JJwt耗时分析及优化

最新推荐文章于 2023-07-26 09:38:22 发布
最新推荐文章于 2023-07-26 09:38:22 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: springboot-mybatis Java8 文章标签: jwt java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/city1993/article/details/121385183
版权

1 问题

在tomcat nio的框架下,每个请求都会有一个单独的tomcat 线程对请求进行处理。

通过Arthas观察发现,在请求中如果有jjwt的签名,有的请求耗时会非常高,高到3s ~ 4s.

查看源码,jjwt的签名方法compact(),有一处源码如下

// io/jsonwebtoken/impl/DefaultJwtBuilder.java

    @Override
    public String compact() {

        if (this.serializer == null) {
            // try to find one based on the services available
            // TODO: This util class will throw a UnavailableImplementationException here to retain behavior of previous version, remove in v1.0
            // use the previous commented out line instead
            this.serializer = LegacyServices.loadFirst(Serializer.class);
        }

    ....

    }

loadFirst方法最终会调用 ServiceLoader.load

private static <T> T loadFirst(Class<T> spi, ClassLoader classLoader) {
        ServiceLoader<T> serviceLoader = ServiceLoader.load(spi, classLoader);
        if (serviceLoader.iterator().hasNext()) {
            return serviceLoader.iterator().next();
        }
        return null;
    }

而SPI的这种实现方式,会遍历服务的JAR包,可能由于种种原因(作者未确认本文中jjwt耗时高的根因。),导致ServiceLoader hasNext高到3s多。

SPI相关参考 Java SPI 使用及原理分析 | 董宗磊的博客--靡不有初,鲜克有终

2 解决

其实jjwt compact方法给了注释

try to find one based on the services available

就是说我们提前给jjwt的builder指定解析器

jjwt依赖包中本身有提供jackson、gson的解析器,根据需求指定即可。

Date expiredTime = new Date(System.currentTimeMillis() + TTL);
        JwtBuilder builder = Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .signWith(Keys.hmacShaKeyFor(SECRET.getBytes()))
                .setIssuer(ISS)
// 这一行指定了解析器。 (可以引入jjwt的jackson解析器包)
                .serializeToJsonWith(new JacksonSerializer<>());

        return builder
                .claim("yourClaim", "my personal claim")
                .setExpiration(expiredTime)
                .compact();

3 效果

本地测试

第一次使用jjwt的compact还是有300ms左右的耗时。

而后续使用的耗时为1ms以下

第一次的compact耗时跟进了一下源码。目前看是jac java安全相关的逻辑。

在第一次会加载相关的安全实例。

// jdk的依赖 javax/crypto/Mac.class


    public static final Mac getInstance(String var0) throws NoSuchAlgorithmException {
        List var1 = GetInstance.getServices("Mac", var0);
        Iterator var2 = var1.iterator();

        Service var3;
        do {
            if (!var2.hasNext()) {
                throw new NoSuchAlgorithmException("Algorithm " + var0 + " not available");
            }

            var3 = (Service)var2.next();
        } while(!JceSecurity.canUseProvider(var3.getProvider()));

        return new Mac(var3, var2, var0);
    }

PS:

跟社区提的ISSUE

JJwt Initialization is too Slow. Severer When it in a Concurrent System · Issue #692 · jwtk/jjwt · GitHub

citi
关注
专栏目录
JWT验证
weixin_48530729的博客
12-13 3853
什么是JWT JWT用于分布式系统的单点登录SSO场景,主要用来做用户身份鉴别或者资源接口安全性的技术 身份鉴别 资源接口安全性检验,保护服务器资源不被泄露 1.认证流程 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载)、将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成
记-JWT 认证接口性能调优
搬山境KL攻城狮的修炼手册
10-25 1036
记-JWT 认证接口性能调优 文章目录记-JWT 认证接口性能调优一、前言1.服务器2.工具2.描述二、问题排查1.加密2.匹配3.示例程序4.总结三、解决办法 一、前言 1.服务器 4核16G 2.工具 工具 用途 jmeter 压力测试工具 arthas 阿里开源的Java诊断工具 2.描述 使用jmeter压测jwt认证接口时发现,服务器CPU占用特别高,TPS总是上不去仅有50 tps 二、问题排查 使用arthas 诊断工具连续打印CPU使用率高的线程堆栈,发现该
使用java生成JWT的token,生成过程很慢啊,大家怎么看
zzb7728317的博客
06-10 2930
本人最近要写一个restful的API,需要token认证,网上都推荐使用JWT做token认证。代码写好了,测试发现生成过程很缓慢,长达1580ms,这个也太慢了吧。没有人觉得性能有问题吗?为什么还有那么多人推荐使用?大家做API都是使用哪种token呢? ...
JWT认证授权方案优化
最爱下雨天
11-01 741
jwt是保存在客户端的字符串,里面携带了用户的一些基本信息,每次请求时候由客户端携带jwt token去后端请求接口。 区别于cookie-session的鉴权方式,在jwt鉴权中,仍然存在一定的身份认证漏洞; 一般jwt鉴权认证过程可以描述如下: 1 用户登录通过系统的认证后,系统颁发jwt令牌给该用户,用户将该jwt存储起来,可存放在cookie,header,或者localstorage等; 2用户发送请求,请求携带上系统颁发的jwt去请求服务; 3服务端解析该jwt令牌,若是解析且验证通过,将解析后
JWT优缺点及应用介绍
码农的日常收集
06-06 1882
JWT,全称是JSON Web Token,是一种规范化的 token,能解决分布式部署会话问题。 JWT是一个很长的字符串,字符之间通过"."分隔符分为三个子串:JWT头,有效载荷,签名。 默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。有效载荷这个JSON对象也使用Base64 URL算法转换为字符串保存。...
好家伙,原来是这原因导致java应用刚开始会响应比较慢
大鸡腿的博客
08-29 41
highlight: pojoaque # 前言 其实一直以来,我都有发现应用在刚起来那会,接口响应速度是比较慢的,可以通过postman看下接口响应速度,我就有点闷逼了,它在干嘛? 今天晚上我看的why大的一篇文章,然后我自己又去查了查资料,终于被我逮到了 对于程序员来说,怎样才算是在写有“技术含量”的代码? # java 类加载过程 这个应该是面试的时候经常被问到,加载...
jjwt-0.11.5 jackson-2.13.3
06-24
标题中的"jjwt-0.11.5 jackson-2.13.3"提到了两个关键组件:JWT(Json Web Token)的0.11.5版本和Jackson库的2.13.3版本。JWT是一种轻量级的身份验证和授权机制,常用于在分布式系统中安全地传递信息。而Jackson是...
jjwt-0.9.1.zip
10-25
标题中的"jjwt-0.9.1.zip"是一个压缩包文件,其核心内容与JWT(JSON Web Token)相关,并且版本号为0.9.1。JWT是一种开放标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象...
jjwt-0.11.2.zip
04-22
JJWTJava JWT)是Java生态中广泛使用的JWT库,它允许开发者轻松地创建、解析和验证JWT。版本0.11.2是JJWT的一个稳定版本,提供了丰富的功能和改进。 在使用jjwt-0.11.2.zip这个压缩包时,首先需要了解JWT的基本...
JJWTjjwt-0.11.5.tar.gz、jjwt-0.11.5.zip)
07-23
JJWTjjwt-0.11.5.tar.gz、jjwt-0.11.5.zip) aims to be the easiest to use and understand library for creating and verifying JSON Web Tokens (JWTs) on the JVM and Android. JJWT is a pure Java ...
jjwt-api-0.11.2-API文档-中文版.zip
05-07
赠送jar包:jjwt-api-0.11.2.jar; 赠送原API文档:jjwt-api-0.11.2-javadoc.jar; 赠送源代码:jjwt-api-0.11.2-sources.jar; 赠送Maven依赖信息文件:jjwt-api-0.11.2.pom; 包含翻译后的API文档:jjwt-api-...
扩展jwt解决oauth2 性能瓶颈
乌龟的专栏
08-16 814
oauth2 性能瓶颈 资源服务器的请求都会被拦截 到认证服务器校验合法性 (如下图) 用户携带token 请求资源服务器 资源服务器拦截器 携带token 去认证服务器 调用tokenstore 对token 合法性校验 资源服务器拿到token,默认只会含有用户名信息 通过用户名调用userdetailsservice.loadbyusername 查询用户全部信息 如上步骤在实际使用,会造成认证中心的负载压力过大,成为造成整个系统瓶颈的关键点。 check-token 过程中涉及的
轻松搞定jwt致命问题
qq_42673825的博客
08-11 274
其实脑洞大开。jwt有许多致命问题。可以巧妙避开。 从而注重使用最牛的特点。多个服务的情况下。jwt可以轻松在任何一个服务使用。 网友问: 网上有很多文章,可是几乎都没有讲jwt如何续签的​ 我: 要么存redis,要么刷新令牌。网上随便一搜就有。​ 网友: 存redis那我就不用jwt了,普通session改造得了,jwt一大串还占用带宽呢​ 我: 此言差矣。那是因为你jwt里面包含了太多的信息。 以我对jwt的了解。如果里面只包含用户id。正常情况下是不会超过150个字母,占用空间。可以忽略不计。无论系
javaJWT设置过期时间_JWT(JSON Web Token)自动延长到期时间
weixin_42529148的博客
03-02 7362
jwt-autorefresh如果您使用的是节点(React / Redux / Universal JS),则可以安装 npm i -S jwt-autorefresh .此库根据用户计算的访问令牌到期之前的秒数(基于令牌中编码的exp声明)计划刷新JWT令牌 . 它有一个广泛的测试套件,并检查很多条件,以确保任何奇怪的活动伴随着有关您的环境配置错误的描述性消息 .Full example i...
JavaJWT技术解析与实践:安全高效的身份认证
weixin_41245021的博客
07-26 2950
身份认证与授权是现代Web应用中至关重要的安全机制。JSON Web Token(JWT)作为一种轻量级的身份验证方案,已经成为Java开发中广泛使用的解决方案。本篇博客将深入解析JWT技术,探讨其在Java应用中的实践与应用。我们将了解JWT的基本原理,以及它如何实现安全高效的身份认证和授权。通过使用JWT,我们可以在无状态的分布式系统中实现简单且可扩展的用户身份验证,不再依赖传统的Session和Cookie。我们还将探讨如何在Java中集成JWT,以及如何将其应用于实际项目中。让我们一起深入探索JWT
JWT的加密解密原理,token登出、改密失效、自动续期
热门推荐
u013733643的博客
03-13 1万+
1. 两种token认证方式 传统的token认证 用户登录,服务端给前端返回token,并将token保存在服务端。 以后用户再来访问时,需要携带token,服务端获取token后再去数据库获取token做校验。 JWT的token认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问时,需要携带token,服务端获取token做校验 两种认证方式对比: jwt相对于传统的token认证,无需将token保存在服务端。 2. jwt的token加密解密过程 2.1 生成
JWT生成token总结
唐震宇的博客
04-30 2875
学而时习之,不亦说乎。Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。 JWT的请求流程如下: 1. 用户使用账号和面发出pos...
JWT基础与使用
weixin_44107140的博客
02-25 338
什么是Jwt 全称:JSON Web Token ,一个JWT就是一个字符串,有三部分组成,分别是头部,载荷和签名 用途:保证用户和服务器之间传递安全可靠的信息 组成: jwt验证:主要验证上图的【签证】部分是否合法 应用举例:如 利用jwt生成一个加密的token,作为用户登录的令牌,当用户登录成功后,发给客户端,请求需要登录的资源机或者接口的时候,将token携带,后端验证token是否合法 【案例演示】 基于springboot项目演示 导入依赖: <dependency> &l
springboot JJWT
最新发布
09-10
Spring Boot JJWT (JSON Web Token) 是一个用于在 Spring Boot 应用程序中实现 JWT 的库。JWT 是一种用于安全传输信息的开放标准(RFC 7519),它通过数字签名验证数据的完整性,并使用密钥对数据进行加密。 要在 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值