jwt鉴权

最新推荐文章于 2024-03-14 10:17:00 发布
最新推荐文章于 2024-03-14 10:17:00 发布
阅读量623 收藏
点赞数
文章标签: jwt鉴权 集群session共享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37291761/article/details/88607255
版权

背景:

一个普通项目配置在一台服务器上并发性并不高,但是像一些大型的电商 门户网站,每一天的访问量过千万,也就是说在同一时间可能会有近万人访问。一台服务器的并发量就难以满足。这个时候人们 就想到了利用分布式架构。采用集群的方式来提高并发性。

一般会配一个nginx集群来进行反向代理,使得多个服务器上分担的压力均衡,达到负载均衡。如图

这个时候就存在一个问题,传统方式我们登陆注册需要将登陆后的用户信息存储在session中,后面需要操作只需要在session中取就好了。但是现在每个服务器对应不同的会话,也就说session域也不一样,比如上图我第一次访问被nginx通知我去找第一个服务器,登陆以后将登陆信息存储在第一个session中,但第二次我访问同样的网站,又被分到第二个服务器上,这个服务器并没有上次登陆的信息,也取不到第一个session中的信息,那么还得登陆一下。

这样问题就来了:假如每次访问,请求被转发给不同的服务器,那么就得不停的登陆,这个体验感就很差,也没有网站这样做。

解决session共享

1、session复制

最简单的方式也容易想到,无论在哪个服务器上登陆,都会把session信息复制到另外的服务器上,这样一来无论被转发的哪个服务器,session信息都会存在。但是这样做弊端也很明显。

如果我有100个服务器,也就意味着每次登陆存入session的信息会被查到并复制到剩下的99个服务器上,而且还需要随时监视每个服务器上的用户登陆情况,既浪费了空间,效率也非常低。

2、session黏着

利用算法,将每个用户访问的服务器固定下来,比如下图中

利用hash法,将每个访问者的id对服务器总数取余,余数对应的服务器的s_id的请求就会被转发到指定的服务器上。也就是说每个访问者访问该网站被分到服务器是固定的,这样一来就不存在session中的信息不一致的情况。

这样做也会存在一些弊端,比如当服务器总数发生改变的时候,进行hash的结果也会发生变化,导致session存入的访问者登陆信息又不一致。

3、session共享

将登陆信息存入一个固定的session服务器(多用redis数据库)每次读写信息,只需要找session服务器即可。这样就可以达到session共享,但是存在跨域的问题。

4、不使用session的方式----jwt (json web token)

利用token(令牌)登陆成功以后会创建一个令牌,下一次访问只需要带着这个令牌去,就不需要再次登陆,这样种方式也被称作鉴权

JJWT API

导入maven依赖包

 <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-impl</artifactId>
        <version>0.10.5</version>
 </dependency>

 <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-jackson</artifactId>
        <version>0.10.5</version>
 </dependency>

生成token

String token = Jwts.builder()
	.claim("sub", "内容部分")
	.claim("exp", "时间的秒值") 
     //这里利用HS256对称算法              //此字符串为密钥
	.signWith(SignatureAlgorithm.HS256, "ZYUf0Oym0Lhi9V7f6ML6tXcv0HvGH7YnuhbGhk8Y/+U=")
	.compact();

sub是登陆成功以后的内容部分,也就是需要存储的内容信息

exp设置令牌过期时间

除了上述的设置方式,还可以这样设置

String token = Jwts.builder()
	.setSubject("内容部分") // 等价于claims("sub", "内容部分")
	.setExpiration(new Date(System.currentTimeMillis()+60*1000)) // 设置 1 分钟后过期
	.signWith(SignatureAlgorithm.HS256, "ZYUf0Oym0Lhi9V7f6ML6tXcv0HvGH7YnuhbGhk8Y/+U=")
	.compact();

验证令牌

Jwts.parser()   // 设置秘钥
.setSigningKey("ZYUf0Oym0Lhi9V7f6ML6tXcv0HvGH7YnuhbGhk8Y/+U=").parse("eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxIiwiZXhwIjoiMTU1MjcxNTU1MyJ9.4rvHxsGNiZzuukQ2L-oT9uqKFymr94-371Am05qY7BQ");//传入令牌

jwts.parse()方法会有一个返回值Jwt类。可以通过jwt的get()获取密钥中的信息,如sub exp 或自定义的等等。

ymhdbk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT实现鉴权
柠檬树
03-10 8830
一、前言 JWT全称JSON Web Token,是一种基于JSON的,用于在网络上声明某种主张的令牌(Token)。JWT通常由三部分组成:头信息(header)、消息体(payload)、签名(signature)。 头信息(Header)指定了该JWT使用的签名算法: header = '{"alg":"HS256","typ":"...
JWT授权鉴权--相当nice
08-14
用于授权鉴权的一种流行方式,根据Richard的老师的授课总结
jwt鉴权】SPI无侵入式鉴权微服务模块 注解齐全一看就懂
03-30
jwt鉴权单独模块的微服务,良好的扩展性,代码规范注解齐全功能丰富。 可通过yaml自定义jwt过期时间、jwt签发机构、作者以及加密次数、盐值等操作。 基于spring.factories实现的SPI接口注入,在调用层直接autowired即可。 模块包中包含以下内容: 良好的代码包规范管理,具有如下服务和接口: IEncryptService // 密码加密: getEncryptPassword() // 得到一个加密后的密码 ITokenService // 创建一个JWT的操作接口: generalKey() // 获取当前JWT数据的加密KEY createToken() // 创建Token的数据内容 parseToken() // 解析Token数据 verifyToken() // 验证Token有效性 refreshToken() // 刷新Token内容
PyJWT 登录鉴权最佳实践【Refresh Token】
AI全栈 和 IT 编程相关分享
03-14 1066
JWT规定的协议的格式由三部分组成:头部(Header)、负载(Payload)和签名(Signature)。
springcloud getway 示例 包含 网关 http websocket 两种转发包含网关JWT鉴权包含Clie
08-05
EurekaApplication Eureka也可以不用 gateway可直接转发外部的服务 PtGatewayApplication 网关服务 包含 网关 http , websocket 两种转发包含网关 ,包含webSocket消息发送的流量监控 UserApplication 模拟WebSocket服务 PtGateClientTests 模拟WebSocket请求服务 http可以通过网页模拟 (开启鉴权之后需要postman在header中添加token才能通过鉴权) 导入之后 maven跑完即可完整运行
JWT鉴权
liu4461431的博客
05-25 4127
JWT鉴权知识点总结
利用JWT安全验证(前后端分离,单点登录,分布式微服务)(转发)
weixin_43712939的博客
06-14 80
利用JWT安全验证(前后端分离,单点登录,分布式微服务)
JWT学习笔记_01:概念+为什么+认证流程+优缺点
耿鬼不会笑的博客
01-27 733
JWT学习笔记_上篇 本文基于B站UP主 【编程不良人】 视频教程 【 JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案】 进行整理记录,仅用于个人学习/交流使用 视频连接:https://www.bilibili.com/video/BV1i54y1m7cP 官方资料:http://www.baizhiedu.xin JWT学习笔记上篇: JWT学习笔记下篇: 目录标题JWT学习笔记_上篇一、什么是JWT二、JWT能做什么三、为什么使用JWT基于传统的Session认证基
JWT鉴权-JWT原理
weixin_47906106的博客
07-24 741
先抛开JWT,回顾一下我们传统的网页,是通过Cookie的方式实现鉴权的,在用户登陆完成后,返回能识别该用户的信息到浏览器的Cookie中,下一次浏览器请求相同域名的时候,会自动把上次从服务器获取的Cookie提交上去,从而实现用户鉴权。关于flask-jwt-extended的讲解就在这里,学会这些,您在前后端分离项目中的鉴权,将没有任何问题。当然,也可以把jwt设置到cookie中,Body中,甚至是请求URL的参数中,但设置在请求头中实际上是最方便的,只要在请求方法中封装好,调用起来非常方便。
vue搭配element获取token登录校验
weixin_45631430的博客
01-06 2503
Vue项目登录页面获取token验证 实现思路 1、第一次登录的时候,前端调后端的登陆接口,发送用户名和密码 2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token 3、前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面 4、前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页...
怎么实现微服务鉴权JWT
weixin_55542845的博客
02-17 945
怎么实现微服务鉴权
基于gin+vue搭建的后台管理系统框架集成jwt鉴权权限管理动态路由分页封装多点登录拦截资源权限上传下载代码生成器
最新发布
04-04
基于gin+vue搭建的后台管理系统框架,集成jwt鉴权,权限管理,动态路由,分页封装,多点登录拦截,资源权限,上传下载,代码生成器,表单生成器,通用工作流等基础功能,五分钟一套CURD前后端代码,目前已支持VUE3。...
.net6 基于jwt鉴权demo(最简单的demo)
08-06
.net6 基于jwt鉴权demo
SpringBoot(Token和跨域认证JWT的实现)
qq_35843514的博客
12-11 609
参考文章:https://www.jianshu.com/p/24825a2683e6 这里写目录标题一、什么是Token?二、JWT(Json Web Token)1、基于token的鉴权机制2、JWT 的原理3、JWT的组成(1)header(2)playload(3)Signature三、JWT实现1、引入依赖2、用户登录3、生成Token4、token认证校验5、根据Token和密钥解析出用户信息 一、什么是Token? 1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去
SpringCloudGateway 动态转发后端服务
QiHY的专栏
02-19 2281
SpringCloudGateway 动态转发后端服务
前后端交互 -- jwt 鉴权
CSDN_GMC的博客
04-15 724
jwt 鉴权一. jwt 鉴权基本概念四个核心点: 1.签发 2.token存取 3.头部携带 4.验证头部二. 签发 生成token2.1. 使用 jsonwebtoken 模块2.2. jwt.sign({ } , " " ,{ } )中的三个参数三. token 的组成、存储与获取3.1. token的组成3.2. 存储token3.3. 获取token四. 请求token头部携带,前端的认...
spring cloud gateway 路由转发 token校验
08-11 1509
微服务的时代背景下,多个服务之间协同合作已经成为常态,一个高可用的项目应该将细粒度化业务,多节点部署。网关转发即多个服务的门户,暴露一个接口对外,安全性高,只需要在网关层做校验,其余的服务依赖网关转发,代码不冗余,可读性强。 pom依赖: <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-
JWT - 通过Axios拦截器完成Token转发实现单点登录
江南烟雨却痴缠丶
04-23 1261
前端部分 需要将token字符串和用户信息存入的Cookie中,因此需要引入js-cookie。前端采用axios发送请求,所以还需要引入axios。 1、封装axios 创建一个request.js文件,用来封装axios。 import axios from 'axios'; // 引入axios import cookie from 'js-cookie'; // 引入js-cookie...
如何实现jwt鉴权机制?
zz130428的博客
12-10 1194
JWT(JSON Web Token),本质就是一个字符串书写规范,如下图,作用是用来在用户和服务器之间传递安全可靠的信息。在分布式系统中,每个子系统都要获取到秘钥,那么这个子系统根据该秘钥可以发布和验证令牌,但有些服务器只需要验证令牌。,分成了三部分,头部(Header)、载荷(Payload)、签名(Signature),并以。一旦前面两部分数据被篡改,只要服务器加密用的密钥没有泄露,得到的签名肯定和之前的签名不一致。这时候可以采用非对称加密,利用私钥发布令牌,公钥验证令牌,加密算法可以选择。
express jwt 鉴权
03-30
Express JWT 鉴权是一种通过 JSON Web Tokens (JWT) 实现的身份验证和授权机制,用于保护 Express 应用程序中的端点或路由。 JWT 是一个安全的标准,用于在客户端和服务器之间传输信息。它由三部分组成:头部、载荷...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值