分布式统一授权方案JWT

已于 2022-05-27 13:05:12 修改
阅读量998 收藏 1
点赞数 1
文章标签: java 开发语言 JWT 分布式统一授权方案
于 2022-05-03 12:19:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35958391/article/details/124553106
版权

分布式统一授权方案

一、微服务架构下的统一授权

为了识别客户端的身份,并且能够保存这个身份的状态,基于HTTP的无状态协议实现方案:

  • 浏览器的Cookie(disk / mem),客户端的状态存储
  • 服务器端的session(服务端的状态存储)

但是会话在分布式集群模式下会丢失在这里插入图片描述

二、Session Sticky

  • IPHASH |hash(ip)|%目标服务器的数量=目标服务器的地址
  • HASH算法, MD5 、SHA-1 、SHA-256
  • 一致性hash算法,虚拟节点构建hash环

缺点:

  1. 如果有一台服务器宕机或者重启,那么这台机器上的会话数据会全部丢失
  2. 负载均衡器将变成一个有状态的节点,要将会话保存到具体Web服务器的映射。和无状态节点相比,内存消耗更大,容灾方面也会更麻烦

三、Session统一存储

在这里插入图片描述
缺点:

  1. 读写Session数据是网络IO操作,这相对于本机的数据读取,存在时延和不稳定性,通信发生在内网,则问题不大。
  2. 如果存储Session的组件或集群出现问题,则会影响应用。

四、Session Replication(复制)

session复制,通过相关技术实现session复制,使得集群中的各个服务器相互保存各自节点存储的session数据。tomcat本身就可以实现session复制的功能,基于IP组播放方式。

缺点:

  1. 同步session数据会造成网络开销,随着集群规模越大,同步session带来的带宽影响也越大
  2. 每个节点需要保存集群中所有节点的session数据,就需要比较大的内存来存储。

五、JWT(JSON Web Token)

JWT token由三个部分组成,头部(header)、有效载荷(payload)、签名(signature)。参考官网

5.1、header

header部分由 typ 和 alg 组成,typ的全称是(type,类型)、alg全称(algorithm,算法),类型可以自己定义,没有限制。而alg: HS256,表示当前的token是使用HS256算法来进行加密的。

Header部分的数据,是通过base64位进行编码

5.2、payLoad

Payload 里面是 Token 的具体内容,也是一个json字符串,这些内容里面有一些是标准字段,你也可以添加其它需要的内容

它的json结构实际上是对JWT要传递的数据的一组声明,这些声明被JWT标准称为claims , JWT默认提供了一些标准的Claim,具体内容如下。

  • iss(Issuser):代表这个JWT的签发主体;
  • sub(Subject):代表这个JWT的主体,即它的所有人;
  • aud(Audience):代表这个JWT的接收对象;
  • exp(Expiration time):是一个时间戳,代表这个JWT的过期时间;
  • nbf(Not Before):是一个时间戳,代表这个JWT生效的开始时间,意味着在这个时间之前验证JWT 是会失败的;
  • iat(Issued at):是一个时间戳,代表这个JWT的签发时间;
  • jti(JWT ID):是JWT的唯一标识。

同样,payLoad中的数据,也是拼接好之后,通过base64进行编码,得到一个目标字符串

5.3、signature

signature表示签名,它的组成是:signature=HS256(base64(header)+"."+base64(payload),secret_key)

这里需要指定一个secret_key

secret_key**是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它在任何场景都不应该流露出去。一旦客户端得知这个secret_key, 那就意味着客户端是可以自我签发jwt了。

最后JWT完整的字符串构成了JWT:base64(header)+”.”+base64(payload)+”.”+sinature

5.4、JWT 流程

  1. 客户端通过用户名和密码登录服务器;
  2. 服务端对客户端身份进行验证;
  3. 服务端对该用户生成Token,返回给客户端;
  4. 客户端将Token保存到本地(缓存或者浏览器);
  5. 客户端发起请求,需要携带该Token;
  6. 服务端收到请求后,首先验证Token是否合法,然后返回数据。

优点:

  • 安全、无状态、可扩展
  • 可提供接口给第三方服务
  • 多平台跨域

目前主流的微服务架构下的统一授权方案都是JWT

Heloise_yangyuchang
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
分布式环境认证和授权-基于springboot+JWT+拦截器实现-实操+源码下载
雾林小妖的博客
12-12 1638
基于springbootboot工程+jwt+拦截器实现登录验证和授权
Spring Cloud Gateway整合OAuth2.0 实现分布式统一认证授权
热门推荐
BUG指挥课堂
01-24 1万+
今天这篇文章介绍一下Spring Cloud Gateway整合OAuth2.0实现认证授权,涉及到的知识点有点多,有不清楚的可以看下陈某的往期文章。 文章目录如下: 微服务认证方案 微服务认证方案目前有很多种,每个企业也是大不相同,但是总体分为两类,如下: 网关只负责转发请求,认证鉴权交给每个微服务商控制 统一在网关层面认证鉴权,微服务只负责业务 你们公司目前用的是哪种方案? 先来说说第一种方案,有着很大的弊端,如下: 代码耦合严重,每个微服务都要维护一套认证鉴权 无法做到统一认证鉴权
JWT简介
weixin_45743893的博客
02-26 3867
JWT是什么? JWT是一种基于JSON的token验证标准,常用于分布式服务的单点登录。 JWT的优势 JWT不像session和redis token那样需要在服务端内存/Redis中保存数据用于鉴权,JWT无状态的,服务端不需要保存任何数据,这也意味着JWT认证机制不需要考虑用户在哪一台服务器上登录,非常适合于分布式服务。 JWT鉴权流程 用户端发送登录请求 服务端验证登录信息 验证通过,服务端生成一个token发送给用户端 用户端存储token,每次请求都在头部加上这个token 服务端验证tok
分布式项目登录——JWT技术
wang_yaqin的博客
01-03 3940
1.JWT介绍 1.1什么是JWT       JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 1.2JWT的组成        一个JWT其实就是一个字符串,由三部分组成:头部(header)、载荷(payload)、签名(signature),以“.”拼接 1.2...
分布式权限验证之JWT
小小的人儿的博客
03-27 1593
JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {“typ”:“JWT”,“alg”:“HS256”} 在头部指明了签名算法...
分布式环境集成JWT(Java Web Token)
weixin_44924882的博客
08-30 1060
AuthAccess是一个自定义的注解,在拦截器中判断如果方法上有加入该注解,则放行,不校验tokenimport cn//如果不是映射到方法直接通过 if(!} else {// 判断是否为自定义注解AuthAccess,如果是,就不校验了,直接放行 HandlerMethod h =(HandlerMethod) handler;= null) {} } //执行认证 if(StringUtils . isBlank(token)) {
【案例实战】分布式应用下登录检验解决方案JWT
互联网小阿祥
11-16 1078
分布式应用下登录检验解决方案JWT),编写登录逻辑全流程
ASP.NET Core 使用 JWT 搭建分布式无状态身份验证系统
weixin_30823001的博客
05-10 245
升级到 Asp.Net Core 2.0 (2017/08/29 更新) 为什么使用 Jwt 最近,移动开发的劲头越来越足,学校搞的各种比赛都需要用手机 APP 来撑场面,所以,作为写后端的,很有必要改进一下以往的基于 Session 的身份认证方式了,理由如下: 移动端经常要保持长时间(1 到 2 星期)在线,但是 Session 却不好在服务端保存这么久,虽然可以持久化到数据库,但是还是挺费...
Gateway+Springsecurity+OAuth2.0+JWT 实现分布式统一认证授权
01-23
这个项目“Gateway+Springsecurity+OAuth2.0+JWT 实现分布式统一认证授权”旨在构建一个强大的、分布式的认证与授权系统,以保护微服务架构中的各种服务。下面我们将深入探讨其中涉及的关键技术点。 1. **Gateway**...
【实战】Spring Cloud Gateway 整合 OAuth2.0 实现分布式统一认证授权
superjava_的博客
12-22 757
大家好 今天这篇文章小编介绍一下Spring Cloud Gateway整合OAuth2.0实现认证授权,涉及到的知识点有点多。 文章目录如下: 微服务认证方案 微服务认证方案目前有很多种,每个企业也是大不相同,但是总体分为两类,如下: 网关只负责转发请求,认证鉴权交给每个微服务控制 统一在网关层面认证鉴权,微服务只负责业务 你们公司目前用的哪种方案? 先来说说第一种方案,有着很大的弊端,如下: 代码耦合严重,每个微服务都要维护一套认证鉴权 无法做到统一认证鉴权,开发难度太大 第二种方
统一授权管理
05-07
在推进各机构单位信息化建设的进程中,普遍存在多个系统的信息资源目录的统一问题,普遍存在统一授权管理问题,普遍存在统一授权机制、分级分类授权操作的问题。这些问题的解决直接影响整个信息资源系统的可控性和安全性。这是当前各机构单位信息化中的一个关键问题。  统一用户授权管理正是基于上述需求而设计开发授权管理类安全控制产品,提供与当前我国政府和企业实际组织体系和业务模式相适应的分级分类授权机制,向用户和应用程序提供整合的授权控制管理服务,提供用户身份到应用授权的映射功能,提供用户控制的基于多种业务属性组合条件下灵活的授权策略,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护
java jwt 统一认证 demo
05-07
包含jwt包和源码 jwt打包成工具 可以直接使用 加密解密方法
Spring Security 学习笔记(五)--分布式系统认证方案
SuperArc1999的博客
01-03 574
5.1什么是分布式系统 略。 5.2分布式认证需求 分布式系统的每个服务都会有认证、授权的需求,如果每个服务都实现一套认证授权逻辑的话,会使代码显得非常冗余,考虑到分布式系统共享性的特点,需要由独立的认证服务处理系统认证授权的请求;考虑到分布式系统开放的特点,不仅对系统内部服务提供认证,对第三方系统也要提供认证。 统一认证授权 提供独立的认证服务,统一处理认证授权。 无论是不同类型的用户,还是不同种类的客户端(web端,APP、H5),均采用一致的认证、权限、会话...
分布式应用下登录校验解决方案——JWT
weixin_43434080的博客
05-17 463
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
shiro jwt 构建无状态分布式鉴权体系
wj596的专栏
01-06 916
一:JWT 1、令牌构造 JWT(json web token)是可在网络上传输的用于声明某种主张的令牌(token),以JSON 对象为载体的轻量级开放标准(RFC 7519)。 一个JWT令牌的定义包含头信息、荷载信息、签名信息三个部分: Header//头信息 { "alg": "HS256",//签名或摘要算法 "typ": "JWT"//token类型 ...
分布式认证JWT
最新发布
b2105859的博客
02-13 1313
分布式认证JWT
JWT安全验证常见疑问解答
西涛offbye-移动全栈技术博客
07-05 1万+
最近做基于BFF架构的分布式移动端API接口的系统设计。工作过程中发现有些工程师对JWT安全验证的认识存在一些偏差,重复讲解实在太麻烦了,在这里把关于JWT常见的一些疑问统一回答下吧。 什么是JWT?JSON Web Token (JWT)是一种基于 token 的认证方案。 JSON Web Tokens are an open, industry standard RFC 7519 metho
分布式应用的用户信息检验方案JWT
chy1984的博客
02-21 779
目录jwt简介jjwt实现jwtjava-jwt实现jwt说明   jwt简介 Json web token(JWT):使用HMAC或RSA算法加密用户信息生成token,存储在客户端(浏览器),客户端请求服务端时携带上token,服务端解密token获取用户信息。   优缺点 优点:token包含了用户的id、昵称、头像等基本信息,避免了再次查库;使用json交换数据,通用、轻量;token存储在客户端,适合分布式应用、单点登录,不占用服务端的内存资源。 缺点:token存储在客户端
分布式应用的登录检验解决方案 JWT讲解( json web token)
hushuai1559的博客
12-13 343
什么是JWT JWT 是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名 简单来说: 就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息 优点 生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库 存储在客户端,不占用服务端的内存资源 缺点 token是经过base64编码,所以可以解码,因此token加密前的对象不应该
谷粒商城V2.0:实现分布式单点登录与JWT安全解决方案
分布式应用环境中,传统的session共享模式不再适用,因为多业务之间的数据独立管理需求使得统一维护session数据变得复杂且不安全。 单点登录的核心在于用户身份信息的集中管理和认证过程。通过将用户认证和授权...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值