Spring Security 的 jwt 与 token+redis方案

最新推荐文章于 2024-09-12 10:18:47 发布
最新推荐文章于 2024-09-12 10:18:47 发布
阅读量1.5k 收藏 2
点赞数 1
分类专栏: Spring
原文链接:https://www.zhihu.com/question/274566992
版权
本文探讨了去中心化的JWT令牌和中心化的Redis令牌在身份验证中的优缺点。JWT的优点在于其去中心化和信息内置,但无法主动失效;而Redis令牌允许服务端主动失效,但增加了查询负担。为解决这个问题,提出了优化方案:JWT中增加TokenId字段,并结合Redis黑名单存储,同时利用非对称加密确保安全性。此方案在保持一定程度的去中心化的同时,实现了服务端的主动控制。
摘要由CSDN通过智能技术生成

1. 去中心化的JWT token
优点:

  1. 去中心化,便于分布式系统使用
  2. 基本信息可以直接放在token中。 username,nickname,role
  3. 功能权限信息可以直接放在token中。用bit位表示用户所具有的功能权限。

缺点:服务端无法主动让token失效

2. 中心化的 redis token / memory session等

优点:服务端可以主动让token失效

缺点:每次都要进行redis查询。占用redis存储空间。

这里 redis存储的是token的白名单。用户的其他信息也要放在redis中存储。需要占用较大的redis空间和查询次数。

3. 优化方案:

  1. Jwt Token中,增加TokenId字段。
  2. 将TokenId字段存储在redis中,用来让服务端可以主动控制token失效
  3. 牺牲了JWT去中心化的特点。
  4. 使用非对称加密。颁发token的认证服务器存储私钥:私钥生成签名。其他业务系统存储公钥:公钥验证签名。

这里的redis只存储tokenId的黑名单,同时redis也可以分布式部署,读写分离。token认证服务器操作redis的master,其他redis同步master的数据

 

 

https://www.zhihu.com/question/274566992

wangooo
关注
专栏目录
【万字长文】SpringBoot整合SpringSecurity+JWT+Redis完整教程(提供Gitee源码)
黄团团的个人博客
07-28 5665
最近在学习SpringSecurity的过程中,参考了很多网上的教程,同时也参考了一些目前主流的开源框架,于是结合自己的思路写了一个SpringBoot整合SpringSecurity+JWT+Redis完整的项目,从0到1写完感觉还是收获到不少的,于是我把我完整的笔记写成博客分享给大家,算是比较全的一个项目了,仅供大家参考和学习哦!
springboot+redis+token保持登录
08-03
通过redis 设置session过期时间,实现token 登录机制
springSecurity+token+redis 实现单点登录请求时序图
qq_27990381的博客
12-25 1828
最近在设计统一认证中心,多个子系统接入统一认证中兴后能够实现单点登录、异地登陆下线、统一的用户权限管理等。 由于现有子系统都有自己的用户和权限控制,系统建设初期阶段,暂时不考虑统一的用户信息管理。权限控制由子系统独立判断。 系统暂时没有第三方应用接入的需求,本着的简单的原则,使用springSecurity+token+redis的架构。 下面是第一版的系统请求时序图。 ...
SpringSecurity6.0+Redis+JWT - 实现用户注册/登录/认证流程
最新发布
Y_xianlin的博客
09-12 971
本项目Security6登录设计参考CSDN博客SpringSecurity6.0+Redis+JWT+MP基于token认证功能开发(源码级剖析可用于实际生产项目)_springsecurity redis管理token-CSDN博客因为SpringBoot3与Security6更新后, 部分方法被标为弃用,经过更改后, 已全部更改为最新用法代码辅助: ChatGPT-4o/智谱清言GLM-4使用数据库: Mysql/Redis
基于springSecurity + redis + token 的请求流程大致图
qq_41456651的博客
08-28 697
Spring Security 5.7.5 CURRENT GA-Token+Redis有状态登录
csdn4m
11-25 441
【代码】Spring Security 5.7.5 CURRENT GA-Token+Redis有状态登录。
springSecurity+JWT+Redis权限认证(完整项目代码)
gorylee的博客
12-10 3441
springboot+springsecurity+JWT+redis
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring SecurityJWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
Springboot+SpringSecurity+JWT+redis 框架搭建demo
02-03
本项目"Springboot+SpringSecurity+JWT+redis框架搭建demo"提供了一个基于这些技术的登录验证解决方案,旨在实现高效、安全的用户身份验证。下面我们将深入探讨这些技术及其在项目中的应用。 **Spring Boot** ...
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue人事管理系统源码
08-12
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue人事管理系统详解》 在当前的互联网开发环境中,高效、稳定且易于维护的系统架构是至关重要的。本篇文章将详细解析一个基于SpringBoot2、MybatisPlus、...
Spring Security+Redis实现登录
sky2019116的博客
02-03 1399
Spring Security是一个基于Spring框架的安全框架,它提供了一套完整的认证和授权机制,可以方便地实现登录功能需要实现UserDetails接口,并重写其中方法和定义一下自己需要用到的属性。@Data/** 用户唯一标识 *//** 登陆时间 *//** 过期时间 *//** 登录IP地址 *//** 浏览器类型 *//** 操作系统 *//** 用户信息 */@Override@Override/*** 账户是否未过期,过期无法验证*/
SpringSecurity+SpringSecurityOauth2集成实现权限框架,Redis分发Token
积少成多
08-24 1938
写在前面:当我们开始使用Security的时候,常常因为各种注入,而迷糊,但是很害怕使用security,感觉很重很难用!再加入oauth2更难搞,今天我就写点自己的配置理解,希望对大家有帮助!(会提供一个可以使用的源码,放在最后,如果你不想看内容,可以直接下载!) 一: spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) oauth2根据使用场景不同,分成了4种模式,感兴趣的可以去了解,我们主要用密...
SpringSecurity6.0+Redis+JWT+MP基于token认证功能开发(源码级剖析可用于实际生产项目)
laizhenghua的博客
06-25 6007
引子:最近做项目时遇到了一个特殊的需求,需要写共享接口把本系统的一些业务数据共享给各地市的自建系统,为了体现公司的专业性以及考虑到程序的扩展性(通过各地市的行政区划代码做限制),决定要把接口做的高级一些,而不是简单的传个用户名和密码对比数据库里面的,那样真的很low。于是写了基于token的认证功能,在这里分享出来供大家学习与探讨。
spring security oauth2使用redis存储token
weixin_33690963的博客
12-11 1790
序 本文就来讲述一下spring security oauth2使用redis来存储token的配置及在redis中的存储结构 maven <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-secu...
springboot第22集:security,Lombok,tokenredis
程序员哆啦A梦,蓝胖子
05-12 826
Spring Security是一个基于Spring框架的权限管理框架,用于帮助应用程序实现身份验证和授权功能。它可以为Web应用程序、REST API和方法级安全性提供支持,并支持各种认证方式。Spring Security最初是Acegi Security的前身,但由于其配置繁琐而受到批评。随着Spring Boot的出现,Spring Security的易用性得到了极大的提高,成为了Spri...
SpringBoot项目实战(009)Spring Security(三)JWT+Redis+RefreshToken
IT老吴的博客
07-17 1716
本章打算: 使用redis作为缓存。 使用refreshtoken刷新accesstoken 缓存角色信息到redis
SpringBoot + SpringSecurity + Mybatis-Plus + JWT + Redis 实现分布式系统认证和授权(刷新TokenToken黑名单)
djr的博客
03-07 784
SpringBoot + SpringSecurity + Mybatis-Plus + JWT + Redis 实现分布式系统认证和授权(刷新TokenToken黑名单) https://www.cnblogs.com/cao-lei/p/13300955.html
springboot redis token_SpringBoot前后端分离项目,集成Spring Security(完整版)
weixin_39583162的博客
11-21 802
本文讲解使用SpringBoot版本:2.2.6.RELEASE,Spring Security版本:5.2.2.RELEASEJava流行的安全框架有两种Apache Shiro和Spring Security,其中Shiro对于前后端分离项目不是很友好,最终选用了Spring SecuritySpringBoot提供了官方的spring-boot-starter-security,能够方便的...
基于springboot2+mybatisplus+springsecurity5.7+jwt+redis
08-11
基于SpringBoot2、MyBatisPlus、Spring Security5.7、JWTRedis的开发框架可以提供以下功能和优势: 1. Spring Boot2是一个轻量级的Java开发框架,能够快速构建Web应用程序和微服务。它提供了自动配置和约定大于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值