JWT(解决前后端分离和微服务的用户会话跟踪问题)

最新推荐文章于 2022-07-20 09:50:18 发布
最新推荐文章于 2022-07-20 09:50:18 发布
阅读量2.5k 收藏 2
点赞数 1
文章标签: 微服务 http 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53677566/article/details/122464680
版权

这里写目录标题

JWT:解决前后端分离和微服务的用户会话跟踪问题

JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一

种基于 JSON 的开放标准(

(RFC 7519).定义了一种简洁的,自包含的方法用于

通信双方之间以 JSON **对象的形式安全的传递信息。**因为数字签名的存在,这些 信息是可信的,

JWT 可以使用 HMAC 算法或者是 RSA 的公私秘钥对进行签名。起源

说起 JWT,我们应该来谈一谈基于 token 的认证和传统的 session 认证的 区别。

与传统sessio验证的区别:

传统的 session 认证

我们知道,http 协议本身是一种无状态的协议,而这就意味着如果用户向 我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要 再一次进行用户认证才行,因为根据 http 协议,我们并不能知道是哪个用户发 出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服 务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其 保存为 cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请 求来自哪个用户了,这就是传统的基于 session 认证。 但是这种基于 session 的认证使应用本身很难得到扩展,随着不同客户端用 户的增加,独立的服务器已无法承载更多的用户,而这时候基于 session 认证应 用的问题就会暴露出来

基于 session 认证所显露的问题:

Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做 一次记录,以方便用户下次请求的鉴别,通常而言 session 都是保存在内存中, 而随着认证用户的增多,服务端的开销会明显增大。

扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存 中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授 权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味 着限制了应用的扩展能力。

**CSRF (跨站请求伪造)😗*因为是基于 cookie 来进行用户识别的, cookie 如果 被截获,用户就会很容易受到跨站请求伪造的攻击。

基于 token 的鉴权机制

基于 token 的鉴权机制类似于 http 协议也是无状态的,它不需要在服务端 去保留用户的认证信息或者会话信息。这就意味着基于 token 认证机制的应用 不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。

在这里插入图片描述

  1. 用户使用账号和密码发出 post 请求;
  2. 服务器使用私钥创建一个 jwt;
  3. 服务器返回这个 jwt 给浏览器;
  4. 浏览器将该 jwt 串在请求头中像服务器发送请求;
  5. 服务器验证该 jwt;
  6. 返回响应的资源给浏览器。

JWT的主要引用场景及优点

身份认证在这种场景下,一旦用户完成了登陆,在接下来的每个请求中包含

JWT,**可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证。**由

于它的开销非常小,可以轻松的在不同域名的系统中传递,所有目前在单点登录 【前后端分离 微服务】**(SSO)**中比较广泛的使用了该技术。 信息交换在通信的双方之间使用 JWT 对 数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发 送者发送的信息是没有经过伪造的。

优点:

1**.简洁(Compact)**: 可以通过 URL,POST 参数或者在 HTTP header 发送,因为数 据量小,传输速度也很快

2.自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次 查询数据库

3.因为 Token 是以 JSON 加密的形式保存在客户端的,所以 JWT 是跨语言的,原 则上任何 web 形式都支持。

4.不需要在服务端保存会话信息,特别适用于分布式微服务

JWT的构成:

JWT 是由三段信息构成的,将这三段信息文本用.链接一起就构成了 Jwt 字符 串。就像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab3 0RMHrHDcEfxjoYZgeFONFh7HgQ 32位

第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 用户 的信息),第三部分是签证(signature).

第一部分

header

jwt 的头部承载两部分信息: 声明类型,这里是 jwt 声明加密的算法 通常直接使用 HMAC HS256 完整的头部就像下面这样的 JSON:

{

‘typ’: ‘JWT’,

‘alg’: ‘HS256’

}

然后将头部进行 base64 转码,构成了第一部分.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

10010101 01010101

100101 010101 010100

最低0.47元/天 解锁文章
发自己的光就好
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web开发中会话跟踪方式整理
Misslay's
10-20 7003
Web服务器使用Http协议。Http是无状态协议。Http的web服务器不能保持与客户的关联。会话(session)定义为在一段时间内,单一客户与web服务器之间的一系列的交互。在一个会话中,跟踪请求之间的数据成为会话跟踪。1. 使用隐藏域进行会话跟踪 > 是一种最简单的方式,将字段隐藏在HTML表单中,但不在客户显示。比如在第一张页面中输入用户名和密码登陆,服务器生成响应返回第二张页面。当
基于 SpringBoot、Spring Security、JWT 的前后分离权限管理系统.zip
02-22
这是一个基于 Spring Boot、Spring Security 和 JSON Web Token (JWT) 构建的前后分离权限管理系统的项目。在本文中,我们将深入探讨这些技术组件以及它们如何协同工作来创建一个高效且安全的系统。 1. **Spring ...
Shiro+Cas微服务化及前后完全分离
08-25
主要为大家详细介绍了Shiro+Cas微服务化及前后完全分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
前后分离使用token实现会话技术
weixin_43163180的博客
09-07 819
后台用户登录技术与实现 文章目录前言一、传统项目的登录二、无状态方案-token方案1.总结 前言 传统项目是在登录后要把登录状态保持下来,就用到tomcat的会话跟踪技术:session,而是依赖于cookie里面jsessionid; 一、传统项目的登录 以上的技术不适合前后分离的环境;所以在前后分离环境,我们有2种方案:方案一:Ngnix代理 方案二: token方案 二、无状态方案-token方案 1. 总结 提示:这里对文章进行总结: 例如:以上就是今天要讲的内容,本文仅仅简单介绍
利用JWT安全验证(前后分离,单点登录,分布式微服务)(转发)
weixin_43712939的博客
06-14 85
利用JWT安全验证(前后分离,单点登录,分布式微服务
Cas vue jwt方式 前后分离单点登陆
lly983909814的博客
03-16 1198
需求 根据领导要求集成cas 客户到我的服务上面,我的服务是基于jwt的方式进行登陆验证的。 看了很多博客都是基于net.unicon.cas-cas-client-autoconfig-support的方式集成到服务中的。 原理 官方cas单点登陆时序图 思路 实现 基础变量 public String casServerUrl = "https://xxx/cas/login"; public String casServerLogoutUrl = "https://xxx/cas/
shiro前后分离场景无状态登录身份验证和授权
07-05
在前后分离的架构中,JWT可以让前在每次请求时携带,服务器通过验证JWT来识别用户身份,实现无状态的身份验证。 最后,`MD5`是一种广泛使用的哈希函数,虽然存在碰撞风险,但在此场景下仍可用于用户密码的单向...
jwt 前后项目.zip
最新发布
03-03
JWT 在现代Web应用中广泛用于身份验证和授权,尤其是在前后分离的架构中。 在"jwt 前后项目.zip"中,我们可能找到的是一个使用JWT进行身份验证的示例项目。JWT-Demo-Master很可能是一个包含前和后代码的...
校园失物招领网站 (SpringBoot + MybatisPlus + JWT) 实现前后分离项目的后台管理系统
07-09
在前后分离项目中,JWT常用于用户身份认证,用户登录后,服务器会返回一个JWT,客户在后续请求时携带该令牌,服务器通过验证令牌确认用户身份,无需保存会话状态,降低了服务器负担。 在这个项目中,前与后...
springcloud + 前后分离实现 Oauth2
04-07
"Spring Cloud + 前后分离实现OAuth2"是一个典型的微服务架构下的安全认证方案。在这个项目中,我们将主要关注后的实现,也就是如何使用Spring Cloud构建一个支持OAuth2授权的微服务系统。 首先,Spring Cloud...
前后分离JWT用户认证
热门推荐
kevin_lcq的博客
07-08 3万+
在前后分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁,就要再验证一次。所以为了保证系统安全,我们就需要验证用户否处于登录状态。
Django - 前后分离JWT用户认证
Jamin2018的博客
12-28 3734
转载:https://www.jianshu.com/p/180a870a308a 在前后分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁,就要再验证一次。所以为了保证系统安全,我们就需要验证用户否处于登录状态。 传统
php前后分离会话保持,前后分离-跨域会话如何保持?
weixin_35048919的博客
04-15 346
开篇因为CORS的出现,大大降低了跨域的难度,另到AJAX有了更大的发挥空间,也导致了前后更加容易实现。但是今天在实现前后的时候发现了一个问题。在进行session会话管理的时候,前无法发送cookie到后,前每次访问后都相当于一次新的会话,这样就导致登录后的信息是无法保存的。客户每一次访问都需要重新登录。原因对于前来说,seesion字段是存在cookie中的。在跨域过程中,Co...
四种会话跟踪技术
Gaily1的博客
04-16 371
https://blog.csdn.net/xh16319/article/details/8033552
springboot + vue + shiro + jwt + pac4j-cas实现前后分离单点登录
loveampzw的博客
09-25 7404
1、pom.xml文件添加: <!--单点登录--> <dependency> <groupId>org.pac4j</groupId> <artifactId>pac4j-cas</artifactId> <version>3.0.2</version> </dep...
SpringSecurity+JWT实现前后分离认证和授权 第二部分:测试+流程分析
Eriksen的博客
07-18 1157
SpringSecurity+JWT
jwt解密
神zhi殇的博客
11-02 6436
文章目录认识JWT什么是JWTJWT的原理HeaderPayloadSignatureJWT解码 认识JWT 什么是JWTJWT全称是JSON Web Token是一个开放标准(RFC 7519),目前最流行的跨域身份验证解决方案。 它定义了一种经过加密的格式,放在json对象在请求中传递,用于验证请求是否被允许访问。 JWT的原理 服务器经过认证以后,会生成加密串返回前台,结构如下图: JSON Web Token由三部分组成,它们之间用.连接。 * Header 头部 * Payload
利用JWT安全验证(前后分离,单点登录,分布式微服务
谔定靴的博客
04-25 3498
JWT官网: https://jwt.io/JWT(Java版)的github地址:https://github.com/jwtk/jjwt JWT请求流程 用户使用账号和面发出post请求; 服务器使用私钥创建一个jwt; 服务器返回这个jwt给浏览器; 浏览器将该jwt串在请求头中像服务器发送请求; 服务器验证该jwt; 返回响应的资源给浏览器。 JWT的主要...
前后分离 RSA 加密登录流程(记录)
weixin_45947759的博客
07-20 1689
SpringBoot。
springboot jwt token前后分离_前后分离JWT用户认证
05-20
在前后分离的项目中,使用 JWT 进行用户认证可以方便地处理用户登录和权限控制。 以下是使用 Spring Boot 和 JWT 实现前后分离用户认证示例: 1. 添加依赖 在 pom.xml 中添加以下依赖: ```xml <!-- JWT -...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值