基于JWT验证原理解决分布式系统session一致性问题

最新推荐文章于 2023-10-15 22:56:36 发布
最新推荐文章于 2023-10-15 22:56:36 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: jwt 文章标签: jwt验证原理 session一致性 jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20597727/article/details/85019408
版权

session一致性问题

在集群或者分布式系统中,用户登录后的,由于服务端是集群环境或者分布式环境,如何保证用户每次与服务器交互都是使用原来的session或者实现单点登录,这里就涉及session一一致性的问题。

解决session一致性问题可以从两种思路实现,一种是session服务端存储,一种是session客户端存储。

session服务端存储

服务端存储session,需要保证用户请求过来,能够使用到同一个session进行交互,有以下的实现方式

  1. session sticky,这种方式通过对同一个用户请求进行定向,用户每次请求,都访问同一台服务器,这样就能完成每次访问都是同一个服务器。
  2. session复制,这种方式就是在服务器集群中对session进行复制存储,每个服务端都存储同一份session,这样也能保证用户每次访问都能使用同一份session。
  3. session统一存储,使用第三方中间件存储session,每次用户访问时,去中间件进行session查找对应的session,保证每次请求使用同一个session。

session客户端存储

session客户端存储的话,实现思路是服务端不保存任何session信息,session信息附加在客户端存储,每次请求把session信息传递到服务端,服务端需要做的就是验证客户端的session是否是正确有效的。jwt的实现思路就是其中的一种实现方式,也是这篇文章介绍的点。

jwt简介

jwt中的概念

首先,根据jwt官网中的信息,先了解一下jwt中的一些常见概念。

token:返回给客户端用来登录验证的凭证,token有效表示用户已经登录,token中的信息有效可信。token的生成公式如下所示。token=base64(header).base64(payload).sinatrue

header:组成token中的一部分,主要用于定义签名sinatrue的生成算法,例如HS256,以及token类型JWT。例如下面

{
   "alg": "HS256",
   "typ": "JWT"
 }

payload:同样也是生成token的一部分,payload中的信息,有部分key是jwt中已经声明使用含义的,例如exp表示token有效期等等。iss (issuer), exp (expiration time), sub (subject), aud (audience)。除了这些已经声明使用含义的信息,还可以附加我们自定义的key的信息到payload中,作为token的一部分,验证token后,我们加入大token中的信息可以使用,效果类似于存储在session中,例如把登录用户名放入token,验证token后,可以根据token中的用户名信息判断当前登录的用户。例如下面

{
   "sub": "1234567890",
   "name": "John Doe",
   "admin": true,
   "exp": 1544872606128
   }

sinatrue:token的签名,也是token的组成部分,用来验证token中的header和payload信息是否被修I改过并且是否已经过期等,如果token没被修改并且没过期,表示token可用,用户当前依然属于登录状态。key是服务端定义的一个密钥用来保证在header和payload都被知晓的情况下,key作为混淆值,保证token不被伪造。

根据header定义的签名短发,签名格式如下:

 sinatrue=SignatureAlgorithm.HS256( base64(header) + "." + base64(payload) , base64(key))

token验证

验证token的过程其实跟重新生成一个token的过程是一样的

根据传递过来的header、payload以及服务端存储的密钥,重新生成一个token对比,如果token相同,那么标志token有效,没被修改。同时如果token没被修改,还可以进一步同bease64解密payload,然后根据payload中的exp有效期信息,判断token是否已经过期。

jwt基本工作流程

下面看一张jwt的基本工作流程图:

在这里插入图片描述

根据上图以及了解的基本概念,应该就能了解token的生成、验证和使用原理。验证完token之后,我们就可以使用token中的payload中的信息。

jwt实践

下面看一下jwt的api是如何使用的。

引入pom依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

新建了以下一个jwt生成token和验证token的工具类。

public class JwtTokenUtils {

    /**
     * token默认过期时间
     */
    public static final Integer  DEFAULT_TOKEN_EXPIRE_TIME = 1000 * 60 * 30;

    public static final String DEFAULT_TOKEN_KEY = "123456";

    public static void main(String[] args) {
        //获取secretkey
        System.out.println(generatorSecretkey("123456"));
		//用户名加入到token中,并生成一个新的token
        String tolen = generateTokenBy("1admin");
        System.out.println(tolen);
		//验证token并且获取token中的payload信息(json结构)
        System.out.println(pharseToken(tolen));
    }
    private static String generatorSecretkey(String key){
        return BaseEncoding.base64().encode(key.getBytes());
    }

    //seperator--------------------------------------------------------------------------

    /**
     * key-val格式获取payload中信息
     * @param token
     * @param secretkey
     * @return Claims 一个继承map的结构对象
     */
    public static Claims pharseToken(String token, String secretkey){
        Jws<Claims> claimsJwt=Jwts.parser()
                                .setSigningKey(secretkey)
                                .parseClaimsJws(token);
        return claimsJwt.getBody();
    }

    public static Claims pharseToken(String token){
        Jws<Claims> claimsJwt=Jwts.parser()
                .setSigningKey(generatorSecretkey(DEFAULT_TOKEN_KEY))
                .parseClaimsJws(token);
        return claimsJwt.getBody();
    }

    /**
     * 生成token信息
     * @param header like
     *               {
     *                  "alg": "HS256",
     *                  "typ": "JWT"
     *                }
     * @param payload like
     *                {
     *                   "sub": "1234567890",
     *                   "name": "John Doe",
     *                   "admin": true,
     *                   "exp": ${timestamp}
     *                 }
     *
     * @param secretkey 加盐
     * @return token=base64(header).base64(payload).sinatrue ,
     *         sinatrue=SignatureAlgorithm.HS256( base64(header) + "." + base64(payload) , base64(key))
     *         secretKey=base64(key)
     *         JWT规范是以上实现
     */
    public static String generateTokenBy(Map<String, Object> header, Map<String, Object> payload, String secretkey){
         return Jwts.builder()
                .setHeader(header)
                .setPayload(JsonUtils.beanToJson(payload))
                .signWith(SignatureAlgorithm.HS256, secretkey).compact();
    }

    public static String generateTokenBy(String userName, long exp, String secretkey){
        Map<String, Object> defaultHeader = Maps.newHashMap();
        defaultHeader.put("alg", "HS256");
        defaultHeader.put("typ", "JWT");

        Map<String, Object> payload = Maps.newHashMap();
        payload.put("userName", userName);
        payload.put("exp", exp);
        return generateTokenBy(defaultHeader, payload, secretkey);
    }

    public static String generateTokenBy(String userName, String secretkey){
        return generateTokenBy(userName, getDefaultTokenExpireTime(), secretkey);
    }

    public static String generateTokenBy(String userName){
        return generateTokenBy(userName, generatorSecretkey(DEFAULT_TOKEN_KEY));
    }

    public static Long getDefaultTokenExpireTime(){
        Date curDate = new Date();
        return curDate.getTime() + DEFAULT_TOKEN_EXPIRE_TIME;
    }

}

有了以上的工具之后,我们就可以实现登录时生成token,请求时验证token来保证session一致性。

在登录方法做这样的处理。这样token就会存储在客户端cookie中,方便下次请求时验证。

@PostMapping("/login")
@ResponseBody
public ResponseData doLogin(String username, String password,
                            HttpServletResponse response) {
    ResponseData data = new ResponseData();
    if (hasUser(username, password)) {
        //如果验证成功,生成token
        String token = JwtTokenUtils.generateTokenBy(username);
        //response设置cookie
        response.addHeader("Set-Cookie", "access_token=" + token + ";Path=/;HttpOnly");
        data.setCode(SUCCESS);
        return data;
    }
    data.setCode(FAIL);
    return data;
}

验证token。验证时也好办,只需要在http请求时,拦截请求,获取request中的cookie信息,并且获取token,然后调用验证方法。可以通过继承HandlerInterceptorAdapter,拦截器方式实现验证逻辑。下面是一个简单实现

public class TokenHandlerInterceptorAdapter extends HandlerInterceptorAdapter {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        String token= null;
        Cookie[] cookies = request.getCookies();
        if (ArrayUtils.isNotEmpty(cookies)) {
            for (Cookie cookie : cookies) {
                if ("access_token".equals(cookie.getName())) {
                    token= cookie.getValue();
                }
            }
        }
        if(StringUtils.isEmpty(token)){
            response.sendRedirect(LOGIN_PAGE);
            return false;
        }
        try{
            Claims claims=JwtTokenUtils.pharseToken(token);
            String userName= (String) claims.get("userName");
            request.setAttribute("userName", userName);
            return super.preHandle(request, response, handler);
        }catch (ExpiredJwtException e){
            //token'过期了
            response.sendRedirect(LOGIN_PAGE);
        }catch (SignatureException e1){
            //token验签不通过
            response.sendRedirect(LOGIN_PAGE);
        }catch (Exception e){

        }finally {

        }
        return false;
    }
}
一撸向北
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringSceurity(6)---JWT详解
Java76476434341的博客
05-28 409
JWT之前我们在做用户认证的时候,基本上会考虑session和token,所以在讲jwt之前,我们先来回顾下这个两个 一、传统的session认证 1、原理流程 session 是基于 cookie 实现的,session 存储在服务器端,sessionId 会被存储到客户端的cookie 中,具体流程如下 session 认证流程 1、用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的Session。 2、请求返回时将此 Session 的唯一标识信息Sessio...
asp.net基于JWT的web api身份验证及跨域调用实践
10-18
主要介绍了asp.net基于JWT的web api身份验证及跨域调用实践,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
分布式应用下登录校验解决方案——JWT
weixin_43434080的博客
05-17 333
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
分布式应用下登录检验解决方案-JWT
weixin_51778120的博客
10-15 43
JWT 是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名简单来说: 就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息优点生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库存储在客户端,不占用服务端的内存资源缺点。
8种方案,保证缓存和数据库的最终一致性
竹林幽深
12-02 1276
订阅专栏 前言 我们通常使用缓存机制来提升系统的性能,缓存系统下的读写操作,一般都需要操作数据库与缓存。 对于读操作,一般是先查询缓存,查询不到再查询数据库,最后回写进缓存。 而对于写操作,究竟是先删除(更新)缓存,再更新数据库,还是先更新数据库,再删除(更新)缓存呢? 由于对数据库以及缓存的整体操作,并不是原子性的,再加上读写并发,究竟什么样的方案可以保证数据库与缓存的一致性呢? 下面介绍8种方案,配合读写时序图,希望你能从其中了解到保证一致性的设计要点。 方案1 给缓存设置过期时间 这种方.
利用JWT安全验证(前后端分离,单点登录,分布式微服务)
谔定靴的博客
04-25 3465
JWT官网: https://jwt.io/JWT(Java版)的github地址:https://github.com/jwtk/jjwt JWT请求流程 用户使用账号和面发出post请求; 服务器使用私钥创建一个jwt; 服务器返回这个jwt给浏览器; 浏览器将该jwt串在请求头中像服务器发送请求; 服务器验证jwt; 返回响应的资源给浏览器。 JWT的主要...
Spring-cloud学习笔记---分布式架构统一认证主流实现方案JWT简介
qq_39314972的博客
11-29 244
Spring-cloud学习笔记—分布式架构统一认证主流实现方案JWT简介 1.JWT改造统⼀认证授权中⼼的令牌存储机制前的思考 当我们第⼀次登陆之后,认证服务器颁发token并将其存储在认证服务器中,后期我们访问资源服务器时会携带token,资源服务器会请求认证服务器验证token有效性,如果资源服务器有很多,那么认证服务器压⼒会很⼤ 另外,资源服务器向认证服务器check_token,获取的也是⽤户信息UserInfo,能否把⽤户信息存储到令牌中,让客户端⼀直持有这个令牌,牌的验证也在资源服务器进⾏,
JWT简介以及简单实用
博客
04-19 351
简介 JWT全称 Json·Web·Token,是⼀个开放标准(RFC·7519),它定义了⼀种紧凑的,⾃包含的⽅式,⽤于作为JSON对象在各⽅之间安全的传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT是⽬前最流⾏的跨域身份解决⽅案。 使用场景 Authorization(授权): 这是使⽤JWT的常⻅场景。⼀旦⽤户登录,后续每个请求都将包含JWT,允许⽤户访问该令牌允许的路由、服务和资源。单点登录是现在⼴泛使⽤的JWT的⼀个特性,因为它的开销很⼩,并且可以轻松的跨域使⽤。 跨域:⽐如你
JWT详解
热门推荐
baobao的博客
07-07 26万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
JWT在微服务系统中的如何应用,如何保证安全性?
Keen to coding 的博客
05-04 5848
JWT 是如何实现认证过程的?
分布式session解决方案 — — JWT(生成token)
weixin_45565886的博客
08-27 1143
分布式session解决方案 — — JWT(生成token)
针对分布式或集群session同步问题,改用jwt的续期解决方案.docx
10-26
针对分布式或集群session同步问题,改用jwt的续期解决方案.docx
基于SpringBoot+JWT+Vue的权限管理系统.zip
06-22
基于SpringBoot+JWT+Vue的权限管理系统源码,基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot...
12_基于JWT的Web API身份验证
10-31
12_基于JWT的Web API身份验证Json Web Token(jwt)是一种不错的身份验证及授权方案,简单的说就是调用端调用api时,附带上一个由api端颁发的token,以此来验证调用者的授权信息。
基于Java验证jwt token代码实例
08-25
主要介绍了基于Java验证jwt token代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
基于matlab实现的相移光纤光栅(FBG.rar
05-04
基于matlab实现的相移光纤光栅(FBG.rar
nfcPro-2020071702 id、ic读卡器软件
05-04
配套设备仪器用
数据更新至2020年分地区电源项目 建设本年施工规模.xls
最新发布
05-05
数据来源:中国电力统计NJ-2021版
基于matlab实现烟花寻优算法,自己编的.rar
05-04
基于matlab实现烟花寻优算法,自己编的.rar
JWT怎么验证token的合法性
07-28
JWT(JSON Web Token)的合法性验证通常包括以下步骤: 1. 提取Token:从请求的头部、查询参数或Cookie中提取JWT Token。 2. 解码Token:使用密钥(也称为秘钥)对Token进行解码,将其拆分为头部、负载和签名三个部分。 3. 验证签名:使用相同的密钥和加密算法,对头部和负载进行签名验证。确保签名与接收到的Token一致,以此验证Token的完整性和真实性。 4. 验证有效期:检查Token中的有效期(exp)是否过期。可以比较当前时间与有效期时间戳,确保Token仍然在有效期内。 5. 验证其他声明:根据需要,可以验证其他声明(例如发行人、受众、权限等)以确保Token的合法性。 需要注意的是,验证签名和验证有效期是JWT验证的核心步骤。对于签名验证,通常使用HMAC(对称加密)或RSA(非对称加密)算法进行签名和验证。而对于有效期验证,则是通过比较当前时间与Token中的有效期时间戳来判断是否过期。 验证JWT的合法性需要使用相应的JWT库或框架来实现,这些库或框架提供了相关的API和功能来简化验证过程。常见的JWT库包括jsonwebtoken(Node.js)、PyJWT(Python)、java-jwt(Java)等。具体实现方式可以参考所使用的编程语言和相关库的文档或示例代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值