jwt token长度限制_(建议收藏) | Spring Boot集成JSON Web Token(JWT)

最新推荐文章于 2024-06-18 20:51:41 发布
最新推荐文章于 2024-06-18 20:51:41 发布
阅读量1.3w 收藏 6
点赞数 2
文章标签: jwt token长度限制 jwt单点登录 jwt获取token springboot 集成jwt设置过期时间

一:认证

在了解JWT之前先来回顾一下传统session认证和基于token认证。

1.1 传统session认证

http协议是一种无状态协议,即浏览器发送请求到服务器,服务器是不知道这个请求是哪个用户发来的。为了让服务器知道请求是哪个用户发来的,需要让用户提供用户名和密码来进行认证。当浏览器第一次访问服务器(假设是登录接口),服务器验证用户名和密码之后,服务器会生成一个sessionid(只有第一次会生成,其它会使用同一个sessionid),并将该session和用户信息关联起来,然后将sessionid返回给浏览器,浏览器收到sessionid保存到Cookie中,当用户第二次访问服务器时就会携带Cookie值,服务器获取到Cookie值,进而获取到sessionid,根据sessionid获取关联的用户信息。

public User login(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {String username = request.getParameter("username");String password = request.getParameter("password");User user = userService.login(username, password);if (user == null) {throw new AuthenticationException("用户名或密码错误");}// 返回这次请求关联的当前会话,如果没有会话则创建一个新的// 需要在服务器端记录该sessionHttpSession session = request.getSession();session.setAttribute("user", user);// 让浏览器保存sessionid到cookie中// Cookie cookie = new Cookie("sessionid", session.getId());// cookie.setPath("/");// response.addCookie(cookie);return user;}public Object getUserInfo(HttpServletRequest request){// 从request中获取Cookie// 从Cookie中获取sessionid// 根据sessionid获取对应的Session对象// 从session中获取关联的用户信息HttpSession session = request.getSession();Object user = session.getAttribute("user");return user;}

session的缺点:

  • Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。
  • 扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。即不能满足单点登陆
  • CSRF: 因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

1.2 基于token认证

token原理:

  1. 使用用户名和密码请求登录接口
  2. 登录接口验证用户名和密码
  3. 登录接口生成一个uuid作为token,将用户信息作为值,然后保存到redis缓存中jedis.set(token, user);
  4. 登录接口返回用户信息和token
  5. 浏览器将token保存到本地
  6. 当请求其它接口时就携带token值
  7. 接口根据token去缓存检查,如果找到了就调用接口,如果找不到报token错误(一般通过拦截器来实现检查)
public String auth(String username, String password) throws AuthenticationException {User user = userService.login(username, password);if (user == null) {throw new AuthenticationException("用户名或密码错误");}String token = UUID.randomUUID().toString();
最低0.47元/天 解锁文章
weixin_39807896
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt token 太长_理解 JWT 鉴权的应用场景及使用建议
weixin_39608509的博客
12-03 1271
JWT 介绍JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑(Compact)且自包含(Self-contained)的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进行签名。虽然JWT可以加密以提供各方之间的保密性,但我们将重点关注已签...
jwt token长度限制_JWT与Session的比较
weixin_39612058的博客
12-03 5809
如今,越来越多的项目开始采用JWT作为认证授权机制,那么它和之前的Session究竟有什么区别呢?今天就让我们来了解一下。JWT是什么定义JSON Web TokenJWT)是一个开放标准(RFC 7519),它定义了一种紧凑和自包含的方式,用于在各方之间作为JSON对象安全地传输信息。作为标准,它没有提供技术实现,但是大部分的语言平台都有按照它规定的内容提供了自己的技术实现,所以实际在用的时候...
SpringBoot项目引入token设置
陈厚伯的博客
11-27 4303
一. 先了解熟悉JWTJSON Web Token) 看这些介绍、结构之类的,确实挺无聊的;想直接进入主题的话,就跳过第一大步。望各位同仁给出相关意见,以备我来更加深入的学习。 1. JSON Web Token是什么鬼? 这个东西,反正理解成一个标准就行了,啥标准我也不知道。反正就是用于各种信息的安全性传输。 1. JSON Web令牌应用的场景 1.授权,在用户登录后会给用户一个token,在用户后续的所有请求后台资源的操作都将携带这个token,只有被token允许的操作才能执行。 2.信息交换,应
JWTJSON Web Token)的基本原理
最新发布
2401_84419493的博客
06-18 854
技术学到手后,就要开始准备面试了,找工作的时候一定要好好准备简历,毕竟简历是找工作的敲门砖,还有就是要多做面试题,复习巩固。res.send({msg: ‘登录成功’,}, secret)})return;flag) {res.send({msg: ‘登录失败,用户名或密码不存在’技术学到手后,就要开始准备面试了,找工作的时候一定要好好准备简历,毕竟简历是找工作的敲门砖,还有就是要多做面试题,复习巩固。
jwt token
weixin_60732674的博客
09-20 1240
jwt
关于 JWT、JWS、JWE
u012503481的博客
07-25 6754
JWT、JWS、JWE 格式与差异介绍
jwt token长度限制_OAUTH.令牌存储介绍以及JWT实现强制登出、登录个数控制
weixin_39755873的博客
11-29 1869
1、令牌存储介绍TokenStore的实现类,有InMemoryTokenStore、JdbcTokenStore、JwkTokenStore、RedisTokenStore。1.1 基于内存的 InMemoryTokenStore优点:单机、简单易用缺点:a) 重启服务器导致令牌全部丢失,用户需要重新授权。 b) 微服务、分布式系统中无法共享令牌信息。1.2 基于数据库的 JdbcTokenSt...
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
在本项目"Webapi_JWT_Authentication-master"中,我们将探讨如何实现这一机制。 首先,WebAPI是ASP.NET框架的一部分,它用于构建RESTful服务,允许客户端和服务器之间进行数据交换。RESTful服务通常基于HTTP协议,...
springboot-react-jwtJSON Web令牌React Spring Boot示例
02-05
JSON Web令牌/ React / Spring Boot示例 这是一个示例项目,其中使用JSON Web令牌保护Spring REST API。 Java和React的可用示例很少,并且有一些陷阱。 因此,我决定进行概念验证,创建一个独立的项目。 一切都在此...
spring boot+jwt实现api的token认证详解
08-26
在本文中,我们将深入探讨如何使用Spring BootJWTJSON Web Token)来实现API的Token认证。JWT是一种轻量级的身份验证和授权机制,它允许应用程序在客户端和服务器之间安全地传输信息,而无需在每次请求时进行...
jave token 认证(JWT
08-08
基于java语言的token认证实例
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
springSecurity-jwt:JWT access_token和refresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessToken和RefreshToken) version1太复杂,无法优化。accessToken refreshToken流安全登录处理流程详细说明转到博客文章JWT异常处理安全异常处理(AuthenticationEntryPoint,...
SpringBoot项目Token的生成与解析
a12hhhe的博客
08-21 7400
有的时候我们需要传给后端一个值,只能通过前端的 token获取这个值,然后传给后端 后端生成Token 的方法 private String jwtToken(String userId, String username, String role) { return JWT.create() .withClaim("userId", userId) .withClaim("username", usernam.
jwt token长度_听说你的JWT库用起来特别扭,推荐这款贼好用的
weixin_40008870的博客
11-26 394
以前一直使用的是jjwt这个JWT库,虽然小巧够用, 但对JWT的一些细节封装的不是很好。最近发现了一个更好用的JWT库nimbus-jose-jwt,简单易用,API非常易于理解,对称加密和非对称加密算法都支持,推荐给大家!简介nimbus-jose-jwt是最受欢迎的JWT开源库,基于Apache 2.0开源协议,支持所有标准的签名(JWS)和加密(JWE)算法。JWT概念关系这里我们需要了解...
大模型为什么会有 tokens 限制
2301_78285120的博客
02-07 2465
人是以字数来计算文本长度,大语言模型 (LLM)是以 token 数来计算长度的。LLM 使用 token 把一个句子分解成若干部分。token 可以是一个单词、一个单词中的一个部分、甚至是一个字符,具体取决于它使用的标记化方法 (tokenization method)。比如:句子 “ChatGPT is great!” 可能会被分割成 [“Chat”, “G”, “PT”, " is", " great", “!”] 这 6 个 tokens。上下文 token 长度为什么会有限制
jwt私钥和公钥怎么获取_Springboot工程-整合JWT公钥密钥方式
weixin_39855843的博客
12-29 1123
什么是JWTjson web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也...
jwt token 太长_JWT实现登录、鉴权
weixin_39825105的博客
12-03 6831
背景什么是JWT JWT(JSON WEB TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串。JWT的作用 由于...
jwt token 过期刷新_.net core 3.1 Jwt操作封装类,JwtHelper,支持生成、刷新等
05-24
在使用 JWT 进行身份验证时,通常会设置一个过期时间,以确保用户在一段时间内保持登录状态。当 JWT 过期时,用户需要重新登录并获取新的 JWT 令牌。为了避免用户频繁重新登录,我们可以使用刷新令牌的方式来延长用户的登录状态。 在 .NET Core 3.1 中,我们可以使用 JwtSecurityTokenHandler 类来生成和验证 JWT 令牌。下面是一个简单的 JwtHelper 类的实现,它支持生成、刷新和验证 JWT 令牌: ```csharp using Microsoft.IdentityModel.Tokens; using System; using System.IdentityModel.Tokens.Jwt; using System.Security.Claims; using System.Text; public class JwtHelper { private static readonly string secret = "your_secret_key_here"; private static readonly string issuer = "your_issuer_here"; private static readonly int expireMinutes = 30; private static readonly int refreshExpireMinutes = 60; public static string GenerateToken(string userId) { var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(secret)); var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256); var claims = new[] { new Claim(ClaimTypes.NameIdentifier, userId) }; var tokenDescriptor = new SecurityTokenDescriptor { Issuer = issuer, Audience = issuer, Subject = new ClaimsIdentity(claims), Expires = DateTime.UtcNow.AddMinutes(expireMinutes), SigningCredentials = credentials }; var tokenHandler = new JwtSecurityTokenHandler(); var token = tokenHandler.CreateToken(tokenDescriptor); return tokenHandler.WriteToken(token); } public static string RefreshToken(string token) { var tokenHandler = new JwtSecurityTokenHandler(); var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(secret)); try { var claimsPrincipal = tokenHandler.ValidateToken(token, new TokenValidationParameters { ValidateIssuer = true, ValidateAudience = true, ValidIssuer = issuer, ValidAudience = issuer, IssuerSigningKey = securityKey, ValidateLifetime = false }, out SecurityToken validatedToken); var jwtToken = validatedToken as JwtSecurityToken; if (jwtToken == null || !jwtToken.Header.Alg.Equals(SecurityAlgorithms.HmacSha256, StringComparison.InvariantCultureIgnoreCase)) { throw new SecurityTokenException("Invalid token"); } var userId = claimsPrincipal.FindFirst(ClaimTypes.NameIdentifier).Value; return GenerateToken(userId); } catch(Exception ex) { throw new SecurityTokenException("Invalid token", ex); } } public static bool ValidateToken(string token) { var tokenHandler = new JwtSecurityTokenHandler(); var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(secret)); try { var claimsPrincipal = tokenHandler.ValidateToken(token, new TokenValidationParameters { ValidateIssuer = true, ValidateAudience = true, ValidIssuer = issuer, ValidAudience = issuer, IssuerSigningKey = securityKey, ValidateLifetime = true, ClockSkew = TimeSpan.Zero }, out SecurityToken validatedToken); var jwtToken = validatedToken as JwtSecurityToken; if (jwtToken == null || !jwtToken.Header.Alg.Equals(SecurityAlgorithms.HmacSha256, StringComparison.InvariantCultureIgnoreCase)) { throw new SecurityTokenException("Invalid token"); } return true; } catch(Exception) { return false; } } } ``` 在上面的代码中,我们定义了一个静态的 secret 字符串来存储 JWT 的密钥,一个 issuer 字符串来存储 JWT 的发行者,以及一个 expireMinutes 和 refreshExpireMinutes 来分别设置 JWT 令牌和刷新令牌的过期时间。在 GenerateToken 方法中,我们使用 JwtSecurityTokenHandler 类来创建一个 JWT 令牌,并设置过期时间和签名凭证。在 RefreshToken 方法中,我们首先验证传入的 JWT 令牌是否有效,并提取其中的用户 ID。然后,我们使用 GenerateToken 方法来生成一个新的 JWT 令牌。在 ValidateToken 方法中,我们验证传入的 JWT 令牌是否有效,并返回一个布尔值表示验证结果。 使用 JwtHelper 类非常简单,只需要调用其中的 GenerateToken、RefreshToken 和 ValidateToken 方法即可。下面是一个示例: ```csharp var token = JwtHelper.GenerateToken("user_id"); var isValid = JwtHelper.ValidateToken(token); var refreshedToken = JwtHelper.RefreshToken(token); ``` 需要注意的是,由于 JWT 令牌是无状态的,因此在刷新令牌时,我们需要使用一些外部存储机制(如数据库或缓存)来存储每个用户的刷新令牌。当用户请求刷新令牌时,我们可以从外部存储中检索出用户的刷新令牌,并验证其有效性后生成新的 JWT 令牌。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值