jwt与token+redis,哪种方案更好用?

最新推荐文章于 2024-06-25 08:41:43 发布
最新推荐文章于 2024-06-25 08:41:43 发布
阅读量1.6k 收藏 11
点赞数 2
文章标签: redis
原文链接:https://www.zhihu.com/question/274566992
版权

转自知乎:https://www.zhihu.com/question/274566992
回答一:
如果项目并不大,JWT是个好选择,天然的去中心化模式,会话状态由令牌本身自解释,简单粗暴

但是缺点页很明显,如题所示,一旦下发便不受服务端控制,如果发生token泄露,服务器也只能任其蹂躏,在其未过期期间不能有任何措施

常见的做法是再从JWT上封装一层,提供一个类似黑名单的机制,每次访问系统时先检查此JWT令牌是否已经被拉黑,此模式虽然暂时解决了问题,但是此时你会发现,项目架构又回到了传统Session模型中,对JWT来讲属于自断招牌

这时候又凸显出了传统Session模型的好处,服务器生成令牌下发给前端,前端只持有令牌本身,而令牌代表的数据则完全由服务器说了算,此种模式下:什么Session会话、踢人下线之类的都是信手拈来,但是缺点又回来了:失去了去中心化,水平扩展比较难,且服务器需要维护所有用户的数据状态,性能压力比较大

常见解决方案也很简单,那就是把会话数据放到专业的数据中心,比如Redis, 此模式既保证了服务器对会话数据的可控性,又保证了服务水平扩展时的会话一致性

对此模式践行比较完善的框架推荐你了解一下sa-token,此框架扩展了token-session模型,将会话数据放在了Redis下,并提供了多种Session序列化方案,诸如注销登录、权限认证、踢人下线等常见功能全部一行代码就可以完成
附个链接:
http://sa-token.dev33.cn/
http://sa-token.dev33.cn/doc/index.html#/use/login-auth

回答二:
JWT与token+redis对比分为以下几个方面
分析一、使用Token+redis的好处?1.性能问题。JWT方式将用户状态分散到了客户端中,相比于session,可以明显减轻服务端的内存压力。Session方式存储用户id的最大弊病在于Session是存储在服务器端的,所以需要占用大量服务器内存,对于较大型应用而言可能还要保存许多的状态,一般还需借助nosql和缓存机制来实现session的存储,如果是分布式应用还需session共享。2.单点登录。JWT能轻松的实现单点登录,因为用户的状态已经被传送到了客户端。token 可保存自定义信息,如用户基本信息,web服务器用key去解析token,就获取到请求用户的信息了。我们也可以配置它以便包含用户拥有的任何权限。这意味着每个服务不需要与授权服务交互才能授权用户。3.前后端分离。以前的传统模式下,后台对应的客户端就是浏览器,就可以使用session+cookies的方式实现登录,但是在前后分离的情况下,后端只负责通过暴露的RestApi提供数据,而页面的渲染、路由都由前端完成。因为rest是无状态的,因此也就不会有session记录到服务器端。4.兼容性。支持移动设备,支持跨程序调用,Cookie 是不允许垮域访问的,而 Token 则不存在这个问题。5.可拓展性。jwt是无状态的,特别适用于分布式站点的单点登录(SSO)场景。比如有3台机器(A、B、C)组成服务器集群,若session存在机器A上,session只能保存在其中一台服务器,此时你便不能访问机器B、C,因为B、C上没有存放该Session,而使用token就能够验证用户请求合法性,并且我再加几台机器也没事,所以可拓展性好。6.安全性。因为有签名,所以JWT可以防止被篡改。分析二、JSON Web Token+redis方案说明JWT是基于token的身份认证的方案。json web token全称。可以保证安全传输的前提下传送一些基本的信息,以减轻对外部存储的依赖,减少了分布式组件的依赖,减少了硬件的资源。可实现无状态、分布式的Web应用授权,jwt的安全特性保证了token的不可伪造和不可篡改。本质上是一个独立的身份验证令牌,可以包含用户标识、用户角色和权限等信息,以及您可以存储任何其他信息(自包含)。任何人都可以轻松读取和解析,并使用密钥来验证真实性。这时候又凸显出了传统Session模型的好处,服务器生成令牌下发给前端,前端只持有令牌本身,而令牌代表的数据则完全由服务器说了算,此种模式下:什么Session会话、踢人下线之类的都是信手拈来,但是缺点又回来了:失去了去中心化,水平扩展比较难,且服务器需要维护所有用户的数据状态,性能压力比较大常见解决方案也很简单,那就是把会话数据放到专业的数据中心,比如Redis,此模式既保证了服务器对会话数据的可控性,又保证了服务水平扩展时的会话一致性缺陷:1)JWT在生成token的时候支持失效时间,但是支持的失效时间是固定的,比如说一天。但是用户在等出的时候是随机触发的,那么我们jwt token来做这个失效是不可行的,因为jwt在初始化的时候已经定死在什么时候过期了。采用其他方案,在redis中存储token,设置token的过期时间,每次鉴权的时候都会去延长时间2)jwt不适合存放大量信息,信息越多token越长JWT就是一个字符串,经过加密处理与校验处理的字符串分析三.jwt+redis的登录方案流程:前端服务器收到用户登录请求,传给后台API网关。API网关把请求分发到用户服务里进行身份验证。后台用户服务验证通过,然后从账号信息抽取出userName、login_time等基本信息组成payload,进而组装一个JWT,把JWT放入redis(因为退出的时候无法使jwt立即作废,所以使用保存在redis中,退出的时候delete掉就可以了,鉴权的时候加一层判断jwt是否在redis里,如果不在则证明jwt已过期作废),然后包装cookie中返回到前端服务器,这就登录成功了。前端服务器拿到JWT,进行存储(可以存储在缓存中,也可以存储在数据库中,如果是浏览器,可以存储在 localStorage 中,我实现的是放入到cookie里面)登录后,再访问其他微服务的时候,前端会携带jwt访问后台,后台校验 JWT,验签通过后,返回相应资源和数据就可以了。四.建议如果项目并不大,JWT是个好选择,天然的去中心化模式,会话状态由令牌本身自解释,简单粗暴但是缺点页很明显,如题所示,一旦下发便不受服务端控制,如果发生token泄露,服务器也只能任其蹂躏,在其未过期期间不能有任何措施对此模式践行比较完善的框架推荐你了解一下token+redis,此框架扩展了token-session模型,将会话数据放在了Redis下,并提供了多种Session序列化方案,诸如注销登录、权限认证、踢人下线等常见功能全部一行代码就可以完成

daobuxinzi
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Session+RedisToken+RedisJWT+Redis,用户身份认证,到底选择哪种更合适?
Java程序员专栏
05-31 1017
在选择用户身份认证方案时,需要根据具体的应用场景和需求进行评估和选择。如果应用需要长时间保持用户登录状态,且对性能要求不是特别高,可以选择Session+Redis方案。如果应用需要频繁验证用户身份,且对性能要求较高,可以选择Token+Redis方案。如果应用是分布式系统或微服务架构,需要实现无状态的身份验证和授权,可以选择JWT+Redis方案。需要注意的是,以上方案并不是孤立的,可以根据实际情况进行组合和优化,以满足特定的业务需求。同时,无论选择哪种方案,都需要确保系统的安全性和稳定性。
快速入门JWT+Redis实现Token验证
Trouvailless的博客
09-17 2300
导言:该文最终本人实现目的为通过JWT来生成token作为用户登录或调用api等身份验证凭证,同时简单的引入了Redis作为缓存来存放Token。用最简洁的方法给第一次接触Token的朋友们快速入门并且实际运用到项目中。不纠结于理论,只聚焦于实战,如果有希望了解更多理论的朋友,可以在看本文的过程中查询其他理论性文章。
Springboot 权限认证框架 -- SA-Token 集成 Redis(二)
最新发布
dazhong2012的专栏
06-25 1273
Sa-Token默认将数据保存在内存为此,Sa-Token 提供了扩展接口,你可以轻松将会话数据存储在一些专业的缓存中间件上(比如 Redis), 做到重启数据不丢失,而且保证分布式环境下多节点的会话一致性。
JWTtoken+redis对比
山高水长
02-07 6718
16、JWTtoken+redis对比 分析一、使用Token+redis的好处? 1.性能问题。 JWT方式将用户状态分散到了客户端中,相比于session, 可以明显减轻服务端的内存压力。 Session方式存储用户id的最大弊病在于Session是存储在服务器端的, 所以需要占用大量服务器内存, 对于较大型应用而言可能还要保存许多的状态, 一般还需借助nosql和缓存机制来实现session的存储, 如果是分布式应用还需session共享。 2.单点登录。 JWT能轻松的实现单点登录, 因为用户的状
story-admin:Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案
05-14
story-admin本项目为前后端分离的Web应用后端程序,采用技术框架如下:springboot v2.1.2.RELEASEshirojwtredismybatis-plus v3.1.2包含代码生成器文档swagger2,使用jwt采用token有效期内刷新机制更新Token。...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring Security、JWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
springboot+mybatis-plus+jwt+redis的简易后端框架
04-10
一个简单的后端框架,实现步骤可以根据文章 ...2.springboot+JWT+redis实现token身份令牌验证(附代码)(超详细) https://blog.csdn.net/pengpm/article/details/124077041?spm=1001.2014.3001.5501
springboot整和jwt、shiro、redis实现token自动刷新
08-19
接着,我们需要创建一个JWTToken Realm,实现Shiro的AuthenticationInfo接口,处理JWT的验证。在Realm中,我们可以解析JWT,获取用户信息,并与数据库进行比对,完成身份验证。 对于Redis的使用,我们需要配置一个...
STS创建Spring Boot项目实战(Rest接口、数据库、用户认证、分布式Token JWTRedis操作、日志和统一异常处理)
11-24
STS创建Spring Boot项目实战(Rest接口、数据库、用户认证、分布式Token JWTRedis操作、日志和统一异常处理)
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
JWTRedis比较选型
第三眼的思绪
04-19 488
我更倾向Redis方案,在性能影响范围有限时,安全变得很重要。
JWTRedis的讨论
想到哪记到哪
11-23 4339
先说jwt JWT全称(Json web token),也就是说 本质上它就是个Token,我觉得这一点很重要。采用json的实现,能有效的避开各种浏览器、运行环境的限制,而达到为用户创建身份认证的凭证,并且是跨语言的。 所以jwt本质是提供一个token的实现方式,一个基本的规范;而不是token之外的其他思路。密钥掌握在后台,所以jwt可以在后台运算,后台验证;又因为后台可以运算验证,所以可以不需要存储轻量的完成整个验证的逻辑。有得就有失,运算只能知道这个token是不是符合密钥和规范的约束,可以得出一
推荐:branca - 安全的JWT替代方案
gitblog_00024的博客
06-04 408
推荐:branca - 安全的JWT替代方案 项目地址:https://gitcode.com/hako/branca 项目介绍 在寻找一种安全且高效的身份验证机制吗?branca 是一个值得您关注的项目。它是基于纯 Go 实现的,无需任何 cgo 依赖项,提供了一种类似于 JSON Web Tokens(JWT)但更安全的身份认证解决方案。branca 遵循 branca token 规范,确保...
码神之路博客系统技术精点(二)----jwt+redis
SuperBetterMan的博客
09-19 545
序:如何保存用户的登录状态?可能你会说用Session,对于使用Session这个解决办法,我会给出good but wrong 传统的Session登录认证:用户登录时,向服务器发送两次请求,我们在服务器存储用户登录信息,且会在浏览器存储一份cookie。之后浏览器在发送请求时,就会携带cookie,服务器根据cookie中携带的SessionId查找对应的Session,来判断用户是否登录。 这块详细可查看该文 JWT:它将用户信息加密到Token中,服务器并不保存用户信息,服务器只需要根据保存的密.
JWT+Redis 实现接口 Token 校验
qq_45110186的博客
12-27 1094
本文介绍在Java中使用JWT生成Token,并且使用Redis配合校验
取代JWT,使用Redis来管理Token
weixin_41070914的博客
04-13 1549
模仿JWT,写基于Redis的鉴权Token管理,解决JWT是无状态的问题,JWT续期流程略麻烦,得前端配合更换TOKEN 示例代码使用Spring Boot编写 代码已经上传码云 Redis_Token示例 示例代码已经集成全局异常拦截,拦截器配置等等,下载了可以根据自己业务需求去更改。 ...
springboot+jwt+shiro+redis例子
07-17
可以的,我可以为您提供一个基于Spring Boot、JWT、Shiro和Redis的例子。这个例子将演示如何使用这些技术实现用户认证和授权,并且将用户的状态存储在Redis中。 首先,您需要创建一个Spring Boot项目并添加所需的依赖。 在pom.xml文件中添加以下依赖: ``` <dependencies> <!-- Spring Boot --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- Shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.7.1</version> </dependency> <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> <!-- Redis --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> </dependencies> ``` 接下来,创建一个名为`JwtUtils`的JWT工具类,用于生成和验证JWT令牌。您可以参考以下代码: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.beans.factory.annotation.Value; import org.springframework.stereotype.Component; import javax.annotation.PostConstruct; import java.util.Date; @Component public class JwtUtils { @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private int expiration; @PostConstruct public void init() { secret = Base64.getEncoder().encodeToString(secret.getBytes()); } public String generateToken(String username) { Date now = new Date(); Date expiryDate = new Date(now.getTime() + expiration * 1000); return Jwts.builder() .setSubject(username) .setIssuedAt(now) .setExpiration(expiryDate) .signWith(SignatureAlgorithm.HS512, secret) .compact(); } public String getUsernameFromToken(String token) { Claims claims = Jwts.parser() .setSigningKey(secret) .parseClaimsJws(token) .getBody(); return claims.getSubject(); } public boolean validateToken(String token) { try { Jwts.parser().setSigningKey(secret).parseClaimsJws(token); return true; } catch (Exception e) { return false; } } } ``` 然后,创建一个名为`RedisUtils`的Redis工具类,用于操作Redis。您可以参考以下代码: ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.data.redis.core.RedisTemplate; import org.springframework.stereotype.Component; import java.util.concurrent.TimeUnit; @Component public class RedisUtils { @Autowired private RedisTemplate<String, Object> redisTemplate; public void set(String key, Object value, long expiration) { redisTemplate.opsForValue().set(key, value, expiration, TimeUnit.SECONDS); } public Object get(String key) { return redisTemplate.opsForValue().get(key); } public void delete(String key) { redisTemplate.delete(key); } public boolean hasKey(String key) { return redisTemplate.hasKey(key); } } ``` 接下来,创建一个名为`JwtRealm`的Shiro Realm,用于验证JWT令牌和授权。您可以参考以下代码: ```java import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; public class JwtRealm extends AuthorizingRealm { @Autowired private JwtUtils jwtUtils; @Autowired private RedisUtils redisUtils; @Override public boolean supports(AuthenticationToken token) { return token instanceof JwtToken; } @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // TODO: 实现授权逻辑 } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { JwtToken jwtToken = (JwtToken) token; String username = jwtUtils.getUsernameFromToken(jwtToken.getToken()); if (username == null || !jwtUtils.validateToken(jwtToken.getToken())) { throw new AuthenticationException("无效的令牌"); } // TODO: 查询用户信息并返回认证信息 return new SimpleAuthenticationInfo(username, jwtToken.getToken(), getName()); } } ``` 最后,创建一个名为`JwtToken`的Shiro Token,用于封装JWT令牌。您可以参考以下代码: ```java import org.apache.shiro.authc.AuthenticationToken; public class JwtToken implements AuthenticationToken { private String token; public JwtToken(String token) { this.token = token; } @Override public Object getPrincipal() { return token; } @Override public Object getCredentials() { return token; } } ``` 以上是一个基于Spring Boot、JWT、Shiro和Redis的例子。您可以根据您的需求进行修改和扩展。希望对您有帮助!
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值