java不用缓存实现token续签_JWT实现登陆认证及Token自动续期

最新推荐文章于 2024-05-24 20:27:32 发布
最新推荐文章于 2024-05-24 20:27:32 发布
阅读量1.2k 收藏 5
点赞数
文章标签: java不用缓存实现token续签
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36234738/article/details/114746108
版权
过去这段时间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经在前面的文章中介绍了,可以阅读:https://juejin.cn/post/6916150628955717646今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功能的菜鸡甜来说也是一种锻炼吧技术选型要实现认证功能,很容易就会想到JWT或者session,但是两者有...
摘要由CSDN通过智能技术生成

过去这段时间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经在前面的文章中介绍了,可以阅读:

https://juejin.cn/post/6916150628955717646

今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功能的菜鸡甜来说也是一种锻炼吧

技术选型

要实现认证功能,很容易就会想到JWT或者session,但是两者有啥区别?各自的优缺点?应该Pick谁?夺命三连

68bfdf3476ef0c6acd06a67b23f67ce1.gif

区别

基于session和基于JWT的方式的主要区别就是用户的状态保存的位置,session是保存在服务端的,而JWT是保存在客户端的

认证流程

基于session的认证流程

用户在浏览器中输入用户名和密码,服务器通过密码校验后生成一个session并保存到数据库

服务器为用户生成一个sessionId,并将具有sesssionId的cookie放置在用户浏览器中,在后续的请求中都将带有这个cookie信息进行访问

服务器获取cookie,通过获取cookie中的sessionId查找数据库判断当前请求是否有效

基于JWT的认证流程

用户在浏览器中输入用户名和密码,服务器通过密码校验后生成一个token并保存到数据库

前端获取到token,存储到cookie或者local storage中,在后续的请求中都将带有这个token信息进行访问

服务器获取token值,通过查找数据库判断当前token是否有效

优缺点

JWT保存在客户端,在分布式环境下不需要做额外工作。而session因为保存在服务端,分布式环境下需要实现多机数据共享

session一般需要结合Cookie实现认证,所以需要浏览器支持cookie,因此移动端无法使用session认证方案

安全性

JWT的payload使用的是base64编码的,因此在JWT中不能存储敏感数据。而session的信息是存在服务端的,相对来说更安全

68bfdf3476ef0c6acd06a67b23f67ce1.gifimage.png

如果在JWT中存储了敏感信息,可以解码出来非常的不安全

性能

经过编码之后JWT将非常长,cookie的限制大小一般是4k,cookie很可能放不下,所以JWT一般放在local storage里面。并且用户在系统中的每一次http请求都会把JWT携带在Header里面,HTTP请求的Header可能比Body还要大。而sessionId只是很短的一个字符串,因此使用JWT的HTTP请求比使用session的开销大得多

一次性

无状态是JWT的特点,但也导致了这个问题,JWT是一次性的。想修改里面的内容,就必须签发一个新的JWT

无法废弃

一旦签发一个JWT,在到期之前就会始终有效,无法中途废弃。若想废弃,一种常用的处理手段是结合redis

续签

如果使用JWT做会话管理,传统的cookie续签方案一般都是框架自带的,session有效期30分钟,30分钟内如果有访

最低0.47元/天 解锁文章
deep go
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java token 超时_token超时刷新策略(附源码)
weixin_39553423的博客
02-24 1836
需求场景我们在做用户中心时,对于登录用户签发其对应的token,对token设置他的固定有效期时间。可是我们通常会遇到一个这样的问题:在有效期内用户携带token访问问题,当过了有效期后token失效,用户需要重新登录获取新的token。想象以下,假如生产环境中我把token时间设置为15分钟,用户每隔15分钟需要重新登录一次,这种体验可能会被用户打死。实现目标一个优秀的体验应该是:活跃的用户应...
JWT实现登陆认证Token自动续期
Java笔记虾
02-26 4941
来源:juejin.cn/post/6932702419344162823过去这段时间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经在前面的文章中介绍了,可以...
token 过期后,如何自动续期
最新发布
很多时候犯错都是在不知情的情况下发生的
05-24 299
如果经常需要用户重新登录,显然这种体验不是太好,因此很多应用会采用token过期后自动续期的方案,只有特定条件下才会让用户重新登录。首先我们看一个单token方案,这个方案除了可以实现token续期以外,还可以实现某些条件下的强制重新登录。JWT token的 payload 部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。另外后端还可以记录刷新token的次数,比如最多刷新50次,如果达到50次,则不再允许刷新,需要用户重新授权。代码语言:javascript。
JWT 实现登录认证 + Token 自动续期方案
CRMEB小程序商城的博客
08-10 404
项目中基本都有用户管理模块,而用户管理模块会涉及到加密及认证流程。今天就来讲讲认证功能的技术选型及实现。技术上啥难度当然也啥挑战,但是对一个原先写过认证功能的人来说也是一种锻炼吧。...
身份认证2_解析jwt令牌and检测令牌是否过期
grow_的博客
04-26 969
解析jwt令牌 当服务端生成 token 后发给客户端,客户端在下次向服务端发送请求时需要携带这个token (这就好像是拿着一张门票一 样),那服务端接到这个token 应该解析出token中的信息(例如用户名), 根据这些信息 查询数据库返回相应的结果。 在 测试类添加一个方法 parserJwt 来解析jwt令牌中信息 import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder; import io.jsonwebto...
帮我用java 写一个 token续期的代码
weixin_35756690的博客
02-10 149
好的,以下是一个示例代码: import java.util.Date; public class TokenRenewal { private static final long TOKEN_EXPIRATION_TIME = 60 * 60 * 1000; // 1 hour public static void main(String[] args) { ...
基于acess_token和refresh_token实现token续签
03-19
在这个场景下,“基于acess_token和refresh_token实现token续签”是一个关键的过程,它涉及到用户登录、权限管理以及令牌的有效性维护。下面将详细阐述这个主题。 首先,我们需要理解`access_token`和`refresh_...
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
03-17
本文将深入探讨如何使用JWT实现登录认证,并结合Token自动续期方案,确保用户会话的安全与持久性。以下是关于这个主题的详细知识点: 1. JWT简介: JWT是一种开放标准(RFC 7519),用于在网络应用之间安全地传输...
springboot+jwt实现token登陆权限认证实现
08-19
Spring Boot + JWT 实现 Token 登录权限认证 在本文中,我们将介绍如何使用 Spring Boot 和 JWT 实现 Token 登录权限认证JWT(JSON Web Token)是一种基于 token 的身份验证机制,能够提供一种简洁、安全的方式来...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
swagger接口 token认证 redis缓存实现.rar_carsj4_redis token_swagger 测试tok
09-20
Token认证通常采用OAuth2或JWT(JSON Web Tokens)协议。在这种机制下,当用户成功登录后,服务器会返回一个token,这个token代表了用户的授权信息。每次客户端发起请求时,都需要将token附在请求头中,服务器验证...
JWT - 生成token并配置过期时间
没有简介、全是狠活
11-06 1520
话说项目配置了Token, 就像是炒菜加味精。 一滴加进去,鲜味倍增, 保证安全又好吃。
JJWT应用到前后端分离项目或JSP页面项目中的登录、加签、验签、登出、自动续签
qq_40144558的博客
08-14 978
项目背景: 该项目是一个给用户使用的客户端,由于时间比较紧,而且需要考虑到组内开发学习成本所以直接使用的轻量级JWT,并有使用spring security和OAuth2等;该项目使用技术点:springBoot、spring mvc、mybatis、Spring admin、actuactor、swagger、swaggerdocs等常用技术 因为jwt无法对token进行内部...
关于token续签
coding...
09-20 379
通常我们会对token设置一个有效期,于是,就有了token续签的问题。由于token有续时机制,如果不能及时的替换掉过期的token,可能会拦截用户正常的请求,用户只能重新登录,如果提交的信息量很大,会给用户带来很不愉快的用户体验。
Web-登录功能实现(含JWT令牌)
y_k_j_c的博客
07-15 742
就是你比如复制一个url用一个未曾登陆对应url系统的浏览器访问他会先进入登陆页面登陆校验就是实现这个功能简而言之,就是不能让你直接访问内部数据,要先登陆才可以首先http协议是无状态的每次请求都是独立的而我们浏览器和web服务器之间就是http协议实现思路存一个登陆标记每个请求前有if判断对应队列标记登陆就正常执行登陆就去登陆界面但是:这样太繁琐了所以我们使用统一拦截来做对应技术主要介绍登陆标记(会话技术)和统一拦截呗三部分之间用.隔开。
JWT生成token以及验证token
CKQ_me的博客
06-06 3276
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 JWT的构成 jwt由三个部分组成 第一部分:头部(header),第二部分:playload(称为载荷),第三部分:signature(签证) ...
Java实战:实现JWT刷新令牌机制
oandy0的博客
02-25 1654
本文将详细介绍如何在Java应用程序中实现JWT刷新令牌机制。我们将探讨JWT刷新令牌的基本概念,以及如何使用Spring Boot和JWT库来实现认证和授权。
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1463
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token ,判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌。
rest_framework_jwt 如何使用refresh token进行token续期
06-09
使用 `rest_framework_jwt` 进行 token 续期需要执行以下步骤: 1. 在 `settings.py` 中添加 `JWT_ALLOW_REFRESH` 配置项: ```python JWT_AUTH = { # ... 其他配置项 ... 'JWT_ALLOW_REFRESH': True, 'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7), } ``` 其中,`JWT_ALLOW_REFRESH` 配置项表示是否允许使用 refresh token 进行 token 续期,`JWT_REFRESH_EXPIRATION_DELTA` 配置项表示 refresh token 的有效期,这里设置为 7 天。 2. 在 `urls.py` 中添加 `refresh_jwt_token` 视图的路由: ```python from rest_framework_jwt.views import refresh_jwt_token urlpatterns = [ # ... 其他路由 ... path('api/token/refresh/', refresh_jwt_token), ] ``` 3. 在前端代码中,当 token 过期后,使用 refresh token 进行 token 续期。示例代码如下: ```javascript const refreshToken = localStorage.getItem('refreshToken'); if (refreshToken) { fetch('/api/token/refresh/', { method: 'POST', headers: { 'Content-Type': 'application/json', }, body: JSON.stringify({ refresh: refreshToken }), }) .then((response) => response.json()) .then((data) => { localStorage.setItem('accessToken', data.access); localStorage.setItem('refreshToken', data.refresh); }) .catch((error) => { console.error('Failed to refresh token', error); }); } else { console.error('No refresh token found'); } ``` 在上面的代码中,我们首先从本地存储中获取 refresh token,然后使用 `fetch` 发送 POST 请求到 `/api/token/refresh/` 视图,将 refresh token 作为请求体的 `refresh` 参数。在成功获取到新的 access token 和 refresh token 后,我们将它们保存到本地存储中。 希望这可以帮助你理解如何使用 `rest_framework_jwt` 进行 token 续期

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值