jwt验证的思考

最新推荐文章于 2022-09-13 17:11:12 发布
最新推荐文章于 2022-09-13 17:11:12 发布
阅读量1.7w 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/erlanp/article/details/109192286
版权
本文探讨了JWT(JSON Web Tokens)验证的优势和挑战,包括减轻后端压力、登录踢出机制、安全性考虑以及Remember Me功能的设计。提出了JWT与Session结合使用、密钥管理以及不同场景下的解决方案,强调在安全性和效率之间找到平衡。
摘要由CSDN通过智能技术生成


jwt验证对后端的压力比用session小很多, 毕竟只用对称加密或者hash计算,密钥小可以都存在各台web服务器, 不需要请求redis或者mysql之类的数据库产生io。

[登录踢出]
有时一些应用需要只让一个账号只能在一个浏览器或手机客户端在线,一个手机登录,另一个手机的相同账号需要登录踢出,jwt就比session麻烦一点,不想存数据库需要通知客户端自己删除。
如果客户端出问题没有删除,继续请求,那么应该怎么解决。
简单的解决办法是session和jwt一起用(jwt的refresh token是怎么实现的), jwt设置为5分钟过期,每次请求不续,登录踢出后只有5分钟可用。
还有一种直接在后台管理踢出,一般这种的数据比较少,由每台web服务器存就好了,使用consul配置中心之类的通知进行更新。
或者再简单一点jwt只支持get请求,一般情况下也是get请求居多,一般应该get请求只查询,没大的危害,再严格一点jwt对ip绑定,一个ip请求多的网关会被禁的。更严格一点可以随机几十次请求有一次用session验证。

对于安全有较高要求的应用,jwt是辅助session减少和数据库间的io请求的。
现在流行前后端分离,有时前端要从多个接口取数据再显示到一个界面,进行多次认证的话,jwt效率高很多——多个接口取数据也可以合并,听说阿里有相关的技术

管理后台一般用的人不多,很多也没有前后端分离,对安全的要求也高,只用session就可以了,没有必要为使用新技术而用jwt。

[jwt密钥泄漏]
比如每过一小时自动生成密钥,但这时对session的请求会增加&#

最低0.47元/天 解锁文章
erlanp
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT的使用流程
weixin_33875564的博客
08-20 435
JWT的实现原理 一篇文章告诉你JWT的实现原理 发布于 3 个月前 作者 axetroy 3097 次浏览 来自 分享 在使用 JWT 的时候,有没有想过,为什么我们需要 JWT?以及它的工作原理是什么? 我们就来对比,传统的 session 和 JWT 的区别 我们以一个用户,获取用户资料的例子 传统的 session 流程 浏览器发起请求登陆 服务端验证身份...
JWT 小白初识和使用
qq_40417296的博客
11-06 432
JWT就是    JSON Web Tokens的缩写。 首先说它与session的区别: session 存储在服务端占用服务器资源,而 JWT 存储在客户端 session 存储在 Cookie 中,存在伪造跨站请求伪造攻击的风险 session 只存在一台服务器上,那么下次请求就必须请求这台服务器,不利于分布式应用 存储在客户端的 JWT 比存储在服务端的 session 更具有扩...
JWT登录过期自动刷新方案与token泄漏解决方案
weixin_65059058的博客
09-13 6970
JWT登录过期自动刷新方案与token泄漏解决方案
六、实战代码——实用工具代码(jwt算法加密token,获取请求客户端IP
m0_38143867的博客
11-22 922
1 JWT (1)添加依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> ...
JWT 生成Token实战验证
10-23
JWT 生成Token实战验证
详解JWT token心得与使用实例
01-21
Token的优点和思考 参考代码:核心代码使用参考,不是全部代码 JWT token的组成 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base...
深入微服务架构的身份认证「分享版」
02-26
然而,在微服务架构中,每个服务都需要独立地完成认证和鉴权工作,这就需要我们重新思考整个安全体系的设计。 #### 微服务认证鉴权的挑战 - **服务间调用**:当微服务之间互相调用时,如何确保每一次调用都是合法且...
关于「我的点赞评论」背后逻辑的设计思考共21页.pdf.z
11-20
这里涉及到HTTP协议、身份验证机制(如OAuth或JWT)、事务处理以及错误处理等技术。 4. **状态管理**:在前端应用中,如何管理用户点赞和评论的状态是一个关键问题。这可能涉及到状态库的使用,如Redux或Vuex,以...
rethinkdb-express-api-boilerplate:rethinkdb表达api的样板
02-05
基于JWT的身份验证服务 Docker构建映像 用户服务 用途: 表达 重新思考数据库 Babel最新预设(ES6,ES2015,ES2016,ES2017)+阶段0 要求 节点JS 纱/ NPM RethinkDB服务 安装方式 git clone ...
100-days-of-code-journal:改进版的100天代码挑战进度
04-29
在todo应用程序后端中设置基于JWT的身份验证。 使用JWT创建了身份验证(登录/注册)。 想法:遵循了本以在Django中实现基于JWT的身份验证并做出React。 下一步是将其集成到todo应用程序前端中。 链接到工作: 第...
Spring Security实现两周内自动登录"记住我"功能
08-25
登录过程中经常使用的“记住我”功能,也就是我们经常会在各种网站登陆时见到的"两周内免登录",“三天内免登录”的功能。今天小编给大家分享基于Spring Security实现两周内自动登录"记住我"功能,感兴趣的朋友一起看看吧
JWT项目中用法
08-08
JWT原理:对登录和注册方法放行,用户名和密码验证正确后,服务端保存到redis缓存并设置有效期,返回给客户端userid和sessionid, 客户端自行保存(Cookie或者 h5的localStorage)。 其他接口统一拦截(header里的参数authorization 值为 userid_sessionid), 服务端到redis根据key:userid 取出根据 sessionid 与接收的客户端 sessionid验证是否一致。
使用JWT进行用户身份校验(基于token)
liao0801_123的博客
08-22 5808
jwt的其他资料: https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc https://www.jianshu.com/p/8f7009456abc cors解决跨域:https://blog.csdn.net/csdn265/article/details/80258928 无状态协...
浅谈JWT(JSON Web Token )及其应用(登录验签)
jothan的博客
08-06 1234
1前言 1.1. JWT 介绍 JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑(Compact)且自包含(Self-contained)的方式,用于在各方之间以JSON对象安全传输信息。 这些信息可以通过数字签名进行验证和信任。 可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进行签名。 1.2. JWT 特点 由于它们尺寸较小,JWT可以通过URL,POST参数或HTTP标头内发送。 另外,尺寸越小意味着传输速度越快。 有效载荷(Pla
一篇文章让你学会JWT令牌认证
Java是世界上最好的语言
12-18 1953
用户每次访问后台的时候,如果是一些需要认证的链接,都需要识别用户身份,比如用户抢单、用户中心等,在传统项目中用的是Session,但在微服务中不建议使用Session,使用JWT令牌。 1. 初识JWT JWT简称JSON Web Token ,也就是通过json形式作为web应用的令牌,用在各方之间安全的将信息作为json对象传输,在数据传输过程中还可以完成数据加密,签名相关处理 。 JWT令牌作用: 身份授权:这是使用jwt的最常见方案,一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该领牌
认证服务器搭建(jwt
weixin_49161209的博客
10-10 1164
认证服务器搭建(jwt) 思路 一、认证服务端 创建配置类继承AuthorizationServerConfigurerAdapter(授权服务器配置器适配器) 重写三个方法 第一个 主要是api的配置认证,校验令牌,对所有服务器的访问的权限设置 @Override public void configure(AuthorizationServerSecurityConfigurer security) throws Exception { super.configure(secur
JWT——Token认证的两种实现和安全详解
热门推荐
二缺和傻宝宝的博客
06-26 8万+
前言: 最近因为项目中需要解决跨域取值的问题,所有考虑到用Token认证做技术支撑点,自己看了许多与之相关的文章,从中总结出了以下两个要点(签名和token时间)。在说这两个要点之前先大概简单说一下与之有关的一些问题。 首先,如果你对token认证的知识一点都不了解,那么我觉得这篇文章还不太适合你,因为我在这里不会在把相关的基础知识再说明一遍,因为网上有很多相关的文章,讲的都比较好,我会在文章
SpringBoot学习:整合shiro(rememberMe记住我功能)
期待破茧成蝶
04-08 1万+
项目下载地址:http://download.csdn.NET/detail/aqsunkai/9805821 首先在shiro配置类中注入rememberMe管理器 /** * cookie对象; * rememberMeCookie()方法是设置Cookie的生成模版,比如cookie的name,cookie的有效时间等等。 * @return */ @Bean public
JWT的数据格式详解
Miss.Fan的博客
12-11 1万+
1.1.简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;它是分布式服务权限控制的标准解决方案! 官网:https://jwt.io GitHub上jwt的java客户端:https://github.com/jwtk/jjwt 1.2.数据格式 普通的token:32位UUID JWT的token: JWT的t...
SpringBoot绕过jwt验证
最新发布
08-11
Spring Boot中,JWT (JSON Web Tokens) 验证通常是通过Spring Security或自定义的身份验证处理器来完成的。如果你想要绕过JWT验证,通常有以下几种情况: 1. **测试环境**:在测试环境中,为了方便快速开发和调试,可能会设置`@EnableWebSecurity`注解的`disable()`方法来临时禁用所有安全配置,但这不是推荐的做法。 ```java @Configuration @EnableWebSecurity(debug = false) public class SecurityConfig extends WebSecurityConfigurerAdapter { //... @Override protected void configure(HttpSecurity http) throws Exception { super.configure(http).authorizeRequests().antMatchers("/api/**").permitAll(); //绕过JWT验证的部分路径 } ``` 2. **API测试接口**:对于需要特定测试访问的接口,可以使用`@PreAuthorize("hasRole('ROLE_TEST')")`或类似注解来允许未授权访问。 3. **API接口设计**:如果某个API不涉及用户身份验证,可以直接忽略JWT验证并将其标记为公开接口(例如 `/api/public`)。 4. **临时修改客户端**:在客户端代码层面,你可以暂时修改发送请求时不再附带JWT token,但这仅适用于测试阶段,并且不安全。 注意,绕过JWT验证应该是在明确了解其风险的前提下进行的,因为这会使得系统的安全性降低。正常情况下,所有的API调用都应该通过验证才能访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值