Jwt初始 & session 比较

最新推荐文章于 2024-04-12 09:52:53 发布
最新推荐文章于 2024-04-12 09:52:53 发布
阅读量312 收藏
点赞数 1
分类专栏: JAVA 文章标签: jwt session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eternal1d/article/details/93245021
版权 
引言:最近看了一个开源项目,涉及了些比较陌生的东西,为了加深印象,做点小笔记;

JWT

json web token,简单来说,就是客户端与服务器进行验证的解决方案之一;另外一种就是使用session的方式;

使用原理:

当客户端第一次登陆后,服务端会返回JWT格式的令牌,包含一些用户的信息,客户端则会保存这个JWT信息至Cookie或者其他数据层框架,用于下次登陆时验证。
此时,服务端不需要去存储任何当前用户的信息。而下次请求时,客户端都需要携带次JWT信息,客户端则会去解析该信息,重新认证该用户,授权该用户;

使用方法:

项目权限认证使用的spring security框架,第一次登陆时,在相应的successHandle中添加成功处理逻辑:

  • 登陆成功生成JWT:
// jwt
            token = SecurityConstant.TOKEN_SPLIT + Jwts.builder()
                    //主题 放入用户名
                    .setSubject(username)
                    //自定义属性 放入用户拥有请求权限
                    .claim(SecurityConstant.AUTHORITIES, new Gson().toJson(list))
                    //失效时间
                    .setExpiration(new Date(System.currentTimeMillis() + tokenExpireTime * 60 * 1000))
                    //签名算法和密钥
                    .signWith(SignatureAlgorithm.HS512, SecurityConstant.JWT_SIGN_KEY)
                    .compact();
              
                    ResponseUtil.out(response, ResponseUtil.resultMap(true,200,"登录成功", token));

再次请求校验jwt:
只需要在Jwt认证的过滤器中添加该校验;

 private UsernamePasswordAuthenticationToken getAuthentication(String header, HttpServletResponse response) {
		// 用户名
        String username = null;
        // 权限
        List<GrantedAuthority> authorities = new ArrayList<>();
            try {
                // 解析token
                Claims claims = Jwts.parser()
                        .setSigningKey(SecurityConstant.JWT_SIGN_KEY)
                        .parseClaimsJws(header.replace(SecurityConstant.TOKEN_SPLIT, ""))
                        .getBody();

                //获取用户名
                username = claims.getSubject();
                //获取权限
                String authority = claims.get(SecurityConstant.AUTHORITIES).toString();

                if(StrUtil.isNotBlank(authority)){
                    List<String> list = new Gson().fromJson(authority, new TypeToken<List<String>>(){}.getType());
                    for(String ga : list){
                        authorities.add(new SimpleGrantedAuthority(ga));
                    }
                }
            } catch (ExpiredJwtException e) {
                ResponseUtil.out(response, ResponseUtil.resultMap(false,401,"登录已失效,请重新登录"));
            } catch (Exception e){
                log.error(e.toString());
                ResponseUtil.out(response, ResponseUtil.resultMap(false,500,"解析token错误"));
            }

比较Session

众所周知,Session方式的用户信息认证是将登陆信息存储在服务器端,redis缓存中,或者持久化;
而在分布式的系统中,就只能持久化;
另外,session方式返回给浏览器端的认证信息一般只需要一个id,而JWT是将复杂的用户信息,甚至加密加长后返给客户端,这可能让存储4k的Cookie比较难为情了;以致于前端可能需要拓展另外的方案解决认证问题;

总结:
JWT是将用户登录信息存储在客户端的一种方便拓展的认证方案,而Session则是将用户信息存储在服务器端的更安全的解决方案;

yangm_1111
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 5.7.5 CURRENT GA-JWT无状态登录
ZMiao的博客
11-25 470
【代码】Spring Security 5.7.5 CURRENT GA-JWT无状态登录。
一文搞懂SessionJWT登录认证
crg18438610577的博客
04-15 1529
一文搞懂SessionJWT登录认证~~
JWT vs Session:到底哪个才是你的菜?
最新发布
欢迎关注同名公众号,一起探索Java技术的奥秘,共同成长!
04-12 1065
JWT vs Session:到底哪个才是你的菜?
JWT基本使用及常用验证方式对比
weixin_44906271的博客
04-26 463
这里写目录标题传统验证方式JWT是什么JWT机制优缺点使用依赖jwtUtil拦截器配置拦截器和跨域问题: 传统验证方式 在前后端分离的场景中,包括APP端和WEB端,由于http协议是无状态的,那么用户登录认证之后,再向服务器发送的请求的时候,服务器是不知道这个这个用户是否已经登录认证过了。 传统的方式是通过cookie和session,用户登录之后将用户信息存储在session中,下次请求的时...
用户管理——认证功能JWTSession
BlueProtocolBlog
02-17 821
基于session和基于JWT的方式的主要区别就是用户的状态保存的位置,session是保存在服务端的,而JWT是保存在客户端的
JWT 身份认证优缺点分析以及常见问题解决方案
Angus
10-08 1352
JWT 身份认证优缺点分析以及常见问题解决方案 之前分享了一个使用 Spring Security 实现 JWT 身份认证的 Demo,文章地址:适合初学者入门 Spring Security With JWT 的 Demo。Demo 非常简单,没有介绍到 JWT 存在的一些问题。所以,单独抽了一篇文章出来介绍。为了完成这篇文章,我查阅了很多资料和文献,我觉得应该对大家有帮助。 相关阅读: ...
shiro_jwt.rar
04-02
JWT通常用于实现无状态的身份验证,即服务器不保存session信息,只根据JWT进行权限判断。 4. SpringBoot整合Shiro 首先,我们需要在SpringBoot项目中引入Shiro的依赖。然后,配置Shiro的Web安全拦截器,并实现...
SpringBoot,Shiro,JWT,Vue &amp; Ant Design 前后端分离权限管理系统
02-04
首先,SpringBoot是Spring框架的一个轻量级扩展,旨在简化Spring应用的初始搭建以及开发过程。通过自动配置和起步依赖,SpringBoot可以快速创建一个独立运行的Java应用。开发者无需过多关注配置,而是更专注于业务...
vueJS zuul jwt springboot
11-22
4. **SpringBoot**:SpringBoot 是基于Spring框架的简化版,它简化了Spring应用的初始搭建以及开发过程。在这个系统中,SpringBoot 用于构建后台微服务,提供了数据服务。它集成了自动配置、嵌入式服务器、健康检查...
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
在Spring Security中,JWT被用来替代传统的session存储用户认证信息。每次用户成功登录后,服务器会生成一个包含用户信息的JWT,然后发送给客户端。之后,客户端在请求受保护的资源时,将这个JWT作为认证凭据发送回...
基于SpringBoot,Spring Security,JWT,Vue &amp; Element 的前后端分离权限管理系统
04-15
在这个系统中,JWT被用来创建和验证用户的会话,避免使用传统的session存储。用户登录后,服务器会返回一个JWT,客户端将其保存并附在后续的请求头中,以此证明用户身份。 4. **Vue.js**(Element UI): Vue.js是...
jwtsession的取舍
weixin_42165130的博客
11-01 955
一、session 1.传统的session认证 http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求...
JWTsession的区别
go_forever_happy的博客
10-15 2937
区别 JWTsession最重要的区别是: JWT不需要存储,而是在服务端根据前端传回的token进行解密比对处理 session是在用户登录之后,给浏览器返回一个sessionid,另外在服务器端同时存储sessionid及必要的用户信息,在用户使用cookie把sessionid传回服务端,服务端基于sessionid去数据库查询,若查到则表示用户还在活跃期,同时也可以获取到存储的必要用户信息。 相同点 都需要使用cookie。 ...
前后端分离---前后端身份验证(sessionjwt
前端与计算机相关知识的分享,博主的qq523235674
03-07 8385
一.web开发模式 目前主流的Web开发模式有两种,分别是: ①基于服务端渲染的传统Web开发模式 ②基于前后端分离的新型Web开发模式 1.服务器端渲染的Web开发模式 服务端渲染的概念:服务器发送给客户端的HTML页面,是在服务器通过字符串的拼接,动态生成的。因此,客户端不需要使用Ajax这样的技术额外请求页面的数据。代码示例如下: 2.服务器端渲染的优缺点 ①优点: 前端耗时少。因为服务器端负责动态生成HTML内容,浏览器只需要直接渲染页面即可。尤其是移动端,更省电。 有利于
session不同的另一种认证方式--JWT
爱琴孩的博客
05-05 1939
前言 之前被公司的大飞哥狠狠的鄙视了一次,那次向他请教一个shiro中的session问题,大飞哥无意间说:”现在外面有的公司都不用session来保持状态了”;当时我就奇怪了,不用session难道都把用户信息都保存在cookie中。大飞哥没有说话,只给我了一个眼神。确认过眼神,眼神中饱含着你还太年轻的意思!之后碰巧又遇到项目中的一个单点登录功能,这个功能没有使用CAS框架,虽然CAS本身功能...
关于session&cookies和JWT的选择
qq_26976669的博客
01-28 623
session与cookies的区别: 额外信息由谁来维护。 利用cookies来实现会话管理时,用户的相关信息或者其他我们想要保持在每个请求中的信息,都是放在cookies中,而cookies是由客户端来保存,每当客户端发出新请求时,就会稍带上cookies,服务端会根据其中的信息进行操作。当利用session来进行会话管理时,客户端实际上只存了一个由服务端发送的session_id,而由这...
一文带你搞懂 JWT 常见概念 & 优缺点
程序员小明1024
07-13 2626
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
JWTsession-cookie区别
b540969928的博客
03-21 992
session-cookie原理: 用户发送用户名密码给服务器 服务器检验通过后通过uuid或其他生成一个随机字符串作为sessionId,以该sessionId作为主键,内容为session详细数据,保存在服务器。可以保存在redis、单机session、数据库等地方。 把sessionId回传给浏览器,放在cookie中。 浏览器访问时,把sessionId提交给服务器,服务器根据s...
Spring Session 整合 JWT Token
pomer_huang的博客
12-07 5217
依赖库 pom.xml <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> <version>1.3.1.RELEASE</version>
JWT 中获取 session 数据代码
06-07
JWT 中获取 session 数据的代码,可以使用开源的 JWT 库,如 jjwt、Nimbus JOSE + JWT 等。以下是使用 jjwt 库获取 session 数据的代码示例: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; // 验证 JWT 的合法性,并获取 session 数据 public Session getSessionFromJwt(String jwt, String secret) { try { // 解析 JWT,验证签名,获取 Claims 对象 Claims claims = Jwts.parser() .setSigningKey(secret) .parseClaimsJws(jwt) .getBody(); // 从 Claims 对象中获取 session 数据 // 假设 session 数据存储在名为 &quot;session&quot; 的 claim 中 String sessionJson = claims.get(&quot;session&quot;, String.class); // 将 session 数据反序列化为 Session 对象 // 假设使用 Jackson 序列化和反序列化 session 数据 ObjectMapper mapper = new ObjectMapper(); Session session = mapper.readValue(sessionJson, Session.class); return session; } catch (Exception e) { // JWT 验证失败或 session 数据解析失败,返回 null return null; } } ``` 上述代码中,`getSessionFromJwt` 方法接收两个参数:JWT 字符串和密钥。该方法首先使用 `Jwts.parser()` 方法创建一个 JWT 解析器,然后使用 `setSigningKey` 方法设置密钥,使用 `parseClaimsJws` 方法解析 JWT,并获取 Claims 对象。接下来,从 Claims 对象中获取 session 数据,并将其反序列化为 Session 对象。如果 JWT 验证失败或 session 数据解析失败,返回 null。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值