分布式统一授权方案JWT

已于 2022-05-27 13:05:12 修改
阅读量919 收藏 1
点赞数 1
文章标签: java 开发语言 JWT 分布式统一授权方案
于 2022-05-03 12:19:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35958391/article/details/124553106
版权

分布式统一授权方案

一、微服务架构下的统一授权

为了识别客户端的身份,并且能够保存这个身份的状态,基于HTTP的无状态协议实现方案:

  • 浏览器的Cookie(disk / mem),客户端的状态存储
  • 服务器端的session(服务端的状态存储)

但是会话在分布式集群模式下会丢失在这里插入图片描述

二、Session Sticky

  • IPHASH |hash(ip)|%目标服务器的数量=目标服务器的地址
  • HASH算法, MD5 、SHA-1 、SHA-256
  • 一致性hash算法,虚拟节点构建hash环

缺点:

  1. 如果有一台服务器宕机或者重启,那么这台机器上的会话数据会全部丢失
  2. 负载均衡器将变成一个有状态的节点,要将会话保存到具体Web服务器的映射。和无状态节点相比,内存消耗更大,容灾方面也会更麻烦

三、Session统一存储

在这里插入图片描述
缺点:

  1. 读写Session数据是网络IO操作,这相对于本机的数据读取,存在时延和不稳定性,通信发生在内网,则问题不大。
  2. 如果存储Session的组件或集群出现问题,则会影响应用。

四、Session Replication(复制)

session复制,通过相关技术实现session复制,使得集群中的各个服务器相互保存各自节点存储的session数据。tomcat本身就可以实现session复制的功能,基于IP组播放方式。

缺点:

  1. 同步session数据会造成网络开销,随着集群规模越大,同步session带来的带宽影响也越大
  2. 每个节点需要保存集群中所有节点的session数据,就需要比较大的内存来存储。

五、JWT(JSON Web Token)

JWT token由三个部分组成,头部(header)、有效载荷(payload)、签名(signature)。参考官网

5.1、header

header部分由 typ 和 alg 组成,typ的全称是(type,类型)、alg全称(algorithm,算法),类型可以自己定义,没有限制。而alg: HS256,表示当前的token是使用HS256算法来进行加密的。

Header部分的数据,是通过base64位进行编码

5.2、payLoad

Payload 里面是 Token 的具体内容,也是一个json字符串,这些内容里面有一些是标准字段,你也可以添加其它需要的内容

它的json结构实际上是对JWT要传递的数据的一组声明,这些声明被JWT标准称为claims , JWT默认提供了一些标准的Claim,具体内容如下。

  • iss(Issuser):代表这个JWT的签发主体;
  • sub(Subject):代表这个JWT的主体,即它的所有人;
  • aud(Audience):代表这个JWT的接收对象;
  • exp(Expiration time):是一个时间戳,代表这个JWT的过期时间;
  • nbf(Not Before):是一个时间戳,代表这个JWT生效的开始时间,意味着在这个时间之前验证JWT 是会失败的;
  • iat(Issued at):是一个时间戳,代表这个JWT的签发时间;
  • jti(JWT ID):是JWT的唯一标识。

同样,payLoad中的数据,也是拼接好之后,通过base64进行编码,得到一个目标字符串

5.3、signature

signature表示签名,它的组成是:signature=HS256(base64(header)+"."+base64(payload),secret_key)

这里需要指定一个secret_key

secret_key**是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它在任何场景都不应该流露出去。一旦客户端得知这个secret_key, 那就意味着客户端是可以自我签发jwt了。

最后JWT完整的字符串构成了JWT:base64(header)+”.”+base64(payload)+”.”+sinature

5.4、JWT 流程

  1. 客户端通过用户名和密码登录服务器;
  2. 服务端对客户端身份进行验证;
  3. 服务端对该用户生成Token,返回给客户端;
  4. 客户端将Token保存到本地(缓存或者浏览器);
  5. 客户端发起请求,需要携带该Token;
  6. 服务端收到请求后,首先验证Token是否合法,然后返回数据。

优点:

  • 安全、无状态、可扩展
  • 可提供接口给第三方服务
  • 多平台跨域

目前主流的微服务架构下的统一授权方案都是JWT

Heloise_yangyuchang
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
统一授权管理
05-07
在推进各机构单位信息化建设的进程中,普遍存在多个系统的信息资源目录的统一问题,普遍存在统一授权管理问题,普遍存在统一授权机制、分级分类授权操作的问题。这些问题的解决直接影响整个信息资源系统的可控性和安全性。这是当前各机构单位信息化中的一个关键问题。  统一用户授权管理正是基于上述需求而设计开发授权管理类安全控制产品,提供与当前我国政府和企业实际组织体系和业务模式相适应的分级分类授权机制,向用户和应用程序提供整合的授权控制管理服务,提供用户身份到应用授权的映射功能,提供用户控制的基于多种业务属性组合条件下灵活的授权策略,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护
分布式权限验证之JWT
小小的人儿的博客
03-27 1537
JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {“typ”:“JWT”,“alg”:“HS256”} 在头部指明了签名算法...
JWT实现分布式Session?行不?,看完这篇
最新发布
2301_76225734的博客
03-30 702
小伙伴们怎么去选择Session的方式,是用传统的Sesion-Cookie服务器方式,还是用JWT方式,具体集合业务看。不过老顾这里推荐还是用传统的方式,因为以后的业务很有可能会用到用户Session。!!现在都说互联网寒冬,其实只要自身技术能力够强,咱们就不怕!我这边专门针对Android开发工程师整理了一套【Android进阶学习视频】、【全套Android面试秘籍】、【Android知识点PDF】。如有需要获取资料文档的朋友,可以点击我的GitHub免费获取!
ASP.NET Core 使用 JWT 搭建分布式无状态身份验证系统
weixin_30823001的博客
05-10 225
升级到 Asp.Net Core 2.0 (2017/08/29 更新) 为什么使用 Jwt 最近,移动开发的劲头越来越足,学校搞的各种比赛都需要用手机 APP 来撑场面,所以,作为写后端的,很有必要改进一下以往的基于 Session 的身份认证方式了,理由如下: 移动端经常要保持长时间(1 到 2 星期)在线,但是 Session 却不好在服务端保存这么久,虽然可以持久化到数据库,但是还是挺费...
分布式项目登录——JWT技术
wang_yaqin的博客
01-03 3890
1.JWT介绍 1.1什么是JWT       JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 1.2JWT的组成        一个JWT其实就是一个字符串,由三部分组成:头部(header)、载荷(payload)、签名(signature),以“.”拼接 1.2...
分布式应用下登录校验解决方案——JWT
weixin_43434080的博客
05-17 334
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Gateway+Springsecurity+OAuth2.0+JWT 实现分布式统一认证授权
01-23
Gateway+Springsecurity+OAuth2.0+JWT 实现分布式统一认证授权
JWT授权鉴权--相当nice
08-14
用于授权鉴权的一种流行方式,根据Richard的老师的授课总结
11.Oauth2授权JWT集成
01-01
11.Oauth2授权JWT集成
java jwt 统一认证
11-08
包含jwt包和源码 jwt打包成工具 可以直接使用 加密解密方法 快捷开发
springboot整合Shiro与Jwt并封装统一返回值
11-15
该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务...
java jwt 统一认证 demo
05-07
包含jwt包和源码 jwt打包成工具 可以直接使用 加密解密方法
shiro jwt 构建无状态分布式鉴权体系
wj596的专栏
01-06 896
一:JWT 1、令牌构造 JWT(json web token)是可在网络上传输的用于声明某种主张的令牌(token),以JSON 对象为载体的轻量级开放标准(RFC 7519)。 一个JWT令牌的定义包含头信息、荷载信息、签名信息三个部分: Header//头信息 { "alg": "HS256",//签名或摘要算法 "typ": "JWT"//token类型 ...
JWT安全验证常见疑问解答
热门推荐
西涛offbye-移动全栈技术博客
07-05 1万+
最近做基于BFF架构的分布式移动端API接口的系统设计。工作过程中发现有些工程师对JWT安全验证的认识存在一些偏差,重复讲解实在太麻烦了,在这里把关于JWT常见的一些疑问统一回答下吧。 什么是JWT?JSON Web Token (JWT)是一种基于 token 的认证方案。 JSON Web Tokens are an open, industry standard RFC 7519 metho
【案例实战】分布式应用下登录检验解决方案JWT
互联网小阿祥
11-16 985
分布式应用下登录检验解决方案JWT),编写登录逻辑全流程
分布式应用的用户信息检验方案JWT
chy1984的博客
02-21 692
目录jwt简介jjwt实现jwtjava-jwt实现jwt说明   jwt简介 Json web token(JWT):使用HMAC或RSA算法加密用户信息生成token,存储在客户端(浏览器),客户端请求服务端时携带上token,服务端解密token获取用户信息。   优缺点 优点:token包含了用户的id、昵称、头像等基本信息,避免了再次查库;使用json交换数据,通用、轻量;token存储在客户端,适合分布式应用、单点登录,不占用服务端的内存资源。 缺点:token存储在客户端
分布式应用的登录检验解决方案 JWT讲解( json web token)
hushuai1559的博客
12-13 328
什么是JWT JWT 是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名 简单来说: 就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息 优点 生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库 存储在客户端,不占用服务端的内存资源 缺点 token是经过base64编码,所以可以解码,因此token加密前的对象不应该
JWT实现分布式Session?行不?
m0_57768035的博客
06-13 392
享学课堂特邀作者:老顾 转载请声明出处! 前言 小伙伴们老顾在上一篇【微服务架构下分布式Session】介绍了Session实现方式,这篇文章中我们来了解一下JWT是何方神圣?以及JWT来实现分布式Session。 JWT是什么 JWT一看就是简称,它的全称JSON Web Token,从字面上我们看出 1、数据是JSON格式 2、用于Web应用 3、是一个Token,也就是一个令牌方式 看看官方的说明,它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象进行安全传输信息。这些信息可以通过对.
分布式授权问题
j1039973905的博客
05-06 407
前言项目结构测试 最近自己在写一个分布式授权的服务,使用的是springCloud+security +auth2。结果在授权出现完成后出现问题,只要是通过zuul网关访问全部的接口全部给我重定向到根目录了。在网上找了很多解释。都没有符合我的情况。解决其中过程很心累,所以记录一下。先说一下原因,然后再测试。我的原因是因为没有再zuul里面放开对cookie的过滤导致的。解释这个sensitiveH...
Blazor jwt认证授权
05-31
Blazor是一种基于WebAssembly的新型Web开发框架,可以使用C#语言开发客户端应用程序。它提供了一种方便的方式来实现JWT认证授权。 在Blazor应用程序中,您可以使用ASP.NET Core Identity和JSON Web Token(JWT)来实现JWT认证授权。首先,您需要在ASP.NET Core应用程序中配置JWT认证服务。然后,您可以使用Identity提供的API来管理用户和角色,以及实现基于角色的授权策略。 接下来,您需要在Blazor组件中使用`[Authorize]`属性来标记需要授权才能访问的组件。这将要求用户登录,并检查他们是否具有访问该组件的权限。 最后,您可以使用JWT来验证用户身份,并根据用户的角色和权限来授权访问。 下面是一个示例,演示如何在Blazor应用程序中使用JWT认证授权: ``` @page "/myprotectedpage" @attribute [Authorize(Roles = "Admin")] <h1>Welcome to the protected page!</h1> @code { [Inject] private IAccessTokenProvider TokenProvider { get; set; } private async Task<string> GetAccessTokenAsync() { var tokenResult = await TokenProvider.RequestAccessToken(); if (tokenResult.TryGetToken(out var token)) { return token.Value; } else { return null; } } protected override async Task OnInitializedAsync() { var accessToken = await GetAccessTokenAsync(); if (accessToken != null) { // Verify the token and extract the user's claims var handler = new JwtSecurityTokenHandler(); var token = handler.ReadJwtToken(accessToken); var userId = token.Claims.FirstOrDefault(c => c.Type == ClaimTypes.NameIdentifier)?.Value; var roles = token.Claims.Where(c => c.Type == ClaimTypes.Role).Select(c => c.Value).ToList(); // Check if the user has the required role if (!roles.Contains("Admin")) { NavigationManager.NavigateTo("/accessdenied"); } } else { NavigationManager.NavigateTo("/login"); } } } ``` 在上面的示例中,我们使用`[Authorize(Roles = "Admin")]`属性来标记需要“Admin”角色才能访问的组件。然后,我们使用`IAccessTokenProvider`来获取JWT访问令牌,并验证令牌以确定用户的身份和角色。如果用户没有所需的角色,我们将重定向到一个名为“accessdenied”的页面。 希望这个示例能够帮助您实现Blazor中的JWT认证授权

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值