会话跟踪技术——JWT令牌

已于 2024-01-18 19:04:15 修改
阅读量855 收藏 19
点赞数 12
分类专栏: 后端开发 文章标签: java
于 2024-01-18 18:50:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/txshchl/article/details/135681242
版权

一、介绍

  • 会话:用户打开浏览器,访问web服务器资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。
  • 会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据

服务器会接收很多的请求,但是服务器是需要识别出这些请求是不是同一个浏览器发出来的。比如:1和2这两个请求是不是同一个浏览器发出来的,3和5这两个请求不是同一个浏览器发出来的。如果是同一个浏览器发出来的,就说明是同一个会话。如果是不同的浏览器发出来的,就说明是不同的会话。而识别多次请求是否来自于同一浏览器的过程,我们就称为会话跟踪。

我们使用会话跟踪技术就是要完成在同一个会话中,多个请求之间进行共享数据由于HTTP是无状态协议,在后面请求中怎么拿到前一次请求生成的数据呢?此时就需要在一次会话的多次请求之间进行数据共享在这里插入图片描述

二、3种会话跟踪技术

  1. Cookie(客户端会话跟踪技术)
    • 数据存储在客户端浏览器当中
  2. Session(服务端会话跟踪技术)
    • 数据存储在储在服务端
  3. JWT令牌技术 重点

1、Cookie

cookie 是客户端会话跟踪技术,它是存储在客户端浏览器的,我们使用 cookie 来跟踪会话,我们就可以在浏览器第一次发起请求来请求服务器的时候,我们在服务器端来设置一个cookie。

比如第一次请求了登录接口,登录接口执行完成之后,我们就可以设置一个cookie,在 cookie 当中我们就可以来存储用户相关的一些数据信息。比如我可以在 cookie 当中来存储当前登录用户的用户名,用户的ID。

服务器端在给客户端在响应数据的时候,会自动的将 cookie 响应给浏览器,浏览器接收到响应回来的 cookie 之后,会自动的将 cookie 的值存储在浏览器本地。接下来在后续的每一次请求当中,都会将浏览器本地所存储的 cookie 自动地携带到服务端。

接下来在服务端我们就可以获取到 cookie 的值。我们可以去判断一下这个 cookie 的值是否存在,如果不存在这个cookie,就说明客户端之前是没有访问登录接口的;如果存在 cookie 的值,就说明客户端之前已经登录完成了。这样我们就可以基于 cookie 在同一次会话的不同请求之间来共享数据。

为什么这一切都是自动化进行的?
是因为 cookie 它是 HTP 协议当中所支持的技术,而各大浏览器厂商都支持了这一标准。在 HTTP 协议官方给我们提供了一个响应头和请求头:

  • 响应头 Set-Cookie :设置Cookie数据的
  • 请求头 Cookie:携带Cookie数据的

示例

@Slf4j
@RestController
public class SessionController {

    //登录接口:设置Cookie
    @GetMapping("/c1")
    public Result cookie1(HttpServletResponse response){
        response.addCookie(new Cookie("login_username","itheima")); //设置Cookie/响应Cookie
        return Result.success();
    }
	
    //其它接口:获取Cookie
    @GetMapping("/c2")
    public Result cookie2(HttpServletRequest request){
        Cookie[] cookies = request.getCookies();
        for (Cookie cookie : cookies) {
            if(cookie.getName().equals("login_username")){
                System.out.println("login_username: "+cookie.getValue()); //输出name为login_username的cookie
            }
        }
        return Result.success();
    }
}

2、Session

Session,它是服务器端会话跟踪技术,所以它是存储在服务器端的。而 Session 的底层其实就是基于我们刚才所介绍的 Cookie 来实现的。
不重要

3、JWT令牌技术(推荐)

令牌就是用户身份的标识,其本质就是一个字符串。jwt就是将原始的json数据格式进行了安全的封装,这样就可以直接基于jwt在通信双方安全的进行信息传输了。

3.1、JWT的组成

JWT令牌由三个部分组成,三个部分之间使用英文的点来分割

  • 第一部分:Header(头), 记录令牌类型、签名算法等。 例如:{“alg”:“HS256”,“type”:“JWT”}

  • 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。 例如:{“id”:“1”,“username”:“Tom”}

  • 第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。
    在这里插入图片描述

    签名的目的就是为了防jwt令牌被篡改,而正是因为jwt令牌最后一个部分数字签名的存在,所以整个jwt 令牌是非常安全可靠的。一旦jwt令牌当中任何一个部分、任何一个字符被篡改了,整个令牌在校验的时候都会失败,所以它是非常安全可靠的。

3.2、JWT是如何将原始的JSON格式数据,转变为字符串的呢?

其实在生成JWT令牌时,会对JSON格式的数据进行一次编码:进行base64编码

在这里插入图片描述

3.3、JWT令牌最典型的应用场景-------登录认证

  1. 在浏览器发起请求来执行登录操作,此时会访问登录的接口,如果登录成功之后,我们需要生成一个jwt令牌,将生成的 jwt令牌返回给前端。
  2. 前端拿到jwt令牌之后,会将jwt令牌存储起来。在后续的每一次请求中都会将jwt令牌携带到服务端
  3. 服务端统一拦截请求之后,先来判断一下这次请求有没有把令牌带过来,如果没有带过来,直接拒绝访问,如果带过来了,还要校验一下令牌是否是有效。如果有效,就直接放行进行请求的处理。

在JWT登录认证的场景中我们发现,整个流程当中涉及到两步操作:

  1. 生成令牌
    • 在登录成功之后来生成一个JWT令牌,并且把这个令牌直接返回给前端
  2. 校验令牌
    • 拦截前端请求,从请求中获取到令牌,对令牌进行解析校验

三、Java实现JWT令牌的生成

1. 要想使用JWT令牌,需要先引入JWT的依赖:

<!-- JWT依赖-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

在引入完JWT依赖后,就可以调用工具包中提供的API来完成JWT令牌的生成和校验

工具类:Jwts

2. 引入JWT工具类

  • 在项目工程下创建com.itheima.utils包,并把提供JWT工具类复制到该包下

JWT工具类

public class JwtUtils {

    private static String signKey = "itheima";//签名密钥
    private static Long expire = 43200000L; //有效时间

    /**
     * 生成JWT令牌
     * @param claims JWT第二部分负载 payload 中存储的内容
     * @return
     */
    public static String generateJwt(Map<String, Object> claims){
        String jwt = Jwts.builder()
                .addClaims(claims)//自定义信息(有效载荷)
                .signWith(SignatureAlgorithm.HS256, signKey)//签名算法(头部)
                .setExpiration(new Date(System.currentTimeMillis() + expire))//过期时间
                .compact();
        return jwt;
    }

    /**
     * 解析JWT令牌
     * @param jwt JWT令牌
     * @return JWT第二部分负载 payload 中存储的内容
     */
    public static Claims parseJWT(String jwt){
        Claims claims = Jwts.parser()
                .setSigningKey(signKey)//指定签名密钥
                .parseClaimsJws(jwt)//指定令牌Token
                .getBody();
        return claims;
    }
}

3. 登录完成后,调用工具类生成JWT令牌并返回

登录成功,生成JWT令牌并返回

@RestController
@Slf4j
public class LoginController {
    //依赖业务层对象
    @Autowired
    private EmpService empService;

    @PostMapping("/login")
    public Result login(@RequestBody Emp emp) {
        //调用业务层:登录功能
        Emp loginEmp = empService.login(emp);

        //判断:登录用户是否存在
        if(loginEmp !=null ){
            //自定义信息
            Map<String , Object> claims = new HashMap<>();
            claims.put("id", loginEmp.getId());
            claims.put("username",loginEmp.getUsername());
            claims.put("name",loginEmp.getName());

            //使用JWT工具类,生成身份令牌
            String token = JwtUtils.generateJwt(claims);
            return Result.success(token);
        }
        return Result.error("用户名或密码错误");
    }
}
小白在努力~~
关注
  • 12
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
web会话跟踪token&JWT
qq_55674489的博客
02-06 136
在web前端与后端的交互过程中,后端如何知道是哪个用户在此进行操作? 为什么后端不知道是哪个用户请求的? 因为http请求是无状态的(请求--响应的模式),请求中没有能识别对方身份的标识,可以认为每次请求是独立的。 那么我们在实际开发中就需要解决这个问题,每次向后端发送请求时,需要让后端知道,是哪个用户发送的。 这个实现的功能称为web会话跟踪技术。 在现在的会话跟踪中, 基于token的会话跟踪技术 在之前还有一种基于HttpSession的会话技术
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
JWT令牌认证技术.zip
11-29
完整版的JWT使用示例,适用于前后端分离项目,也比较适合解决于做单点登录,跨域处理等系统,如果有问题可以通过pdf中联系方式来联系我!!!
登录验证 --会话会话跟踪技术(cookie,session,jwt令牌)、 filter过滤器、interceptor拦截器相关基础知识
z1659079591的博客
05-23 431
什么是会话?在我们日常生活当中,会话指的就是谈话、交谈。在web开发当中,会话指的就是浏览器与服务器之间的一次连接,我们就称为一次会话JWT全称:JSON Web Token (官网:https://jwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。Filter表示过滤器,是JavaWeb三大组件(Servlet、Filter、Listener)之一。过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。
会话跟踪——JWT令牌
Summer_Shorts的博客
04-08 1109
登陆中运用令牌
*Web会话跟踪技术
weixin_52809011的博客
10-19 131
在我们做项目时,每次浏览器向后端发送请求时,需要让后端知道这是哪个用户在操作的,它是基于token会话跟踪技术,这个功能的实现就是web会话跟踪技术以上工作做完之后,使用token(令牌)进行对用户信息的监测和验证,才可以说前后端交互方面的信息处理才比较安全,这样才会使用户操作的更加安全可靠,当然也是前后端交互时必不可少的事情。
JWT令牌技术快速入门
2301_79024228的博客
07-12 1629
JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割) - 第一部分:Header(头), 记录令牌类型、签名算法等。 例如:{"alg":"HS256","type":"JWT"} - 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。 例如:{"id":"1","username":"Tom"} - 第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。
四种会话跟踪方法
热门推荐
cuiyaoqiang的博客
05-09 1万+
前段时间看到web中会话跟踪技术,经过收集并整理将学习结果记录在此。1.什么是会话 客户端打开与服务器的连接发出请求到服务器响应客户端请求的全过程称之为会话 。 2.什么是会话跟踪 对同一个用户对服务器的连续的请求和接受响应的监视 。 3.为什么需要会话跟踪 浏览器与服务器之间的通信是通过HTTP协议进行通信的,而HTTP协议是”无状态”的协议,它不能保存客户的信息,即一次响应完成之
会话跟踪常用的4种方法
shuye_gen的博客
09-29 9620
会话跟踪常用的4种方法:URL重写,隐藏表单域,cookie,sesion,URL重写技术就是在URL结尾添加一个附加数据以标识该会话,把会话ID通过URL的信息传递过去,以便在服务端进行识别不同的用户,隐藏表单域:将会话ID添加到HTML表单元素中提交到服务器,此表单不再客户端显示,cookie,Cookie是Web服务器发送给客户端的一小段信息,客户端请求时可以读取该信息发送到服务器端,进而进
.NET Core 生成JWT令牌源码
04-27
单点登录(SSO):用户在登录一个应用程序后,可以通过JWT令牌在其他应用程序中进行身份验证,实现单点登录的效果。 在.NET Core中,可以使用Microsoft.IdentityModel.Tokens库来处理JWT。该库提供了一些类和方法...
Angular之jwt令牌身份验证的实现
10-15
主要介绍了Angular之jwt令牌身份验证的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring安全框架——jwt的集成(服务器端)
12-21
新建用户表——users,并完成数据库增删查改 一、新建表 二、持久化映射,建立模型类,添加主键生成器 //指定生成器名称 @GeneratedValue(generator = "uuid2" ) @GenericGenerator(name = "uuid2", strategy = ...
jar包增量更新分析
junlaiyan的专栏
05-16 318
借助jdeps分析出jar包的增量文件
java实现拼图小游戏
monkey108的博客
05-16 675
本文主要提供用java实现的拼图小游戏源代码。
分布式锁2-Zookeeper分布式锁实战
最新发布
qq_43676797的博客
05-19 155
使用curator操作Zookeeper进行实战;:Apache Curator包含一套高级API框架和工具类,它 是Apache ZooKeeper 的Java 客户端库。
命令执行漏洞(二)
XLbb的博客
05-15 935
POST方法,S2-045-bypass-2漏洞存在!,程序更改为S2-045-bypass-2漏洞测试模式, 响应码: 200。POST方法,S2-046-bypass漏洞存在!POST方法,S2-045-bypass漏洞存在!POST方法,S2-046-1漏洞存在!POST方法,S2-046-2漏洞存在!POST方法,S2-046-3漏洞存在!POST方法,S2-045-1漏洞存在!POST方法,S2-045-3漏洞存在!POST方法,S2-045-2漏洞存在!POST方法,S2-045-4漏洞存在!
java数据结构与算法(验证二叉搜索树)
磐门的博客
05-17 279
节点返回空为ture,节点的值不在对应数据大小范围内返回false。将验证二叉搜索树计算同样可以转换为相同子问题,所以比较适合用递归。node为root的左节点时,max更新为root.val。node为root的右节点时,min更新为root.val。
C++ 11
qq_65112813的博客
05-17 685
对于类类型,如果定义了接受。
Vue3前端中使用JWT保证是一次会话的需要考虑JWT令牌的过期时间、刷新机制等问题一个具体的例子
05-05
JWT(JSON Web Token)是一种轻量级的身份验证和授权机制,它可以作为前后端分离应用中的一种认证方式。在Vue3前端中使用JWT保证是一次会话,需要考虑JWT令牌的过期时间、刷新机制等问题。以下是一个具体的例子: 1. 后端生成JWT令牌 后端在用户登录验证成功后,生成JWT令牌,并将其返回给前端。JWT令牌中包含了用户的一些基本信息,如用户ID、用户名等,同时也包含了过期时间信息。 2. 前端将JWT令牌存储到本地存储中 前端在接收到JWT令牌后,将其存储到本地存储中,如localStorage。 3. 前端每次发送请求时将JWT令牌携带在请求头中 前端在每次发送请求时,都需要将JWT令牌携带在请求头中,以便后端进行身份验证和授权。请求头中的Authorization字段应该是Bearer Token格式,如: ``` Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c ``` 4. 前端定时检查JWT令牌的过期时间 前端需要定时检查JWT令牌的过期时间,一旦过期,就需要重新向后端请求生成新的JWT令牌。可以使用定时器或者Vue3中的watch特性来实现。 5. 后端提供刷新JWT令牌的接口 为了避免用户频繁登录,后端可以提供一个刷新JWT令牌的接口。当JWT令牌即将过期时,前端可以调用该接口来获取新的JWT令牌。在刷新JWT令牌时,后端需要对JWT令牌的有效期进行延长,并将新的JWT令牌返回给前端。 综上所述,Vue3前端中使用JWT保证是一次会话需要考虑JWT令牌的过期时间、刷新机制等问题。前端需要定时检查JWT令牌的过期时间,并在需要时调用后端提供的刷新JWT令牌的接口。这样可以确保用户在一定时间内能够保持登录状态,提高用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值