微服务系列之-JWT安全认证

最新推荐文章于 2024-01-22 14:39:37 发布
最新推荐文章于 2024-01-22 14:39:37 发布
阅读量657 收藏 2
点赞数 1
分类专栏: 安全认证 微服务架构
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/weinichendian/article/details/112795374
版权

文章目录

前言

JSON Web Tokens(JWT)是一种认证协议,是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。JWT 一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该 Token 也可直接被用于认证,也可被加密。

授权服务器将用户信息和授权范围序列化后放入一个JSON字符串,然后使用Base64进行编码,最终在授权服务器用私钥对这个字符串进行签名,得到一个JSON Web Token。

假设其他所有的资源服务器都将持有一个RSA公钥,当资源服务器接收到这个在Http Header中存有Token的请求,资源服务器就可以拿到这个Token,并验证它是否使用正确的私钥签名(是否经过授权服务器签名,也就是验签)。验签通过,反序列化后就拿到Toekn中包含的有效验证信息。

一、JWT认证流程

在这里插入图片描述
流程描述:

  • 客户端调用登录接口(或者获取 token 接口),传入用户名密码。
  • 服务端请求身份认证中心,确认用户名密码正确。
  • 服务端创建 JWT,返回给客户端。
  • 客户端拿到 JWT,进行存储(可以存储在缓存中,也可以存储在数据库中,如果是浏览器,可以存储在 Cookie 中)在后续请求中,在 HTTP 请求头中加上 JWT。
  • 服务端校验 JWT,校验通过后,返回相关资源和数据。

二、JWT数据结构

在这里插入图片描述JWT 是由三段信息构成的,第一段为头部(Header),第二段为载荷(Payload),第三段为签名(Signature)。每一段内容都是一个 JSON 对象,将每一段 JSON 对象采用 BASE64 编码,将编码后的内容用. 链接一起就构成了 JWT 字符串。如下:

header.payload.signature

  1. 头部(header)
    头部用于描述关于该 JWT 的最基本的信息,例如其类型以及签名所用的算法等
    指明了类型为JWT,签名算法是 RS256算法的header
    在这里插入图片描述

  2. 载荷(payload)
    载荷也是body,是存放有效信息的地方。有效信息包含以下内容:
    在这里插入图片描述在这里插入图片描述除了上面的默认字段外,我们还可以自定义私有字段,如:
    在这里插入图片描述

  3. 签名(signature)
    创建签名需要使用 Base64 编码后的 header 和 payload 以及一个秘钥,将 base64 编码后的 header 和 base64 编码后的 payload 使用.连接组成的字符串,通过 header 中声明的加密方式进行加盐 secret 组合加密,然后就构成了 jwt 的第三部分。

在这里插入图片描述示例:

rs256sign(<base64URL-encoded header>.<base64URL-encoded body>)

三、JWT 的优点

  • 跨语言,JSON 的格式保证了跨语言的支撑
  • 基于 token,无状态
  • 占用字节小,便于传输

四、关于 token 注销

token 的注销,由于 token 不存储在服务端,由客户端存储,当用户注销时,token 的有效时间还没有到,还是有效的。所以如何在用户注销登录时让 token 注销是一个要关注的点。一般有如下几种方式:

  • token 存储在localStorage中,这样客户端注销时,自然可以清空掉
  • 注销时,将 token 存放到分布式缓存中,每次校验 token 时检查下该 token 是否已注销。不过这样也就失去了快速校验 token 的优点。
  • 采用短期令牌,比如token有效期是 20 分钟,这样可以一定程度上降低注销后 token 可用性的风险。

总结

谦奕爸爸
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Go-JWT-RESTful身份认证教程
09-18
主要介绍了详解Go-JWT-RESTful身份认证教程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
深入理解token的作用
char56789的博客
11-08 2207
概要:Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 为什么要使用token呢? 因为它能有如下的作用: 1.Token 完全由应用管理,所以它可以避开同源策略 2.Token 可以避免 CSRF 攻击(http://dwz.cn/7joLzx) 3.Token 可以是无状态的,可以在多个服务间共享 Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求
搞懂 JWT 这个知识点
程序员成长指北
09-22 624
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signatur...
微服务JWT的介绍与使用
最新发布
xuewenyu_的博客
01-22 1314
​ RSA公开密钥密码体制是一种使用不同的加密密钥与解密密钥,“由已知加密密钥推导出解密密钥在计算上是不可逆的”密码体制。​ 在公开密钥密码体制中,加密密钥(即公开密钥)PK是公开信息,而解密密钥(即秘密密钥)SK是需要保密的。加密算法E和解密算法D也都是公开的。虽然解密密钥SK是由公开密钥PK决定的,但却不能根据PK计算出SK [2]。​ RSA加密:非对称加密。​ 同时生产一对秘钥:公钥和私钥。​ 公钥秘钥:用于加密​ 私钥秘钥:用于解密。
jwttoken生成,续约,注销操作浅谈
u010772230的专栏
12-23 7274
JWT JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案 原理 JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,由客户端来保存登录信息。此后,客户端每次与服务器通信,都要带上这个 JWT。生成的token可以放在HTTP 请求的头信息Authorization字段里面,也可以放在 POST 请求的数据体里面。当然也可以把它放在 Cookie...
jwt token注销_jwt怎么让token在用户退出登录失效?
weixin_39983563的博客
12-19 2434
我最近也在做这个一个解决方案是oauth2 中把JwtTokenStore 改成RedisTokenStore ,然后登出的时候清redis另外还是借用的redis用户每次登录生成token,我还是在redis中把这个token存储登出的时候清除redis中存储的token,用户再次调用登录的时候覆盖老token这样每次有请求的时候在filter中匹配一下本次请求带入tokentoken一致放行...
SpringBoot集成JWT实现token验证
weixin_33994444的博客
07-10 2058
JWT官网: https://jwt.io/JWT(Java版)的github地址:https://github.com/jwtk/jjwt 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包...
如何使用jwt 完成注销(退出登录)功能
热门推荐
weixin_39813433的博客
01-03 1万+
原文 神奇的 JSON Web Tokens(JWT) JSON Web Tokens (JWT) 是一种无状态处理用户身份验证的方法。 什么意思? JWT帮助建立认证机制而不将身份验证状态存储在任何存储中,无论是会话内存还是数据库,因此, 当检查用户的身份验证状态时,不需要访问会话内存或执行数据库查询。相反, 根据你选择的用户payload生成token 并在客户端的请求中使用它来标识服务器上的用户 ???? 因此,基本上,每当创建token时,就可以永远使用它,或者直到它过期为止。 JWT生成器可以
gin-jwt:JWT Gin中间件框架
04-28
用于Gin框架的JWT中间件 这是框架的中间件。 它使用提供jwt身份验证中间件。 它提供了其他处理程序功能以提供将生成令牌的login api和可用于刷新令牌的其他refresh处理程序。 安全问题 简单的HS256 JWT令牌暴力...
nimbus-jose-jwt-4.41.1-API文档-中文版.zip
06-26
赠送jar包:nimbus-jose-jwt-4.41.1.jar; 赠送原API文档:nimbus-jose-jwt-4.41.1-javadoc.jar; 赠送源代码:nimbus-jose-jwt-4.41.1-sources.jar; 赠送Maven依赖信息文件:nimbus-jose-jwt-4.41.1.pom; 包含...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
devise-jwt:具有devise和rails的JWT令牌认证
02-05
您可以在以下系列文章中了解有关此库考虑了哪些安全问题以及有关JWT通用安全用法的信息: devise-jwt只是之上的 ,可将其配置为与和Rails一起使用。 升级说明 v0.7.0 从v0.7.0版开始, Blacklist撤销策略已重命名...
一文搞懂Session和JWT登录认证
crg18438610577的博客
04-15 1458
一文搞懂Session和JWT登录认证~~
JavaWeb实现登录与注销功能(session对象)
weixin_73509711的博客
10-17 454
我们先来想一个问题,这个问题就是我们在游览购物网站时,我们并没有登录,但是我们任然可以将商品加入购物车,并且进行查看,当我们退出游览器后再打开游览器进行查看时,购物车中依然有我们选择的商品,这该怎么实现呢?当然,我们可以使用cookie,但是cookie能存放大量数据吗?这时,我们就需要一种新的技术,Session。session是存储于服务器端的特殊对象,服务器会为每一个游览器(客户端)创建一个唯一的session。这个session是服务器端共享,每个游览器(客户端)独享的。
会话管理之Session、cookie、token
trulyfeixue的博客
12-11 613
会话管理之Session、cookie、token HTTP是无状态的,每次请求都是一个新的HTTP协议,就是请求加响应,不知道是谁刚刚发了HTTP请求,每个请求都是全新的。但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统, 哪些人往自己的购物车中放商品,也就是说必须把每个人区分开。 一、 session 为解决上面的问题,想出的办法就是给大家发一个会话标识(session id),就是一个随机的字串,每个人收到的都不一样, 每
一步步教你实现JWT认证和授权
weixin_52533007的博客
08-11 2283
本博主将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主!也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远!JWT认证(JSON Web Token authentication)是一种基于Token的身份验证机制。它使用JSON Web TokenJWT)作为身份验证的凭据,并通过对JWT进行验证来确认用户的身份和授权用户访问受保护的资源。大家不要把三者想的太复杂session是诞生并保存在服务器那边的,由服务器主导一切。
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 4149
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
安全认证--JWT介绍及使用
weixin_43811057的博客
03-01 1414
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
微服务之间调用的安全认证-jwt
LiGuogang
08-15 2736
微服务之间调用的安全认证jwt
java-jwt.jar
12-01
java-jwt.jar是一个用于在Java中实现JWT(JSON Web Token认证和授权的库。JWT是一种轻量级的身份验证机制,用于在不同系统之间安全地传输信息。java-jwt.jar库提供了创建、解析和验证JWT的功能,使得在Java应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值