JWT和Session结合模式中的作用

于 2024-09-08 14:22:13 发布
阅读量247 收藏 2
点赞数 4
文章标签: 服务器 java linux session JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_121388/article/details/142026389
版权

使用JWT进行用户认证和授权,而Session在一定程度上起到了辅助作用。让我们详细讨论JWT和Session在这种结合模式中的各自作用以及为什么需要Session。

JWT的作用

  • 用户认证: JWT包含了用户的身份信息和权限信息,客户端每次请求时将JWT发送给服务器,服务器通过验证JWT来确认用户身份。

  • 无状态性: JWT不需要在服务器端存储用户会话信息,因此服务器可以是无状态的,便于扩展和负载均衡。

Session的作用

  • 附加的安全层: 即使JWT是无状态的,但在某些应用场景中,仅依赖JWT可能存在一些安全问题,例如Token的泄露或滥用。Session可以作为一个额外的安全层,确保Token即使有效,也必须在服务器的Session管理器中存在对应的会话。

  • 管理Token的生命周期: 通过Session,可以更方便地管理Token的生命周期,例如强制用户重新登录、手动注销Token等操作。

  • 控制“记住我”功能: 如果用户选择了“记住我”选项,Session可以记录这个状态,并在JWT过期后,通过Session来决定是否允许继续使用旧的Token。

为什么需要创建Session

尽管JWT可以在无状态环境中使用,但Session的引入带来了以下好处:

  • 防止Token滥用: 通过在服务器端验证Session,可以确保即使Token有效,也必须是经过服务器端认证的,从而防止Token被恶意使用。

  • 支持用户主动注销: 当用户选择注销时,可以直接删除服务器端的Session记录,确保Token即使没有过期,也无法再被使用。

  • 提供更精细的控制: 通过Session,可以实现更精细的权限控制和用户状态管理,例如强制下线、会话过期时间控制等。

  • 状态追踪: 在某些场景下,追踪用户状态是必要的,例如监控用户的活跃度、登录历史等,这些信息可以通过Session进行管理。

结合JWT和Session的优势

结合使用JWT和Session,可以同时利用两者的优点,实现安全性和扩展性的平衡:

  • 无状态认证: JWT可以实现无状态认证,便于系统的水平扩展和负载均衡。

  • 状态管理和安全性: Session可以提供额外的状态管理和安全性,确保Token的使用更加安全可靠。

代码示例

以下是一个简化的代码示例,展示了如何在用户登录时创建JWT和Session:

public LoginResponse login(String username, String password) throws AuthException {
    // 验证用户名和密码
    User user = userService.authenticate(username, password);
    if (user == null) {
        throw new AuthException("Invalid username or password");
    }
    
    // 生成JWT Token
    String token = createJwt(user.getId(), user.getRoles());
    
    // 创建会话
    sessionManagerApi.createSession(token, user);
    
    // 返回Token
    return new LoginResponse(token);
}

public void createSession(String token, User user) {
    LoginUser loginUser = new LoginUser();
    loginUser.setToken(token);
    loginUser.setUserId(user.getId());
    loginUser.setRoles(user.getRoles());
    
    sessionManagerApi.saveSession(token, loginUser);
}

在请求验证时,首先验证JWT的有效性,然后检查Session中是否存在对应的会话:

@Override
public DefaultJwtPayload validateToken(String token) throws AuthException {
    try {
        // 1. 先校验jwt token本身是否有问题
        JwtContext.me().validateTokenWithException(token);

        // 2. 获取jwt的payload
        DefaultJwtPayload defaultPayload = JwtContext.me().getDefaultPayload(token);

        // 3. 如果是7天免登陆,则不校验session过期
        if (defaultPayload.getRememberMe()) {
            return defaultPayload;
        }

        // 4. 判断session里是否有这个token
        LoginUser session = sessionManagerApi.getSession(token);
        if (session == null) {
            throw new AuthException(AUTH_EXPIRED_ERROR);
        }

        return defaultPayload;
    } catch (JwtException jwtException) {
        if (JwtExceptionEnum.JWT_EXPIRED_ERROR.getErrorCode().equals(jwtException.getErrorCode())) {
            throw new AuthException(AUTH_EXPIRED_ERROR);
        } else {
            throw new AuthException(TOKEN_PARSE_ERROR);
        }
    } catch (io.jsonwebtoken.JwtException jwtSelfException) {
        throw new AuthException(TOKEN_PARSE_ERROR);
    }
}

总结

在这个场景中,JWT用于无状态的用户认证,提供便捷和扩展性;Session作为辅助,提供额外的安全性和状态管理。通过这种结合,可以充分利用两者的优点,确保系统既具备高扩展性,又能提供细致的安全控制。

 ——EOF——

福利:

扫码回复【酒店】可免费领取酒店管理系统源码

架构文摘JGWZ
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
整合Shiro SessionJWT登录
zollty的专栏
08-26 1479
关于JWT原理和相关问题,一定要先阅读我的另一篇文章《JWT技术——基于token的鉴权机制》 根据文的论述,JWT存在许多安全隐患,建议使用HTTPS。 但是本文以实现JWT方案为主,不考虑安全性——JWT方案是可以扩展的,为了提高安全性,可以在后期的设计去加强。 JWT登录的原理: -> 客户端 携带认证名和密码 发起登录请求 -> 服务器端验证成功,返回 token 给客户端 -> 客户端保存 token(通常是保存在Cookie或者LocalStorage...
SpringCloud下SessionJWT的使用
thciwei的博客
12-21 1327
作者Gitee地址 https://gitee.com/thciweicloud 作者项目 面包博客,一个微服务架构的前后端分离博客系统。 前段时间面包博客整合第三方登录时需要获取用户的具体信息,并提供给前端使用,想到了使用session,之后发现对于前后端分离项目并不合理,最后采用了token的方式顺畅解决了问题 Session一致性 因为分布式场景下session容易不一致,父域和子域session不共享,且网络性能更是重要的一环,在此场景下大致有三种解决方案 1.开启tomcat自带的session
sessionjwt 认证机制
u012138854的博客
11-19 612
1.什么是身份认证 身份认证(Authentication)又称“身份验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。 ⚫ 日常生活的身份认证随处可见,例如:高铁的验票乘车,手机的密码或指纹解锁,支付宝或微信的支付密码等。 ⚫ 在 Web 开发,也涉及到用户身份的认证,例如:各大网站的手机验证码登录、邮箱密码登录、二维码登录等。 2.不同开发模式下的身份认证 ① 服务端渲染推荐使用 Session 认证机制 ② 前后端分离推荐使用 JWT 认证机制 1. Session 认证机制 1. HT
session共享之jwt
loveliness_peri的博客
03-06 1190
为什么使用JWT? 随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。 JWT架构图 JW...
security和jwt结合的流程
m0_69911052的博客
01-13 976
​​/*** 自定义注解防止表单重复提交*/@Inherited/*** 间隔时间(ms),小于此时间视为重复提交*/​/*** 提示消息*/public String message() default "不允许重复提交,请稍候再试";​​/*** 自定义操作日志记录注解*/​​//@Target 注解用于指定注解可以应用的目标元素类型。在这个例子, @Log注解:可以应用在方法和参数上。
Cookie、Session、Token、JWT 、JWE详解
weixin_52438357的博客
01-31 1111
Cookie是由web服务器创建并存储在用户浏览器的一小段文本信息。当浏览器访问服务器时,服务器会向浏览器发送Cookie。此后,每当浏览器再次访问同一服务器时,浏览器会自动将该Cookie发送到服务器,以此来通知服务器用户之前的活动。无状态的HTTP:HTTP协议本身是无状态的,这意味着每次请求都是独立的,服务器无法从一个请求了解到另一个请求的信息。因此,需要某种机制来维持一个用户的状态跨多个页面请求或网站访问。会话管理:Session是一种在服务器端保持用户状态的机制。
Cookie、Session、Token、JWT的区别
刘皇叔说Java的博客
02-07 1170
Cookie和Session是Web应用常用的身份验证和状态管理机制,而Token则是一种用于身份验证和授权的方法。总的来说,Cookie 和 Session 是 Web 应用常用的状态管理机制,而 Token 则是一种用于身份验证和授权的方法。它们各自有着不同的优缺点和适用场景,在实际应用需要根据具体情况进行选择和使用。Cookie、Session 和 Token 是用于管理用户身份认证和状态跟踪的常见机制。它们在 Web 开发有不同的作用和用途。
JWT简介:从Session到Token的转变
ordinary_brony的博客
11-21 726
JWT,全称Json Web Token。我们平常所说的token实际上就是说JWT技术的T。本篇将说Session和Token的对比。
Node.js使用jwtsession实现前后端身份认证
SongD1114的博客
04-03 1215
Node.js通过sessionjwt身份认证
JWT结合Springboot+shiro,session、token同时存在来应对不同的业务场景(物联网设备管理及开放api)...
weixin_34246551的博客
12-09 2594
2019独角兽企业重金招聘Python工程师标准>>> ...
【数据库与身份认证】MySQL学习、SessionJWT认证机制实现
zilin_taku的博客
09-21 349
JWT字符串解析还原成JSON对象。的传统 Web开发模式。的新型Web开发模式
Spring Security并结合JWT实现用户认证(Authentication) 和用户授权(Authorization)
永远热泪盈眶 坚持输出
08-09 5992
引言 在Web应用开发,安全一直是非常重要的一个方面。Spring Security基于Spring 框架,提供了一套Web应用安全性的完整解决方案。 JwT (JSON Web Token) 是当前比较主源的Token令牌生成方案,非常适合作为登录和授权认证的凭证。 这里我们就使用 Spring Security并结合JWT实现用户认证(Authentication) 和用户授权(Authorization) 两个主要部分的安全内容。 一、JWT与Aoth2的区别 在此之前,只是停留在用的阶段,对二者的
用户登录和权限认证之 —— JWT
qq_45770253的博客
11-23 3439
这里我会讲解 web 前端常用的用户登录和权限认证的方法 —— JWT,有错误希望指正 文章目录1、Cookie + Session① 概述② 流程图③ 校验步骤④ 存在的问题2、JWT① 流程图② 校验步骤③ 解读 token 存储的内容④ 对 Swagger 一个功能的补充3、总结 1、Cookie + Session        在讲解 JWT 之前,我先介绍一下最简单的用户登录和权限认证方式:Cookie + Ses.
CPU服务器如何应对大规模并行计算需求?
JttiSEO的博客
09-04 467
通过合理的负载均衡、任务调度与优化策略,企业和科研机构能够充分挖掘计算资源的潜力,满足不断增长的计算需求。在并行计算,缓存的性能直接影响计算效率。实时监控 CPU 服务器的性能指标,如 CPU 利用率、内存占用、I/O 等,依据监测结果进行调优,确保系统在最佳状态下运行。通过虚拟化技术,CPU 服务器能够在同一物理服务器上运行多个虚拟机,实现资源共享和有效隔离,从而优化整体计算资源的使用率。针对动态变化的计算需求,可以实现动态负载均衡机制,根据当前计算节点的负载情况,实时调整任务分配,优化资源利用。
USB驱动程序知识介绍
最新发布
HJQD777的博客
09-07 541
USB驱动程序是操作系统与USB设备之间通信的核心组件,负责设备识别、数据传输、电源管理等关键任务。它使得操作系统能够与广泛的USB设备(如键盘、鼠标、存储设备等)高效、可靠地进行交互。
springboot服务器文件读取工具类
dashalen的博客
09-06 581
springboot服务器本地文件读取和网络文件读取
新加坡裸机云多IP服务器特性
IDC_USA的博客
09-03 507
随着云计算技术的发展,越来越多的企业开始寻求更加灵活、高性能且安全可靠的计算资源来支撑其业务发展。裸机云(Bare Metal Cloud)作为一种新兴的服务模式,融合了传统物理服务器的高性能与云计算的灵活性,受到了广泛关注。新加坡作为亚洲重要的数据心枢纽之一,其裸机云多IP服务器更是备受青睐。本文将重点介绍新加坡裸机云多IP服务器的主要特性及其优势。
uniapp+vue+ts开发使用signalR实现客户端和服务器通讯
qq_51384850的博客
09-03 338
WebSocket本质上是一个基于TCP的持久化协议,相对于HTTP这种非持久的协议来说,它能够更好的节省服务器资源和带宽,并且真正实现实时通信。最大的缺点就是对旧版本浏览器不支持。至此SignalR的出现,完美的解决了种浏览器的问题,SignalR不仅可以实现WebSocket的所有功能,还对旧版本浏览器做了支持。提供多个受支持的平台,其每个平台都有各自的客户端 SDK。监听返回的数据目标是不是针对当前客户端,是的话将返回的数据做处理。对返回的数据类型做判断,展示对应的电视机界面,并在界面可以通过。
jwtsession
08-13
JWT(JSON Web Token)和Session是用于身份验证和会话管理的两种不同的机制。 JWT是一种轻量级的身份验证机制,它使用JSON格式来定义和传输安全信息。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部包含了关于令牌的元数据,载荷包含了用户的一些信息,而签名用于验证令牌的真实性和完整性。JWT的优势在于它是无状态的,服务器不需要在后端存储会话信息,可以减轻服务器的负担。JWT适用于分布式系统和前后端分离的应用。 Session是一种服务器端的会话管理机制。当用户通过身份验证登录后,服务器会为该用户创建一个唯一的会话ID,并将该ID存储在服务器端。同时,服务器还可以将一些与该用户相关的信息存储在该会话。客户端通过Cookie或URL参数将会话ID发送给服务器服务器根据会话ID来识别用户并管理用户的状态。Session的优势在于它可以存储更多的用户信息,并且可以通过服务器端进行管理和控制。 总结起来,JWT适用于无状态、分布式系统和前后端分离的场景,而Session适用于传统的服务器端应用程序。选择使用哪种机制取决于具体的应用需求和架构设计。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值