JWT实践总结篇 一

已于 2022-04-13 21:47:23 修改
阅读量621 收藏 2
点赞数 1
分类专栏: Java实战分享 文章标签: JWT token 前后端分离
于 2019-03-08 10:20:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41829492/article/details/88327009
版权

JWT实践总结篇(一)

近期使用token的机制来实现用户鉴权是越来越流行了,最近公司这类的项目也是超多。因此就把以前学过的JWT捡起来,特此贴出博客分享我的总结,也是为了方便温习。


我的实践

在项目中使用JWT的话,通常我会引用auth0,基于auth0编写一个工具类;工具类普遍编写两个方法,那就是创建JWT token和解码(认证)JWT token。auth0用来生成和校验token,底层一定有很多算法和转码的功能,有兴趣可以阅读源码。


对JWT还不了解的小伙伴可以看看阮哥的文章 > http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html
下面看看我对JWT的总结吧~

JWT总结

JWT的特点

  • JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。
  • JWT 不加密的情况下,不能将秘密数据写入 JWT。
  • JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
  • JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
  • JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
  • 为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。

从特点中看优点

  • JSON的通用性,决定了JWT是个跨语言的技术
  • JWT token对于sessionid的方案来说,JWT可以携带任何我们想要用到的信息;因为在JWT token的负载当中我们可以放入认证信息或者权限相关的信息。因此高效利用JWT,能够大大提升我们的系统性能,减少与数据库的交互。
  • 安全性高,防止token伪造和篡改;并不是说我们放在token中的数据安全性高,因为JWT默认不加密而仅仅是将JSON数据转码了。JWT token几乎不可能伪造、篡改,因为token是否正确的唯一校验者是我们后台的秘钥。
  • JWT token是自校验的形式,不需要任何其他请求和数据库操作,使我们系统管理会话更高效;刚刚接触JWT有可能会疑惑:为啥服务器不存储token,就可以校验是否可用。因为JWT验证是基于密码学的签名算法的,JWT签名就是使用header指定的算法把header和Payload进行了转码后的字符串,所以说硬编码的形式就可以比较签名是否正确。这里有必要画个小图了:
    在这里插入图片描述
  • JWT不需要在服务端保存会话信息, 所以它易于应用的扩展;很容易理解,我们后台并没有相应的持久操作、缓存操作,那么扩展起来岂不是嗨翻天。

从特点中找缺点

  • 一旦成功签发JWT token,无法手动将其过期;因为我们的服务器并没有存储相应的状态,而token却是一个字符串,因此只能等待token失效,除非服务器部署额外的逻辑。 也就是说一个用户在手机A中登录了,然后又在手机B中登录,在过期之前手机A和B都可以登录,无法做到B登录后让A过期,如果要做到这点,就必须让服务器维护一个清单(记录该账号是否已经签发token),这样又回到session的老路了
  • 在token签发后的有效时间内,JWT无法做到及时获取最新数据,例如修改密码后无感知; 修改密码我们也无法操作token。
  • 存储空间、网络流量开销更大; 例如abcdef存到cookie占6字节,但是存储到JWT需要几百字节甚至更多。如果说我们的一个月10万次访问量,使用JWT可能要多出几十兆流量,日积月累可就是在烧钱;并且往往我们不只是存储一个id这么简单,因此JWT更不适合存储大量信息。
  • 为了安全,JWT需要使用https协议,以免token泄露; 一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。

同session形式对比

总结了这么多,也说了不少JWT的缺点,那么下面来说JWT与session的不同之处,以及JWT可代替session的场景。

不同之处

JWT不仅仅是作为身份认证的凭证,还在其payload中存储着会话信息,这是JWT和session的最大的区别。一个在客户端存储会话信息,另一个在服务器存储会话信息。这是session


session机制缺点

1、服务器压力增大,通常session是保存在服务器内存当中的,每个用户的认证信息都会保存在服务器,当用户量增大时,无疑会给服务器带来很大压力

2、存在CSRF跨站请求伪造攻击风险,cookie泄露后有可能被攻击者利用而受到攻击。例如一个人刚刚访问过银行网站,当他无意间进入攻击网站时,网站会在被攻击人不知情情况下,拿到本地的会话信息进行转账操作

3、代码侵入。扩展性不强。在分布式或微服务的系统架构下,需要实现session同步,当我们在新增服务时,还需要同步session到新增的服务。而token不需要靠考虑在哪一台服务器登录了。

4、session基于cookie,app并不支持cookie。并且SPA\APP普遍使用rest api,也就是说后台返回一个json就可以解决问题。


结语

使用JWT实际开发的话推荐使用auth0,并且要解决token刷新的问题来保证用户体验度。


本文总结于: https://blog.csdn.net/qq_41606973/article/details/85220049 http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html
善良的大铁牛
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JWT实践
Tina的博客
12-10 467
先画一下我的项目中是如何使用JWT的:   说明: 1. 登陆时根据用户信息生成token,将token传到前端; 2. 前端保存在localStorage中; 3. 之后前端的每次请求都从localStorage中读取出token,并在header中携带token; 4. 后端在拦截器中拦截所有的请求(除了白名单中的路径,比如登陆),拦截后获取header中的token,根据to...
JWT介绍和实践,带demo
03-03
JWT介绍和实践,带demo。
几种常用的认证机制
诚的博客
12-14 1544
HTTP Basic Auth HTTP Basic Auth在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和明码会通过HTTP头传递。 在发送之前是以用户名追加一个冒号然后串接上口令,并将得出的结果字符串再用Base64算法编码。 例如 用户名是Aladdin、口令是open sesame,则拼接后的结果就是Aladdin:open sesame, 然后再将其用Base64编码,得到QWxhZGRpbjpvc.
JWT认证了解和实践
Anumbrella
04-30 723
今天讲解一下JWT的相关知识, 1、JWT是什么 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必...
JSON Web Token 入门教程
weixin_34067102的博客
07-24 905
2019独角兽企业重金招聘Python工程师标准>>> ...
JWT Authentication Tutorial: An example using Spring Boot--转
03-03 115
原文地址:http://www.svlada.com/jwt-token-authentication-with-spring-boot/ Table of contents: Introduction PRE-requisites Ajax authentication JWT Authentication Introduction This article wi...
JWT原理与实践
weixin_45976114的博客
03-25 291
JWT 原理与实践一.JWT概述1.1.什么是JWT2. 何时使用JWT?3.JSON Web Token(JWT)由什么组成?3.1.Header3.2.Payload3.3.Signature(重点)3.4. 身份认证使用session、直接使用token以及JWT的流程3.4.1.基于session身份认证的方案3.4.2.基于token份认证的方案3.4.3.基于JWT身份认证的方案二.JWT 简单实用演示介绍1.引入依赖2.生成不携带自定义信息 JWT token3.生成携带自定义信息 JWT t
实践】教你玩转JWT认证---从一个优惠券聊起 | 京东云技术团队
JDDTechTalk的博客
05-19 958
JWT,可以说是分布式系统下的一个利器,我在我的很多项目实践中,认证系统的第一选择都是JWT。它的优势会让你欲罢不能,就像你领优惠券一样。
JWT(JSON Web Tokens)入门与Java实践
weixin_61034310的博客
01-03 711
JSON Web Tokens(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在网络之间安全地传输信息。本文介绍了JWT的基本概念、组成和工作流程,并提供了Java中使用JWT的示例代码。通过生成和验证JWT,你可以在Web应用中实现安全的身份验证和授权。在使用JWT时,请务必注意安全性考虑,并采取适当的措施来保护系统的安全。JWT由三部分组成:Header(头部)、Payload(负载)和Signature(签名),这三部分通过点(.)分隔。首先,你需要在项目的。
【springboot进阶】jwt前后端分离的最佳实践方式(一)
06-05 1101
了解前后端分离的背景,session技术和token技术的差异,jwt的组成和应用
JWT.net 操作实践方法
08-28
下面小编就为大家分享一JWT.net 操作实践方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
详解JWT token心得与使用实例
01-21
本文你能学到什么? token的组成 token串的生成流程。 token在客户端与服务器端的交互流程 ...eyJhbGciOiJIUzI1NiJ9 有效载荷(Playload): { “iss”: “Online JWT Builder”, “iat”: 1416797419,
Shiro + JWT + Spring Boot Restful 简易教程
Java知音
04-17 975
作者:Smith-Cruisegithub.com/Smith-Cruise/Spring-Boot-Shiro特性完全使用了 Shiro 的注解配置,保持高度的灵活性。放弃 Cooki...
Java安全验证之JWT实践
weixin_34280237的博客
01-24 343
先给出JWT的官方文档 什么是JWT? JSON Web TokenJWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。 什么时候应该使用JWT? 授权:这是使用JWT的最常见方式。一旦用户登录,每个后续请求将包括JWT,允许用户访问该令牌允许的路由,服务和资源。S...
应用安全系列之三十九:JWT 相关安全问题以及最佳实践
jimmyleeee的专栏
10-07 211
本文主要简单介绍JWT的功能,以及常见的安全问题,并针对相关的安全问题提供一些有针对性的解决方案。 希望对JWT的使用者和实现者能够有所帮助。
JAVA实现JWT
l_learning的博客
04-24 1740
JWT介绍 详情访问官网https://jwt.io/ JWT是什么 JSON Web TokenJWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以验证和信任,因为它是经过数字签名的。JWT可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。 虽然 JWT 可以被加密以在各方之间提供保密性,但我们将重点关注签名令牌。签名令牌可以验证其中包含的声明的完整性,而加密令牌会对其他方隐藏这些声
jwt解密
神zhi殇的博客
11-02 6377
文章目录认识JWT什么是JWTJWT的原理HeaderPayloadSignatureJWT解码 认识JWT 什么是JWTJWT全称是JSON Web Token是一个开放标准(RFC 7519),目前最流行的跨域身份验证解决方案。 它定义了一种经过加密的格式,放在json对象在请求中传递,用于验证请求是否被允许访问。 JWT的原理 服务器经过认证以后,会生成加密串返回前台,结构如下图: JSON Web Token由三部分组成,它们之间用.连接。 * Header 头部 * Payload
【SpringBoot技术专题】「JWT技术专区」带你一同开发SpringSecurity整合JWT授权和认证实战指南
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
01-25 631
Spring 中实现 JWT 授权和密码认证的步骤,同时学习了如何安全地保存用户信息。
node-v4.8.6-win-x64.zip
最新发布
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
jwt如何修改同一个jwt的时间
06-08
JWT(JSON Web Token)是一种用于身份验证的开放标准,通常由三部分组成:头部、载荷和签名。其中载荷包含了JWT的有效负载信息,例如token过期时间(exp)。 如果你想修改同一个JWT的时间,你需要对载荷进行修改并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

善良的大铁牛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值