JWT|单点登录解决方案|Spring Boot使用Redis如何实现Session共享

最新推荐文章于 2024-05-04 09:10:32 发布
最新推荐文章于 2024-05-04 09:10:32 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: 架构/项目部署/构建
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36762677/article/details/84930357
版权
本文探讨了传统Web应用的身份验证和JWT(JSON Web Token)的原理与区别,详细介绍了JWT的使用场景、流程和数据结构。同时,讨论了JWT的问题与趋势。针对单点登录(SSO)需求,指出了传统Session在分布式架构中的局限性,并提出Spring Boot结合Redis实现Session共享的解决方案。最后,提到了CAS(Central Authentication Service)作为开源SSO的实现,以及在服务端和客户端的配置方法。
摘要由CSDN通过智能技术生成

传统web应用身份验证

1.用户向服务器发送用户名和密码。
2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。
3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。
4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。
5.服务器收到session_id并对比之前保存的数据,确认用户的身份。
缺点:没有分布式架构,无法支持横向扩展。

JWT初识
1.概念

JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。

通过客户端保存数据,而服务器根本不保存会话数据,每个请求都被发送回服务器。
JWT是这种解决方案的代表。
用JSON对象在各方之间安全地传输信息。
该信息可以被验证和信任,因为它是数字签名的。
:<><><<><><>>JWT与Session相同点:<><><<><><>>

它们都是存储用户信息

:<><><<><><>>不同:<><><<><><>>

Session是在服务器端的,而JWT是在客户端的。
Session方式存储用户信息的最大问题在于要占用大量服务器内存,增加服务器的开销。
而JWT方式将用户状态分散到了客户端中,可以明显减轻服务端的内存压力。
Session的状态是存储在服务器端,客户端只有session id;而Token的状态是存储在客户端。

2.应用场景
  • Authorization (授权) :
    这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。
  • Information Exchange (信息交换) :
    对于安全的在各方之间传输信息而言,JSON Web Tokens无疑是一种很好的方式。因为JWTs可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。另外,由于签名是使用头和有效负载计算的,您还可以验证内容没有被篡改。
3.流程图解

在这里插入图片描述

  1. 应用(或者客户端)想授权服务器请求授权。例如,如果用授权码流程的话,就是/oauth/authorize
  2. 当授权被许可以后,授权服务器返回一个access token给应用,将其存储在Cookie或localStorage中。
  3. 客户端将在与服务器交互中都会带JWT-access-token。如果将它存储在Cookie中,就可以自动发送,但是不会跨域,因此一般是将它放入HTTP请求的Header Authorization字段中。当跨域时,也可以将JWT被放置于POST请求的数据主体中。
4. 数据结构

JSON Web Token由三部分组成,它们之间用圆点(.)连接。这三部分分别是:
Header     Payload     Signature
因此,一个典型的JWT看起来是这个样子的:
xxxxx.yyyyy.zzzzz

5. JWT问题和趋势

1、JWT默认不加密,但可以加密。生成原始令牌后,可以使用改令牌再次对其进行加密。
2、当JWT未加密方法是,一些私密数据无法通过JWT传输。
3、JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。
5、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。 为了减少盗用,JWT的有效期不宜设置太长。 对于某些重要操作

最低0.47元/天 解锁文章
橘子味的阳光
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringRedisSession详解
weixin_42132854的博客
06-24 5519
Spring redisSession
利用redis同步登陆实现session共享
小鱼儿的博客
02-14 5812
由于一直在弄oa系统,涉及与公司的其它系统整合;     今天要弄的是用redis做同步登陆,即在oa里登陆成功后即可在其它系统实现一键登陆。    oa是用shiro登陆的,shiro里也提供了一个redis的同步session机制,不过在测试时发现,不能用,同一个请求都会产生不同的sessionid,应该是shiro底层问题,在读取sessionid时由于某些原因总是为空,于是就时
Nacos面试题(三)
最新发布
闲依农圃邻,偶似山林客。
05-04 1108
1. Nacos配置中心宕机了,我们的服务还可以读取到配置信息吗? 2. 简述 Nacos和Eureka区别 ? 3. 简述Nacos中的保护阈值的作用 ? 4. 简述Nacos中保证的是CP还是AP? 5. Nacos的就近访问是什么意思? 6. Nacos中的负载均衡底层是如何实现的? 7. Nacos服务是如何判定服务实例的状态? 8. 简述Nacos如何共享配置 ?
session共享解决方案 - JWT详解
fengbin2005的专栏
10-17 1019
目录 一. session流程 二. 分布式应用的session共享 三. JWT的组成 四. header介绍 五. payload介绍 六. signature介绍 七. base64url算法 八. JWT使用方式 九. JWT的特点 十. java代码简单实现 一. session流程 1. 用户向服务器发送用户名和密码 2. 服务器验证通过后,在当前会话session里保存信息 3. 服务器向用户返回一个session id,写入到cookie中 4. 用户之后...
Redis实战之共享session + jwt 实现登录拦截、刷新token
qq_54429571的博客
11-28 2344
Redis实战之共享session + jwt 生成 token、实现登录拦截、刷新token等功能。
redis安装与Spring Boot使用redis实现session共享
zzyyllll的博客
02-16 89
Linux里安装redisspring boot使用redis实现session共享
SpringBoot+JWT+Redis实现单用户登录
兔兔的爸爸
03-31 606
以上是核心代码,可以根据需要进行细化。
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
3. **Spring Cloud Session**: Spring Cloud提供了一种解决方案,通过Ribbon或Zuul等组件实现session的复制和分发。它使用了`SessionRepositoryFilter`,可以支持各种持久化存储,如Redis、MongoDB等。 为了实现这...
RedisspringSession共享
12-04
总的来说,RedisSpringSession 结合使用可以提供一个健壮的分布式 Session 管理解决方案。通过将 Session 存储在 Redis 中,可以轻松地在多服务器之间共享用户状态,从而提升系统的可扩展性和用户体验。在实际...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWTRedis实现token登录授权验证以及token刷新
05-14
​ 在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不...
基于springbootredis实现单点登录
08-25
主要为大家详细介绍了基于springbootredis实现单点登录,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
redis实现登录退出代码
05-13
redis实现登录退出代码(包括工具类)
sping-boot-shiro-jwt-redis.zip
07-22
总的来说,Spring Boot、Shiro、JWTRedis的结合,为我们提供了一个高效、可扩展的安全解决方案。这种方案不仅实现了细粒度的权限控制,还利用Redis实现了Token的自动刷新,减少了用户交互,提高了系统的可用性。在...
Springsecurity安全框架案例+多页面登录+redis+token
12-08
在本案例中,我们将深入探讨如何使用Spring Security构建安全框架,实现多页面登录功能,并结合Redis存储Token来提高系统的安全性与性能。 1. **Spring Security 基础** Spring Security 提供了全面的安全管理组件...
实例详解:Java使用JWTRedis实现高效单点登录(SSO)
Da_zhenzai的博客
10-25 2700
单点登录(Single Sign-On,简称SSO)是一种身份验证和访问控制机制,允许用户使用一组凭证(如登录名和密码)登录到多个应用程序中,而无需为每个应用程序单独进行身份验证。用户只需要登录一次就可以访问所有系统的应用和资源。相对于传统的每个系统都需要登录一次的方式,单点登录可以提高用户体验,降低用户的登录成本。在本文中,我们将通过使用JWT(JSON Web Token)和Redis实现SSO功能,并提供详细的Java代码实例。通过结合JWTRedis,我们可以轻松实现单点登录(SSO)的功能。
SprigBoot + JWT + Redis 实现单点登录思路
03-21 1827
最近一直在纠结低配版的单点登录. 用于小型项目开发. 直奔主题: 1. Token生成思路 = md5(当日日期(yyyyMMdd) + id) + 4位随机 2. 每次登录删除Redis里面的前缀为md5(当日日期(yyyyMMdd) + id)的token , 然后放入新增的token 这里要用到Redis的 keys 命令 由于Redis的单线程服务模式,命令keys会阻塞正常的业...
Springboot使用JWT+Redis实现一个简单的登录鉴权
rgrhiea的博客
08-07 5644
这是一个JWT+Redis实现登录鉴权的简单demo,通过它包括了springbootjwtRedisTemplate的简单使用
Spring Security +Spring Session Redis+JJWT
fxtxz2的专栏
02-08 2084
Spring Security+Spring Session Redis+JJWT实现集中引用式会话
Java微服务项目:家具商城同时拥有PC端、小程序、APP,实现单点登录功能,使用Spring Security+JWT+Redis完成单点登录,代码实现流程
06-09
好的,针对你的问题,我会给出一份 Java 微服务项目:家具商城的单点登录功能实现代码流程,使用 Spring Security+JWT+Redis 完成单点登录。代码实现流程如下: 1. 添加依赖 在 pom.xml 文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> ``` 2. 配置 Spring Security 在 Spring Security 配置类中,添加以下配置: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserService userService; @Autowired private JwtTokenUtil jwtTokenUtil; @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/auth/**").permitAll() .anyRequest().authenticated() .and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class); } @Override public void configure(WebSecurity web) throws Exception { web.ignoring() .antMatchers("/resources/**", "/static/**", "/css/**", "/js/**", "/images/**"); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userService).passwordEncoder(passwordEncoder()); } @Bean public JwtAuthenticationTokenFilter authenticationTokenFilterBean() throws Exception { return new JwtAuthenticationTokenFilter(); } @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } } ``` 3. 实现 JWT 工具类 实现 JwtTokenUtil 工具类,用于生成和解析 JWT Token。 ``` @Component public class JwtTokenUtil { private static final String SECRET = "secret"; private static final String ISSUER = "issuer"; private static final String AUDIENCE = "audience"; private static final String CLAIM_KEY_USERNAME = "sub"; private static final String CLAIM_KEY_CREATED = "created"; private static final long EXPIRATION_TIME = 86400000; // 24 hours public String generateToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); claims.put(CLAIM_KEY_USERNAME, userDetails.getUsername()); claims.put(CLAIM_KEY_CREATED, new Date()); return Jwts.builder() .setClaims(claims) .setIssuer(ISSUER) .setAudience(AUDIENCE) .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) .signWith(SignatureAlgorithm.HS512, SECRET) .compact(); } public String getUsernameFromToken(String token) { String username; try { final Claims claims = getClaimsFromToken(token); username = claims.getSubject(); } catch (Exception e) { username = null; } return username; } public Date getExpirationDateFromToken(String token) { Date expiration; try { final Claims claims = getClaimsFromToken(token); expiration = claims.getExpiration(); } catch (Exception e) { expiration = null; } return expiration; } private Claims getClaimsFromToken(String token) { Claims claims; try { claims = Jwts.parser() .setSigningKey(SECRET) .parseClaimsJws(token) .getBody(); } catch (Exception e) { claims = null; } return claims; } public boolean validateToken(String token, UserDetails userDetails) { final String username = getUsernameFromToken(token); return username.equals(userDetails.getUsername()) && !isTokenExpired(token); } private boolean isTokenExpired(String token) { final Date expiration = getExpirationDateFromToken(token); return expiration.before(new Date()); } } ``` 4. 实现认证过滤器 实现 JwtAuthenticationTokenFilter 过滤器,用于在请求头中解析 JWT Token,并进行认证。 ``` public class JwtAuthenticationTokenFilter extends OncePerRequestFilter { @Autowired private UserDetailsService userDetailsService; @Autowired private JwtTokenUtil jwtTokenUtil; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { String authHeader = request.getHeader("Authorization"); if (authHeader != null && authHeader.startsWith("Bearer ")) { String authToken = authHeader.substring("Bearer ".length()); String username = jwtTokenUtil.getUsernameFromToken(authToken); if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = userDetailsService.loadUserByUsername(username); if (jwtTokenUtil.validateToken(authToken, userDetails)) { UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authenticationToken); } } } chain.doFilter(request, response); } } ``` 5. 实现单点登录功能 在登录接口中,使用 JWT 工具类生成 JWT Token,并将 Token 存储到 Redis 中,设置 Token 过期时间,并返回 Token 给客户端。 ``` @RestController @RequestMapping("/auth") public class AuthController { @Autowired private UserService userService; @Autowired private JwtTokenUtil jwtTokenUtil; @Autowired private RedisTemplate<String, Object> redisTemplate; @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) { User user = userService.findByUsername(loginRequest.getUsername()); if (user == null) { return ResponseEntity.badRequest().body(new ApiResponse(false, "Invalid username")); } if (!user.getPassword().equals(loginRequest.getPassword())) { return ResponseEntity.badRequest().body(new ApiResponse(false, "Invalid password")); } UserDetails userDetails = new User(user.getUsername(), user.getPassword(), new ArrayList<>()); String token = jwtTokenUtil.generateToken(userDetails); redisTemplate.opsForValue().set(token, userDetails.getUsername(), jwtTokenUtil.EXPIRATION_TIME, TimeUnit.MILLISECONDS); return ResponseEntity.ok(new JwtAuthenticationResponse(token)); } } ``` 6. 实现单点登录拦截器 在请求过程中,使用 JwtAuthenticationInterceptor 拦截器,从请求头中解析 JWT Token,并从 Redis 中获取 Token 对应的用户名,将用户名设置到请求属性中,供后续业务使用。 ``` @Component public class JwtAuthenticationInterceptor implements HandlerInterceptor { @Autowired private JwtTokenUtil jwtTokenUtil; @Autowired private RedisTemplate<String, Object> redisTemplate; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String authHeader = request.getHeader("Authorization"); if (authHeader != null && authHeader.startsWith("Bearer ")) { String authToken = authHeader.substring("Bearer ".length()); String username = (String) redisTemplate.opsForValue().get(authToken); if (username != null && !jwtTokenUtil.isTokenExpired(authToken)) { request.setAttribute("username", username); return true; } } response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); return false; } } ``` 7. 配置 Redis 在 application.properties 中,添加以下配置: ``` spring.redis.host=localhost spring.redis.port=6379 spring.redis.password= spring.redis.database=0 ``` 至此,Java 微服务项目:家具商城的单点登录功能使用 Spring Security+JWT+Redis 完成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值