普通令牌token和jwt令牌token区别以及使用场景

最新推荐文章于 2024-07-16 15:56:52 发布
最新推荐文章于 2024-07-16 15:56:52 发布
阅读量8.5k 收藏 36
点赞数 5
分类专栏: 软件架构/技术选型 文章标签: token 令牌
原文链接:https://www.yuque.com/gaoxi-dj1fr/fxgaxe/ivvpqc
版权

文章目录

一、token分类

SpringSecurityOauth2令牌
参考URL: https://www.yuque.com/gaoxi-dj1fr/fxgaxe/ivvpqc

1.普通令牌的作用:唯一标识存贮在数据库或内存中的用户信息,在认证时,SpringSecurity拿着普通令牌去数据库中查询用户信息使用
2.jwt令牌的作用:jwt令牌中本身存储着用户信息,在认证时,SpringSecurity从jwt令牌中解析出用户信息即可,不需要借助数据库等进行存储

1. 普通令牌

普通令牌是SpringSecurityOauth2给客户端颁发的一个无含义的令牌,在令牌发布时,SpringSecurityOauth2将用户信息存储到程序指定的存储位置,并用普通令牌唯一标识这个存储信息,当用户再次携带令牌访问时,SpringSecurityOauth2会根据令牌查询用户信息,进而实现权限角色的限制。

普通令牌需要一个存储用户信息的地方,这个地方可以内存,也可以是数据库(Redis、Mysql)。

基于数据库存储(以Redis为例)

①基于Redis存储用户信息的方式,认证服务器将用户信息存储到指定的Redis数据库中
②当资源服务获取到access_token时,会到Redis中获取用户信息
③在微服务场景下适用

2. JWT令牌

jwt令牌的方式就无需数据库的介入,jwt令牌中就包含着用户的信息,SpringSecurityOauth在发布令牌时,会将用户信息放入JWT令牌中,用户拿着JWT令牌时,SpringSecurityOauth从中获取到用户信息,实现用户权限的控制。

jwt不需要后端进行存储。
①基于JWT令牌的认证服务器,用户信息存储到令牌中
②当资源服务获取到access_token后,会解析这个jwt类型的access_token,从中会获取到用户信息
③微服务场景下也不适用

二、应用场景

APP服务端接口,用jwt还是用redis和token,分别有什么优势
参考URL: https://blog.csdn.net/u014756827/article/details/103047695

1. 根据权限是否要求严格角度判断

流行的jwt有一个设计上的缺陷,他通过密文传输用户信息,那么服务器在这种基础结构下是无法做到关闭用户登陆授权的操作,如果用户的jwt密文被偷窃,那么黑客就能以用户身份登陆,并且即使知道密文丢失,也无法关闭被偷窃的jwt密文。为了应对这一问题,可以使用jwt内部验证有效期和jwt黑名单模式,但是有效期始终无法做到及时停止jwt授权,这是一个治标不治本的方法。而jwt黑名单模式,则需要数据库或内存存储黑名单,那么,这实际上违背了jwt的免数据库设计原则。

因此,如果严格按照两种模式设计,jwt更适合低安全级别的服务器设计,如普通的博客、阅读器等等,这种服务允许不严格的登陆授权,即使密文丢失也不会造成用户的严重损失,却能获得较高的服务性能。

token模式,必须配合数据库进行存储和查询,因此性能较低,但token模式却能做到及时的授权关闭,已经登陆授权可见可查,每一次token都会有对应的记录。因此token模式适合较高安全度和用户登陆等信息分析的系统,如政府系统,支付系统等不可能允许高权限的token被偷窃却不能及时关闭授权。

jwt,适合轻量的系统和权限不严格系统。
token,适合重量系统和权限有严格要求的系统。

三、参考

APP服务端接口,用jwt还是用redis和token,分别有什么优势
参考URL: https://blog.csdn.net/u014756827/article/details/103047695

西京刀客
关注
  • 5
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
JWT的原理及实际应用
liaozhixiangjava的博客
10-13 742
定义:JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案JWT官网由于HTTP协议是无状态的,这意味着如果我们想判定一个接口是否被认证后访问,就需要借助cookie或者session会话机制进行判定,但是由于现在的系统架构大部分都不止一台服务器,此时又要借助数据库或者全局缓存 做存储,这种方案显然受限太多。
laravel5.5安装jwt-auth 生成token令牌的示例
10-16
首先,从标题“laravel5.5安装jwt-auth 生成token令牌的示例”中,我们可以了解到本文要讲解的知识点包括Laravel框架的版本5.5、JWT认证以及如何生成Token令牌。 接下来,根据描述内容,本文主要为读者提供了关于...
jwttoken区别
lied1663634806的博客
03-27 755
jwttoken区别
JWT令牌详细解析
最新发布
qq_40818172的博客
07-16 1177
主要介绍了SpringBoot集成JWT令牌详细说明,JWT方式校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录,验证token更为简单。
jwttoken区别
编程技术提升
09-07 4798
需要注意的是,无论是Token还是JWT,都需要注意安全性,例如使用HTTPS来保证传输过程的安全性,以及适当地设置TokenJWT的过期时间,避免被恶意使用。而一般的Token没有这种机制,只能通过验证Token的合法性来确保安全性。JWT是无状态的,即服务端不需要保存任何用户信息,只需验证JWT的签名即可。总的来说,JWT是一种更安全、更灵活、更轻量级的身份验证机制,适用于分布式系统和无状态的API。JWT可以存储更多的信息,例如用户的角色、权限等,而一般的Token只能存储有限的信息。
tokenjwt区别
热门推荐
m0_51212267的博客
11-15 2万+
相同:tokenjwt都是用来访问资源的令牌凭证,需要验证来确定身份信息 token的验证机制流程: 1.用户输入账户和密码请求服务器 2.服务器验证用户信息,返回用户一个token值 .客户端存储token值,在每次请求都提交token值 4.服务器根据token验证用户信息,验证通过后返回请求结果 token必须要在每次请求时传递给服务端,都保存在header中 缺点: 1.内存级别重启全部失效 2.时效性,无法失效,被非法获取之后可以一直使用 3.集群部署,多台服务器无法共享,在
JWTtoken区别
guan_xfeng的博客
05-04 3173
什么是token token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。 token可以存到数据库中,但是有可能查询token的时间会过长导致token丢失.为了避免查询时间过长,可以将token放到内存中。这样查询速度非常快,也不用担心占据内存,就算token是一个32位的字符串,应用的用户量在百万级或者千万级,也是占不了多少
TokenJWT区别
极客神殿
03-31 3856
服务端验证客户端发送的token信息要进行数据的查询操作Jwt验证客户端发来的token就不用,在服务端使用密钥校验就可以了,不用数据库的查询。 Token需要查库验证token 是否有效,而JWT不用查库或者少查库,直接在服务端进行校验,并且不用查库。因为用户的信息及加密信息在第二部分payload和第三部分签证中已经生成,只要在服务端进行校验就行,并且校验也是JWT自己实现的。 TOKEN 概念: 令牌, 是访问资源的凭证。 Token的认证流程: 用户输入用户名和密码,发送给服务器。 服务器验证用户
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
本篇文章将深入探讨如何在Spring Boot应用中结合Spring Security实现JWT令牌的认证和授权。 首先,JWT令牌是一种轻量级的身份验证标准,它允许信息在多个服务之间安全地传输,而无需在服务器上存储会话信息。JWT...
Java令牌Token登录与退出的实现
08-19
在上面的代码中,我们使用Java-JWT库生成一个JWT令牌,包含用户的身份信息和有效期限。我们使用HMAC256算法来签名令牌,并将其返回为字符串。 在Java令牌Token登录与退出的实现中,我们还需要实现令牌的验证和管理...
JwtToken令牌工具类
10-25
JwtToken令牌工具类
JWT Token生成及验证
07-16
9. **OAuth 2.0与JWT**:OAuth 2.0是一种授权框架,JWT可作为访问令牌(Access Token)在OAuth流程中使用,提供安全的资源访问权限。 10. **JWT的扩展性**:JWT支持自定义声明,这使得它可以适应各种应用场景,如...
JWTtoken区别
赛赛
06-24 2462
JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证
tokenjwt区别
m0_56282664的博客
02-27 426
tokenjwt区别
tokenjwt存在什么区别
qq_65951398的博客
05-30 1057
JWT是一种具体的令牌实现标准,它是一种基于JSON的开放标准(RFC 7519),用于在不同实体之间安全地传输信息。头部包含令牌的类型和加密算法等元数据信息,载荷包含自定义的声明信息,如用户ID、角色等,签名用于验证令牌的完整性和真实性。一些普通令牌(如简单的访问令牌)可能不具备这种内置的安全性保护,需要额外的机制来验证令牌的有效性。需要注意的是,JWT是一种特定的令牌实现,但并不是唯一的选择。技术标准:Token是一个广义的术语,而JWT是一个具体的标准,定义了令牌的结构和使用方式。
TokenJwt区别
weixin_45203607的博客
03-25 1万+
token基本原理 Token(就是加密的字符串,使用MD5,等不可逆加密算法,一定要保证唯一性) 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功,服务端会签发一个Token保存到(Session,redis,mysql…)中,然后再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token 服务端收到请求
使用jwt令牌token
08-29
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用中传输信息的令牌。它由三部分组成,包括头部(Header)、载荷(Payload)和签名(Signature)。 在使用JWT令牌时,通常的流程如下: 1. 用户通过提供有效的凭据进行身份验证。 2. 服务器验证凭据,并生成一个包含用户身份信息的JWT令牌。 3. 服务器将JWT令牌发送给客户端。 4. 客户端在后续请求中使用JWT令牌作为身份验证凭据。 5. 服务器接收到请求后,验证JWT令牌的签名和有效期。 6. 如果JWT令牌有效,服务器处理请求。 JWT令牌中的载荷可以包含一些标准声明(如iss、exp、sub等)和自定义声明(例如用户ID、角色等)。签名部分用于验证令牌是否经过篡改。 使用JWT令牌的优势包括无状态、可扩展、跨域支持等。同时,由于JWT令牌是基于数字签名的,可以确保令牌的真实性和完整性。 当使用JWT令牌时,需要注意以下几点: 1. 选择适当的签名算法和密钥长度来确保安全性。 2. 令牌有效期应根据具体需求进行设置,并定期更新。 3. 在客户端和服务器之间传输JWT令牌时,应使用安全的通信协议(如HTTPS)。 希望以上信息对您有所帮助。如果您有任何其他问题,请随时提问。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值