JWT-无状态方案处理

最新推荐文章于 2024-07-17 10:26:28 发布
置顶 最新推荐文章于 2024-07-17 10:26:28 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: 工作 文章标签: JWT无状态问题处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40384690/article/details/88222075
版权

1.JWT的优势在于无状态,如果非要结合redis等相关nosql来进行一些方案的处理,我觉得是没有必要的。这样还不如直接使用session集群。

2.那么针对JWT就会有几个问题

(1)退出登录,需要把token无效化

(2)修改密码,需要把token无效化

(3)单用户登录,需要进行判断

其实(1)(2)是属于差不多的类型。

这两种情况的处理就比较相似了。

那么我们首先考虑jwt存的是什么,我们假设为{"userId":1,"version":1}

我们先考虑简单处理—redis

退出或者改密码的时候我建议把version提升一个版本(2)。以userId为key,version为value放进hash里,那么每次jwt进来的时候就会去redis中根据userID获取version,发现有的话,那么就会对比version,如果目前version低于redis中的version的话,那么就会拦截下来。

好了 ,这就是一个简单的处理方式。那么接下来分析一下优缺点。

优点:

(1)不用考虑数据的一致性,因为都是从一个地方进行读取

缺点:

(1)每个jwt都需要去redis中进行对比,网络开销容易形成瓶颈

那么如何在继承优点的情况下解决缺点喃?

这就涉及到共享内存的概念了。利用本地内存进行解决。那么关键的问题是如何把redis中的数据同步到每个JVM当中喃?这就涉及到了事件通知了,这里有几种选择(1)MQ,如果过期时间较长,且必须保证安全性,那么这个时候选择MQ作为事件的通知选择非常不错。(2)redis的pub/sub模式,轻量级

当然这个地方也有一个缺点。就是完全依靠了内存,假设这个时候需要重启服务器了,那么之前的token也就不再了。

所以需要提供一种弥补机制,那么这个时候,我会选择把数据备份一份给redis或者数据库,每次重启的时候就会去拉取到每个JVM当中。这样就能解决网络开销的问题了。

那么针对(3)这个问题,比较复杂,需要结合多种情况考虑

(1)在APP下,首先,你登录的时候,我会推送消息给之前的机器,让他帮你强制下线。然后就是处理JWT

可以在JWT中保存{"userId":1,"version":1,"app":"appId"}这样的流程就和上面一样了

(2)在纯web下,那么就只能拦截掉

IMHB
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Laravel开发-jwt-auth
08-28
JWT-auth是一个流行的身份验证解决方案,它为Laravel和Lumen提供了轻量级且安全的方式来处理用户认证。通过使用JWT,我们可以实现无状态的身份验证,这在API开发中尤其重要。 首先,让我们了解JWT的基本概念。JWT是...
springboot-jwt-demo.zip
08-18
- **无状态性**:因为JWT包含了所有必要的认证信息,服务器不需要存储会话信息,减轻了服务器负担。 - **可扩展性**:JWT可以携带自定义信息,方便扩展功能。 - **跨域支持**:JWT可以在多个服务器间共享,适合...
jwt介绍
Leon_Jinhai_Sun的博客
05-12 260
jwt实现无状态登录 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:https://jwt.io GitHub上jwt的java客户端:https://github.com/jwtk/jjwt 数据格式 JWT包含三部分数据: Header:头部,通常头部有两部分信息: token类型:JWT 加密方式:base64(HS256) Payload:载荷,就是有效.
JWT状态理解
liuqinhou的博客
07-30 306
使用数字签名算法(例如RSA)不能被伪造。因此,任何信任签名者证书的人都可以放心地相信 JWT 是真实的。服务器无需咨询令牌颁发服务器以确认其真实性。因为授权服务器不需要维护任何状态;令牌本身就是验证令牌持有者授权所需的全部内容。
Spring Security实现用户认证四:使用JWT与Redis实现无状态认证
不做菜虚困的博客
06-12 881
在基本的通信流程中,我们一般采用Session去存储用户的认证状态。在Spring Security实现用户认证三中讲过,在拿到前端传输过来的用户名和密码之后,会有专门的过滤器处理这部分的需求,并且对认证成功的用户生成Token且存储在Session中。在下次发起请求时,直接从Session中取出同用户名的token进行密码哈希的比较要认证用户。对于无状态认证,则我们的认证不依赖与服务器端存储的Session的状态。所以无状态认证需要我们每次从前端传输一个包含完整认证信息的Token到服务器端进行自定义的认
JWT状态登陆与无状态登陆
程序员小明1024
11-23 2000
单点登录与JWT JWT全称:Json Web Token 。作用:JWT 的作用是用户授权(Authorization),而不是用户的身份认证(Authentication)。用户认证指的是使用用户名、密码来验证当前用户的身份,即用户登录。用户授权指用户登录成功后,当前用户有足够的权限访问特定的资源。 传统的Session登录: 用户登录后,服务器会保存登录的Sess...
ChatGPT:为什么说 JWT 是无状态的,无法实现 Token 的作废,例如用户登出系统、修改密码等场景
最新发布
XRT_knives的博客
07-17 455
ChatGPT:为什么说 JWT 是无状态的,无法实现 Token 的作废,例如用户登出系统、修改密码等场景
10-SpringSecurity:JWT及无状态服务
qq_44005305的博客
01-07 270
关于JWT的介绍,网上资源有很多,简单来说,JWT由三部分构成:Header、Payload、Signature,三者之间以点号. 分隔,前面两部分使用Base64编码(关于Base64编码的更多信息。
jwt-auth
03-30
7. **JWT Authentication**: JWT认证是一种无状态的认证方式。一旦用户登录并收到JWT,这个令牌将在后续的请求中携带,代替传统的session和cookie来验证用户身份。这种方式减少了服务器的存储需求,且提高了跨域请求...
qbit-jwt-auth
04-29
例如,你可以使用它们来生成包含用户信息的JWT,然后将其发送给客户端,客户端在后续请求中携带此JWT,服务器端则可以验证其有效性,实现无状态认证。 **Qbit框架** 虽然这里没有直接提供Qbit框架的信息,但是我们...
SPRING-JWT-WEB-安全
02-18
- 载荷中可以包含非敏感信息,如用户ID、角色等,但不应包含敏感数据,因为JWT通常是无状态的,存储在客户端。 2. **Spring Security与JWT集成** - 配置JWT过滤器:在Spring Security的过滤链中添加自定义JWT...
状态登录 jwt+Rsa
sdaujsj1的博客
08-24 251
状态登录 jwt+Rsa架构图:
状态登录原理以及通过JWT进行实现
qq_44575980的博客
04-21 1409
1.无状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户...
使用JWT实现无状态登录验证
sean的博客
02-21 948
使用JSON Web Token(JWT)实现登录认证是一种常见的无状态身份验证机制,它允许服务器在一次登录后向客户端发送一个签名的令牌,客户端随后可以在每次请求中携带这个令牌以证明其身份。以下是JWT实现登录认证的一种方式(使用手机+验证码登录例子)。
Jwt 启用无状态登陆系统(模拟用户登陆)
世界既不黑也不白,而是一道精致的灰。
08-23 268
Jwt 启用无状态登陆系统(模拟用户登陆) 一.创建controller(AuthenticateController) 1.创建控制器 2.配置controller namespace FakeXiecheng.API.Controllers { //设置特性 [ApiController] //配置路由 [Route("auth")] public class AuthenticateController : ControllerBase { p
jwt状态权限认证
zhouping118的博客
04-17 3128
1.背景 在开发pingss-sys脚手架(项目地址)时,需要在微服务分布式环境中管理权限。有两种比较通用模式: 基于session,把session序列化,以实现多系统的session共享。可以采用shiro+redis实现,有现成的jar可使用 基于jwt,使用无状态的权限认证 鉴于jwt状态的权限认证在多个平台下适用性更好,本人采用了此种模式,结合shiro实现 2.思路 3....
使用JWT的无状态身份验证
allway2的博客
11-07 1005
如果您对基于令牌的身份验证感兴趣,那么此博客适合您。在此博客中,我主要针对基于令牌/无状态的身份验证,以及如何使用JWT(Json Web令牌)来实现。 无状态/基于令牌的身份验证 无状态身份验证意味着,在服务器端,我们不维护用户状态。服务器完全不知道谁发送了请求,因为我们不维护状态。我们可以通过使用JWT(JSON Web令牌)来实现无状态身份验证。但是在进入基于JWT和基于令牌的身份验证之前,让我们看一下过去使用会话cookie进行身份验证的方式。 状态验证 这个怎么运作? 浏览器..
JWT(无状态token)的应用
琅天溪的博客
04-20 3669
什么是JWT?集成与应用问题JWT使用起来超级简单方便对不对,但它对于整体应用存在一个设计缺陷,那就是服务端无法主动失效token,什么意思呢?就是如果我再次登录(可能是别的客户端)获取到新的token,之前的token是不失效(两个客户端可以同时登录),还可以再使用获取服务资源。所以JWT在某个方面安全性上不及session。如果要让服务端能够主动失效token,就要在服务端维持token状态,...
SpringSecurity整合JWT:实现无状态登录
总结,Spring Security与JWT的整合提供了无状态的身份验证解决方案,简化了分布式系统的开发,但也需要开发者注意Token管理的安全性。理解JWT的工作原理以及它在Spring Security中的应用,对于构建高效、安全的Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值