或分布式系统

    • 可以通过共享Session的做法缓解此问题

  • 不适合长期存储数据(存在内存里面资源紧张,如果时间有效期设置为一个星期,外一此时有很多人来访问,他们的session数据都不销毁,内存就会放不下了。清除机制清除太慢了)

    • 无解

提示:Spring Security的SecurityContext默认情况下也是基于Session的。

Session不适合长期存储数据,但很多场景是需要长时间保存的,比如微信登录进去很长时间都不需要再次登录,Token可以很好的解决这个问题。

关于Token

Token:票据,令牌

当某个客户端第1次向服务器端发起请求,服务器端会生成Token并响应给客户端,后续,客户端每次请求时,都会携带这个Token来访问服务器端,与Session ID不同,Token本身是有意义的数据,例如,可以包含用户的ID,或用户名等(完全由你来设计),对于服务器端而言,只需要具备“验证并解读Token”的机制即可,并不需要在服务器端保存相关的数据。(好比我们做飞机,我们拿自己的身份证,机场有验证我身份证的机制就可以,对方就能识别我们的身份)

由于Token的机制决定了,它天生就适用于集群和分布式系统中,并且,可以非常长时间的保存用户的身份信息!

提示:虽然Token比Session能解决更多的问题,但是,Token的整个使用过程都需要自行编写代码来实现,而Session则简单很多,所以,如果开发特别小型的项目,对存储用户身份信息也没有“长时间”这样的要求,用Session其实更方便。

Token是一个很大的一个概念, 只要是使用一组数据去记录下你是谁,这个东西就可以叫Token,Token里面怎么去记数据,记多个数据的时候怎么去组织,是什么格式是有讲究的,目前主流的是JWT,它是Token的一种,Token是大概念,JWT是小概念。

关于JWT

JWTJSON Web Token

JWT的官网:JSON Web Tokens - jwt.io

访问官网的主页,就可以看到JWT的数据表现格式 (下图红色框)。回头,当你的客户端尝试去找服务器做登录,然后服务器验证用户名密码什么的都没问题,然后就会生成一个这个JWT数据给到客户端,以后客户端每次提交请求都要把这个玩意给带上,然后服务器收到后去解析,解析出包含用户名,包含你的ID等等,就能够从中解读出你的身份来了,这就是JWT。

很显然这条数据是经过编码的一条数据,所谓编码就是通过一种算法把一组数据变成另外一组数据,比如加密也是编码的一种。在它的右边部分就是它的原始数据。

从它的原始数据可以看出,它包含三个部分,即

每个JWT数据都是由3大部分组成:

  • Header(头部):声明算法与Token类型(例如下图的算法用的是“HS256”,Token类型是JWT)

  • Payload(载荷):数据(这部分是你想放什么数据就放什么数据,比如用户名,用户ID等)

  • Verify Signature(验证签名)

这部分会算出一部分数据,主要是辨别这组JWT数据是否有效,或者是否伪造,因为我们说Token是一张票,你买票了以后,这个票就在自己手上,然后回头你去拿这张票,服务器就能识别你的身份。但是票在你手上,你是不是可以改啊,所以有某种机制能够识别出你这张票是真的还是假的。

 以上是Token的三个部分,所以回头如果我们想生成一个Token就需要准备这三部分数据,才能得到最终编码后的一个数据。

假设现在已经准备好了这三部分,怎么得到编码后的一个Token数据呢?需要用到一些工具包:

 里面列举了各种编程语言的主流的工具包,我们选择java的:

 点进去以后能看到7个java的工具包库(有一些比如算法之间的不同),随便用一个。案例中用的下图这一个

使用它的需要的依赖项:

<jjwt.version>0.9.1</jjwt.version>
<!-- JJWT(Java JWT) -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>${jjwt.version}</version>
</dependency>

万物更新_
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Session实现登录用户保存
sfien的博客
06-12 788
【代码】使用Session实现登录用户保存。
jwt_token_test.zip
05-21
Java Web TokenJWT)是一种轻量级的身份验证和授权机制,广泛应用于移动应用与服务器之间的交互。JWT允许在用户身份验证后将权限信息安全地编码为一个字符串,并在客户端和服务端之间传递,无需存储session信息在...
分布式Session解决方案_Token + JWT
Gblfy_Blog
02-14 793
文章目录1. 实现流程 1. 实现流程 1.安装redis服务并启动 2.引入Spring Session组件 3.演示同一程序启动8081端口和8082端口模拟2个服务器分布式 4.调用8081登录接口 5.调用8081获取用户信息接口 6.调用8082获取用户信息接口 ...
sessiontoken、cookie详解,和java JWT工具类
衡与墨的博客
11-12 1447
前言 sessiontoken是当下两种流行的会话标志方法,近年来,随着微服务、分布式普遍,session的不利之处也越来越明显,占用内存多、无法跨服务器使用、易被跨域攻击等缺点使得大家越来越偏向于使用token,有些人会狡辩说token不是也有缺点吗?他们会说:无法在服务器端终止token,如果要做到这一功能必须要在服务端保存token才行,那么,和session有什么区别?是的,他们说的这些...
java--Springboot 拦截器、异常类处理和定时器相关基础
weixin_45686583的博客
03-30 548
Springboot 拦截器、异常类和定时器相关基础 拦截器用于拦截controller中被访问的路径,false表示拦截 true代表放行。 拦截器的配置: package cn.zbw.interceptor; import org.springframework.lang.Nullable; import org.springframework.stereotype.Component; import org.springframework.web.servlet.HandlerInterce
JavaWeb】cookie、sessiontokenjwt)全部完成,简单理解下吧
hello_list的博客
05-08 439
Token 目前已经有很多都用到了token,那如果我们说了解cookie和sessiontoken绝对是个新概念,其实我也是后面才了解,而且也不是很了解,这里既然都说到了,就拿目前自己了解的说下吧; 我们首先看看token是什么(来自百度百科): 就是信息加密技术,我们这里叫做令牌,作为交互对话的唯一身份标识,当用户第一次过来登录过后,我们验证身份会给用户发一个令牌,也就是token; 当用户再来访问的时候,只需要携带令牌,可以存放在cookie或请求头header中,这里注意我们session是通过
详解JWT token心得与使用实例
10-16
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT token 在现代 web 应用...
jave token 认证(JWT
08-08
Java Token 认证,特别是JSON Web Token (JWT),在现代Web应用中被广泛用于身份验证和授权。JWT是一种轻量级的身份验证标准,允许服务端为客户端生成一个令牌,这个令牌包含了用户的相关信息,且是经过签名的,可以...
JAVA中的Token 基于Token的身份验证实例
08-24
JAVA中的Token基于Token的身份验证实例 本文档主要介绍了JAVA中的Token基于Token的身份验证实例,具有很好的参考价值。本文将详细介绍基于Token的身份验证方法,并与传统的身份验证方法进行比较。 一、传统身份...
spring boot+jwt实现api的token认证详解
08-26
JWT自身包含了所有必要的信息,如用户标识、权限等,这样就可以在分布式系统中减少服务器端存储SessionToken的压力。 首先,我们需要在项目中添加JWT相关的依赖。在Maven的`pom.xml`文件中,你需要引入`jjwt`库和...
session机制到token机制到jwt实践应用
lileLife的博客
02-10 1042
从开始的cookie在web间做信息认证,到session机制,紧接着因为session带来的跨域问题,和越来越多的前后端分离、分布式项目,更多的开发者选择了自己喜爱的token机制,以及jwt(JSON web token),本文会从cookie开始,一步一步介绍到jwt的使用。 cookie的简单介绍 cookie 存储在浏览器中。 浏览器 js可以使用do...
分布式下的sessiontoken
学渣的博客
08-06 3063
分布式架构下的sessiontoken 我们已经知道session时有状态的,一般存于服务器内存或硬盘中,当服务器采用分布式或集群时,session就会面对负载均衡问题。 负载均衡多服务器的情况,不好确认当前用户是否登录,因为多服务器不共享session。这个问题也可以将session存在一个服务器中来解决,但是就不能完全达到负载均衡的效果。当今的几种解决session负载均衡的方法。 而t...
JavaWeb】认证授权(一)—— SessionJWT
远赴山河万里的博客
04-04 1948
`Session`,是一种有状态的会话管理机制,其目的就是为了解决`HTTP`无状态请求带来的问题。 当用户登录认证请求通过时,服务端会将用户的信息存储起来,并生成一个`Session Id`发送给前端,前端将这个`Session Id`保存起来(一般是保存在Cookie中)。之后前端再发送请求时都携带`Session Id`,服务器端再根据这个`Session Id`来检查该用户有没有登录过。
Session+cookie+token
懒起来
08-22 815
Session+cookie+token
sessiontoken
weixin_46171501的博客
03-16 129
session 服务端保存用户信息 安全性一般 存在多服务器粘性问题 token 避免CSRF攻击 安全性高 多服务器粘性问题 当在应用中进行 session的读,写或者删除操作时,会有一个文件操作发生在操作系统的temp 文件夹下,至少在第一次时。假设有多台服务器并且 session 在第一台服务上创建。当你再次发送请求并且这个请求落在另一台服务器上,session 信息并不存在并且会获得一个“...
javasessiontoken以及token实现
qq_29950673的博客
03-01 5678
session:会话 由于网络种HTTP协议本身是无状态协议,无法确定请求的对象是否是同一个,所有出现了session。 当通过浏览器第一次访问服务端资源时,服务端会创建一个session,并未该session生成一个唯一的key,即sessionid,以key,value的方式保证在缓存种,也可持久化到数据库,具体看项目需求,一般情况不需要持久化(个人观点),服务端将生成的sessionid...
session和cookie和token
Myuanforever的博客
06-28 202
session
[Java实现单点登录session ]
最新发布
汤圆的博客
06-13 2401
惊蛰 --古诗 《闻雷》 【唐】白居易 瘴地风霜早,温天气候催。 穷冬不见雪,正月已闻雷。 震蛰虫蛇出,惊枯草木开。 空余客方寸,依旧似寒灰。
java 发送http请求携带body参数以及head携带token
weixin_43960336的博客
03-15 6937
java 发送http请求携带body参数以及head携带token
SpringBoot集成jwt实现token认证
05-28
Spring Boot中,可以使用以下步骤将JWT集成到应用程序中以实现token认证: 1. 添加依赖项 在pom.xml文件中添加以下依赖项: ``` <groupId>io.jsonwebtoken <artifactId>jjwt <version>0.9.1 ``` 2. 创建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值