JWT安全验证常见疑问解答

最新推荐文章于 2024-07-15 03:07:21 发布
最新推荐文章于 2024-07-15 03:07:21 发布
阅读量1w 收藏 7
点赞数 4
分类专栏: 软件架构 文章标签: api 分布式 JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/offbye/article/details/51830460
版权

最近做基于BFF架构的分布式移动端API接口的系统设计。工作过程中发现有些工程师对JWT安全验证的认识存在一些偏差,重复讲解实在太麻烦了,在这里把关于JWT常见的一些疑问统一回答下吧。

  1. 什么是JWT?

    JSON Web Token (JWT)是一种基于 token 的认证方案。
    JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.
    简单的说,JWT就是一种Token的编码算法,服务器端负责根据一个密码和算法生成Token,然后发给客户端,客户端只负责后面每次请求都在HTTP header里面带上这个Token,服务器负责验证这个Token是不是合法的,有没有过期等,并可以解析出subject和claim里面的数据。

    注意JWT里面的数据是BASE64编码的,没有加密,因此不要放如敏感数据。

    可以通过https://jwt.io/这个网站对JWT Token进行解析。

    一个JWT token 看起来是这样的:

    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjEzODY4OTkxMzEsImlzcyI6ImppcmE6MTU0ODk1OTUiLCJxc2giOiI4MDYzZmY0Y2ExZTQxZGY3YmM5MGM4YWI2ZDBmNjIwN2Q0OTFjZjZkYWQ3YzY2ZWE3OTdiNDYxNGI3MTkyMmU5IiwiaWF0IjoxMzg2ODk4OTUxfQ.uKqU9dTB6gKwG6jQCuXYAiMNdfNRw98Hw_IWuA5MaMo

    可以简化为下面这样的结构:

    base64url_encode(Header) + '.' + base64url_encode(Claims) + '.' + base64url_encode(Signature)

  2. 为什么用JWT?

    JWT只通过算法实现对Token合法性的验证,不依赖数据库,Memcached的等存储系统,因此可以做到跨服务器验证,只要密钥和算法相同,不同服务器程序生成的Token可以互相验证。

  3. JWT Token需要持久化在Memcached中吗?
    不应该这样做,这样就背离了JWT通过算法验证的初心。

  4. 在退出登录时怎样实现JWT Token失效呢?
    退出登录, 只要客户端端把Token丢弃就可以了,服务器端不需要废弃Token。

  5. 怎样保持客户端长时间保持登录状态?

    服务器端提供刷新Token的接口, 客户端负责按一定的逻辑刷新服务器Token。

  6. 服务器端是否应该从JWT中取出userid用于业务查询?

    REST API是无状态的,意味着服务器端每次请求都是独立的,即不依赖以前请求的结果,因此也不应该依赖JWT token做业务查询, 应该在请求报文中单独加个userid 字段。
    为了做用户水平越权的检查,可以在业务层判断传入的userid和从JWT token中解析出的userid是否一致, 有些业务可能会允许查不同用户的数据。

  7. JWT 在Jave项目中如何实现?

    生成Token

    
    String token = Jwts.builder().setSubject(userId)
            .setExpiration(new Date(System.currentTimeMillis() + Constant.TOKEN_EXP_TIME))
            .claim("roles", Constant.USER_TYPE_EMP).setIssuedAt(new Date())
            .signWith(SignatureAlgorithm.HS256, Constant.JWT_SECRET).compact();
    loginResponse.setToken(token);

    验证JWT Token

    
    final String authHeader = request.getHeader("Authorization");

   if (authHeader == null || !authHeader.startsWith("Bearer ")) {
      log.debug("no Authorization ", e);
       return;
   } else {
       try {
           final String token = authHeader.substring(7); // The part after "Bearer "
           log.debug("token " + token);

           final Claims claims = Jwts.parser().setSigningKey(Constant.JWT_SECRET)
                   .parseClaimsJws(token).getBody();
           log.debug(claims.toString());
       } catch (Exception e) { //包含超时,签名错误等异常

           log.debug("JWT Exception", e);
           return;
       }
   }

    注意客户端发送的Authorization HTTP HEADER格式是 “Bearer YOUR_JWT_TOKEN”,这是OAuth的规范规定的。

本文独立博客地址

offbye
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
学籍管理系统详细设计与具体代码实现
程序员光剑
04-21 1089
1.背景介绍 1.1 学籍管理系统的需求 在现代的教育体系中,学籍管理是一项重要的工作。它涉及到学生的录取、注册、选课、成绩管理以及毕业等各个环节。然而,传统的手工管理方式效率低下,误差大,难以满足快速发展的教育需求。因此,一个高效、准确的学籍管理系统是必不可少的。
基于微服务架构的分布式系统:如何设计和实现高效的微服务系统
程序员光剑
07-13 4821
随着互联网的发展,分布式系统在大型企业应用中越来越普遍。微服务架构作为一种新兴的分布式系统架构,以其灵活性和可扩展性吸引了越来越多的开发者。在微服务架构中,每个服务都是独立的,具有完整的功能和数据职责。本文旨在探讨如何设计和实现高效的微服务系统,以应对现代应用中日益增长的需求。服务注册和发现:服务注册表和反向代理服务。服务路由:服务发现和路由器。服务安全:访问控制、加密和认证。分布式事务:分布式事务工具,如乐观锁。消息队列:异步处理和消息传递。
java jwt退出登录模块的实现
最新发布
weixin_40287378的博客
07-15 90
实现Java JWT退出登录模块的实现 整体流程 在实现Java JWT退出登录模块的过程中,我们需要完成以下步骤: 实现Java JWT退出登录模块的流程#render_9_2672761772-svg{font-family:"trebuchet ms",verdana,arial,sans-serif;font-si...
分布式项目登录——JWT技术
wang_yaqin的博客
01-03 3940
1.JWT介绍 1.1什么是JWT       JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 1.2JWT的组成        一个JWT其实就是一个字符串,由三部分组成:头部(header)、载荷(payload)、签名(signature),以“.”拼接 1.2...
分布式权限验证JWT
小小的人儿的博客
03-27 1593
JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {“typ”:“JWT”,“alg”:“HS256”} 在头部指明了签名算法...
分布式环境集成JWT(Java Web Token)
weixin_44924882的博客
08-30 1060
AuthAccess是一个自定义的注解,在拦截器中判断如果方法上有加入该注解,则放行,不校验tokenimport cn//如果不是映射到方法直接通过 if(!} else {// 判断是否为自定义注解AuthAccess,如果是,就不校验了,直接放行 HandlerMethod h =(HandlerMethod) handler;= null) {} } //执行认证 if(StringUtils . isBlank(token)) {
分布式统一授权方案JWT
杨宇昌的博客
05-03 998
分布式统一授权方案 JWT
【案例实战】分布式应用下登录检验解决方案(JWT
互联网小阿祥
11-16 1078
分布式应用下登录检验解决方案(JWT),编写登录逻辑全流程
来来来,咱们聊一下 JWT安全验证的知识 两篇文章就够了
qq_52252193的博客
05-10 885
目录 1. 为什么要用 JWT ? 认证 2.什么是 JWT 3. JWT 的结构 3.1 标头 3.2 载荷 3.3 签名 4. JWT 的认证流程 5. JWT 的使用 6. JWT 工具类 7. JWT 案例 7.1 用户登录 7.1.1 创建 SpringBoot 项目 7.1.2 引入依赖 7.1.3 application.yml 7.1.4 创建用户表 7.1.5 用户实体类 7.1.6 Service 和实现类 7.1.7 Dao 和 mapper.xm
JWT安全问题—学习笔记(1)
m0_57781768的博客
11-17 347
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 TokenJWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,。
毕设&课程作业_智能物业管理系统(property management),一个具有后端+前端+移动端的项目.zip
03-07
4. 安全性:实现身份验证(如JWT)、授权控制及数据加密,保障系统安全。 三、前端技术 1. 响应式设计:使用Bootstrap、Vue.js等前端框架,确保网页在不同设备上都能良好显示。 2. UI/UX设计:注重用户体验,创建...
基于Springboot+Vue框架的网上商城系统的设计与实现源码案例设计.zip
04-21
- 常见问题:提供FAQ页面,解答常见问题。 三、系统实现 1. Springboot集成: - 使用Spring Data JPA进行数据库操作,简化ORM映射。 - 使用Spring Security进行权限控制,保护敏感接口。 - 引入Swagger2文档化...
基于SpringCloud Gateway的API网关设计与实现
程序员光剑
08-02 1280
随着互联网技术的飞速发展、软件架构的演进,越来越多的人开始意识到“边界服务”的重要性。越来越多的公司面临“如何快速响应用户需求”、“保证系统稳定运行”等诸多问题,为了应对这些挑战,微服务架构已经成为一个热门话题。但微服务架构带来的问题也很明显,不仅需要考虑分布式事务、服务治理、弹性伸缩、限流降级等诸多问题,还面临新旧服务版本兼容、服务拆分重组、跨域调用等复杂的技术难题,使得传统的SOA架构方案无法满足要求。
基于分布式单点登录的JWT的token身份认证方案
weixin_46879188的博客
05-18 1872
认识JWT JWT是 JSON Web Token 的缩写,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT工作流程 这里我们通过一张图了解它的工作流程。 从上图中我们可以看出它是基于Token的身份认证,具体流程:客户端携带用户名和密码请求访问 - 服务器校验用户凭据 - 应用提供一个token给客户端 - 客户端存储token,并且在随后的每一次请求中都带着它 -服务器校验token
Spring-cloud学习笔记---分布式架构统一认证主流实现方案JWT简介
qq_39314972的博客
11-29 272
Spring-cloud学习笔记—分布式架构统一认证主流实现方案JWT简介 1.JWT改造统⼀认证授权中⼼的令牌存储机制前的思考 当我们第⼀次登陆之后,认证服务器颁发token并将其存储在认证服务器中,后期我们访问资源服务器时会携带token,资源服务器会请求认证服务器验证token有效性,如果资源服务器有很多,那么认证服务器压⼒会很⼤ 另外,资源服务器向认证服务器check_token,获取的也是⽤户信息UserInfo,能否把⽤户信息存储到令牌中,让客户端⼀直持有这个令牌,牌的验证也在资源服务器进⾏,
shiro jwt 构建无状态分布式鉴权体系
wj596的专栏
01-06 916
一:JWT 1、令牌构造 JWT(json web token)是可在网络上传输的用于声明某种主张的令牌(token),以JSON 对象为载体的轻量级开放标准(RFC 7519)。 一个JWT令牌的定义包含头信息、荷载信息、签名信息三个部分: Header//头信息 { "alg": "HS256",//签名或摘要算法 "typ": "JWT"//token类型 ...
JWT学习(二):JWT分布式SSO中的应用实例
This Is Why We Coding
11-08 2775
上一篇文章讲解了JWT的基本简介,这一篇文章我就来实战一下。介绍一下在分布式单点登录中的使用方法: 首先来看一下Token实体类, public class Token implements Serializable{ private static final long serialVersionUID = -5391652691006115018L; /** 认证头 **/
分布式应用下登录校验解决方案——JWT
weixin_43434080的博客
05-17 463
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

offbye

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值