浅谈JWT身份认证及其优缺点

最新推荐文章于 2024-09-09 11:31:18 发布
最新推荐文章于 2024-09-09 11:31:18 发布
阅读量5.7k 收藏 21
点赞数 9
分类专栏: 安全框架 文章标签: JWT Token 认证授权 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40885085/article/details/115266953
版权

一、登录模式

在介绍JWT之前,我要先介绍一下常见的几种登录模式。

1、单一服务器模式(Session)

我们登录认证成功之后,将用户信息就存放在服务端(Session),然后将其对应的session_id存储在客户端(Cookie),从Cookie中取出session_id,服务端就可以根据这个session_id获取对应的Session,从而获取存储用户信息。
其优点是:Session自动续期,用户体验较好
其缺点是:
①没有分布式架构,无法支持横向扩展。即分布式架构的情况下,其他服务器是没有办法获取到用户信息的。当然,可以使用Session共享的方式来解决这个问题。或者,可以将用户信息存储在Redis里,用一个透明令牌(字符串)作为key,并把这个令牌存储到本地(cookie、localStorage),然后通过令牌去Redis取用户信息。
②Session依赖Cookie,如果客户端禁用了Cookie,那么Session无法正常工作。其解决方法就是,可以在请求的url后面拼接上session_id,如:http://www.liuchengyin.com/test?session_id=xxx,其安全性和用户体验感较差。
③ Session依赖Cookie,Cookie无法防止CSRF(Cross Site Request Forgery):跨站请求伪造。Session认证中,Cookie是通过浏览器发送到服务端的,借助这个特性,攻击者可以通过让用户误点攻击连接(攻击者通过cookie拿到你的session_id就可以代替你的身份访问系统)达到攻击效果。

2、SSO模式(单点登录模式)

用户只需要在身份认证服务器上登录一次,你就可以访问这个单点登录中其他关联系统的应用软件的权限,同时这种实现是不需要管理员对用户登录状态或其他信息进行修改的,这意味着多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。
**优点:**用户身份信息独立管理,可以更好的分布式管理,可以自己扩展安全策略。
**缺点:**认证服务器访问压力会比较大

最低0.47元/天 解锁文章
九月清晨柳成荫
关注
专栏目录
v4-04 cookie,session 有无状态会话区别,优缺点,引出JWT(上篇),单点登录的流程图(有无Redis)
pingzhuyan的博客
07-22 159
系统--->会话状态 (储存 分析 使用 以及不足) 01. 何为会话状态 客户端与服务端通讯过程中产生的状态信息(类似会议记录) 称为会话状态 02. 会话状态如何存储 客户端浏览器与服务端通讯时 使用http协议,这个协议本身是无协议的无状态的, 无法存储会话状态 在服务端和客户端就采用了一种cookie和session的方式记录会话状态 3. 会话技术分析(有状态) --->1cookie介绍 Cookie是在客户端创建 但是在客户端存储会话状态的对象 ...
如何实现应用程序的身份认证和数据加密?
usstmiracle的博客
09-30 314
是指验证应用程序的身份和权限,以确保只有合法的用户和设备可以访问应用程序的功能和数据。是指对应用程序的数据进行编码和解码,以防止数据被未经授权的人员窃取或篡改。
系统登录认证流程对比(cookie方式与jwt)
iygxv
11-01 1680
系统登录认证流程对比(cookie方式与jwt) 一个正在努力爱好运动的程序猿座右铭:越努力越幸运,越运动越健康,热爱编程,热爱运动。 文章目录系统登录认证流程对比(cookie方式与jwt)一、cookie方式登录认证二、JWT(Json Web Token)方式登录认 一、cookie方式登录认证 步骤: 1.用户向服务器发送用户名和密码。 2.服务器验证后,相关数据(如用户角色等)将保存在当前会话(session)中。 3.服务器向用户返回sessionId会写入到用户的Cookie。 4
JWT与传统Token机制对比:实现安全高效的用户认证
最新发布
qq_61829974的博客
09-09 1506
JWT是一种开放标准(RFC 7519),它定义了一种自包含的凭证,用于在各方之间以安全的方式传输信息。JWT由三部分组成:Header(头部)、Payload(载荷)和Signature(签名)。Header:包含了令牌类型和签名算法的信息。Payload:是JWT的主题部分,包含了一系列声明(Claims)。声明是关于主体的信息,通常用来传输用户数据。1{4}Signature:用于验证数据的完整性和确认JWT是否被篡改。
JWT优缺点
会飞的猪
07-17 1963
1.非高并发系统不建议使用JWT,可采用redis缓存机制,或者session、redis机制,开发成本低、易维护、安全性强。1.无需依赖数据库、Redis等中间件,token自带加密用户、权限信息等,后端直接解析即可获取;2.token过长,在前端页面交互跳转时会遇到token过长无法被传递;1.内网段,作为基础公共服务支撑对外系统输出能力,且要求承载一定并发量;3.安全性差,可解密出用户权限信息,如需解决,需要另外进行加密处理;2.token自带有效期,后端无需存储维护,只需校验;
jwt优缺点 如何使用jwt
j9922816的博客
05-06 3057
在生成JWT令牌时,我们使用了一个密钥来签名令牌,并设置了令牌的过期时间为1小时。在验证JWT令牌时,我们使用相同的密钥来验证令牌的真实性,并获取令牌中的信息。而JWT是无状态的,不需要在服务器上存储任何信息,因此可以减轻服务器的负担。1. 令牌过期问题:JWT的令牌过期时间是固定的,无法在令牌生成后更改。2. 令牌大小问题:JWT令牌的大小通常比Session令牌大,因为它包含了更多的信息。本文将介绍JWT优缺点以及为什么使用JWT而不是Session,并提供使用JWT的示例代码。
JWT优缺点,为什么不建议使用JWT
d932385747的博客
02-05 1544
JSON Web TokenJWT)是一种用于在网络上传输信息的开放标准(RFC 7519)。它通过使用 JSON 对象将声明进行编码,可以被用来在用户和服务之间传递安全的、经过签名的信息。尽管JWT在某些场景下很有用,但也存在一些优缺点,其中一些原因可能导致不建议使用JWT
JWT令牌的缺点
Leon_Jinhai_Sun的博客
12-21 316
token由于自包含信息,因此一般数据量较大,而且每次请求都需要传递,因此比较占带宽。另外,token的签名验签操作也会给cpu带来额外的负担。但是随着硬件的提升和带宽的提高,这些缺点变得越来越微不足道。 ...
SpringBoot - SpringSecurity结合JWT的身份验证及动态权限解决方案
江南烟雨却痴缠丶
03-28 2386
花了点时间写了一个SpringSecurity集合JWT完成身份验证的Demo,并按照自己的想法完成了动态权限问题。在写这个Demo之初,使用的是SpringSecurity自带的注解权限,但是这样权限就显得不太灵活,在实现之后,感觉也挺复杂的,欢迎大家给出建议。Demo下载地址,见文末。 JWT是什么可以参考我另一篇博文:浅谈JWT身份认证及其优缺点 认证流程及授权流程 我画了个建议的认证授权流程图,后面会结合代码进行解释整个流程。 一、登录认证阶段 实现SpringSecurity的UsernameP
想进互联网大公司?那这些题你总得会吧?前端面试题2022及答案前端面试题2022及答案
m0_67392409的博客
03-02 1874
长文噩梦预警! 如果你 想进大型互联网公司 本文掌握程度90%~100% 想进中大企业 掌握程度70%~85% 想进小企业 掌握程度45%~80% 想家里蹲 掌握程度:undefined 咳咳,如果你是大神的话当我什么都没说哈,小弟祝您发大财。 接下来的题我会根据重点程度使用来标记,越多标明越重点,满星是5颗星 ok,你准备好了吗?咱们开始吧! 本文章是根据2022年的面试题走向对《身为三本的我就是凭借这些前端面试题拿到百度京东offer的,前端面试题2021及答案》的做了一
2024 java面试题
weixin_46228563的博客
03-10 1479
三级缓存,简单来说,A创建过程中需要B,于是A将自己放到三级缓存里面,去实例化B,B实例化的时候发现需要A,于是B先查一级缓存,没有,再查二级缓存,还是没有,再查三级缓存,找到了A然后把三级缓存里面的这个A放到二级缓存里面,并删除三级缓存里面的A,B顺利初始化完毕,将自己放到一级缓存里面(此时B里面的A依然是创建中状态)然后回来接着创建A,此时B已经创建结束,直接从一级缓存里面拿到B,然后完成创建,并将A放到一级缓存中。如果是对象,则当前对象(对象的地址)不可修改,但是对象里面的变量不受影响,可以修改。
一文带你搞懂 JWT 常见概念 & 优缺点
程序员小明1024
07-13 2680
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
JWT的优势
qq_64847107的博客
06-18 320
CSRF攻击,采用的是cookie进行攻击的;也避免XSS攻击,XSS采用的是js脚本进行攻击。:移动端没有cookie,jwt
jwt的优点
weixin_57101315的博客
06-18 477
分布式和无状态:由于 JWT 包含了所有必要的信息,服务器不需要在数据库中存储会话信息,也无需在集群中共享会话状态。这使得应用程序可以轻松地进行水平扩展。可扩展性:JWT 是基于标准的 JSON 格式,因此可以通过添加自定义字段来轻松地扩展令牌的功能,以满足特定的应用程序需求。跨域支持:由于 JWT 是通过 HTTP 头或 URL 参数发送的,它可以轻松地跨域传输,并且没有额外的设置或配置需要。无需在服务器端存储会话状态:JWT 令牌中包含了所有必要的信息,减轻了服务器的存储负担和数据库查询的需要。
JWT令牌的优点
Leon_Jinhai_Sun的博客
12-21 637
JWT基于json,非常方便解析。 可以在令牌中自定义丰富的内容,易扩展。 基于token认证这种方式服务端不用存储认证数据,易维护,扩展性强, token 存在 localStorage 可避免 CSRF,并且可以实现web和app统一认证机制。 通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。 怎么保证令牌的安全?万一我仿造了一个锦衣卫令牌?非对称加密算法需要两个密钥来进行加密和解密,这两个秘钥是公开密钥(public key,简称公钥)和私有密钥(pr..
JWT的原理及其相对优缺点
qq_44969643的博客
07-28 1万+
一,Token token特点 Token 临时且唯一 保证不能够重复 (缓存有效期机制),智能门锁、临时密码 具有有效期2小时 token生成 Token如何生成:uuid作为token。 比如:生成token(uuid生成),作为Rediskey放入redis中,Redis的key作为有效期。 实际项目中,token和sessionid非常相似 session缺陷 传统项目使用session存在缺陷:放入到服务端, session 类似redis存放缓存内容, session中的sessionid类似于
JWT简介、JWT优缺点JWT使用方法、.NET6使用JWT示例、JWT与Session对比
热门推荐
08-21 1万+
JWT简介、JWT优缺点JWT使用方法、.NET6使用JWT示例、JWT与Session对比
jwt做状态保持的优缺点及解决方案
黑马程序员广州中心的专栏
12-25 692
什么是JWT JWT是Json Web Token的全称,它是由三部分组成: header payload signature header中通常来说由token的生成算法和类型组成。如: [Python]纯文本查看复制代码 ? 1 2 3 4 { "alg":"HS256", "...
SpringBoot JWT身份验证实战教程
"本文将详细介绍如何在SpringBoot项目中使用JWT(JSON Web Token)进行身份验证。JWT是一种轻量级的身份验证机制,常用于前后端分离的系统中,以减少服务器对会话状态的存储。下面我们将探讨SpringBoot集成JWT的步骤...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值