关于jwt的一点思考:希望大佬们给一些建议

最新推荐文章于 2023-07-17 09:33:52 发布
最新推荐文章于 2023-07-17 09:33:52 发布
阅读量362 收藏
点赞数
文章标签: 分布式 java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyinlong119/article/details/106596680
版权

springcloud 搭建 分布式系统,在搭建权限系统时,选择用jwt作为无状态,前后端分离做保证。

实现方案:

1.通过shiro spring-security都能很好的实现restfull风格的后端接口Api;

2.通过集成jwt,可以很好的生成token,并用于鉴权或认证判断;

3.jwt其实就是存储了一些信息,通过后端解析,来判断是否登录,是否有权限访问,通过全局处理可以很好的解决问题;

那么问题来了:

如果jwt只存储【用户信息】,通过后端解析,查询该用户的角色+权限信息,可以判断认证和鉴权,这样token也就比较短,存储【用户信息+角色信息】,通过后端解析,获取用户权限信息,token相对比较长;如果存储【用户信息+角色信息+权限信息】,token可能会特别长,对于大型api应用,超过4k也很可能。有没有更好的解决方案。

只存储【用户信息或加角色信息】,token 是相对短的,角色增长速度一般不会线性,未来业务也不会太过膨胀,当时对于分布式应用,要么到微服务后端会不断通过RPC访问权限系统获取 鉴权及登录认证,哪怕做到网关层面也是一样的。这是弊端。当然,可以通过中间件redis分布式缓存的方式,缓存角色信息或权限信息,让微服务的访问鉴权认证都去redis中拿,但依赖中间件还是不太美好。

如果存储【用户+角色+权限】信息,弊端是随api的增长信息不断膨胀,导致api访问传输压力。好处也有就是不管访问哪个微服务api都不会对权限系统的造成压力,因为压根不需要不断的去访问权限系统,因为信息够用,自我解析就能满足。当然坏处也是显而易见的。

有没有特别完美的方案呢?

 

龙龙119
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
jwt token长度_如何使用JWT和Spring Security保护REST API,你会多少?
weixin_39805720的博客
11-21 571
通常情况下,把API直接暴露出去是风险很大的,不说别的,直接被机器攻击就喝一壶的。那么一般来说,对API要划分出一定的权限级别,然后做一个用户的鉴权,依据鉴权结果给予用户开放对应的API。目前,比较主流的方案有几种:用户名和密码鉴权,使用Session保存用户鉴权结果。使用OAuth进行鉴权(其实OAuth也是一种基于Token的鉴权,只是没有规定Token的生成方式)自行采用Token进行鉴权第...
24/31Day 孤尽训练营笔记分享
weixin_44127763的博客
11-19 214
       各位开发小伙伴有过用户权限开发经验的也许就听过JWT的概念。那么什么是JWT呢,请看下面笔记详情 什么是JWT     JWT(json web token) ,是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于JSON的开放标准((RFC 7519).定义了⼀种简洁的,⾃包含的⽅法⽤于通信双⽅之间以JSON对象的形式安全的传递信息。因为数 字签名的存在,这些信息是可信的,JWT可以使⽤H
轻松搞定jwt致命问题
qq_42673825的博客
08-11 250
其实脑洞大开。jwt有许多致命问题。可以巧妙避开。 从而注重使用最牛的特点。多个服务的情况下。jwt可以轻松在任何一个服务使用。 网友问: 网上有很多文章,可是几乎都没有讲jwt如何续签的​ 我: 要么存redis,要么刷新令牌。网上随便一搜就有。​ 网友: 存redis那我就不用jwt了,普通session改造得了,jwt一大串还占用带宽呢​ 我: 此言差矣。那是因为你jwt里面包含了太多的信息。 以我对jwt的了解。如果里面只包含用户id。正常情况下是不会超过150个字母,占用空间。可以忽略不计。无论系
SpringSecurity+JWT 身份验证及动态权限解决方案(很实用)
Java知音
08-04 1148
点击关注公众号,实用技术文章及时了解花了点时间写了一个SpringSecurity集合JWT完成身份验证的Demo,并按照自己的想法完成了动态权限问题。在写这个Demo之初,使用的是SpringSecurity自带的注解权限,但是这样权限就显得不太灵活,在实现之后,感觉也挺复杂的,欢迎大家给出建议。认证流程及授权流程我画了个建议的认证授权流程图,后面会结合代码进行解释整个...
jwt-framework:JWT框架
02-03
如果您真的喜欢那个项目,并且已经完成了我的工作,或者如果您希望我优先处理您的问题,那么您可以帮我几个忙 :clinking_beer_mugs: 或者更多!要么贡献欢迎提出新功能,修正错误以及使该框架有用的所有其他想法。 ...
Jwt的应用:登陆验证的流程
最新发布
07-24
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT 在现代Web应用中广泛用于...
tomcat-jwt-security:基于JWT令牌实现安全阀
05-10
tomcat-jwt-security 该项目旨在将JWT令牌身份验证功能引入Tomcat 8 ,从而将身份验证过滤器实现为Tomcat Valve。 JWT操作基于项目。 对于Tomcat 7,请使用或克隆。 基于Valve的身份验证应该可以与放置在web.xml...
jwt_obj:使用JWT声明创建对象的高级混合
02-04
JWT 声明是 JWT 的负载,它包含了关于发件人、接收人以及令牌相关的一些声明。这些声明可以是标准的或者自定义的,如 `iss`(发行者)、`exp`(过期时间)、`nbf`(未生效时间)等。 首先,我们来看一下 JWT 的结构...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
我们需要一个`AuthenticationManager`来处理用户的登录尝试,然后根据认证结果生成JWT并返回给客户端。 ```java @PostMapping("/authenticate") public ResponseEntity<?> createAuthenticationToken(@RequestBody ...
解决Request header is too large 头标Header过大问题
m0_43413873的博客
04-06 4878
解决Request header is too large 头标过大问题 问题: 怎么导致的? 由于我的header头部采用的是jwt加密形式的token传输,token=用户身份信息+权限+角色… 这样如果用户的权限或者角色身份越多,token的长度就越长,所以就会出现这样的问题。 也就是请求头超过了tomcat的限值。本来post请求是没有参数大小限制,但是服务器有自己的默认大小。 解决方案: 在application配置文件中这样配置就可以完美解决啦 #解决header头标token过大的问题
关于jwt思考
雪雷-的专栏
06-23 9927
关于jwt思考 jwt是个做用户权限认证的方案,科普的内容参考相关文档吧,这里提出几个关于jwt思考: 现有项目架构:pc项目->pc服务器->api服务器 app项目->api服务器1. jwt是否需要服务器存储用户状态按照jwt的思路,服务端是不需要存储用户状态的,只要有秘钥+过期时间就可以实现用户的认证和过期,至于读库vs加解密验证哪个过程对服务器的压力更大,这个可能需要对比测试,但从
初学Spring security+Jwt鉴权流程
weixin_44152952的博客
04-12 1854
具体环节如下: 1.引入相关依赖(包含spring-security,mybatis-plus,mysql,jwt,lombok这几个需要用到的) !注意:这是我们需要去添加的,还有一些其他的在建springboot-web工程的时候就默认创建了 2.接着配置数据库连接,这个根据大家具体的数据库和用户密码设置,这里也提供简单参考 3.需要两个实体类,一个实体类对应数据表的各个属性,另一个实体类负责实现UserDetails类封装一个对象用于在整个认证框架中传递(因为我们想要封装的这个对象
JWT的问题研究和解决方案
养码一生
07-09 689
对于Jwt认证协议来说,本身作为一种轻量级的的认证协议有很大的优势和使用场景,但是由于自己实现的局限性,导致了接下来的一些问题。 1. 续签 2.改密 3.退出 4.签名过期 等问题
JWT身份认证优缺点分析以及常见问题解决方案
weixin_41924879的博客
10-20 1097
JWT身份认证优缺点分析以及常见问题解决方案 Token 认证的优势 相比于 Session 认证的方式来说,使用 token 进行身份认证主要有下面四个优势: 1.无状态 token 自身包含了身份验证所需要的所有信息,使得我们的服务器不需要存储 Session 信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。但是,也正是由于 token 的无状态,也导致了它最大的缺点:当后...
JWT 弊端解决思路(主动过期\权限更新)
编程大白菜
08-26 2752
JWT 弊端解决思路(主动过期\权限更新)
关于使用JWT我的一些建议及避坑指南(非必须建议别用)
wh445306
01-09 7596
关于jwt的一些不足之处,可以参考这里:(译)别再使用 JWT 作为 Session 系统!问题重重且很危险。 JWT存在的意义是什么?很显然就是去中心化,无状态化!这是他存在的核心意义和价值,除去这两点JWT可以说是一无是处! 如果你尝试使用jwt构建session方案,我直接告诉你,赶紧放弃!越早越好!会玩死你,JWT在作为session时, 最大的痛苦就是自动续期和指定失效2个方面是致命伤。而且无解! 最重要的,不要考虑在服务器维护 JWT,比如在服务端维护一个 token...
23. 【gRPC系列学习】gRPC安全认证-JWT认证
菜鸟的博客
12-24 918
gRPC安全认证-JWT认证
JWT的优缺点
会飞的猪
07-17 1716
1.非高并发系统不建议使用JWT,可采用redis缓存机制,或者session、redis机制,开发成本低、易维护、安全性强。1.无需依赖数据库、Redis等中间件,token自带加密用户、权限信息等,后端直接解析即可获取;2.token过长,在前端页面交互跳转时会遇到token过长无法被传递;1.内网段,作为基础公共服务支撑对外系统输出能力,且要求承载一定并发量;3.安全性差,可解密出用户权限信息,如需解决,需要另外进行加密处理;2.token自带有效期,后端无需存储维护,只需校验;
jwt: tokenHeader: Authorization secret: mySecret expiration: 604800000 tokenHead: Bearer
07-15
你好!关于JWT的问题,我可以为你提供一些帮助。JWT是一种用于身份验证和授权的令牌。根据你提供的信息,我看到你的JWT包含以下内容: - tokenHeader:Authorization - secret:mySecret - expiration:604800000 - tokenHead:Bearer 这些是JWT中的一些关键元素。tokenHeader指定了令牌的头部,通常是Authorization。secret是用于加密和解密令牌的密钥,确保令牌的安全性。expiration指定了令牌的过期时间,这里是604800000毫秒(一周)。tokenHead指定了令牌的前缀,这里是Bearer。 请问还有其他关于JWT的问题吗?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值