利用JWT安全验证(前后端分离,单点登录,分布式微服务)

最新推荐文章于 2024-07-16 21:34:35 发布
最新推荐文章于 2024-07-16 21:34:35 发布
阅读量3.5k 收藏 24
点赞数 2
分类专栏: jwt 文章标签: JWT 前后端分离 登录验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42734859/article/details/89521122
版权

JWT官网: https://jwt.io/
JWT(Java版)的github地址:https://github.com/jwtk/jjwt

JWT请求流程

 

    

  1. 用户使用账号和面发出post请求;
  2.  服务器使用私钥创建一个jwt;
  3. 服务器返回这个jwt给浏览器;
  4. 浏览器将该jwt串在请求头中像服务器发送请求;
  5. 服务器验证该jwt;
  6. 返回响应的资源给浏览器。

JWT的主要应用场景

  1. 前后端分离
  2. 单点登录(sso)
  3. 分布式微服务

一旦用户完成了登陆,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,所有目前在单点登录(SSO)中比较广泛的使用了该技术。 信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的。

优点

  1. 简洁(Compact): 可以通过URLPOST参数或者在HTTP header发送,因为数据量小,传输速度也很快
  2. 自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库
  3. 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。
  4. 不需要在服务端保存会话信息,特别适用于分布式微服务。
  5. JWT只通过算法实现对Token合法性的验证,不依赖数据库,Memcached的等存储系统,因此可以做到跨服务器验证,只要密钥和算法相同,不同服务器程序生成的Token可以互相验证。

JWT的token机制

JWT标准的token包含三部分:

  1. header(头部),头部信息主要包括(参数的类型--JWT,签名的算法--HS256)
  2. poyload(负荷),负荷基本就是自己想要存放的信息(因为信息会暴露,不应该在载荷里面加入任何敏感的数据),有两个形式,下边会讲到
  3. sign(签名),签名的作用就是为了防止恶意篡改数据

为什么要使用签名

签名解决了数据传输过程中参数被篡改的风险
一般而言,加密算法对于不同的输入产生的输出总是不一样的,如果有人对Header以及Payload的内容解码之后进行修改,再进行编码的话,那么新的头部和载荷的签名和之前的签名就将是不一样的。而且,如果不知道服务器加密的时候用的密钥的话,得出来的签名也一定会是不一样的。


服务器应用在接受到JWT后,会首先对头部和载荷的内容用同一算法再次签名。如果服务器应用对头部和载荷再次以同样方法签名之后发现,自己计算出来的签名和接受到的签名不一样,那么就说明这个Token的内容被别人动过的,我们应该拒绝这个Token

 

<!-- json web token  -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

package com.application.utils;

import java.util.Calendar;
import java.util.Date;

import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

public class TokenUtil {
	/**
	 * 加密
	 * @author Jason
	 * @date 2019-03-29
	 * @param id 用户id
	 * @param username 用户名称
	 * @param password 用户密码
	 * @param deviceId 设备号
	 * @param formatDate 过期日期
	 * @return 加密的token
	 */
	public static String createToken(String id, String username, String password, String deviceId, String formatDate) {
		SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

		long nowMillis = Calendar.getInstance().getTimeInMillis();
		Date now = new Date(nowMillis);

		// 加密秘钥
		byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary("123456789");
		SecretKeySpec signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());

		JwtBuilder builder = Jwts.builder()
				.setIssuedAt(now)
				.setId(id)
				.setIssuer(username)
				.setSubject(password)
				.setAudience(deviceId)
				.signWith(signatureAlgorithm,signingKey);


		// 设置过期日期
		Date expirationDate = null;
		if (null != formatDate) {
			try {
				expirationDate = DateUtil.stringToDate(formatDate);
			} catch (Exception e) {
				expirationDate = getDefultExpirationDate();
			}
			if(null == expirationDate || expirationDate.before(new Date())){
				expirationDate = getDefultExpirationDate();
			}
		} else {
			expirationDate = getDefultExpirationDate();
		}
		builder.setExpiration(expirationDate);
		
		return builder.compact();
	}
	
	/**
	 * 获取默认的过期时间,默认是七天以后
	 * @author Arwen Liu
	 * @date 2018-10-29
	 * @return Date
	 */
	private static Date getDefultExpirationDate(){
		long timeInMillis = Calendar.getInstance().getTimeInMillis();
		Long time = 1 * 1000 * 60 * 60 * 24 * 7l;
		time += timeInMillis;
		return new Date(time);
	}

	/**
	 * 解密
	 * @author Arwen Liu
	 * @date 2018-10-29
	 * @param token
	 * @return Claims
	 */
	public static Claims parseToken(String token) {
		Claims claims = Jwts.parser()
				// s解密密钥,需要和 加密秘钥一致
				.setSigningKey(DatatypeConverter.parseBase64Binary("123456789"))
				.parseClaimsJws(token).getBody();

		return claims;
	}

	public static void main(String[] args) {
		String secretToken = createToken("1001", "staff", "123456","deviceId", "2018-12-28");
		System.out.println("加密后---->" + secretToken);
		// ss解密
		Claims claims = parseToken(secretToken);
		System.out.println("解密后---->");
		System.out.println("id: " + claims.getId());
		System.out.println("username: " + claims.getIssuer());
		System.out.println("password: " + claims.getSubject());
		System.out.println("deviceId: "+ claims.getAudience());
		System.out.println("expiration: " + DateUtil.dateToString(claims.getExpiration(), "yyyy-MM-dd"));

	}

}

验证token的策略

  1. 让客户端保存到 localStorage 每次请求带着token
  2. 放到cookie里面 然后定义一个拦截器 每次都从cookie里面查询并验证token
  3. 放到header里面 和 cookie类似

 

在退出登录时怎样实现JWT Token失效呢?
退出登录, 只要客户端端把Token丢弃就可以了,服务器端不需要废弃Token。

怎样保持客户端长时间保持登录状态?

服务器端提供刷新Token的接口, 客户端负责按一定的逻辑刷新服务器Token。

服务器端是否应该从JWT中取出userid用于业务查询?

REST API是无状态的,意味着服务器端每次请求都是独立的,即不依赖以前请求的结果,因此也不应该依赖JWT token做业务查询, 应该在请求报文中单独加个userid 字段。
为了做用户水平越权的检查,可以在业务层判断传入的userid和从JWT token中解析出的userid是否一致, 有些业务可能会允许查不同用户的数据。

如何防范Replay Attacks

重复攻击

所谓重复攻击就是攻击者发送一个后端服务器已接收过的包,来达到攻击系统的目的。

比如在浏览器端通过用户名/密码验证获得签名的Token被木马窃取。即使用户登出了系统,黑客还是可以利用窃取的Token模拟正常请求,而服务器端对此完全不知道,因为JWT机制是无状态的。

可以在Payload里增加时间戳并且前后端都参与来解决:

1.前端生成token时,在payload里增加当前时间戳
2.后端接收后,对解析出来的时间戳和当前时间进行判断,
3.如果相差特定时间内(比如2秒),允许请求否则判定为重复攻击

 

 

参考 https://www.jianshu.com/p/e88d3f8151db

https://www.jianshu.com/p/836df92c06eb

https://blog.csdn.net/why15732625998/article/details/78534711

https://www.jianshu.com/p/e88d3f8151db

http://www.cnblogs.com/xiekeli/p/5607107.html

 

谔定靴
关注
  • 2
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
(原创)springboot+springsecurity+redis+jwt+vue+iframe 做一个前后端分离的SSO单点登陆鉴权系统 类似淘宝天猫单点登陆
xuexishaguo的博客
12-20 3万+
1 前言 单点登陆系统,简单说就是用户登陆了www.aaa.com之后,再登陆www.bbb.com,就不需要重新输入用户名密码进行登陆,间会有一个www.sso.com的验证心。这点类似于淘宝 ,天猫,当然淘宝的验证心域名是login.taobao.com,和www.taobao.com是同一个域名。要做到无缝登陆,就需要iframe这个技术,淘宝天猫也是用的iframe,iframe还...
JWT(解决前后端分离微服务的用户会话跟踪问题)
qq_53677566的博客
01-12 2602
这里写目录标题JWT:解决前后端分离微服务的用户会话跟踪问题与传统sessio验证的区别:基于 token 的鉴权机制JWT的主要引用场景及优点JWT的构成:JWT搭建案例: JWT:解决前后端分离微服务的用户会话跟踪问题 JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一 种基于 JSON 的开放标准( (RFC 7519).定义了一种简洁的,自包含的方法用于 通信双方之间以 JSON **对象的形式安全的传递信息。**因为数字签名的存在,这些 信息是可信的,
基于JWT OAUTH2 SpringSecurity单点登录
01-30
基于JWT OAUTH2 SpringSecurity单点登录 . 单点登录流: 1. 访问client1 2. `client1`将请求导向`sso-server` 3. 同意授权 4. 携带授权码`code`返回`client1` 5. `client1`拿着授权码请求令牌 6. 返回`JWT`令牌 7. `client1`解析令牌并登录 8. `client1`访问`client2` 9. `client2`将请求导向`sso-server` 10. 同意授权 11. 携带授权码`code`返回`client2` 12. `client2`拿着授权码请求令牌 13. 返回`JWT`令牌 14. `client2`解析令牌并登录
什么是 JWT? 如何基于 JWT 进行身份验证
最新发布
double222222的博客
07-16 1284
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。Token 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则。
Session与Token认证机制 前后端分离下如何登录
12-17 1536
HTTP是无状态的,一次请求结束,连接断开,下次服务器再收到请求,服务器端就不知道这个请求是哪个用户发过来的。当然服务器端知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。 所以对我们的应用而言,HTTP是需要有状态管理的,以便服务端能够准确的知道http请求是哪个用户发起的,从而判断该用户是否有权限继续这个请求。这个过程就是常说的会话管理。 登录的基本流程...
JWT(JSON WEB TOKEN)微服务的无状态用户认证-单点登陆实践Spring-Boot整个JWT
qq_29078779的博客
07-19 280
跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 ses...
[JWT]在项目使用JWT,不依赖安全框架
weixin_45254062的博客
03-03 247
什么是JWT? JSON Web Token (JWT) 是一种开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间安全地传输信息作为 JSON 对象。此信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用秘密(使用HMAC算法)或使用 RSA或ECDSA 的公钥/私钥对进行签名。 尽管可以对 JWT 进行加密以在各方之间提供保密性,但我们将重点关注已签名...
资源前后端分离分布式微服务架构项目用户认证SpringSecurityOauth2讲义+源码+视频
03-03
### 资源前后端分离分布式微服务架构项目用户认证SpringSecurityOauth2讲义+源码+视频 #### 用户认证需求分析 在进行任何技术实现之前,首先要明确用户认证的需求,这对于整个项目的顺利开展至关重要。 - **...
开发知识点-分布式微服务技术栈 SpringCloud
aming小老弟
10-19 2660
分布式架构的一种把服务进行 拆分springcloud 解决了 服务拆分过程的 治理问题与单体应用 进行区分(单体架构 把业务所有功能集开发,打成一个包部署)每个模块独立开发和部署(服务集群)服务之间互相调用出现分布式技术WebserviceESBHessionDubbo异步通信 消息队列(秒杀)敏捷开发思想高内聚低耦合微服务 + 持续集成。
什么是分布式微服务架构?三分钟彻底弄懂什么是分布式微服务
javalingyu的博客
05-13 1万+
一、微服务简介 1. 微服务的诞生 微服务是基于分而治之的思想演化出来的。过去传统的一个大型而又全面的系统,随着互联网的发展已经很难满足市场对技术的需求,于是我们从单独架构发展到分布式架构,又从分布式架构发展到 SOA 架构,服务不断的被拆分和分解,粒度也越来越小,直到微服务架构的诞生。 微服务架构是一种架构模式,它提倡将单一应用程序划分成一组小的服务,服务之间互相协调、互相配合,为用户提供最终价值。 每个服务运行在其独立的进程,服务和服务间采用轻量级的通信机制互相沟通(通常是基于 HTTP 的
JWT验证
weixin_48530729的博客
12-13 3838
什么是JWT JWT用于分布式系统的单点登录SSO场景,主要用来做用户身份鉴别或者资源接口安全性的技术 身份鉴别 资源接口安全性检验,保护服务器资源不被泄露 1.认证流程 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载)、将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成
微服务版的单点登陆系统设计及实现
望山。
09-26 2517
简介 背景分析 传统的登录系统,每个站点都实现了自己的专用登录模块。各站点的登录状态相互不认可,各站点需要逐一手工登录。例如: 这样的系统,我们又称之为多点登陆系统。应用起来相对繁琐(每次访问资源服务都需要重新登陆认证和授权)。与此同时,系统代码的重复也比较高。由此单点登陆系统诞生。 单点登陆系统 单点登录,英文是 Single Sign On(缩写为 SSO)。即多个站点共用一台认证授权服务器,用户在其任何一个站点登录后,可以免登录访问其他所有站点。而且,各站点间可以通过该登录状态直接交互。例如:
微服务 单点登录解决方案(Jwt + 认证心redis + 多系统redis)
方亚军的博客
10-11 2501
Jwt + 认证心redis + 多系统redis 1.用户去认证登录,认证心生成jwt,保存到redis并返回给客户端。 2.客户端携带jwt去多个系统认证 3.多系统(比如系统A)收到jwt,A解析并取出用户信息,先判断自己的A的redis有没有jwt。 3.1 如果有,就合法,a系统可以继续执行业务逻辑。 3.2 如果没有就拿着jwt去认证验证。 3.2.1 如果通过,a系统就把这个jwt保存到自己的redis,并设置对应的失
利用JWT Token配合Redis实现单点登录并进行Token的缓存验证唯一性
qq_51891433的博客
06-10 2801
以上为一个基础的使用Spring Boot、MyBatis、Redis和JWT实现用户登录认证的完整示例。具体实现可以根据需求进行更改和优化。
SpringCloud+Vue在线教育项目——前台登录注册功能完善(后端)(整合JWT和阿里云短信服务)
m0_46275020的博客
06-01 1509
SpringCloud+Vue在线教育项目——前台登录注册功能完善(后端)(整合JWT和阿里云短信服务)![在这里插入图片描述](https://img-blog.csdnimg.cn/2020060114555531.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2Mjc1MDIw,size_16,color_FFFFFF,t_70#p
使用jwt技术实现系统间的单点登录
热门推荐
05-26 2万+
单点登录(single sign on),简称sso。它的定义是多个应用系统间,只需要登录一次就可以访问所有相互信任的应用系统。下面介绍用jwt技术如何来实现单点登录。 一、JWT定义及其组成 JWT(JSON WEB TOKEN)是一个非常轻巧的规范,这个规范允许我们使用jwt在客户端和服务器之间传递安全可靠的信息。 JWT由3个部分组成,分别是头部、载荷、签名。 头部
JWT 安全及案例实战
weixin_58954236的博客
09-14 1274
为了做这种区分,服务器就要给每个客户端分配不同的身份标识”,然后客户端每次向服务器发请求的时候,都带上这个“身份标识”,服务器就知道这个请求来自于谁了。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。服务器有一个不会发送给客户端的密码(secret),用头部指定的算法对头部和声明的内容用此密码进行加密,生成的字符串就是 JWT 的签名。舍弃签名将修改过的JWT复制到bp的数据包
C#分布式登录——jwt
逆-血
01-12 5525
文章目录一、传统的session登录二、基于token的鉴权机制三、Json web token1.生成jwt数据2.jwt解析验证四、JWT的问题 一、传统的session登录 在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。 在asp.net core可以简单实现: 代码如下(示例): // This method gets called b
JWT——概念、认证流程、结构、使用JWT
Guizy
08-12 4327
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
springboot+jwt前后端分离单点登录
06-08
实现Spring Boot和JWT前后端分离单点登录,可以按照以下步骤进行: 1. 在Spring Boot应用程序集成Spring Security 首先,您需要在Spring Boot应用程序集成Spring Security。您可以使用Spring Security提供的...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值