为什么很多人不推荐你用JWT?

于 2024-07-17 08:02:24 发布
阅读量23 收藏
点赞数
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2MTIzMzY3Mw==&mid=2247553282&idx=2&sn=ad95f8ce8720235a2c97a17dd0d9ccfc&chksm=ebe77f65af938e82ff9dd5b5097a8860e6f2b2215eee0549091c1816252ec1d92c1b5342a75c&scene=126&sessionid=0
版权

因公众号更改推送规则,请点“在看”并加“星标”第一时间获取精彩技术分享

点击关注#互联网架构师公众号,领取架构师全套资料 都在这里348804836d3d15ef507fe7e2ff9dcb42.png

0、2T架构师学习资料干货分

上一篇:2T架构师学习资料干货分享

大家好,我是互联网架构师!

为什么很多人不推荐你用JWT?

如果你经常看一些网上的带你做项目的教程,你就会发现 有很多的项目都用到了JWT。那么他到底安全吗?为什么那么多人不推荐你去使用。这个文章将会从全方面的带你了解JWT 以及他的优缺点。

什么是JWT?

这个是他的官网JSON Web Tokens - jwt.io

https://jwt.io/

这个就是JWT

e21ec26531e40773a24ac57c08ca2c4a.jpeg

JWT 全称JSON Web Token

如果你还不熟悉JWT,不要惊慌!它们并不那么复杂!

你可以把JWT想象成一些JSON数据,你可以验证这些数据是来自你认识的人。

当然如何实现我们在这里不讲,有兴趣的可以去自己了解。

下面我们来说一下他的流程:

• 当你登录到一个网站,网站会生成一个JWT并将其发送给你。

• 这个JWT就像是一个包裹,里面装着一些关于你身份的信息,比如你的用户名、角色、权限等。

• 然后,你在每次与该网站进行通信时都会携带这个JWT。

• 每当你访问一个需要验证身份的页面时,你都会把这个JWT带给网站。

• 网站收到JWT后,会验证它的签名以确保它是由网站签发的,并且检查其中的信息来确认你的身份和权限。

• 如果一切都通过了验证,你就可以继续访问受保护的页面了。

f436bb16f5fea5e14f489b1966ab9cfe.jpeg


为什么说JWT很烂?

首先我们用JWT应该就是去做这些事情:

• 用户注册网站

• 用户登录网站

• 用户点击并执行操作

• 本网站使用用户信息进行创建、更新和删除 信息

这些事情对于数据库的操作经常是这些方面的

• 记录用户正在执行的操作

• 将用户的一些数据添加到数据库中

• 检查用户的权限,看看他们是否可以执行某些操作

之后我们来逐步说出他的一些缺点

大小

这个方面毋庸置疑。

比如我们需要存储一个用户ID 为xiaou

如果存储到cookie里面,我们的总大小只有5个字节。

如果我们将 ID 存储在 一个 JWT 里。他的大小就会增加大概51倍

8c886b46d6e2f8a05309f3b4ff19daad.jpeg

这无疑就增大了我们的宽带负担。

冗余签名

JWT的主要卖点之一就是其加密签名。因为JWT被加密签名,接收方可以验证JWT是否有效且可信。

但是,在过去20年里几乎每一个网络框架都可以在使用普通的会话cookie时获得加密签名的好处。

事实上,大多数网络框架会自动为你加密签名(甚至加密!)你的cookie。这意味着你可以获得与使用JWT签名相同的好处,而无需使用JWT本身。

实际上,在大多数网络身份验证情况下,JWT数据都是存储在会话cookie中的,这意味着现在有两个级别的签名。一个在cookie本身上,一个在JWT上。


令牌撤销问题


由于令牌在到期之前一直有效,服务器没有简单的方法来撤销它。


以下是一些可能导致这种情况危险的用例。


注销并不能真正使你注销!


想象一下你在推特上发送推文后注销了登录。你可能会认为自己已经从服务器注销了,但事实并非如此。因为JWT是自包含的,将在到期之前一直有效。这可能是5分钟、30分钟或任何作为令牌一部分设置的持续时间。因此,如果有人在此期间获取了该令牌,他们可以继续访问直到它过期。


可能存在陈旧数据


想象一下用户是管理员,被降级为权限较低的普通用户。同样,这不会立即生效,用户将继续保持管理员身份,直到令牌过期。


JWT通常不加密


因此任何能够执行中间人攻击并嗅探JWT的人都拥有你的身份验证凭据。这变得更容易,因为中间人攻击只需要在服务器和客户端之间的连接上完成


安全问题


对于JWT是否安全。我们可以参考这个文章

https://research.securitum.com/jwt-json-web-token-security/

同时我们也可以看到是有专门的如何攻击JWT的教程的

https://www.freebuf.com/articles/web/375465.html


总结


总的来说,JWT适合作为单次授权令牌,用于在两个实体之间传输声明信息。

但是,JWT不适合作为长期持久数据的存储机制,特别是用于管理用户会话。使用JWT作为会话机制可能会引入一系列严重的安全和实现上的问题,相反,对于长期持久数据的存储,更适合使用传统的会话机制,如会话cookie,以及建立在其上的成熟的实现。

但是写了这么多,我还是想说,如果你作为自己开发学习使用,不考虑安全,不考虑性能的情况下,用JWT是完全没有问题的,但是一旦用到生产环境中,我们就需要避免这些可能存在的问题。

来源:juejin.cn/post/7365533351451672612

—  —

如喜欢本文,请点击右上角,把文章分享到朋友圈

1、2T架构师学习资料干货分享

2、10000+TB 资源,阿里云盘,牛逼!!

3、基本涵盖了Spring所有核心知识点总结

  · END ·

最后,关注公众号互联网架构师,在后台回复:2T,可以获取我整理的 Java 系列面试题和答案,非常齐全。

如果这篇文章对您有所帮助,或者有所启发的话,帮忙扫描上方二维码关注一下,您的支持是我坚持写作最大的动力。

求一键三连点赞、转发、在看

互联网架构
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
为什么不推荐JWT保护你的Web应用
weixin_34060741的博客
05-08 5999
2019独角兽企业重金招聘Python工程师标准>>> ...
JWT的优缺点,为什么不建议使用JWT
d932385747的博客
02-05 1265
JSON Web Token(JWT)是一种用于在网络上传输信息的开放标准(RFC 7519)。它通过使用 JSON 对象将声明进行编码,可以被用来在用户和服务之间传递安全的、经过签名的信息。尽管JWT在某些场景下很有用,但也存在一些优缺点,其中一些原因可能导致不建议使用JWT
【Java工具】JWT基本操作(它的定位挺尴尬的,估计以后很少用到)
tangxz的博客
07-11 261
JWT主要用于保证前后端交互的安全,在服务器记录这个用户的信息(内存),前端每次请求后端都需要带上这个token数据(cookie或者localStorage等客户端缓存工具)。 然后拦截器,拦截、验证。 它有个弊端,就是无法删除。在注销用户时需要用额外的方法进行删除、比如各种花里胡哨的逻辑删除、使用时存redis或者数据库,然后进行删除。 依赖依赖 <!--引入jwt--> <dependency> <groupId>com.auth0</groupId&
讲真,别再使用JWT了!
qq_41257819的博客
04-18 739
在Web应用中,使用JWT替代session并不是个好主意适合JWT的使用场景抱歉,当了回标题党。我并不否认JWT的价值,只是它经常被误用。根据维基百科的定义,JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。HS256表示使用了 HMAC-SHA256 来生成签名。
lua-resty-jwtJWT为伟大的Openresty
02-03
标题"lua-resty-jwtJWT为伟大的Openresty"表明了本文将探讨如何使用lua-resty-jwt库在Openresty(一个基于Nginx和Lua的高性能Web平台)中处理JSON Web Tokens (JWT)。JWT是一种安全的身份验证和授权机制,常用于...
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于...
b站编程不良人JWT实战教程MD笔记下载
最新发布
07-20
b站编程不良人JWT实战教程MD笔记下载,侵删致歉
在SpringBoot中使用JWT的实现方法
08-26
SpringBoot 中使用 JWT 的实现方法 在本文中,我们将详细介绍如何在 SpringBoot 中使用 JSON Web Token(JWT)进行身份验证和授权。 什么是 JWT? JSON Web Token(JWT)是一种用于身份验证和授权的 token。它是...
ThinkPHP5框架中使用JWT的方法示例
12-17
本文实例讲述了ThinkPHP5框架中使用JWT的方法。分享给大家供大家参考,具体如下: JWT下载地址:https://jwt.io 可以直接去github上下载,也可以使用composer 使用composer的话要确保你的电脑上安装了composer,进入...
springboot-jwt:使用JSON Web令牌(JWT)保护REST API的示例Springboot应用程序。 有关与Angular(版本2+)集成的示例,请访问https
05-26
springboot-jwt 使用JSON Web令牌(JWT)保护REST API的示例Spring Boot应用程序 此应用程序可用作启动具有完整功能的安全模块的Spring Boot REST API项目的种子。 主要组成部分 Spring Boot 1.5.3.RELEASE转到了解有关Spring Boot的更多信息 JSON Web令牌转到解码生成的令牌并了解更多信息 H2数据库引擎-用于快速原型开发和开发,但至少在大多数情况下不适用于生产。 请访问了解更多信息 运行应用程序 使用运行Spring Boot应用程序的几种方法之一。 以下是三个选项: 使用Maven目标进行构建: mvn clean package并执行以下生成的工件,如下所示: java -jar springboot-jwt-0.0.1-SNAPSHOT.jar或 在基于Unix / Linux的系统上:运
JWT 生成Token及验证.PDF
08-22
JWT的上课知识点整理。由上课老师编写的每一个知识点与整合的概要。非常好的整体复习方案, 需要的赶紧下载
netCore3.1 WebApi 使用JWT 授权认证使用实例
01-21
在.NET Core 3.1中开发Web API时,JWT(JSON Web Token)授权认证是一种常见的安全实践,用于保护API免受未经授权的访问。JWT是一种轻量级的身份验证和授权机制,它允许服务端通过发送一个包含所有必要的用户信息的...
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
详解使用JWT实现单点登录(完全跨域方案)
10-16
需要注意的是,JWT中的Payload部分虽然可以防止篡改,但默认情况下是不加密的,因此不应包含敏感信息。如果需要保护信息的隐私,可以使用JWT的加密功能。此外,JWT的过期时间管理也很关键,合理设置过期时间能防止...
你管这破玩意儿叫 Token?
weixin_41385912的博客
05-17 739
上周我们在团队内部首次采用了 jwt(Json Web Token) token 这种 no-session 的方式来作用户的账号验证,发现网上很多文章对 token 的介绍有误,所以对 ...
关于使用JWT我的一些建议及避坑指南(非必须建议别用)
wh445306
01-09 7690
关于jwt的一些不足之处,可以参考这里:(译)别再使用 JWT 作为 Session 系统!问题重重且很危险。 JWT存在的意义是什么?很显然就是去中心化,无状态化!这是他存在的核心意义和价值,除去这两点JWT可以说是一无是处! 如果你尝试使用jwt构建session方案,我直接告诉你,赶紧放弃!越早越好!会玩死你,JWT在作为session时, 最大的痛苦就是自动续期和指定失效2个方面是致命伤。而且无解! 最重要的,不要考虑在服务器维护 JWT,比如在服务端维护一个 token...
JWT的使用场景和优缺点,你都清楚吗?小知
IT1124的博客
12-14 1434
正文如下,如果觉得有用欢迎点赞、关注~~ 前言 前面简单介绍了JWT的基础,但是对于JWT的应用场景和优缺点掌握的还够,这些东西只有自己实践过才能搞清楚其中的细节。在网上看到一个大佬对这块讲的比较好,就转载过来一起学习下。 编码,签名,加密 这些基础知识简单地介绍下,千万别搞混了三个概念。在 jwt 中恰好同时涉及了这三个概念,这里用大白话来做下通俗的讲解。 编码(encode)和解码(decode) 一般编码解码是为了方便以字节的方式表示数据,便于存储和网络传输。整个 jwt 串会被置于 ht
JWT是什么?如何生成和验证JWT
05-29
JWT(JSON Web Token)是一种用于身份验证的开放标准,它可以在网络应用间传递声明,以便于安全地传输用户数据。JWT通常用于在身份验证和授权过程中,作为API的令牌。它是由三部分组成的字符串,分别是:头部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值