jwt token注销_基于token机制鉴权架构

最新推荐文章于 2024-05-15 22:42:38 发布
最新推荐文章于 2024-05-15 22:42:38 发布
阅读量462 收藏
点赞数
文章标签: jwt token注销
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28366053/article/details/112152970
版权
本文探讨了基于session和token的鉴权方式的区别,重点介绍了JWT Token的鉴权流程,包括登录、访问API、刷新token和注销过程。同时,文章详细阐述了防止重放攻击的策略,提供了一种生产环境下的参数读取和验证逻辑,以确保系统安全。
摘要由CSDN通过智能技术生成

常见的鉴权方式有两种,一种是基于session,另一种是基于token方式的鉴权,我们来浅谈一下两种 鉴权方式的区别。

两种鉴权方式对比

session

  1. 安全性:session是基于cookie进行用户识别的,cookie如果被截获,用户很容易受到跨站请求伪造的攻击。
  2. 扩展性:session是有状态的,是具有IP黏贴性和有中心化特性的,在分布式环境下,虽然每台服务器业务逻辑一样,但是session是保存在各个服务器中的,而且每个服务器内存是不共享的,如果使用session去实现分布式部署的话,需要使用其他的一些技术手段去实现,比如spring session,将session保存在第三方服务中,比如redis,这样一旦第三方服务出现问题,整个验权系统就会奔溃,在电商系统及高并发系统中的集群化处理显然是不合适的。
  3. 抗压能力:通常session是存储在内存中的,每个用户通过认证后都会将session存储在服务器内存中,当用户量增大的情况下服务器的压力也随之增大。

token

  1. 安全性:浏览器会将接收到的token值存储在Local Storage中,(通过js代码写入Local Storage,通过js获取,并不会像cookie一样自动携带)
  2. 扩展性:token是无状态的,是去中心化的,在分布式环境下,各个服务器中的服务只对token进行数据查询,它不需要在服务端保留用户信息或者会话信息,这意味着用户不需要考虑登录的是哪一台服务器,高效的解决了session扩展性的弊端。
  3. 抗压能力:token与session的不同主要在认证成功后,会对当前用户数据进行加密,生成一个加密字符串token,返还给客户端(服务器端并不进行保存)

基于token的鉴权方式

业界常用的授权标准有两种,一种是使用auth2,这种方式更适合于类似第三方授权登录,比如微信、微博、QQ信任登录业务。另一种是oauth,即第三方无需知道用户和密码就可以申请获得该资源的授权,更适用于对用户的权限校验并分配访问权限,比如常见的登录后分配可见资源(按钮、菜单等)类型网站。

Javashop电商系统 采用的是oauth方式的鉴权标准。我们以系统的应用为例来介绍oauth的方案。

70a5e81fc5829fef42c0424828530fca.png

1. 登录

服务端校验密码,成功后返回access_token和refresh_token,客户端记录上述token。

2. 访问API

在访问API之前解析access_token,并且查看是否过期,如果不过 期则请求API,如果过期,则要刷新令牌,在请求API。

3. 刷新token

携带有效期的refresh_token换回有效token,如果refresh_token过期,则需要用户重新登录。

4. 注销

请求注销api,服务器端和客户端应同时删除token的存储。

38dd1e0ebe44bbd24f7f73afe3cae666.png

1. 客户端请求API

携带access_token信息,如果生成环境不会直接携带access_token,会使用加密后的签名校验。祥见以下防重放机制。

2. 获取token

根据环境不同而有不同的获取token方式。

3. 解析token

通过JWT工具将token解析。

4. 由redis读取token

根据uid拼接key读取access_token, 如果不存在这个用户的token说明已经登出。

5. 验证token

判断次token是否属于此uid,判断token是否过期,如果过期则进行以下刷新token的流程。

6. 注入权限

如果token验证成功,根据user信息生成权限注入到spring安全上下文中。

刷新token流程

54d195f1ee38903c3773d864b67cabd9.png

1. 客户端请求API

携带refresh_token,如果是生产环境不会直接携带refresh_token信息,详见以下防重放攻击。

2. 获取token

根据环境不同而有不同的获取token方式。

3. 解析token

通过JWT工具将token解析。

4. token读取

根据uid拼接key读取出access_token,如果不存在这个用户的token说明用户已经登出。

5. 验证token

判断此token是否属于此uid,判断token是否已经过期,如果过期,则返回refresh_token过期错误,此时用户需要重新登录。

6. 刷新token

如果refresh_token 验证成功,则重新生成access_token和refresh_token,上述有效期以当前时间向后计算,替换此用户在redis中的token,并将token返回给客户端。

防重放机制

dd9e814e2a567ab8c4a23e4fa72dbc6e.png

一、 参数的读取

1. 在生产环境时,不能直接传递token,而是要传递签名数据,服务器端验签后由Redis中获取签名。

2. 如果是非生产环境,直接由header中读取token。

二、 生产环境传递如下参数

memberid (用户id)

nonce(随机字串,6位)

timestamp(当前时间戳,到秒)

sign= md5( uid+ nonce + timestamp +token )

三、 验证逻辑

1. 验证时间戳

判断时间戳是否起过60s,大于60s则判别为重放功击。

2. 验证nonce

首先验证nonce在 reids中是否存在,如果存在,则判别为重放功击,否则将nonce记录在redis中(key为:"nonce"+uid+"_"+nonce),失效时间为60s。

3. 验证sign

md5( uid+ nonce + timestamp +token ) 验证是签名是否通过。

4. 验证token

通过uid拿到token ,验证逻辑同验权流程。

当然在不同的业务场景下实现方案是多种多样的,仅以此方案抛转引玉,供大家参考。

fdba3bc26509d7c0a902aab412726a3c.png
爱生活的马克君
关注
fastadmin token 验证错误_基于token机制鉴权架构
weixin_39620037的博客
11-22 1314
常见的鉴权方式有两种,一种是基于session,另一种是基于token方式的鉴权,我们来浅谈一下两种 鉴权方式的区别。两种鉴权方式对比session安全性:session是基于cookie进行用户识别的,cookie如果被截获,用户很容易受到跨站请求伪造的攻击。扩展性:session是有状态的,是具有IP黏贴性和有中心化特性的,在分布式环境下,虽然每台服务器业务逻辑一样,但是session是保存在...
fastadmin出现token验证错误!_FastAdmin 支持 php7.4 的教程
weixin_36436683的博客
01-18 1510
从安装到运行,一条龙走到底。作者:Violet_Ice紫冰日期:2020-12-011. 前置默认你们已经安装了 NodeJS 和 Composer。php命令行版本:7.4.*ThinkPHP:5.0.241.1. 下载安装>表示执行命令# 设置过国内镜像源的请忽略 > npm config set registry https://registry.npm.taobao....
开放API接口签名验证,让你的接口从此不再裸奔
Java笔记虾
09-03 1348
作者:Joker_Codingblog.csdn.net/qq_18495465/article/details/79248608接口安全问题请求身份是否合法?请求参数是否被篡改?请求是...
fastadmin框架token验证
精通前端技术,了解后端接口
10-19 1670
Token验证是一种基于令牌(Token)的身份验证方式。在这种方式下,用户在登录成功后会获得一个令牌(Token),这个令牌包含了用户的身份信息以及其他相关信息。当用户发送请求时,需要携带这个令牌,服务端通过验证令牌的有效性来判断用户的身份和权限。Token验证是一种常见的身份验证方式,可以确保用户请求的安全性和合法性。在FastAdmin框架中,我们可以轻松地实现Token验证功能,通过验证Token来判断用户的身份和权限。希望本文对你理解FastAdmin框架中的Token验证有所帮助。
fastadmin出现token验证错误!_gitee 拥有3.7k星星的极速后台框架—FastAdmin了解一下...
weixin_28681379的博客
01-31 619
前言FastAdmin 是一款基于 ThinkPHP5 + Bootstrap 的极速后台开发框架,并且FastAdmin是遵循Apache2开源协议发布的。拥有一键生成CRUD/一键生成菜单/一键生成API文档,强大的一键生成功能极速简化你的开发流程,加快你的项目开发。主要特性FastAdmin已经具备php最优秀的二开框架的雏形,并提供免费使用。里面还拥有众多“黑科技”哦,例如:基于Auth验...
jwt token注销_JWT生成token及过期处理方案
weixin_34118593的博客
01-27 4433
## 业务场景在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。## 基本思路- 单个token1. token(A)过期设置为15分钟2. 前端发起请求,后端验证token(A)是否过期;如...
jwt token注销_如何在注销时销毁JWT令牌?
热门推荐
weixin_30119251的博客
12-29 1万+
6 个答案:答案 0 :(得分:42)JWT存储在浏览器上,因此删除在客户端删除cookie的令牌如果您还需要在服务器端到期之前使令牌无效,例如帐户已删除/阻止/暂停,密码已更改,权限已更改,用户已由管理员注销,请查看Invalidating JSON Web Tokens一些公共技术,如创建黑名单或旋转令牌答案 1 :(得分:7)创建令牌后,无法手动使令牌失效。因此,实际上无法像在会话中那样在服...
jwt token注销_JWT 管理用户登录时,都需要把 token 存数据库里,判断用户登出时删除吗?...
weixin_39814960的博客
12-19 1096
ddefewfewf:留着也没用啊Molita:不删留着干啥嘞就是 post session 和 delete session 嘛DavidNineRoc:jwt 好就好在不用存储数据库坏就坏在不用存储数据库正常情况下 jwt 不用处理登出, 如果非要做. 参考黑名单的实现.## 登出的做法就是, 客户端把本地的 token 删除, 这样子就不存在这个 token, 服务端也不关心这个. 就证明这...
jwt_token_test.zip
05-21
总之,Java通过jwt_token_test.zip中的代码示例,展示了如何使用JWT实现移动端API接口token认证。这种方式既减少了服务器存储负担,又提供了跨域身份验证的能力,是现代Web应用中常见的身份验证解决方案。
基于acess_token和refresh_token实现token续签
03-19
基于令牌(Token)的身份验证机制,特别是JSON Web TokenJWT),已经成为一种流行的选择。在这个场景下,“基于acess_token和refresh_token实现token续签”是一个关键的过程,它涉及到用户登录、权限管理以及令牌...
搞懂 JWT 这个知识点
程序员成长指北
09-22 661
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signatur...
fastadmin token 验证错误_Django跨域验证及OPTIONS请求
weixin_39999222的博客
11-28 479
最近做的一个需求是:有两个后端服务器,一个是老项目(django),一个是新项目(djangorestframework),老项目不能做大的改动,只能在新项目进行修改,并且前端只能使用老项目的。老项目的登录认证是最简单的方式:数据库保存账号密码,登录时发送账号密码,检测是否正常,即算是登录成功。新后端是使用jwt认证方式,使用Django用户模块保存用户信息。以上是需求的前提,现在要做的是在老项目...
jwt token注销_JWTToken登录认证,你用过没?
weixin_35259908的博客
12-29 872
1.JWT简介JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。2 JSON Web Token的应用场景Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服...
session与token1
哈尼熊熊的博客
03-14 217
1. SessionSession是在服务端保存的一个数据结构,用来跟踪用户的状态,这个数据可以保存在集群、数据库、文件中;服务器要知道当前发请求给自己的是谁。为了做这种区分,服务器就要给每个客户端分配不同的“身份标识”,然后客户端每次向服务器发请求的时候,都带上这个“身份标识”(sessionid),服务器就知道这个请求来自于谁了。至于客户端怎么保存这个“身份标识”,可以有很多种方式,对于浏览器...
java不同项目加token访问_SpringBoot:基于JWTtoken校验、单点登录等
weixin_39757739的博客
11-07 433
前言用户鉴权一直是我先前的一个问题,以前我用户接口鉴权是通过传入参数进行鉴权,只要是验证用户的地方就写token验证,虽然后面也把token验证方法提取到基类中,但是整体来说仍然不是太雅观,当时的接口如下所示.@RequestMapping(value = "like",method = RequestMethod.POST) public ResultMap userLikeOrDisL...
fastadmin出现token验证错误!_完美解决 Windows远程桌面提示出现身份验证错误。。。...
weixin_42298128的博客
01-27 1052
这两天要远程维护2个服务器,其中一个服务器怎么都远程不上,后来网上查,原来自己的电脑升级到Windows10 1809 17763.1217版本和补丁后都会可能报错: 出现身份验证错误,要求的函数不正确,这可能是由于CredSSP加密Oracle修正。。。。的情况 怎么都调整网络都连不上我度娘了好久试了很多网上的说法,还是不行,因为我的家庭版一运行不了gpedit.msc , 家庭版运行不了gpe...
fastadmin中token问题
maodouhuasheng的博客
06-20 1332
fastadmin中token问题
SpringCloud Alibaba微服务实战三十五 - 实现退出登录后注销 jwt token(1)
m0_61549353的博客
04-04 1288
1、看视频进行系统学习这几年的Crud经历,让我明白自己真的算是菜鸡中的战斗机,也正因为Crud,导致自己技术比较零散,也不够深入不够系统,所以重新进行学习是很有必要的。我差的是系统知识,差的结构框架和思路,所以通过视频来学习,效果更好,也更全面。关于视频学习,个人可以推荐去B站进行学习,B站上有很多学习视频,唯一的缺点就是免费的容易过时。2、读源码,看实战笔记,学习大神思路“编程语言是程序员的表达的方式,而架构是程序员对世界的认知”。所以,程序员要想快速认知并学习架构,读源码是必不可少的。
fastadmin对登录token的处理
最新发布
ChinaLibrary的博客
05-15 685
最近开发遇到一个场景,需要绕过验证获取登录,所以恶补了一下这个知识点,这个主要就是控制fastadmin的token的问题。
给我写一个 flask_jwt_extended 使用 token_in_blocklist_loader 的例子
03-20
好的,以下是一个使用 flask_jwt_extended 和 token_in_blocklist_loader 的例子: ```python from flask import Flask from flask_jwt_extended import JWTManager, jwt_required, create_access_token, get_jwt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值