jwt,token生成,续约,注销操作浅谈

已于 2022-05-08 16:30:40 修改
阅读量7.6k 收藏 8
点赞数
分类专栏: jwt 文章标签: jwt
于 2019-12-23 23:29:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010772230/article/details/103674910
版权

JWT

JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案

原理

JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,由客户端来保存登录信息。此后,客户端每次与服务器通信,都要带上这个 JWT。 生成的token可以放在HTTP 请求的头信息Authorization字段里面,也可以放在 POST 请求的数据体里面。当然也可以把它放在 Cookie 里面自动发送,但是这样不能跨域。所以一般建议放在请求头里。这样子,服务器变成无状态,从而比较容易实现扩展。

token生成:

token由三部分组成

Header(头部)

payload(负载)

signature(签名)

token的payload里面会包含用户的信息(依据业务需要存放)和token的过期时间等信息

token续约方案:

可以在token即将过期的时候,告诉客户端,token快过期了,需要续约。

例如:token过期时间是7天,当第四天(这个天数可以自由控制,但是必须小于过期时间)的时候,就需要续约了。

那么每当客户端请求过来的时候,进行校验。

可以用当前时间+3天是否大于过期时间7天,如果大于的话,代表需要续约了,抛出一个业务的异常给客户端。告诉客户端,你的token快过期了,要重新续约。

token注销方案:

由于jwt整个json对象是保存在客户端的,对于服务器是无感知的,所以服务器无法控制token是否删除整个操作,只要token不过期,都认为是合法的请求。

那么如果要用jwt来实现注销的功能的话,在用户认证成功后,将用户uid和token保存在redis中,并设置token的过期时间,在续约的时候,要同步更新redis中token的过期时间。那么注销的时候,只需要将redis中的token移除即可。

所以校验的时候,只需要判断redis中token是否存在,即可判断用户是否注销。

但是这样子不好的地方,就是每次都要花费一次网络开销去请求redis,还要用redis来存储token,违背了jwt的无状态特性。实际中可以根据项目特点,自行取舍考虑合理的方案。

以上纯属笔者的个人观点,如果更好的方案,欢迎评论。

watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTA3NzIyMzA=,size_16,color_FFFFFF,t_70

 

 

面包君123
关注
专栏目录
搞懂 JWT 这个知识点
程序员成长指北
09-22 662
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signatur...
jwt token注销_JWT生成token及过期处理方案
weixin_34118593的博客
01-27 4433
## 业务场景在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。## 基本思路- 单个token1. token(A)过期设置为15分钟2. 前端发起请求,后端验证token(A)是否过期;如...
使用JWT保护Web应用时涉及到修改密码、注销token续签解决方案
binzai325的专栏
06-28 1505
1. 更改密码时:当用户更改密码时,请注意用户数据库中的更改密码时间,因此当更改密码时间大于令牌创建时间时,令牌无效。因此可以很快将其它的会话也给注销掉。 2. 当用户注销时:当用户注销时,将令牌保存在单独的数据库(如redis)中(例如:InvalidTokenDB并在令牌过期时从Db中删除令牌)。因此,用户从相应的设备注销,他在其他设备中的会话保持不受干扰。 3.token续签: 生成两个token,分别是access_token【过期时间设置30分钟】、refresh_token【过期时间设置3
JWT令牌认证实现无感Token自动续约
最新发布
八戒的博客
08-25 1037
Access Token 用于基于 Token 的认证模式,允许应用访问一个资源 API。用户认证授权成功后,服务端会签发 Access Token 给应用。应用需要携带 Access Token 访问资源 API,资源服务 API 会通过拦截器查验 Access Token 中的 scope 字段是否包含特定的权限项目,从而决定是否返回资源。通常有效时间通常较短。通常用户在获取资源的时候需要携带,当过期后,用户需要获取一个新的 AccessToken。这时候就需要了。用于获取新的。这样可以缩短。
jwt token注销_基于JWTToken登录认证
weixin_39561004的博客
01-12 633
JWT简介 :json Web Token(缩写JWT)是目前最流行的跨域认证解决方案session登录的认证方案是看,用户从客户端传递用户名和密码登录信息,服务端认证后将信息储存在session中,将session_id放入cookie中,以后访问其他页面,服务器都会带着cookie,服务端会自动从cookie中获取session_id,在从session中获取认证信息。JWT的解决方案是,将认...
SpringCloud Alibaba微服务实战三十五 - 实现退出登录后注销 jwt token(1)
m0_61549353的博客
04-04 1288
1、看视频进行系统学习这几年的Crud经历,让我明白自己真的算是菜鸡中的战斗机,也正因为Crud,导致自己技术比较零散,也不够深入不够系统,所以重新进行学习是很有必要的。我差的是系统知识,差的结构框架和思路,所以通过视频来学习,效果更好,也更全面。关于视频学习,个人可以推荐去B站进行学习,B站上有很多学习视频,唯一的缺点就是免费的容易过时。2、读源码,看实战笔记,学习大神思路“编程语言是程序员的表达的方式,而架构是程序员对世界的认知”。所以,程序员要想快速认知并学习架构,读源码是必不可少的。
fastadmin token 验证错误_基于token机制鉴权架构
weixin_39620037的博客
11-22 1314
常见的鉴权方式有两种,一种是基于session,另一种是基于token方式的鉴权,我们来浅谈一下两种 鉴权方式的区别。两种鉴权方式对比session安全性:session是基于cookie进行用户识别的,cookie如果被截获,用户很容易受到跨站请求伪造的攻击。扩展性:session是有状态的,是具有IP黏贴性和有中心化特性的,在分布式环境下,虽然每台服务器业务逻辑一样,但是session是保存在...
jwttoken自动续约_node.js - JWT(JSON Web Token)自动延长到期时间
weixin_34540485的博客
12-30 893
node.js - JWT(JSON Web Token)自动延长到期时间我想为我们的新REST API实现基于JWT的身份验证。 但是由于在令牌中设置了到期,是否可以自动延长它? 我不希望用户在每X分钟后需要登录,如果他们在那段时间内积极使用该应用程序。 这将是一个巨大的用户体验失败。但是延长过期会创建一个新令牌(旧令牌在到期之前仍然有效)。 每次请求后生成一个新令牌对我来说都是愚蠢的。 当...
基于JWTToken认证
互联网叫兽
03-02 2172
1、什么是JWT JSON Web Tokens,是一种开发的行业标准规范RFC 7519。广泛的用在系统的用户认证方面。 2、JWT结构 JWT 由三个部分依次组成 Header(头部) Payload(载荷) Signature(签名) 2.1、Header Header 部分是一个 JSON 对象,描述 JWT 的元数据,包含算法和token类型。 需要对json进行base64url加密 { "alg": "HS256", "typ": "JWT" } 2.2、Payload 用来存
token过期自动续费方案和实现
想吃凤梨酥的博客
06-18 4219
方案1: 每一次请求都进行重新生成一个新的token【频率过高,性能不好】方案2: 每次登录的时候生成两个token给前端进行返回,一个是用于鉴别用户身份的token,另外一个token则是用于刷新token用的方案3: 登录过后给前端进行返回token并设置了过期时间30分钟,每次请求的时候前端把token存在请求头里面进行发请求,后端接收请求的时候获取请求头出来进行jwt解析判断过期时间是否小于10分钟,如果小于10分钟就生成新的token在responseHearde进行返回即可实现过程:控制器里 过
SpringCloud学习总结
jtsd2008lm的专栏
04-14 555
SpringCloud 一,微服务架构 1 架构演变 单体架构 =》垂直应用架构 =》SOA架构 =》 微服务架构 2 微服务架构: 微服务架构和SOA架构很明显的一个区别就是服务拆分粒度的不同,但是对于拉勾的架构发展来说,我们所看到的SOA阶段其实服务拆分粒度相对来说已经⽐较细了(超前哦!),所以上述拉勾SOA到拉勾微服务,从服务拆分上来说变化并不⼤,只是引入了相对完整的新⼀代Spring Cloud微服务技术。⾃然,上述我们看到的都是拉勾架构演变的阶段结果,每⼀个阶段其实...
用户认证中心 CASSO 产品原型设计稿 (使用Axure RP 9 以上版本打开)
05-24
二级缓存:jwt token 登陆状态续期 退出登陆 隐性登陆 访问日志 消息推送-单独存储 第二期 运营子系统 用户管理 停用 注销 重置密码 修改密码 在线用户 访问日志 登陆日志 访问链接...
python token过期_JWT生成token及过期处理方案
weixin_39670857的博客
12-05 3353
业务场景在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。基本思路单个tokentoken(A)过期设置为15分钟前端发起请求,后端验证token(A)是否过期;如果过期,前端发起刷新toke...
jwt token注销_如何用SpringBoot集成JWT实现token验证及token注销?一招教会你
weixin_39968852的博客
12-19 854
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT 可以使用HMAC算法或者是RSA的公私秘钥对进行签名。JWT 请求流程这里还要注意:光理论是不够的。在此顺便送大家十套20...
java中注销怎么写_java – JWT身份验证:如何实现注销
ぃ妖气ぅ的博客
02-24 379
我为我的Spring启动应用程序实现了JWT身份验证.总的来说,它的工作原理如下:>客户端将用户名,密码发送到登录端点.>服务器检查提供的凭据是否有效.>如果不是,则会返回错误>如果是,它将返回一个令牌,该令牌实际包含>客户端会在每个将来的请求中发送该令牌问题是,我们应该如何实施注销?import org.springframework.security.authen...
jwt token注销_如何在注销时销毁JWT令牌
热门推荐
weixin_30119251的博客
12-29 1万+
6 个答案:答案 0 :(得分:42)JWT存储在浏览器上,因此删除在客户端删除cookie的令牌如果您还需要在服务器端到期之前使令牌无效,例如帐户已删除/阻止/暂停,密码已更改,权限已更改,用户已由管理员注销,请查看Invalidating JSON Web Tokens一些公共技术,如创建黑名单或旋转令牌答案 1 :(得分:7)创建令牌后,无法手动使令牌失效。因此,实际上无法像在会话中那样在服...
jwt token注销_JWTToken登录认证,你用过没?
weixin_35259908的博客
12-29 872
1.JWT简介JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。2 JSON Web Token的应用场景Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服...
jwt token注销_关于JWT用户主动注销、强制登出、忘记密码、修改密码的一些思考...
weixin_39610366的博客
12-19 475
JWT(JSON WEB TOKEN)的特点是无状态,通常用来作为验证登录以及鉴权,在这一方面,JWT体现出了他的优点。然而,如果使用JWT实现,用户主动注销、强制登出(禁止登陆)、忘记密码、修改密码,JWT续签等方面的需求,就会让人头疼。按照网上的一些讨论,我概括如下:1、将每一个签发的JWT保存在REDIS上,当出现上述的需求时,就更新对应的JWT,如果客户端与REDIS中的不同,那么登录失败...
Shiro整合JWT:解决jwt注销和续签的问题
你今天真好看呀
08-01 3590
文章目录Shiro管理用户认证时jwt续签和注销的问题1. 场景一:token注销问题(黑名单)2. 场景二:token的续签问题3. 项目中的实现3.1 封装JWT工具类3.2 配置Shiro的自定义认证类3.3 登录和退出登录(token注销)3.3.1 登录接口3.3.2 退出登录3.3.3 在shiro的自定义认证类中添加认证规则3.4 修改密码(token注销)3.5 token续签问题(token续签)3.6 用户的角色发生了变化(token注销)3.6.1 更新角色3.6.2 删除角色3.6
jwt token生成
07-27
JWT token生成可以使用多种方式,具体选择哪种方式取决于具体情况。以下是一种常见的生成方式供参考\[1\]。 JWT token的结构由三部分组成\[2\]。第一部分是Header,包含了算法和类型等信息。第二部分是Payload,包含了要传输的数据。第三部分是Signature,由Header和Payload根据密钥以及指定的加密方式生成\[3\]。 使用JWT生成Token的方式有多种。一种常见的方式是使用com.auth0.java-jwt库\[2\]。首先需要引入该库的jar包。然后根据具体需求,使用密钥和加密方式生成Token\[3\]。 具体生成Token的步骤如下: 1. 引入com.auth0.java-jwt库的jar包\[3\]。 2. 使用密钥和加密方式生成Token。 请注意,以上只是一种常见的生成方式,实际使用时需要根据具体情况选择适合的方式。 #### 引用[.reference_title] - *1* *3* [JWT Token生成](https://blog.csdn.net/weixin_45805672/article/details/120046246)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [JWT生成token](https://blog.csdn.net/ywn0601/article/details/110470118)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值