分布式应用的用户信息检验方案JWT

最新推荐文章于 2023-08-30 00:24:10 发布
最新推荐文章于 2023-08-30 00:24:10 发布
阅读量701 收藏
点赞数
分类专栏: 分布式杂项 文章标签: jwt jjwt java-jwt 分布式 用户信息校验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chy_18883701161/article/details/113790388
版权

目录


 

jwt简介

Json web token(JWT):使用HMAC或RSA算法加密用户信息生成token,存储在客户端(浏览器),客户端请求服务端时携带上token,服务端解密token获取用户信息。
 

优缺点

  • 优点:token包含了用户的id、昵称、头像等基本信息,避免了再次查库;使用json交换数据,通用、轻量;token存储在客户端,适合分布式应用、单点登录,不占用服务端的内存资源。
  • 缺点:token存储在客户端,获取到token后可直接使用他人身份进行操作,有一定的安全风险;尽量使用https协议,避免传输token到服务器时被他人窃取。
     

jwt的组成

  • header:头部,主要描述签名算法。
  • payload:负载,主要是加密的数据,也可以设置token过期时间等一些说明信息。payload中的数据可以被客户端解码,不要在token中存储密码、用户权限等敏感信息。
  • signature:签名,把header、payload进行加密,防止别人窃取token后进行解密篡改。

token使用2个小数点分隔这三部分。
 

支持多种加密算法,最常用的是 HMAC SHA256。

token可以存储在浏览器的Cookie、Local Storage、Session Storage中,一般存储在Cookie中。

jwt有多种实现方式,java常用的2种jwt实现类库是jjwt、java-jwt。

 

jjwt实现jwt

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

import com.example.demo.entity.User;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

/**
 * JWT工具类
 */
public class JWTUtil {

    /**
     * token颁布方
     */
    public static final String ISSUER = "chy.com";


    /**
     * token过期时间,7天
     */
    private static final long EXPIRE = 1000 * 60 * 60 * 24 * 7;


    /**
     * 秘钥
     */
    public static final String SECRET = "chy.com";


    /**
     * token前缀
     */
    public static final String TOKEN_PREFIX = "chy";


    /**
     * 生成token
     */
    public static String generateToken(User user) {
        String token = Jwts.builder()
        		//用户信息
                .claim("id", user.getId())
                .claim("username", user.getUsername())
                .claim("head_img", user.getHeadImg())
                //token颁布方
                .setIssuer(ISSUER)
                //token颁发时间
                .setIssuedAt(new Date())
                //token过期时间
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
                //签名算法、秘钥
                .signWith(SignatureAlgorithm.HS256, SECRET)
                .compact();
        //拼接前缀,可选
        return TOKEN_PREFIX + token;
    }


    /**
     * 解密token得到用户信息
     * 
     * Claims中包含了token中存储的数据,可通过get方法获取,返回值是Object
     * eg. String username = claims.get("username").toString();
     */
    public static Claims checkToken(String token) {
        try {
            final Claims claims = Jwts.parser().setSigningKey(SECRET)
                    .parseClaimsJws(token.replace(TOKEN_PREFIX, ""))
                    .getBody();
            return claims;
        } catch (Exception e) {
            return null;
        }
    }


}

官方github地址:https://github.com/jwtk/jjwt

 

java-jwt实现jwt

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.13.0</version>
</dependency>

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTCreationException;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.example.demo.entity.User;

import java.util.Date;

/**
 * JWT工具类
 */
public class JWTUtil {

    /**
     * token颁布方
     */
    public static final String ISSUER = "chy.com";


    /**
     * token过期时间,7天
     */
    private static final long EXPIRE = 1000 * 60 * 60 * 24 * 7;


    /**
     * 秘钥
     */
    public static final String SECRET = "chy.com";


    /**
     * token前缀
     */
    public static final String TOKEN_PREFIX = "chy";


    /**
     * 生成token
     */
    public static String generateToken(User user) {
        try {
            //签名算法、秘钥
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            String token = JWT.create()
                    //用户信息
                    .withClaim("id", user.getId())
                    .withClaim("username", user.getUsername())
                    .withClaim("head_img", user.getHeadImg())
                    //token颁布方
                    .withIssuer(ISSUER)
                    //token颁发时间
                    .withIssuedAt(new Date())
                    //token过期时间
                    .withExpiresAt(new Date(System.currentTimeMillis() + EXPIRE))
                    .sign(algorithm);
            return token;
        } catch (JWTCreationException exception) {
            //Invalid Signing configuration | Couldn't convert Claims.
            return null;
        }
    }


    /**
     * 解密token得到用户信息
     * 
     * //获取token中所有的claim(封装的用户信息)
     * Map<String, Claim> claims = decodedJWT.getClaims();
     * //get()获取到的是Claim类型,需要用asXxx()转一下
     * String string = claims.get("username").asString();
     */
    public static DecodedJWT checkToken(String token) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            JWTVerifier verifier = JWT.require(algorithm)
                    .withIssuer(ISSUER)
                    .build();
            DecodedJWT decodedJWT = verifier.verify(token);
            return decodedJWT;
        } catch (JWTVerificationException exception) {
            //Invalid signature|claims
            return null;
        }
    }


}

官方github地址:https://github.com/auth0/java-jwt

 

说明

1、可以加入一些额外的加密操作,增加被被人破解的难度,比如拼接前缀、使用其它加密算法再次加密等。
 

2、用户登录成功后,后端生成token,可以由后端操作HttpServletResponse把token添加到cookie中;也可以直接把token传给前端,由前端添加到cookie中。不管哪种,都需要手动设置cookie的过期时间。
 

3、在网关拦截器处,从HttpServletRequest对象中解析token获取用户信息

String token = httpServletRequest.getHeader("token");
chy1984
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
分布式权限验证之JWT
小小的人儿的博客
03-27 1554
JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {“typ”:“JWT”,“alg”:“HS256”} 在头部指明了签名算法...
分布式统一授权方案JWT
杨宇昌的博客
05-03 964
分布式统一授权方案 JWT
基于分布式环境下统计在线用户数问题的研究
junehappylove(王俊伟)的专栏
05-19 980
基于分布式环境下统计在线用户数问题的研究 分布式系统介绍 分布式系统就是让终端用户把一组工作在一起的计算机当做一台单独的计算机来使用。这些机器共享状态,并发操作,并且单台机器出现问题不会影响到整个系统的正常工作。1 分布式系统分类 先讲一下,对分布式系统分类,按照不同人的理解划分是不一样的,比如按照功能、地域、结构来划分,都是不一样的;我只按照我个人理解的分布式(不如说是我目前水平所知道的)来划分,分为主-从式和去中心化式两中分布式系统。2 主-从结构 典型的主从式结构如下图所示: 控制控制控制Mast
分布式环境集成JWT(Java Web Token)
最新发布
weixin_44924882的博客
08-30 892
AuthAccess是一个自定义的注解,在拦截器中判断如果方法上有加入该注解,则放行,不校验tokenimport cn//如果不是映射到方法直接通过 if(!} else {// 判断是否为自定义注解AuthAccess,如果是,就不校验了,直接放行 HandlerMethod h =(HandlerMethod) handler;= null) {} } //执行认证 if(StringUtils . isBlank(token)) {
JWTjava中的应用以及分布式应用下登录校验
ITzhongzi的博客
12-11 364
简介:讲解单机和分布式应用下登录校验,session共享,分布式缓存使用 1、单机tomcat应用登录检验 sesssion保存在浏览器和应用服务器会话之间 用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId, 客户端会把sessionId保存在cookie中,每次请求都会携带这个session...
《基于分布式的微服务电商系统》毕业设计
07-01
对于跨服务的事务,可以使用Saga或TCC等分布式事务解决方案。 8. **负载均衡与容错机制**:通过Nginx等负载均衡器分配请求到不同的服务实例,提高系统处理能力。同时,使用Hystrix等库进行服务熔断和降级策略,以...
AppsInfo:应用信息
06-16
这个项目可能是为了展示如何在云端存储和处理与应用程序相关的信息,同时可能涉及到实时数据交换、游戏状态同步和多用户互动等复杂功能。 首先,"虚拟乒乓球"这一描述暗示了这是一个体育模拟游戏,它利用计算能力来...
【BAT必备】分布式相关面试题大全面试题
09-25
根据给定文件的信息,我们可以提炼出与分布式系统相关的面试题知识点。这些知识点主要围绕着分布式系统的理论基础、架构设计、具体实现以及常见的问题解决方法展开。以下是对这些知识点的详细阐述: ### 一、分布式...
大型分布式网站架构设计与实践-高清完整版
12-19
5. **容错与高可用性**:分布式系统需要具备故障恢复能力,这涉及到冗余备份、故障检测、自动恢复和负载均衡策略。例如,通过使用Zookeeper进行服务发现和协调,可以实现节点间的动态注册和发现,从而提高系统的可用...
分布式docapp
02-25
分布式docapp是一个基于JavaScript技术构建的应用程序,它旨在利用分布式计算和存储能力来处理文档相关的操作。在现代互联网环境中,随着数据量的爆炸性增长,单机应用已无法满足高效、高可用的需求,因此分布式系统...
JWT登录过期自动刷新方案与token泄漏解决方案
weixin_65059058的博客
09-13 6908
JWT登录过期自动刷新方案与token泄漏解决方案
10分钟搞懂:亿级用户的分布式数据存储解决方案
weixin_30418341的博客
06-12 791
分布式数据库和分布式存储是分布式系统中难度最大、挑战最大,也是最容易出问题的地方。互联网公司只有解决分布式数据存储的问题,才能支撑更多次亿级用户的涌入。 接下来,你将花费十分钟掌握以下三方面内容:1、MySQL复制:包括主从复制和主主复制;2、数据分片:数据分片的原理、分片的方案、分片数据库的扩容;3、数据库分布式部署的几种方案。 一、MySQL复制 1.MySQL的主从复制MySQL的主从...
基于分布式单点登录的JWT的token身份认证方案
weixin_46879188的博客
05-18 1835
认识JWT JWT是 JSON Web Token 的缩写,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT工作流程 这里我们通过一张图了解它的工作流程。 从上图中我们可以看出它是基于Token的身份认证,具体流程:客户端携带用户名和密码请求访问 - 服务器校验用户凭据 - 应用提供一个token给客户端 - 客户端存储token,并且在随后的每一次请求中都带着它 -服务器校验token
谈谈分布式Session的几种实现方式,Session和Cookie的区别和联系以及Session的实现原理
DreamSeeker_1314的博客
04-08 9949
一。分布式Session的几种实现方式 1.基于数据库的Session共享 2.基于NFS共享文件系统 3.基于memcached 的session,如何保证 memcached 本身的高可用性? 4. 基于resin/tomcat web容器本身的session复制机制 5. 基于TT/Redis 或 jbosscache 进行 session 共享。 6. 基于cookie 进
分布式系统的统一身份认证与单点登录实践
q42368773的博客
12-18 1886
本文实现的方式为:cookie+jwt+redis,先来一张图 现在我以传统的springmvc+jsp的方式来演示整个运转流程,首先创建认证中心 //认证中心的Controller,地址为:http://sso.fg.cn:8080/sso/ @Controller public class SSOController { @Autowired HttpServletRequest...
分布式架构单用户登录思路
lf1013667686的博客
01-26 993
分布式架构单用户登录思路 所谓单用户登录即系统中关于本用户登录信息在服务端中只允许存在一份,不允许他人同时登录一个账号。 思路如下: 因为要考虑异常退出,非正常退出,所以我们采用redis服务器来存储相关信息或者采用mysql存储使用定时器(成本大,不推荐。)。本文只讲解redis实现思路 userId为key,用户信息和我们当前此次访问登录请求获得到的jsessionId(或者时间戳t...
分布式系统统一登录模块设计
LeiothrixD的博客
12-10 6784
维基百科对于单点登录的定义:     单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一退出(s...
分布式系统用户登录实现方式
qq_43601976的博客
04-17 1614
单点登录
分布式项目登录——JWT技术
wang_yaqin的博客
01-03 3916
1.JWT介绍 1.1什么是JWT       JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 1.2JWT的组成        一个JWT其实就是一个字符串,由三部分组成:头部(header)、载荷(payload)、签名(signature),以“.”拼接 1.2...
用户授权流程与JWT令牌在信息技术中的应用
1. 当生成JWT令牌时,会将用户的权限信息写入令牌,如`course_find_list`和`course_pic_list`等。 2. 在资源服务的方法上,使用Spring Security的`@PreAuthorize`注解来指定所需权限。例如,只有拥有`course_find_...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值