Json Web Token分布式站点的单点登录场景

最新推荐文章于 2022-04-12 11:16:33 发布
VIP文章 最新推荐文章于 2022-04-12 11:16:33 发布
阅读量491 收藏
点赞数 2
分类专栏: Python Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36609501/article/details/92784550
版权

先了解基于token的认证和传统的session认证的区别

1、session认证

什么是cookies和session?

cookies浏览器会话技术,用来存储信息sessionid

session是服务器端的缓存技术

浏览器端的缓存技术,为了辨别用户身份,进行session跟踪而存储在用户本地终端上的数据。

HTTP协议 无连接和无状态的特性,是cookies和session产生的原因,用户向服务器提供用户名和密码来进行用户认证,因为http协议,每次认证的时候,无法获知是那个用户发动的请求,为了解决这个问题,服务器端存储用户登录信息,这些信息在响应的时传递给浏览器,浏览器将信息保存为cookie,浏览器再次发送请求时,就能根据sessionid识别是哪个用户。

- cookies是保存在客户端的一组识别信息(例如会员卡)

- cookies和session通过sessionid关联

- 当客户机登录成功后,关闭了相关页面,一段时间以内(没有到超时时间),再次访问相关网页,浏览器会自动携带响应的cookies信息(主要是包含sessionid),并发送给服务器,服务器检测相应的 sessionid的超时状态,如果没超时,按照已登录提供服务。

- 使用cookies实现免登录

在浏览器调试的时候:

请求的响应头里面的Set-Cookie是服务器发给客户端,用来设置客户端下次请求Cookie内容

最低0.47元/天 解锁文章
MarsenSeven
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSON Web Token (JWT)笔记(token实现单点登录功能)
qq_43813373的博客
04-05 2698
文章目录cookie(浏览器客户端)session(web服务端)单点登录三种方式 cookie(浏览器客户端) 百度百科-cookie(安全威胁) cookie是客户端技术,存储在本地浏览器中,每次发送请求带着cookie值发送。 Cookie,有时也用其复数形式Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 简介 Cookie 并不是它的原意“甜饼”的意思, 而是一
轻轻松松搞定分布式Token校验
`or 1 or 不正经の泡泡
10-12 2006
没想到前天小水了一篇博文,竟然就火了?!!既然如此,那我再来一篇,嘿嘿~那么今天带来的其实也没啥,就是简简单单的校验,去校验token,然后就好了,但是区别是啥呢,咱们这边有个大冤种就是这个 GateWay。此外这边的全部代码都是在WhiteHolev0.7里面的,可见的。由于这个玩意,咱们不好再像以前直接去在拦截器里面去搞事情。而且说实话,请求那么多,如果全部都在GateWay去做的话,我是真的懒得去写那些啥配置了,到时候放行哪些接口都会搞乱。
分布式token
慢一拍的coder
01-25 2508
分布式token 背景 在涉及到统一网关入口的时候,难免会涉及到多系统的鉴权机制,如果在在集群方案中,会有一个问题,当用户第一次登录在tomcat1上了,接口回去请求其他的接口,由于负载均衡的原因,下一个请求可能会打在了tomcat2上,此时是校验不通过的,为了解决这一问题,于是分布式token来了。 实现原理 解释 第一步:用户登录,验证账号密码成功将token写入到cookie中,并同时将用户信息写入redis 第二步:用户请求其他的接口,携带着登录成功返回的cookie 第三步:服务器从req
八幅漫画理解使用JSON Web Token设计单点登录系统
cruise技术博客
03-14 2463
上次在《JSON Web Token - 在Web应用间安全地传递信息》中我提到了JSON Web Token可以用来设计单点登录系统。我尝试用八幅漫画先让大家理解如何设计正常的用户认证系统,然后再延伸到单点登录系统。 如果还没有阅读《JSON Web Token - 在Web应用间安全地传递信息》,我强烈建议你花十分钟阅读它,理解JWT的生成过程和原理。 用户认证八步走 所谓用户认证(Au
分布式下的session和token
学渣的博客
08-06 3024
分布式架构下的session和token 我们已经知道session时有状态的,一般存于服务器内存或硬盘中,当服务器采用分布式或集群时,session就会面对负载均衡问题。 负载均衡多服务器的情况,不好确认当前用户是否登录,因为多服务器不共享session。这个问题也可以将session存在一个服务器中来解决,但是就不能完全达到负载均衡的效果。当今的几种解决session负载均衡的方法。 而t...
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种...该token被设计为紧凑且安全的,特别适用于分布式站点单点登录(SSO)场景。本实例还原了整个的使用流程。建议使用vs2019,framework4.8版本。
JWT-Json Web Token-目前最流行跨域身份验证解决方案
最新发布
04-25
JWT是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准该token被设计为紧凑且安全的,特别适用于分布式站点单点登录场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,...
Spring Boot使用JWT实现单点登录.zip
09-16
token被设计为紧凑且安全的,特别适用于分布式站点单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务...
JWT快速入门
09-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点单点登录(SSO)场景
JWTtoken验证.zip
04-16
Json web token (JWT),适用于分布式站点单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须...
分布式多系统SSO单点登录
热门推荐
weixin_38312502的博客
07-24 1万+
1.整体系统布局   大的布局有两种方式,这两种方式都需要一个独立的SSO认证服务系统称为SSO服务端,而第一种是在SSO服务端只完成登录接口,返回是否登录成功的标识和数据,每个SSO客户端都需要独立的登录页面和登录接口(这个登录接口去调用SSO服务端的登录接口返回数据),而第二种则是整个登录系统(接口,页面)全部在SSO服务端,其实这两种方式都差不多。     第一种:  第二种: ...
使用 JSON Web Token 设计 单点登录(SSO)系统
HeatDeath的博客
01-28 2560
用户认证八步走 所谓用户认证(Authentication),就是让用户登录,并且在接下来的一段时间内让用户访问网站时可以使用其账户,而不需要再次登录的机制。 小知识:可别把用户认证和用户授权(Authorization)搞混了。用户授权指的是规定并允许用户使用自己的权限,例如发布帖子、管理站点等。 首先,服务器应用(下面简称“应用”)让用户通过Web表单将自己的用户名和密码发送
基于JSON Web Tokens的单点登录(SSO)或通行证(Passport)系统方案
陈海峰的博客
04-15 6292
首先简要介绍一下什么JWT(JSON Web Token)。 JWT是一种开放的,工业标准的规范,用于在两个应用之间安全地传输信息。 JWT由3个部分组成,分别是头部、载荷、签名。 头部部分 {   "alg": "HS256",   "typ": "JWT" } alg描述的是签名算法。 载荷部分 {   "iss": "该Token的签发者",   "sub
基于分布式单点登录的JWT的token身份认证方案
weixin_46879188的博客
05-18 1776
认识JWT JWT是 JSON Web Token 的缩写,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT工作流程 这里我们通过一张图了解它的工作流程。 从上图中我们可以看出它是基于Token的身份认证,具体流程:客户端携带用户名和密码请求访问 - 服务器校验用户凭据 - 应用提供一个token给客户端 - 客户端存储token,并且在随后的每一次请求中都带着它 -服务器校验token
八幅漫画理解使用 JSON Web Token 设计单点登录系统
ShangRudy的专栏
04-12 237
这篇转载的文章和上一篇《JSON Web Token - 在 Web 应用间安全地传递信息》文章均为转载,是我个人在研究 jwt 时浏览下来发现的两篇质量比较高的文章,所以分享给大家。个人对于 jwt 使用场景的理解,包括微信公众号留言中的提问,我都会在下一篇文章中来聊一聊。实际上使用 jwt 设计单点登录系统存在诸多的问题,很多有经验的工程师比较抵制用 jwt 做会话和所谓的单点登录系统,但不妨碍大家作为一个知识点去学习。 以下是原文 上次在《JSON Web Token - 在 Web 应用间安全地.
分布式session之token解决方案实现
art_code的博客
11-04 1271
分布式session之token解决方案实现 基于令牌(Token)方式实现Session解决方案,因为Session本身就是分布式共享连接 用token代替session 废话不多说,看项目: pom.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/200...
分布式系统中使用分布式session和token的区别
q1787419288的博客
01-27 2335
一、分布式session 因为是分布式的系统,传统的单机session不适用于分布式系统中,可以使用分布式session。 本质是使用第三方的数据库(建议是非关系型数据库)来存储session信息,例如Redis、Mongo DB,可以使用spring 提供的spring session组件 用户登录请求发送到服务器后,服务器进行校验,如果通过,服务器会使用session把用户的信息临时保存在了服务器上,客户端同时也会存将session信息存储在cookie上,离开网站后session会被销毁。 Sessi
分布式项目登录——JWT技术
wang_yaqin的博客
01-03 3888
1.JWT介绍 1.1什么是JWT       JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 1.2JWT的组成        一个JWT其实就是一个字符串,由三部分组成:头部(header)、载荷(payload)、签名(signature),以“.”拼接 1.2...
Dubbo分布式框架之token验证
冷月的编程学习
06-07 1万+
Dubbo提供了对消费者的 token验证,防止消费者:     1.防止消费者绕过 注册中心访问提供者      2.在注册中心控制权限,以决定要不要下发令牌给消费者。      3.注册中心可灵活改变授权方式,而不需要修改或升级提供者。配置方法:提供商配置:1.服务器级别:token:该参数接收两种类型值:boolean类型-True则生成UUID随机令牌,若为String则自定义令牌    ...
使用JSON Web Token 实现登录的Java代码
05-26
使用 JSON Web Token (JWT) 实现登录的 Java 代码如下: 首先,需要引入以下依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> ``` 然后,可以编写一个 `JwtUtil` 类来实现 JWT 的生成和解析: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import io.jsonwebtoken.security.Keys; import java.security.Key; import java.util.Date; public class JwtUtil { private static final Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256); public static String generateToken(String subject, long expirationTimeMillis) { Date now = new Date(); Date expirationDate = new Date(now.getTime() + expirationTimeMillis); return Jwts.builder() .setSubject(subject) .setIssuedAt(now) .setExpiration(expirationDate) .signWith(key) .compact(); } public static String parseToken(String token) { Claims claims = Jwts.parserBuilder() .setSigningKey(key) .build() .parseClaimsJws(token) .getBody(); return claims.getSubject(); } } ``` 在上面的代码中,`generateToken` 方法用于生成 JWT,接受一个 `subject` 参数表示用户 ID,和一个 `expirationTimeMillis` 参数表示过期时间(以毫秒为单位)。`parseToken` 方法用于解析 JWT,返回其中的用户 ID。 接下来,可以编写一个简单的登录接口: ```java import org.springframework.http.ResponseEntity; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RestController; @RestController public class LoginController { @PostMapping("/login") public ResponseEntity<String> login(@RequestBody User user) { if (authenticate(user)) { String token = JwtUtil.generateToken(user.getId(), 86400000); return ResponseEntity.ok(token); } else { return ResponseEntity.badRequest().build(); } } private boolean authenticate(User user) { // TODO: 实现验证逻辑 return true; } } ``` 在上面的代码中,`User` 是一个简单的 Java 类,包含一个字符串类型的 `id` 属性。`login` 方法接受一个 `User` 对象作为参数,调用 `authenticate` 方法进行验证。如果验证通过,则使用 `JwtUtil.generateToken` 方法生成 JWT 并返回;否则返回错误响应。 最后,可以编写一个使用 JWT 进行身份验证的接口: ```java import org.springframework.http.ResponseEntity; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RequestHeader; import org.springframework.web.bind.annotation.RestController; @RestController public class UserController { @GetMapping("/user") public ResponseEntity<String> getUser(@RequestHeader("Authorization") String authorizationHeader) { String token = authorizationHeader.substring(7); String userId = JwtUtil.parseToken(token); // TODO: 根据用户 ID 查询用户信息并返回 return ResponseEntity.ok("User ID: " + userId); } } ``` 在上面的代码中,`getUser` 方法接受一个名为 `Authorization` 的请求头,其中包含 JWT。首先从请求头中获取 JWT,并调用 `JwtUtil.parseToken` 方法解析其中的用户 ID。然后根据用户 ID 查询用户信息并返回。 注意,在实际应用中,需要对 JWT 进行安全性考虑,比如使用 HTTPS 协议传输、设置较短的过期时间、使用更复杂的密钥等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值