servlet的 session什么时候用_为什么说不建议用JWT作为Session系统

最新推荐文章于 2023-06-14 22:45:57 发布
最新推荐文章于 2023-06-14 22:45:57 发布
阅读量213 收藏
点赞数
文章标签: servlet的 session什么时候用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39914243/article/details/113317142
版权

为什么说不建议用JWT作为Session系统?

什么是JWT

JWT,全名JSON Web Token是一个开放标准,它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

51f10f37000e31998d45438cd5e74598.png

重要问题:安全性

作为安全级别要求很高的Session认证,JWT token的无需持久化,随取随用的特性,或是有人说的优势,其实也是很严重的列劣势:安全问题。

通过JWT token,你可以知道系统给你加密的是一串什么内容,通过jwt.io的解密,就可以看到内容。

a0bbab5001a90c7e25d025c643324ca1.png

若对外包装的sub是一个有规律的信息,比如递增的用户编号(当然这本是一个大坑),通过这套算法,和尝试性的sub,可以套出可以通过JWT认证通过token,从而盗用系统用户。尽管可以在开始,初始化一个通过hmacShaKey加密的secretkey,而一旦这个key泄露,系统用户几乎就透明了。

b79aab82f13b85654da780ab33497bd1.png

那既然即使被人套到了,也不至于透明,不是可以销毁吗?这就是JWT安全上又一个麻烦所在,它无法被单独销毁,而且不管你在什么终端使用,只要认证信息能匹配上算法结果,就会通过,想及时止损,都非常麻烦。

致命缺点:无法自动续期

JWT的过期时间,通过setExpiration来设置,设好后就不可变更了,你想实现“用户操作后,自动续期”的需求,办不到。无法主动销毁,还不能设置续期,这在Session场景下是很难受的,且不说限制单点登录、单平台登录等更多细节问题。

什么情况下用

天生我材必有用,JWT名声赫赫,自然有它可用之处。具体可以做什么用,了解了它的特性后,自己做些创新是最好的。这里推荐在需要一次性的授权令牌场景时,使用JWT是很合适的。

weixin_39914243
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt-servlet:一个简单的servlet应用程序,用于演示JSON Web令牌与Servlet的结合使用
02-16
JWT Servlet 一个简单的Servlet应用程序,用于演示JSON Web令牌与Servlet的结合使用。 这主要集中在身份验证上。 但是相同的想法也可以用于实现授权。 依赖 Java JWT:适用于Java和Android的JSON Web令牌 执照 该项目是许可下的许可。
TE_loginsession
03-27
标题“TE_loginsession”可能指的是一个与登录会话管理相关的项目或库,可能是用Java编程语言实现的。在Java中,登录会话是Web应用中处理用户认证和授权的关键部分,它允许用户在一段时间内保持登录状态,而无需反复...
JWT介绍
weixin_47397805的博客
11-02 339
原理: JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的 使用场景: Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。 Information Exchange (信息交换
在分布式项目中,面对用户登录认证,使用JWT代替Session的原因
HellHellNo的博客
08-04 1003
1、服务器压力变大 使用Session进行用户认证,每增加1个用户进行登录认证,服务器就需分配内存存放Session,随着认证用户的增多,服务端的开销会明显增大 2、扩展性变差 用户登录认证记录保存在服务器内存中,则该用户下次发送登录请求时,必须在该台服务器上才可获得授权资源;假设在分布式系统中,多数初始用户认证请求被分配到服务器A、一部分到B、少部分到C,明显各服务器的请求数量不均等,限制了负载均衡器的能力,也就意味着限制扩展的能力 3、安全性变低 由于用户识别是基于Cookie进行的,若Cookie被截
Jwt的使用场景
安迪爸爸
07-02 8165
什么是Jwt Jwt是JSON Web Tokens的简称,从单词可以看出它也是一种token,其实可以理解为一种生成token的框架或规范。既然也是token那我们可以换一种问法,token是什么?为什么要使用token? token是什么 Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需...
Servlet简介+JWT简介
idpangpengcheng的博客
12-23 631
一、Servlet简介 Servlet: server applet 概念:运行在服务端的小程序 Servlet就是一个接口,定义了Java类被浏览器访问到(tomcat识别)的规则 将来我们自定义一个类,实现了servlet接口的java程序,称之为Servlet Servlet是sun公司提供的一门用于开发动态web资源的技术。   Sun公司在其API中提供了一个servlet接口,用户若想用发一个动态web资源(即开发一个Java程序向浏览器输出数据),需要完成以下2个步骤:    ...
sessionsession
04-05
- 多服务器部署:在分布式系统中,需要考虑Session共享,可以使用Session复制或Session黏贴等方式。 6. **替代方案** - 使用Cookie+Token(如JWT):减轻服务器存储压力,提高安全性,但增加了客户端的负担。 - ...
session配置secure和httpOnly
03-16
1. 通过`web.xml`配置:在Servlet 3.0及以上版本的环境中,可以直接在`<session-config>`标签内设置`<cookie-config>`,添加`<secure>`和`<http-only>`标签并设为`true`。 2. 使用Filter实现:自定义Filter,捕获...
tomcat-redis-session-manager
03-08
在分布式系统中,Session共享是一个常见的需求,尤其是在基于Java的Web应用中,Tomcat作为常用的Servlet容器,如何有效地管理并共享用户Session信息是一个重要的议题。"tomcat-redis-session-manager"就是这样一个...
Film_obtainflc_javaweb电影网视频点播系统_film_
09-30
总结来,《Film_obtainflc_javaweb电影网视频点播系统_film_》是一个综合运用JavaWeb、SQL Server 2008以及相关前端技术构建的在线视频服务平台,其功能涵盖视频上传、权限控制、在线播放等多个环节,为用户提供了...
session被注销后还会重新生成吗_我们真的需要JWT吗?
weixin_35677363的博客
02-03 128
JWT(JSON Web Token)是目前最流行的认证方案之一。博客园、各种技术公众号隔三差五就会推一篇JWT相关的文章,真的多如牛毛。但我对JWT有点困惑,今天写出来跟大家探讨探讨,不要喷哈。JWT原理本文默认读者已经对JWT有所了解,下面不再详细介绍JWT,只简单提一下。JWT全称JSON Web Token。当服务器认证成功后会生成一个Token,这个token包含了header、payl...
Servlet——JWT
m0_68965466的博客
06-02 169
然后将其进行 base64 转码,得到 Jwt 的第二部分。OnRydWV9。
基于JWT实现简单的用户登陆验证(超详细)
weixin_47025166的博客
06-20 9525
基于JWT实现简单的用户登陆验证
新项目实现JWT接口(详细步骤)
yuer629
09-01 907
1、用springboot脚手架构建项目https://start.spring.io 2、项目导入IDE 3、导入相关依赖包包 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> <..
全网最细总结-Seesion,Cookie以及JWT的区别
最新发布
qq_42898642的博客
06-14 847
全网最详细,关于session,cookie,token的用户认证的原理与区别
浅谈JWT(JSON Web Token )及其应用(登录验签)
jothan的博客
08-06 1225
1前言 1.1. JWT 介绍 JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑(Compact)且自包含(Self-contained)的方式,用于在各方之间以JSON对象安全传输信息。 这些信息可以通过数字签名进行验证和信任。 可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进行签名。 1.2. JWT 特点 由于它们尺寸较小,JWT可以通过URL,POST参数或HTTP标头内发送。 另外,尺寸越小意味着传输速度越快。 有效载荷(Pla
JWT工具类及用法
热门推荐
weixin_43920527的博客
04-24 1万+
jwt工具类及用法
JavaWeb JWT使用 JJWT
ThatWeKnow
07-15 570
1.设计JwtUtil 生成、鉴定 生成token public static String generateToken(int id,String username,Date generateTime) { //根据产生时间 HashMap<String, Object> map = new HashMap<>(); //可以把任...
Cookie,Session,Token和JWT的基本使用以及区别介绍
qq_43293207的博客
12-26 1096
1. 前言 由于http协议的无状态性。每一次的http请求不会记住和保存任何会话信息,比如上一次的请求发送者和这一次的发送者是不是同一个人?每次请求都是全新和独立的。随着交互式Web应用的兴起, 像在线购物网站,需要登录的网站等,马上面临一个问题,就是要管理回话,记住那些人登录过系统,哪些人往自己的购物车中放商品,也就是我必须把每个人区分开。 2. Cookie Cookie是浏览器实现的一种数据存储技术。一般由服务器生成,发送给浏览器(客户端也可进行cookie设置)进行存储,下一次请求同一网站时会把
servlet.session.timeout: 86400,超时后怎么实现用户退出
05-26
Servlet Session 超时后,用户的会话状态会被清除,用户需要重新进行登录才能再次访问需要授权的页面。 通常情况下,用户退出的操作是由应用的前端页面来触发的,比如用户点击“退出”按钮。当用户触发退出操作时,前端页面会发送一个请求给后端,后端会销毁当前 Session,从而使用户退出登录。具体实现方式可以根据应用的具体场景来选择,一般有以下几种方式: 1. 重定向到一个退出页面:当用户点击“退出”按钮时,前端页面会发送一个请求给后端,后端将当前 Session 销毁,并将用户重定向到一个退出页面。 2. 使用 AJAX 请求:当用户点击“退出”按钮时,前端页面使用 AJAX 请求向后端发送一个退出请求,后端将当前 Session 销毁,并返回一个 JSON 格式的响应,告诉前端退出操作是否成功。 3. 使用 JWT Token:如果应用使用 JWT Token 来实现身份验证,那么用户退出的操作可以直接在前端进行,即删除本地存储的 Token。在后端,不需要进行额外的操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值