关于jwt的token是否要存储到redis的问题探讨

已于 2023-06-28 00:32:37 修改
阅读量2.1k 收藏 18
点赞数 7
文章标签: redis 数据库 缓存
于 2023-06-28 00:22:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keleyayalo/article/details/131427142
版权

前言

在开发项目的登录模块的时候,采用了Jwt+redis,做完后若有所思,为什么用了Jwt还要加redis?于是查阅资料,有了一些了解,如果有不足的地方请大家帮忙纠正。

问题

为什么jwt可以存储用户的信息,还要把token和用户信息存储到redis,再通过token获取?这样是不是多此一举,以及违反了jwt技术减少数据库查询,减缓服务器压力的初衷?

解答

1、确保安全
Token信息是不保密的,一旦泄露,就会产生安全风险

2、实现单点登录
假设:有设备AB、无单点登录限制的某APP、一个账号(用户)

设备A在APP第1次登录用户,服务器会给该用户创建1个Token并返回到设备A,设备A会将该Token保存到本地

设备B也是在APP第1次登录该用户,服务器也会给该用户创建1个Token并返回到设备B(此处的Token不同于上一个),设备B会将该Token保存到本地

那这样的话,2个设备可同时在该APP登录同一个账号,即多点登录,不合理

因此需要通过Redis进行限制

3、用户修改密码,实现重新登录
假设:有个账号在登录后的使用期间修改了账号密码、APP无自动退出账号的操作

毕竟是登录过的用户,则设备本地必然有个Token,若修改密码后,该Token仍未过期,则账号仍是正常使用,不会被退出

正常是在登录期间,修改了密码,那对应的Token会被删除,使得账号被迫退出,用户需再次登录来获取新的Token;此删除与添加操作可通过Redis完成

keleyayalo
关注
jwt需要redis吗_想让 OAuth2 和 JWT 在一起愉快玩耍?请看松哥的表演
weixin_39875842的博客
12-03 1733
今日干货刚刚发表查看:66666回复:666公众号后台回复 ssm,免费获取松哥纯手敲的 SSM 框架学习干货。本文是我们 OAuth2 系列的第五篇,通过前面四篇文章相信大家对于 OAuth2 中的各种授权登录流程已经轻车熟路了。前面的文章松哥侧重于和大家理清楚 OAuth2 的登录流程,对于一些登录细节则没有去深究,接下来松哥会和大家把这些案例一一进行晚上。本文依然是在前面案例的基础...
Session+RedisToken+RedisJWT+Redis,用户身份认证,到底选择哪种更合适?
Java程序员专栏
05-31 1269
在选择用户身份认证方案时,需要根据具体的应用场景和需求进行评估和选择。如果应用需要长时间保持用户登录状态,且对性能要求不是特别高,可以选择Session+Redis方案。如果应用需要频繁验证用户身份,且对性能要求较高,可以选择Token+Redis方案。如果应用是分布式系统或微服务架构,需要实现无状态的身份验证和授权,可以选择JWT+Redis方案。需要注意的是,以上方案并不是孤立的,可以根据实际情况进行组合和优化,以满足特定的业务需求。同时,无论选择哪种方案,都需要确保系统的安全性和稳定性。
关于jwttoken是否需要存储redis探讨与个人想法
热门推荐
godHhh的博客
12-16 1万+
最近我在开发项目的注册登录模块,用到的技术是Jwt,做完后若有所思,现将想法分享给大家一同探讨,先来大概的了解一下jwt技术。 什么是jwt? ​ Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息
基于 JWTRedis 实现高效账号密码验证码登录功能
最新发布
2301_81284374的博客
09-24 1107
在当今数字化时代,用户对于登录体验的要求越来越高,同时,系统的安全性也至关重要。今天,我们就来探讨一种结合了 JWT(JSON Web Token)和 Redis 的强大方案,用于实现公众号的账号密码验证码登录功能。
jwt需要redis吗_Java基于JWTtoken认证
weixin_39614322的博客
12-02 1388
一、背景引入由于Http协议本身是无状态的,那么服务器是怎么识别两次请求是不是来自同一个客户端呢,传统用户识别是基于seeion和cookie实现的。大致流程如下:用户向服务器发送用户名和密码请求用户进行校验,校验通过后创建session绘画,并将用户相关信息保到session中服务器将sessionId回写到用户浏览器cookie中用户以后的请求,都会鞋带cookie发送到服务器服务器得到co...
jwt生成token需要redis缓存
weixin_40809615的博客
07-29 153
redis相关学习资料:https://edu.51cto.com/video/4196.htmlJWT生成Token是否需要Redis缓存? 作为一名经验丰富的开发者,我很高兴能够分享一些关于JWT(Json Web Tokens)生成Token以及是否需要使用Redis进行缓存的知识点。对于刚入行的小白来说,理解这些...
jwt需要redis吗_微服务:一步步带你认知前后端分离利器之JWT
weixin_39518530的博客
11-21 2222
一、HTTP的无状态性HTTP 是无状态协议,它不对之前发送过的请求和响应的状态进行管理。也就是说,无法根据之前的状态进行本次的请求处理。假设要求登录认证的 Web 页面本身无法进行状态的管理(不记录已登录的状态),那么每次跳转新页面不是要再次登录,就是要在每次请求报文中附加参数来管理登录状态。不可否认,无状态协议当然也有它的优点。由于不必保状态,自然可减少服务器的 CPU 及内资源的消耗。从...
为什么在登录验证时需要token和用户信息Redisjwt+redis实现认证功能)
ZGJLZL的博客
09-23 1118
既然jwt可以存储用户信息,为什么不直接将用户信息以及token入到jwt中,反而存储redis,再去从redis中根据key获取用户信息,是不是多此一举?以及违背了jwt技术减少数据库查询缓解服务器压力的初衷?
接口使用jwt返回token_利用RedisJwt实现Token生成,存储,验证方法
weixin_39630498的博客
01-12 614
注意:下文中代码对Redis的操作并没有写出来,只是简单的以注释表达出了Redis需要执行的操作,如果有需要的可以参考上一篇文章spring简单整合Redis配置 自行配置#Token存储流程(以登录为例):Client->Server: 发送数据(用户名密码及验证码)Server->Redis: 合法:生成Token,并以Token:username键值对存储Server->C...
Laravel的Auth验证Token验证使用自定义Redis的例子
10-16
为了解决这个问题,许多开发者选择使用Redis缓存token,这样可以有效减轻数据库的压力,并提升系统的性能。 在Laravel框架中,Auth验证的基础是使用用户提供器(User Provider)和认证守卫(Guard)。默认情况下...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
jwt token 附加用户信息_利用RedisJwt实现Token生成,存储,验证方法
weixin_36358383的博客
12-24 836
#Token存储流程(以登录为例):Client->Server: 发送数据(用户名密码及验证码)Server->Redis: 合法:生成Token,并以Token:username键值对存储Server->Client: 不合法:返回错误信息#Token生成关于token,大家可以查看JSON web Token里面有很多现成的实现库,而且基本涵盖了各类主流语言,我这儿就已j...
为什么用jwt还要用redis呢,redis的什么呢
大连赵哥的博客
03-05 1516
为什么用jwt还要用redis呢,redis的什么呢
jwt需要redis吗_Spring Cloud Security:Oauth2结合JWT使用
weixin_39897887的博客
11-26 1054
Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2还可以实现更多功能,比如使用JWT令牌存储信息,刷新令牌功能,本文将对其结合JWT使用进行详细介绍。SpringCloud实战电商项目mall-swarm(5.1k+star)地址:https://github.com/macrozheng/mall-swarmJWT简介 JWT...
jwtredis,把生成的token放入redis中进行临时存储
jakelihua
08-28 1388
简介:本文讲解,如何结合jwtredis,我们把jwt生成的token放在redis中。
jwt需要redis吗_OAuth2 令牌还能Redis ?越玩越溜!
weixin_39668890的博客
12-03 1144
今日干货刚刚发表查看:13500回复:135公众号后台回复 SpringBoot,免费获取 274 页SpringBoot修炼手册。OAuth2 的登录流程相信小伙伴们看了前面的文章应该已经清楚了,接下来我们来看一下这里的细节问题,使我们的案例更贴近实际项目。还是需要跟小伙伴们强调下本系列前面几篇文章非常重要,一定要阅读之后再来学习本文:做微服务绕不过的 OAuth2,松哥也来和大家扯一...
token为什么要放到redis
积跬步以致千里,积怠惰以致深渊
04-17 879
token存储Redis中可以提高验证token的效率,避免频繁查询数据库或文件系统。Redis作为分布式缓存,可以方便地实现不同服务实例之间的共享数据存储。:Redis支持对Key设置过期时间,可以很方便地实现token的自动过期功能,减少内占用和提高系统安全性。:Redis支持数据持久化和集群模式,可以方便地进行横向扩展,确保系统在高并发情况下依然能够快速响应。总的来说,将token存储Redis中可以提高系统的性能、扩展性和安全性,是一种常见且有效的做法。
Token需要缓存Redis的原因
HellHellNo的博客
08-04 7723
1、实现单点登录 假设:有设备AB、无单点登录限制的某APP、一个账号(用户) 设备A在APP第1次登录用户,服务器会给该用户创建1个Token并返回到设备A,设备A会将该Token到本地 设备B也是在APP第1次登录该用户,服务器也会给该用户创建1个Token并返回到设备B(此处的Token不同于上一个),设备B会将该Token到本地 那这样的话,2个设备可同时在该APP登录同一个账号,即多点登录,不合理 因此需要通过Redis进行限制 2、用户修改密码,实现重新登录 假设:有个账号在登录后的使用
使用Jwt 来做token存储
Leon_Jinhai_Sun的博客
05-31 599
上面的方案里面,我们提到了让资源服务器不再访问授权服务器,那会在什么问题呢? 资源服务器访问授权服务的本质在于2 点: 第一点:资源服务器无法验证token 的正确性,因为它没有存储token 第二点:资源服务要通过授权服务器来换取用户(token 换user)。 我们来推演:资源服务器当前只能得到用户给他的token,我们能做的改造有限: 第一步:若我们将用户的基本信息存储token 里面呢? 第二步:定义一种加密规则,让资源服务器也能去判断该token 的正确性。 这样,我们的JWT
jwt token存储redis
07-27
您可以将JWT令牌存储Redis中,以便进行有效的令牌验证和管理。要实现这一点,您可以按照以下步骤进行操作: 1. 生成JWT令牌:根据您的身份验证逻辑和需求生成JWT令牌。 2. 将JWT令牌存储Redis中:使用Redis的SET命令将JWT令牌作为键值对存储Redis中。您可以将JWT令牌作为键,将相关的用户信息(例如用户ID、权限等)作为值存储Redis中。 3. 验证JWT令牌:当客户端发送请求时,您可以通过获取请求中的JWT令牌,并使用Redis的GET命令来检查该令牌是否在于Redis中。 4. 令牌过期管理:您可以使用Redis的过期时间设置来管理JWT令牌的过期。在生成JWT令牌时,可以设置一个适当的过期时间,并将其与JWT令牌一起存储Redis中。当客户端发送请求时,您可以检查JWT令牌是否已过期,如果已过期,则需要重新生成新的JWT令牌。 5. 令牌撤销管理:如果您需要撤销JWT令牌,可以使用Redis的DEL命令从Redis中删除相应的JWT令牌。 通过在Redis存储JWT令牌,您可以实现快速有效地验证和管理令牌,同时也可以方便地进行令牌的撤销和过期管理。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值