登录认证: 为什么要使用JWT去替代cookie和session技术

最新推荐文章于 2024-06-04 09:59:51 发布
最新推荐文章于 2024-06-04 09:59:51 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: # 单点登录思想 文章标签: java spring sso jwt spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pingzhuyan/article/details/120884364
版权

目录

1. 了解用户认证成功后  登录成功信息存储到哪里

-> cookie和session技术

2. 如何查看这些用户信息(账号,密码和权限)

3.  无状态会话分析

---> cookie session 单体登录

 ----> 中小型单点登录设计模式(相对简单)

 ----> sso单点登录

4 具体实现

1. jwt(token)jsonwebtoken

官网 : https://jwt.io

2. 测试类 了解制作token和解析token过程

1. 了解用户认证成功后  登录成功信息存储到哪里

-> cookie和session技术

Cookie和Session虽然是非常常见的Web开发技术,但它们会被逐渐淘汰,原因主要有以下几点:

  1. 隐私和安全问题:在Cookie中存储敏感信息,可能会被黑客盗取,从而造成损失。另外,Cookie的过期时间通常是长期的,这意味着用户的信息可能会一直被存储在本地,从而被滥用。

  2. 跨域问题:如果用户在多个域名下使用同一个网站,Cookie在不同域名之间传递会遇到阻碍,导致用户在使用该网站时出现问题。

  3. 扩展性问题:Cookie和Session是基于HTTP协议的,而随着Web技术的发展,HTTP协议已经无法满足一些需要实现的业务需求,如WebSockets等。

因此,开发人员正在逐渐采用新的技术替代Cookie和Session,如Token、JWT等。这些新的技术可以更安全地存储用户信息,并克服了传统技术的一些缺点。

2. 如何查看这些用户信息(账号,密码和权限)

/**
     * 获取登录用户信息
     * 登录成功会存到哪
     * 如何获取登录信息
     * @return
     */
    @GetMapping("/doGetUser")
    public String doGetUser(){
        Authentication authentication =
                SecurityContextHolder.getContext().getAuthentication();
        User principal = (User)authentication.getPrincipal();
        System.out.println("principal.class="+principal.getClass());
        //.getClass 表示获取获取类型
        return principal.getUsername()+","+principal.getAuthorities();
    }

3.  无状态会话分析

        三种登录(会话状态)设计模式

---> cookie session 单体登录

一个单体 直接cookie+session, 小规模业务 老业务存在 但是在分布式系统中 显得有些鸡肋了 

 ----> 中小型单点登录设计模式(相对简单)

 

 ----> sso单点登录

客户端记录会话状态 服务端只负责解析token 

简约图 注册中心呀 远程调用 日志收集 数据库等没画 

4 具体实现

1. jwt(token)jsonwebtoken

官网 : https://jwt.io

 三部分  JWT通常由三部分构成,分别为Header(头部),Payload(负载),Signature(签名)

xxxxx.yyyyy.zzzzz
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

 ---------->

2. 测试类 了解制作token和解析token过程

package com.cy.jt.security;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;

import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

@SpringBootTest
public class JwtTests {
    public static final String JWT_SECRET ="AAABBBCCCDDDDEEE";//加密盐
    //测试创建解析token
    @Test
    void testCreateAndParseToken(){
        //创建token(头信息,负载信息,签名信息)
        //1.1 获取登录认证信息(例如用户名,权限)
        Map<String,Object> map=new HashMap<>();
        map.put("username", "pzy");
        map.put("permissions", "sys:res:create,sys:res:retrieve");
//日历对象 Date方法中的方法已经不再推荐使用了 对日期进行加减运算

        Calendar calendar = Calendar.getInstance();//当前时间
        //在当前时间的基础上加30分钟
        calendar.add(Calendar.MINUTE, 30);
        Date expirationTime = calendar.getTime();//获取30分钟后的时间
        System.out.println("expirationTime:==>"+expirationTime);

//jwts方法创建token
        String token = Jwts.builder()
                .setSubject("jwt")//主题
                .setClaims(map)// 负载信息(登录信息,没有密码)
                //.setExpiration(new Date(System.currentTimeMillis() + 30 * 1000))//过期时间
                .setExpiration(expirationTime)//过期时间
                .setIssuedAt(new Date())//签发时间
                .signWith(SignatureAlgorithm.HS256,JWT_SECRET)//设置签名加密算法和盐
                .compact();//制作token
        System.out.println("token:===>"+token);
        //解析token
//eyJhbGciOiJub25lIn0.eyJwZXJtaXNzaW9ucyI6InN5czpyZXM6Y3JlYXRlLHN5czpyZXM6cmV0cmlldmUiLCJleHAiOjE2MzQ4NzM1MjAsImlhdCI6MTYzNDg3MzQ5MCwidXNlcm5hbWUiOiJqYWNrIn0.

        Claims claims = Jwts.parser()
                .setSigningKey(JWT_SECRET)
                .parseClaimsJws(token) //最爱出错的问题
                .getBody();
        System.out.println("claims: ===> "+claims);


    }
}

在security中配合jwt实现认证登录鉴权操作, 而在oauth2中 更是简化了操作步骤, 传入基本参数,注入@bean就可以了

密码也从后台明文记录变成md5加盐加密 在变化到bcrypt加密

一般配合拦截器使用

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

@Component
public class AuthInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("Authorization");

        // 验证token的过程
        if (verifyToken(token)) {
            return true;
        } else {
            response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized");
            return false;
        }
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception exception) throws Exception {
    }

    private boolean verifyToken(String token) {
        // 进行token的验证
        // 如果验证成功返回true,否则返回false
    }
}

pingzhuyan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
为什么使用JWT
weixin_30763455的博客
05-07 1337
原文:https://blog.csdn.net/loveliness_peri/article/details/88245981 随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,...
JWT(代替Session会话)
qq_24769781的博客
06-11 241
经典的保持登陆状态的办法是Session,也就是用户登陆后,服务器产生唯一标识SessionId,并把SessionId和登陆的用户信息保存在服务器内存中,通时将SessionId发送给浏览器(),当浏览器再次访问的时候,http请求中便携带了SessionId,服务器根据该Id在内存中取到用户信息,这样就实现了登陆功能功能。1:如果Session保存在内存中,当登陆用户多的时候,会占用服务器大量服务器内存,而且无法支持分布式集群。
简述CookieSessionJWT三者特点
MADAO的博客
03-20 222
三者的目的都是为了维持前端页面的登录状态。
branca:安全替代JWT。 经过验证的Go加密API令牌
01-30
布兰卡 branca是JWT安全替代方案,此实现是用纯Go语言编写的(无cgo依赖项),并且实现了。 要求 转到1.13+ 安装 go get -u github.com/hako/branca 例 package main import ( "fmt" "github.com/hako/branca" ) func main () { b := branca . NewBranca ( "supersecretkeyyoushouldnotcommit" ) // This key must be exactly 32 bytes long. // Encode String to Branca Token. token , err := b . EncodeToString ( "Hello world!" ) if err != nil { fmt . Println ( err ) } //b.SetTTL(3600) // Uncomment this to set an expiration (or ttl) of the tok
推荐:branca - 安全JWT替代方案
最新发布
gitblog_00024的博客
06-04 340
推荐:branca - 安全JWT替代方案 项目地址:https://gitcode.com/hako/branca 项目介绍 在寻找一种安全且高效的身份验证机制吗?branca 是一个值得您关注的项目。它是基于纯 Go 实现的,无需任何 cgo 依赖项,提供了一种类似于 JSON Web Tokens(JWT)但更安全的身份认证解决方案。branca 遵循 branca token 规范,确保...
在分布式项目中,面对用户登录认证使用JWT代替Session的原因
HellHellNo的博客
08-04 1003
1、服务器压力变大 使用Session进行用户认证,每增加1个用户进行登录认证,服务器就需分配内存存放Session,随着认证用户的增多,服务端的开销会明显增大 2、扩展性变差 用户登录认证记录保存在服务器内存中,则该用户下次发送登录请求时,必须在该台服务器上才可获得授权资源;假设在分布式系统中,多数初始用户认证请求被分配到服务器A、一部分到B、少部分到C,明显各服务器的请求数量不均等,限制了负载均衡器的能力,也就意味着限制扩展的能力 3、安全性变低 由于用户识别是基于Cookie进行的,若Cookie被截
Cookie安全缺陷和其它方案
多头注意力探索Now
04-23 609
cookie认识
全网最细总结-Seesion,Cookie以及JWT的区别
qq_42898642的博客
06-14 847
全网最详细,关于sessioncookie,token的用户认证的原理与区别
练习2:使用Cookie简化用户登录.zip
08-27
在Web开发中,用户登录是常见的功能之一,而使用Cookie技术可以有效地简化这一过程,提供更流畅的用户体验。本练习将探讨如何利用Cookie来管理用户的登录状态,从而避免频繁地发送登录请求。以下是对这个主题的详细...
tp5框架使用cookie加密算法实现登录功能示例
10-15
在开发Web应用时,安全是至关重要的一个环节。...在这个示例中,我们将探讨如何利用tp5框架和cookie加密算法实现登录...此外,还可以考虑使用token或JWT(JSON Web Tokens)来替代传统的sessioncookie,以增强安全性。
解决java后台登录前后cookie不一致问题
08-31
当涉及到用户登录流程时,CookieSession通常一起使用,以保持用户会话的连续性。然而,有时会出现“登录前后Cookie不一致”的问题,这可能会影响用户体验或引发安全性问题。本文将探讨这个问题的原因以及两种可能...
Session技术
08-14
总结来说,Session技术Java Web开发中实现用户状态跟踪的重要手段,虽然有其局限性,但在正确使用和优化下,仍然能有效提升应用的用户体验和功能实现。了解和掌握Session使用和管理,对于Java Web开发者来说至关...
Session相关知识点PDF版本
05-30
Session是Web应用程序中用于跟踪用户状态的一种技术。...然而,随着Web应用规模的扩大,Session的管理也成为了一项挑战,这促使了Token(如JWT)等替代方案的出现,以适应更复杂的分布式系统需求。
cookie和token的区别
在下魔王ii的博客
07-18 696
cookie、token 到底是什么关系?
常见的JWT到底有什么用?
码农桃子的博客
07-10 2442
什么是jwt JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的,使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。此特性便于可伸缩性, 同时保证应用程序的安全。 在身份验证过程中, 当用户使用其...
JWT简介及使用
weixin_43994244的博客
09-07 3255
JWT认证使用
JWT的介绍与应用
CONSOLE11的博客
12-30 3551
目录 2.JWT的应用场景 3.JWT的应用详解 4.为什么要用JWT 2.1 传统Session认证的弊端 2.2 JWT认证的优势 5.JWT结构 1.Header 2.Payload 3.Signature 6.JWT的种类 JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT
gtoken替换jwt实现sso登录
Maisucsdn的博客
05-20 959
今天和大家分享一下使用gtoken替换jwt实现sso登录的经验,为了让大家更好的理解会带大家读一下重点的源码。 jwt的问题 首先说明一个jwt存在的问题,也就是要替换jwt的原因: jwt无法在服务端主动退出的问题 jwt无法作废已颁布的令牌,只能等到令牌过期问题 jwt携带大量用户扩展信息导致降低传输效率问题 jwt的请求流程图 gtoken的优势 gtoken的请求流程和jwt的基本一致。 gtoken的优势就是能帮助我们解决jwt的问题,另外还提供好用的特性,比如: gtok
如何使用token验证代替session
weixin_43166227的博客
05-25 2877
简介 token:指访问资源的凭据,用于检验请求的合法性。适用于项目级的前后端分离。 可以用数据库存储token,也可以选择放在内存当中。比如 redis 很适合对 token 查询的需求。 token 可以避免 CSRF 攻击(因为不需要 cookie 了)。 完美契合移动端的需求。 sessionsession记录服务器和客户端会话状态的机制。session在服务端生成和保存,并转化为一个临时的CookiesessionId)发送给客户端,当客户端第一次请求服务器时,会检查是否携带了这个Sess
cookiesessionjwt
09-01
CookieSessionJWT都是用于在Web应用程序中存储和验证用户身份的机制。 Cookie是在服务器生成后发送给浏览器存储的一小段文本信息。它可以包含用户身份验证信息或其他需要在不同请求之间保持状态的数据。Cookie有一个有效期,一般会设置为较长的时间,比如一周或两周左右。这样可以在用户下次访问网站时继续使用CookieSession是服务器上的一种机制,用于跟踪和存储用户的会话状态。它在服务器端存储用户的身份验证信息和其他会话数据。与Cookie不同,Session数据存储在服务器上,而不是浏览器中。Session的有效期一般设置较短,比如24分钟或0.5小时,用于提高安全性。 JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它是一种基于JSON的数据格式,包含了用户的身份验证信息和其他元数据,并使用数字签名进行验证。JWT通常用于通过令牌的方式来验证用户身份。它的优点是无需在服务器上存储会话信息,只需通过数字签名即可验证令牌的真实性。因此,JWT适用于分布式系统和无状态应用程序。 总结起来,Cookie是将信息存储在浏览器端,Session是将信息存储在服务器端,而JWT则是通过令牌的方式进行身份验证和授权。每种机制都有其适用的场景和优缺点,需要根据具体的应用需求选择合适的方案。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Cookie,Session,JWT](https://blog.csdn.net/m0_70273331/article/details/124551071)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [CookieSessionJWT的详解](https://blog.csdn.net/weixin_35695511/article/details/105040183)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

pingzhuyan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值