session共享解决方案 - JWT详解

最新推荐文章于 2024-08-04 16:21:07 发布
最新推荐文章于 2024-08-04 16:21:07 发布
阅读量2.8k 收藏 9
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34561892/article/details/84921449
版权

目录

一. session流程

二. 分布式应用的session共享

 三. JWT的组成

 四. header介绍

五. payload介绍

六. signature介绍 

七. base64url算法 

八. JWT的使用方式

九. JWT的特点 

十. java代码简单实现 

一. session流程

1. 用户向服务器发送用户名和密码
2. 服务器验证通过后,在当前会话session里保存信息
3. 服务器向用户返回一个session id,写入到cookie中
4. 用户之后的每次请求都会携带cookie,将session id传给服务器
5. 服务器根据session id 查找以前保存的信息

二. 分布式应用的session共享

实现方式

  1.   tomcat集群session共享。缺点:有广播风暴;用户量比较大的时候,占用资源比较严重。
  2.   Redis存储token。服务端使用UUID随机生成64位或者128位token放到Redis中,然后返回给客户端的cookie里。用户每次访问,服务端去Redis那里,去验证用户是否存在。缺点:网络开销较大。
  3.   JsonWebToken。  

 三. JWT的组成

 JWT的组成:(头部 + 负载 + 签名)

Header.Payload.Signature

 四. header介绍

header用于描述JWT的元数据。

{
  "alg": "HS256",
  "typ": "JWT"
}

大多数的header如上图。

alg:签名使用的算法。(默认是HMAC SHA256,简写为:HS256)

typ:令牌的类型。统一写JWT。

最后使用Base64URL算法将其转成字符串。

五. payload介绍

payload用于存放实际需要传递的数据。

官方规定的七个字段供选用,如下:

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):受众
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):编号

也可以有一些自定义的字段。

切勿把密码等敏感信息放到payload里。(payload没有加密处理)

最后使用Base64URL算法将其转成字符串。

六. signature介绍 

signature是对上面两个的签名。

需要制定一个secret,然后使用header指定的算法,产生签名。方法如下:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

七. base64url算法 

前面提到的算法是Base64URL,这个算法跟 Base64 算法基本类似,但有一些小的不同。

Base64Url 有三个字符+/=,在 URL 里面有特殊含义,所以要被替换掉:=被省略、+替换成-/替换成_ 。

八. JWT的使用方式

1. 放到请求头里的  Authorization: Bearer<token> 里

2. 放到请求的数据体里

九. JWT的特点 

(1)JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。

(2)JWT 不加密的情况下,不能将秘密数据写入 JWT。

(3)JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。

(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。

(5)JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。

(6)为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。

十. java代码简单实现 

payload可以加一些自定义字段。这里我传个User对象,把User对象的id,name, img加入进去。放到.claim()里。K-V的形式。

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.UUID;

public class JWT {

    private static final String SECRET = "usdfsdJSDG";
    private static final String SUBJECT = "TOM";
    private static final long EXPIRE_TIME = 1000 * 60 * 60;
    private static final long EFFECT_TIME = 0;
    private static final String ISSUER = "Selina";
    private static final long ISSUE_TIME = 0;
    private static final String ID = UUID.randomUUID().toString();

    public static String generateJsonWebToken() {
        String token = Jwts.builder().setSubject(SUBJECT)
                .setId(ID)
                .setIssuer(ISSUER)
                .setExpiration(new Date(EXPIRE_TIME + System.currentTimeMillis()))
                .setNotBefore(new Date(EFFECT_TIME + System.currentTimeMillis()))
                .setIssuedAt(new Date(ISSUE_TIME + System.currentTimeMillis()))
                .claim("username", "tom")
                .claim("password", "123")
                .claim("userId", 1)
                .signWith(SignatureAlgorithm.HS256, SECRET)
                .compact();
        return token;
    }

    public static Claims getClaimsFromToken(String token) {
        return Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token).getBody();
    }

    public static void main(String[] args) {
        String token = generateJsonWebToken();
        Claims claims = getClaimsFromToken(token);
        Integer userId = claims.get("userId", Integer.class);
        String username = claims.get("username", String.class);
        System.out.println(userId + "," + username);
    }
}

第一个方法: (用于生成JWT字符串)

 .set**():用于设置一些官方定义的字段。 

.signWith():签名。第一个参数是加密的算法,第二个参数是指定的秘钥。

.compact() :把字符串拼凑起来。

第二个方法:(用于获取自定义字段)

.setSigningKey() : 参数里写的是秘钥。

.parseClaimsJws() :解析jwt字符串。

.getBody():获取自定义字段。

 

等後那场雪
关注
Redis实战之共享session + jwt 实现登录拦截、刷新token
qq_54429571的博客
11-28 2377
Redis实战之共享session + jwt 生成 token、实现登录拦截、刷新token等功能。
JWT|单点登录解决方案|Spring Boot使用Redis如何实现Session共享
橘子味的阳光
12-09 2020
单点登录 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 传统session不能解决多服务器下单点登录 CAS ( Central Authentication Service ),基于Java实现的、开源SSO解决方案。cas旨在为 Web 应用系统提供一种...
JWT解密用的的方法讲解Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token).getBody();
u010055960的博客
08-04 487
将这些部分组合起来,整行代码的作用是:使用指定的密钥验证 JWT 的签名,去除 JWT 字符串的前缀(如果有),然后解析 JWT 并获取其负载部分,以便访问其中的声明。库中,这段代码用于解析并验证一个 JWT(JSON Web Token)。在这个示例中,我们首先定义了密钥和 JWT 字符串的前缀,然后使用。方法并传入去除了前缀的 JWT 字符串,最后通过调用。方法获取了 JWT 的负载部分,并从中访问了主题声明(对象,并设置了签名密钥。
一文带你了解Jwtsession的区别
hola173841439的博客
07-26 1156
因为要重构公司的web端产品,和前端一起对了下接口。在对接用户登录的时候,发现当用户关掉浏览器后再次打开浏览器竟然不能无密码登录。然后就和前端商量了下,后端采用jwt技术将生成token给前端,前端将token存储到localstorage,以便后续请求以token方式进行无秘登录以及权限校验。但是今天在该代码的时候发现后端有用到session进行用户登录的一个校验,似乎和我用的jwt实现的效果有异曲同工之妙,我就好奇了这个和jwt到底有什么区别呢?然后就进行了一番研究…session服务器端。
《Java实战开发》基于JWT实现简单信息分享
crazy王的学习
10-18 466
公司有个合作伙伴替用户下单的需求,下单完毕需要将单据信息分享给客户看,让客户付款。由于只是一些简单的单据信息,并且没有权限校验,综合考虑安全与性能,决定使用JWT的方式实现。 JWT简介 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。具体概念自行搜索 官网介绍如下: https://jwt.io/introduction 主要代码实现 public enum SingletonRsaJsonWebKeyEnum { //创建一个枚举对象,该对象天生为单例 I.
session共享_SpringBoot 实现Session共享
weixin_39887531的博客
12-03 65
HttpSession,是通过Servlet容器创建并进行管理的,创建成功以后将会保存在内存中,这里将会使用Redis解决session共享的问题。创建项目添加pom添加相关的maven<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xs...
springboot2.0企业中台实战之权限统一管理与应用统一授权 (dubbo分布式系统实战)
12-07
本课程是一门具有很强实践性质的“项目实战”课程,即“企业中台系统实战”,其中主要包含三大块核心内容,如下图所示(右键可以在新标签页中打开图片放大查看): 即主要包含以下三大块内容: ① 企业内部应用系统菜单资源和操作权限的统一管理; ② 分布式应用系统通信时的统一授权,即基于AccessToken的授权与认证; ③ 分布式服务/系统通信时的两大方式(基于dubbo rpc协议和基于http协议的restful api实战)。   值得一提的是,这套中台系统由于讲解了如何统一管理企业内部各大应用系统的“菜单资源列表”、“操作权限”,故而本门课程的“代码实战”是建立在之前debug录制的“企业权限管理平台”这套课程的基础之上的,故而在这里debug建议没有项目开发基础的小伙伴可以先去学习我的那套“企业权限管理平台”的实战课程,之后再来学习我的这套中台系统的实战才不会很吃力(课程链接:)   本课程的课程大纲如下图所示(右键可以在新标签页中打开图片放大查看):   除此之外,这套“中台系统”由于统一管理了企业内部各大应用系统的“菜单资源和操作权限”以及“应用系统之间通信时的统一授权”,故而难免需要涉及到“中台系统”与“中台子系统”、“中台子系统”与“中台子系统”之间的通信(即分布式服务之间的通信),在这里我们是采用“dubbo + zookeeper”的方式加以落地实现的,详情如下图所示(右键可以在新标签页中打开图片放大查看):   而众所周知,作为一款知名以及相当流行的分布式服务调度中间件,dubbo现如今已经晋升为Apache顶级的开源项目,未来也仍将成为“分布式系统”开发实战的一大利器,如下图所示为dubbo底层核心系统架构图(右键可以在新标签页中打开图片放大查看): 而在这门“中台系统实战”的课程中,我们也将始终贯彻、落地dubbo的这一核心系统架构图,即如何将中台系统开发的服务注册/发布到注册中心zookeeper,中台子系统如何订阅/消费/调度中台系统发布在zookeeper的接口服务,中台子系统在走http协议调度通信时dubbo如何进行拦截、基于token认证接口的调用者等等,这些内容我们在课程中将一一得到代码层面的实战落地!   下图为本课程中涉及到的分布式系统/服务之间 采用“http协议restfulapi”方式通信时的Token授权、认证的流程图(右键可以在新标签页中打开图片放大查看): 而不夸张地说,基于AccessToken的授权、认证方式在现如今微服务、分布式时代系统与系统在通信期间最为常用的“授权方式”了,可想而知,掌握其中的流程思想是多么的重要!   以下为本门课程的部分截图(右键可以在新标签页中打开图片放大查看):     核心技术列表: 值得一提的是,由于本门课程是一门真正介绍“中台思想”以及将“中台思想”和“分布式系统开发实战”相结合落地的课程,故而在学完本门课程之后,可以掌握到的核心技术自然是相当多的。主要由SpringBoot2.0、SpringMVC、Mybatis、Dubbo、ZooKeeper、Redis、OkHttp3、Guava-Retrying重试机制、JWT(Json Web Token)、Shiro、分布式集群session共享、Lombok、StreamAPI、Dubbo-Filter以及ServiceBean等等。如下图所示(右键可以在新标签页中打开图片放大查看):
分布式session解决方案 — — JWT(生成token)
weixin_45565886的博客
08-27 1270
分布式session解决方案 — — JWT(生成token)
分布式环境集成JWT(Java Web Token)
weixin_44924882的博客
08-30 1070
AuthAccess是一个自定义的注解,在拦截器中判断如果方法上有加入该注解,则放行,不校验tokenimport cn//如果不是映射到方法直接通过 if(!} else {// 判断是否为自定义注解AuthAccess,如果是,就不校验了,直接放行 HandlerMethod h =(HandlerMethod) handler;= null) {} } //执行认证 if(StringUtils . isBlank(token)) {
SpringSceurity(6)---JWT详解
Java76476434341的博客
05-28 443
JWT之前我们在做用户认证的时候,基本上会考虑session和token,所以在讲jwt之前,我们先来回顾下这个两个 一、传统的session认证 1、原理流程 session 是基于 cookie 实现的,session 存储在服务器端,sessionId 会被存储到客户端的cookie 中,具体流程如下 session 认证流程 1、用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的Session。 2、请求返回时将此 Session 的唯一标识信息Sessio...
【微服务】springboot 整合 SA-Token 使用详解
最新发布
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
nginx+redis实现session共享
09-09
【知识点详解】 在分布式系统中,session共享是一个关键问题,特别是在使用...此外,考虑使用更高级的session共享机制,如Cookie-based session ID或者JWT(JSON Web Tokens),可能也是优化性能和安全性的重要手段。
Node.js使用jwtsession实现前后端身份认证
SongD1114的博客
04-03 1232
Node.js通过sessionjwt身份认证
前后端分离、或APP用户登录解决方案——JWT(json web token)生成Token详解
一亩地的专栏
01-22 3710
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个sessi...
基于 token 的多平台身份认证架构设计
java思维导图
02-02 432
本文作者:哈莫cnblogs.com/beer/p/6029861.html1、概述在存在账号体系的信息系统中,对身份的鉴定是非常重要的事情。随着移动互联网时代到来,客户端的类型越来越多...
【Nginx】auth_request的使用,JWT结合cookie实现多系统统一认证,多系统身份统一认证,潘多拉部署解决
weixin_45885574的博客
06-12 1628
【Nginx】auth_request的使用,JWT结合cookie实现多系统统一认证,多系统身份统一认证,潘多拉部署解决
JWT多系统登录鉴权、授权验证--可用
Oo骑着猪去买西瓜-杨清oO的博客
07-30 1226
首先流程图来一波!!!! 具体实现代码工具类JwtTokenUtils如下: import io.jsonwebtoken.Claims; import io.jsonwebtoken.ExpiredJwtException; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; import java.util.HashMap; import java.uti.
laravel jwt token在两个项目中公用
niezuxue的专栏
09-12 1348
需求是这样的: 原本有一套后台的前后端混编的系统,先准备将前后端分离,前端用vue,但以后工作排期的问题,将这个事情开发了几个功能之后去弄别的了,但现在又有新的后台页面需要开发,因为不想先写在老的系统里面,到时候新系统开发的时候又写一遍,所以打算直接写在新系统里面,然后在老系统中把相关的页面嵌套进来。嵌套的仅仅是正文部分。 过程: 1,先将新系统的前后台开发好,然后将build后的dist目...
单点登录之jwt
不会英语的程序员不是好开拓者
04-24 813
单点登录     单点登录就是指在多系统应用中登录一个系统,便可在其他系统中得到授权而无需要再次登录。而在授权的过程中需要用到JWT在用户和服务器之间传递安全而可靠的信息。 什么是JWT      Json Web Token,是一个非常轻巧的规范,用来在用户和服务器之间传递安全可靠的信息。 适用场景      JWT适用于向web应用传递一些非敏感的信息,例如:加好友、下订
Go-JWT-RESTful身份认证教程详解及实战应用
在Go-JWT-RESTful环境中,创建和验证JWT的过程涉及生成、加密和验证这三个步骤。 3. **在Go中使用JWT** 使用Go语言实现JWT时,开发者可以利用第三方库如`github.com/dgrijalva/jwt-go`来简化操作。例如,客户端在...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值