关于jwt的token是否要存储到redis的问题探讨

已于 2023-06-28 00:32:37 修改
阅读量1.8k 收藏 16
点赞数 7
文章标签: redis 数据库 缓存
于 2023-06-28 00:22:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keleyayalo/article/details/131427142
版权

前言

在开发项目的登录模块的时候,采用了Jwt+redis,做完后若有所思,为什么用了Jwt还要加redis?于是查阅资料,有了一些了解,如果有不足的地方请大家帮忙纠正。

问题

为什么jwt可以存储用户的信息,还要把token和用户信息存储到redis,再通过token获取?这样是不是多此一举,以及违反了jwt技术减少数据库查询,减缓服务器压力的初衷?

解答

1、确保安全
Token信息是不保密的,一旦泄露,就会产生安全风险

2、实现单点登录
假设:有设备AB、无单点登录限制的某APP、一个账号(用户)

设备A在APP第1次登录用户,服务器会给该用户创建1个Token并返回到设备A,设备A会将该Token保存到本地

设备B也是在APP第1次登录该用户,服务器也会给该用户创建1个Token并返回到设备B(此处的Token不同于上一个),设备B会将该Token保存到本地

那这样的话,2个设备可同时在该APP登录同一个账号,即多点登录,不合理

因此需要通过Redis进行限制

3、用户修改密码,实现重新登录
假设:有个账号在登录后的使用期间修改了账号密码、APP无自动退出账号的操作

毕竟是登录过的用户,则设备本地必然有个Token,若修改密码后,该Token仍未过期,则账号仍是正常使用,不会被退出

正常是在登录期间,修改了密码,那对应的Token会被删除,使得账号被迫退出,用户需再次登录来获取新的Token;此删除与添加操作可通过Redis完成

keleyayalo
关注
  • 7
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringBoot项目整合jwtredis完成登录token校验(含原理解析)_springboot redis jwt(2)
m0_60707708的博客
04-08 1018
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
jwt需要redis吗_想让 OAuth2 和 JWT 在一起愉快玩耍?请看松哥的表演
weixin_39875842的博客
12-03 1643
今日干货刚刚发表查看:66666回复:666公众号后台回复 ssm,免费获取松哥纯手敲的 SSM 框架学习干货。本文是我们 OAuth2 系列的第五篇,通过前面四篇文章相信大家对于 OAuth2 中的各种授权登录流程已经轻车熟路了。前面的文章松哥侧重于和大家理清楚 OAuth2 的登录流程,对于一些登录细节则没有去深究,接下来松哥会和大家把这些案例一一进行晚上。本文依然是在前面案例的基础...
jwt需要redis吗_Java基于JWTtoken认证
weixin_39614322的博客
12-02 1352
一、背景引入由于Http协议本身是无状态的,那么服务器是怎么识别两次请求是不是来自同一个客户端呢,传统用户识别是基于seeion和cookie实现的。大致流程如下:用户向服务器发送用户名和密码请求用户进行校验,校验通过后创建session绘画,并将用户相关信息保到session中服务器将sessionId回写到用户浏览器cookie中用户以后的请求,都会鞋带cookie发送到服务器服务器得到co...
jwt+redis实现登录认证
每天学习一点点
02-17 1165
上面代码是自定义的登录拦截器,在请求到来后,控制器方法执行前,会进入到拦截器的preHandle方法中,在这个方法里面,或获取到请求头中的Authorization属性值,也就是jwt的值,然后再获取到redis中的值,redis中key和values是相同的,都是jwt字符串的内容,所以这里是用jwt的值作为key去获取value,如果value有值则说明该请求是可以放行的(已经登录过),否则拦截请求,返回响应码401。这样原来的jwt就失效了,无法使用原来的jwt进行登录认证。JwtUtil工具类。
JWT存储登录token信息
最新发布
jinzpro的博客
05-01 320
在Spring Boot/Cloud项目中用 JWT存储用户登录token
JWT Token整合Redis实现登录和权限访问控制的流程梳理
qq_51891433的博客
06-24 828
通过整合JWT TokenRedis来实现登录和用户会话权限访问控制时,JWT Token负责身份验证和授权信息传递,而Redis存储用户会话信息,包括用户权限等。后端验证用户名和密码,生成JWT Token,并将用户信息存储Redis中,以用户ID为键。在JWT Token有效期内,可以通过JWT TokenRedis获取相关的用户会话信息。后端使用用户信息生成JWT Token,并将Token返回给客户端。验证通过后,从Redis中获取与JWT Token相应的用户信息。
jwt应该保在哪里
java技术博客
07-10 1771
参考网址:看这篇文章前 , 我也在考虑这个问题 , gitee 上很多的开源项目, 关于 token 令牌的放位置 , 每个项目都是有点差异 , 有的放在 cookie , 有的放在 LocalStorage , 有的放在 SessionStorage , 经过本文的阅读 , token 放在 cookie 是最好的一个方案服务端可以将JWT令牌通过Cookie发给浏览器,浏览器在请求服务端接口时会自动在Cookie头中带上JWT令牌,服务端对Cookie头中的JWT令牌进行检验即可实现身份验
前后端分离之JWT用户认证
热门推荐
kevin_lcq的博客
07-08 3万+
在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁,就要再验证一次。所以为了保证系统安全,我们就需要验证用户否处于登录状态。
Laravel的Auth验证Token验证使用自定义Redis的例子
10-16
今天小编就为大家分享一篇Laravel的Auth验证Token验证使用自定义Redis的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
springboot整和jwt、shiro、redis实现token自动刷新
08-19
springboot整和jwt、shiro、redis实现token自动刷新
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定.zip
03-10
如果您下载了本程序,但是该程序问题无法运行,那么您可以选择退款或者寻求我们的帮助(如果找我们帮助的话,是需要追加额外费用的)。另外,您不会使用资源的话(这种情况不支持退款),也可以找我们帮助(需要...
springboot+mybatis-plus+jwt+redis的简易后端框架
04-10
一个简单的后端框架,实现步骤可以根据文章 ...2.springboot+JWT+redis实现token身份令牌验证(附代码)(超详细) https://blog.csdn.net/pengpm/article/details/124077041?spm=1001.2014.3001.5501
jwt需要redis吗_OAuth2 令牌还能Redis ?越玩越溜!
weixin_39668890的博客
12-03 1090
今日干货刚刚发表查看:13500回复:135公众号后台回复 SpringBoot,免费获取 274 页SpringBoot修炼手册。OAuth2 的登录流程相信小伙伴们看了前面的文章应该已经清楚了,接下来我们来看一下这里的细节问题,使我们的案例更贴近实际项目。还是需要跟小伙伴们强调下本系列前面几篇文章非常重要,一定要阅读之后再来学习本文:做微服务绕不过的 OAuth2,松哥也来和大家扯一...
JWT 登录认证及 token 自动续期方案解读
竹林幽深
06-01 572
欢迎关注方志朋的博客,回复”666“获面试宝典方志朋号主为CSDN博客之星,博客访问量突破一千万,著有畅销书《深入理解SpringCloud与微服务构建》。主要分享Java、后端架构等技术,用大厂程序员的视角来探讨技术进阶、面试指南、职业规划等。15W技术人的选择!97篇原创内容公众号过去这段时间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经在前面的文章中介绍了,可以阅读用户管理模块:今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功
JWT的使用场景和优缺点,你都清楚吗?小知
IT1124的博客
12-14 1416
正文如下,如果觉得有用欢迎点赞、关注~~ 前言 前面简单介绍了JWT的基础,但是对于JWT的应用场景和优缺点掌握的还够,这些东西只有自己实践过才能搞清楚其中的细节。在网上看到一个大佬对这块讲的比较好,就转载过来一起学习下。 编码,签名,加密 这些基础知识简单地介绍下,千万别搞混了三个概念。在 jwt 中恰好同时涉及了这三个概念,这里用大白话来做下通俗的讲解。 编码(encode)和解码(decode) 一般编码解码是为了方便以字节的方式表示数据,便于存储和网络传输。整个 jwt 串会被置于 ht
jwt token存储redis
07-27
您可以将JWT令牌存储Redis中,以便进行有效的令牌验证和管理。要实现这一点,您可以按照以下步骤进行操作: 1. 生成JWT令牌:根据您的身份验证逻辑和需求生成JWT令牌。 2. 将JWT令牌存储Redis中:使用Redis的SET命令将JWT令牌作为键值对存储Redis中。您可以将JWT令牌作为键,将相关的用户信息(例如用户ID、权限等)作为值存储Redis中。 3. 验证JWT令牌:当客户端发送请求时,您可以通过获取请求中的JWT令牌,并使用Redis的GET命令来检查该令牌是否在于Redis中。 4. 令牌过期管理:您可以使用Redis的过期时间设置来管理JWT令牌的过期。在生成JWT令牌时,可以设置一个适当的过期时间,并将其与JWT令牌一起存储Redis中。当客户端发送请求时,您可以检查JWT令牌是否已过期,如果已过期,则需要重新生成新的JWT令牌。 5. 令牌撤销管理:如果您需要撤销JWT令牌,可以使用Redis的DEL命令从Redis中删除相应的JWT令牌。 通过在Redis存储JWT令牌,您可以实现快速有效地验证和管理令牌,同时也可以方便地进行令牌的撤销和过期管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值