JWT实现分布式登陆认证方案

最新推荐文章于 2024-03-20 17:07:02 发布
最新推荐文章于 2024-03-20 17:07:02 发布
阅读量6.4k 收藏 3
点赞数
分类专栏: JAVA 文章标签: 分布式 token验证方案
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013308504/article/details/90374287
版权

最近做基于BFF架构的分布式移动端API接口的系统设计。在这里把关于JWT常见的一些疑问统一回答下吧。

  1. JWT认证方案

JSON Web Token (JWT)是一种基于 token 的认证方案。
JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.
简单的说,JWT就是一种Token的编码算法,服务器端负责根据一个密码和算法生成Token,然后发给客户端,客户端只负责后面每次请求都在HTTP header里面带上这个Token,服务器负责验证这个Token是不是合法的,有没有过期等,并可以解析出subject和claim里面的数据。

注意JWT里面的数据是BASE64编码的,没有加密,因此不要放如敏感数据。

可以通过https://jwt.io/这个网站对JWT Token进行解析。

一个JWT token 看起来是这样的:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjEzODY4OTkxMzEsImlzcyI6ImppcmE6MTU0ODk1OTUiLCJxc2giOiI4MDYzZmY0Y2ExZTQxZGY3YmM5MGM4YWI2ZDBmNjIwN2Q0OTFjZjZkYWQ3YzY2ZWE3OTdiNDYxNGI3MTkyMmU5IiwiaWF0IjoxMzg2ODk4OTUxfQ.uKqU9dTB6gKwG6jQCuXYAiMNdfNRw98Hw_IWuA5MaMo

可以简化为下面这样的结构:

base64url_encode(Header) + '.' + base64url_encode(Claims) + '.' + base64url_encode(Signature)
  1. JWT优势

JWT只通过算法实现对Token合法性的验证,不依赖数据库,Memcached的等存储系统,因此可以做到跨服务器验证,只要密钥和算法相同,不同服务器程序生成的Token可以互相验证。

  1. JWT Token需要持久化在Memcached中吗?
    不应该这样做,这样就背离了JWT通过算法验证的初心。

  2. 在退出登录时怎样实现JWT Token失效呢?
    退出登录, 只要客户端端把Token丢弃就可以了,服务器端不需要废弃Token。

  3. 怎样保持客户端长时间保持登录状态?

服务器端提供刷新Token的接口, 客户端负责按一定的逻辑刷新服务器Token。

  1. 服务器端是否应该从JWT中取出userid用于业务查询?

REST API是无状态的,意味着服务器端每次请求都是独立的,即不依赖以前请求的结果,因此也不应该依赖JWT token做业务查询, 应该在请求报文中单独加个userid 字段。
为了做用户水平越权的检查,可以在业务层判断传入的userid和从JWT token中解析出的userid是否一致, 有些业务可能会允许查不同用户的数据。

  1. JWT Java项目实现

生成Token


      String token = Jwts.builder().setSubject(userId)
              .setExpiration(new Date(System.currentTimeMillis() + Constant.TOKEN_EXP_TIME))
              .claim("roles", userId).setIssuedAt(new Date())
              .signWith(SignatureAlgorithm.HS256, "testwebtoken@20200901").compact();
      loginResponse.setToken(token);

验证JWT Token


      final String authHeader = request.getHeader("Authorization");

     if (authHeader == null || !authHeader.startsWith("token+")) {
        log.debug("no Authorization ", e);
         return;
     } else {
         try {
             final String token = authHeader.substring(7); // The part after "Bearer "
             log.debug("token " + token);

             final Claims claims = Jwts.parser().setSigningKey("testwebtoken@20200901")
                     .parseClaimsJws(token).getBody();
             log.debug(claims.toString());
         } catch (SignatureException e) {
	        throw new Exception("token签名异常");
	    } catch (IllegalArgumentException e) {
	        throw new Exception("非法token");
	    } catch (Exception e) {
	        throw new Exception("验证token异常");
	    }
     }

注意客户端发送的Authorization HTTP HEADER格式是 "token+YOUR_JWT_TOKEN",这是OAuth的规范规定的。

旧城旧爱
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
分布式项目登录——JWT技术
wang_yaqin的博客
01-03 3890
1.JWT介绍 1.1什么是JWT       JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 1.2JWT的组成        一个JWT其实就是一个字符串,由三部分组成:头部(header)、载荷(payload)、签名(signature),以“.”拼接 1.2...
Spring Boot Security 结合 JWT 实现无状态的分布式API接口
10-17
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。这篇文章主要介绍了Spring Boot Security 结合 JWT 实现无状态的分布式API接口 ,需要的朋友可以参考下
前端开源库-auth-header
08-29
前端开源库-auth-headerauth头,用于http
分布式微服务 jwt实现单点登录
m0_46766756的博客
05-31 590
分布式微服务 jwt实现单点登录 Step 1 -> 添加依赖 <!-- jwt 单点登录--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version>
JWT—是什么?如何实现用户登录验证
一起加油吧~
03-20 1033
这个部分需要 base64URL 加密后的 header 和 base64URL 加密后的 payload 使用 . 连接组成的字符串,然后通过header 中声明的加密算法 进行加secret组合加密,然后就得出一个签名哈希,也就是Signature,且无法反向解密。用户认证通过之后服务端会创建对应的session并存储,会生成一个唯一的session_id并返回给客户端,客户端在浏览器的Cookie中或其他方式(内存,但服务器重启后会丢失;nbf (Not Before):生效时间,在此之前是无效的。
JWT安全验证常见疑问解答
西涛offbye-移动全栈技术博客
07-05 1万+
最近做基于BFF架构的分布式移动端API接口的系统设计。工作过程中发现有些工程师对JWT安全验证的认识存在一些偏差,重复讲解实在太麻烦了,在这里把关于JWT常见的一些疑问统一回答下吧。 什么是JWT?JSON Web Token (JWT)是一种基于 token认证方案。 JSON Web Tokens are an open, industry standard RFC 7519 metho
基于分布式单点登录JWTtoken身份认证方案
weixin_46879188的博客
05-18 1777
认识JWT JWT是 JSON Web Token 的缩写,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT工作流程 这里我们通过一张图了解它的工作流程。 从上图中我们可以看出它是基于Token的身份认证,具体流程:客户端携带用户名和密码请求访问 - 服务器校验用户凭据 - 应用提供一个token给客户端 - 客户端存储token,并且在随后的每一次请求中都带着它 -服务器校验token
几种常用的认证机制
诚的博客
12-14 1544
HTTP Basic Auth HTTP Basic Auth在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和明码会通过HTTP头传递。 在发送之前是以用户名追加一个冒号然后串接上口令,并将得出的结果字符串再用Base64算法编码。 例如 用户名是Aladdin、口令是open sesame,则拼接后的结果就是Aladdin:open sesame, 然后再将其用Base64编码,得到QWxhZGRpbjpvc.
JWT(跨域身份验证解决方案)
u011607686的博客
03-26 2357
参考:https://www.jianshu.com/p/180a870a308a 1、JWT-Json Web Token两个特点: 简洁(Compact) 可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快 自包含(Self-contained) 负载中包含了所有用户所需要的信息,避免了多次查询数据库 2、JWT组成 Header 头部 头部包...
.Net WebAPI JWT身份验证
zhanglong_longlong的专栏
07-16 658
一、开发环境 VS2017 enterprise win10 Pro 64 .net 4.6.2 二、开发过程 1、使用VS2017 创建.netframework项目,选择WebApi 2、从Nuget包中搜索并安装JWT 3、在Models中创建AuthInfo.cs、LoginRequest.cs、TokenInfo.cs三个类 using System; using Syst...
SpringBoot使用JWT实现Token登录校验
培根芝士的专栏
05-16 1575
JWT全称JSON Web Token实现过程简单的说就是用户登录成功之后,将用户的信息进行加密,然后生成一个token返回给客户端,与传统的session交互没太大区别。 区别就是token存放了用户的基本信息,更直观一点就是将原本放入redis中的用户数据,放入到token中去了。 1、导入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt<
一个轻量级 Java 权限认证框架让鉴权变得简单优雅-登录认证权限认证分布式Session会话微服务网关鉴权
最新发布
04-14
—— 可集成Redis、Memcached等专业缓存中间件,重启数据不丢失分布式会话 —— 提供jwt集成、共享数据中心两种分布式会话方案微服务网关鉴权 —— 适配Gateway、ShenYu、Zuul等常见网关的路由拦截认证单点登录 ...
c#关于JWT跨域身份验证实现代码
01-01
token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息, 以便于从资源服务器获取资源,该token也可直接被用于认证,...
资源前后端分离式分布式微服务架构项目用户认证SpringSecurityOauth2讲义+源码+视频
03-03
资源前后端分离式分布式微服务架构项目用户认证SpringSecurityOauth2讲义+源码+视频 用户认证需求分析 理解 理解用户认证需求分析 "理解用户认证与授权的概念理解单点登录需求理解第三方认证需求"用户认证技术方案 ...
net core集成jwt
09-24
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单...
jquery-form.js 兼容IE8 IE9等以上火狐谷歌等浏览器
热门推荐
u013308504的博客
08-25 1万+
最近做了一个文件上传 用ajaxfileupload.js 在火狐 谷歌 IE9及以上版本可用  为了兼容IE8  找到了jquery-form.js html 代码:                        上传 js代码: function upload(){         if($("#fileName").val()==""){             
java 链接Redis集群 redis-cluster
u013308504的博客
02-13 8209
redis-cluster 部署的redis集群 1、命令连接redis集群./src/redis-cli -h 192.168.33.159 -c -p 70012、通过java代码 连接redis集群添加依赖包                &lt;dependency&gt; &lt;groupId&gt;redis.clients&lt;/groupId&gt; &lt;artif...
Spring 动态管理定时任务(使用quartz) 只是管理启动时间 不能做启动和暂停
u013308504的博客
10-10 5237
前言:以前都没有做记录的习惯,发现做过的项目中用过的技术都很容易给忘了,然后要一次次的翻API一次次的查百度,浪费了大量的时间, 看到了同事和朋友用博客的方式记录着自己的收获,想到自己也应该这样做,以后就不会浪费时间做自己做过的事了。 框架:Spring4 MVC 利用的jar包:quartz 最后好不容易终于普通和动态的都整了出来,怕再给忘了,记录下。  以下是普通的定时器:
django jwt
08-16
JWT 是一种无状态的认证方案,通过使用 JSON 数据结构,将用户的身份信息进行编码和签名。 在 Django 中使用 JWT 需要安装相应的库,比如 `djangorestframework-jwt` 或 `django-rest-framework-simplejwt`。这些库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值