用户身份认证

于 2022-04-23 17:16:33 发布
阅读量624 收藏
点赞数
分类专栏: JWT访问令牌 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43809126/article/details/124366079
版权
本文探讨了在分布式环境中解决Session共享问题的两种方案:CAS单点登录OAuth2(SOS模式)和Token模式。Token模式因其无状态性和标准化的JSONWebToken(JWT)而被选用。JWT通过头、有效载荷和签名三部分构成,用于验证Token的真实性。在Java项目中,使用jjwt库来创建和验证JWT,并展示了相关工具类的实现。
摘要由CSDN通过智能技术生成

一、用户身份认证

单一服务器:
在这里插入图片描述
对于单一服务器来说:(用户访问有以下5个步骤)
1.用户向服务器发送用户名密码
2.验证服务器后,相关的数据(用户名和用户角色等)将保存在当前的 Session会话中。
3.Web服务器向用户发送Session_id,session信息就会存储在Cookie。
4.之后的用户每个请求都会从Cookie中取出这个Session_id传给服务器。
5.服务器收到Session_id 并对比之前保存的数据,确认用户的身份

存在的问题:
单点性能压力,无法拓展
分布式架构中,需要Session的共享方案,Session共享方案存在技术瓶颈

简单点理解:
有多个Web服务器的时候 每个服务器都会生成自己的Session_id,这样就出现了多次提醒登录的冲突。

解决方案有二种:
一、sos模式(CAS单点登入 OAuth2)
在这里插入图片描述
二、Token模式(项目中使用的是Token模式)
在这里插入图片描述
优点:

  1. Token是无状态的 Session是有状态的
  2. 基于标准化:你的API可以采用标准化的JSON Web Token(JWT)

缺点:
1.占用带宽
2.无法在服务器端销毁

访问令牌的类型有两种:

  • 通明令牌
  • 自包含令牌

JWT令牌

JWT是JSON Web令牌,是一种自包含令牌

JWT的作用:

  • 就是对Token信息的防伪作用 (判断你发来的Token是真假)

JWT的原理

  • 一个JWT是由三部分组成的:JWT的头、有效载荷、签名哈希
  • 最后由三者的组合进行base64编码得到JWT

JWT的用法

  • 客户端接受返回的JWT,将其存储在Cookie中
  • 客户端向服务器端发送请求的时候就会带着JWT,一般存在Cookie中就会自动发送,但是不会跨域,因此一般将它放在http请求的请求头中
  • 当跨域的时候,也可以将它放在POST请求的数据主体中

生成Token的依赖:

<dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.7.0</version>
    </dependency>

工具类

public class JwtUtils {

    private static long tokenExpiration = 24*60*60*1000;
    private static String tokenSignKey = "A1t2g3uigu123456";

    private static Key getKeyInstance(){
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        byte[] bytes = DatatypeConverter.parseBase64Binary(tokenSignKey);
        return new SecretKeySpec(bytes,signatureAlgorithm.getJcaName());
    }

    public static String createToken(Long userId, String userName) {
        String token = Jwts.builder()
                .setSubject("SRB-USER")
                .setExpiration(new Date(System.currentTimeMillis() + tokenExpiration))
                .claim("userId", userId)
                .claim("userName", userName)
                .signWith(SignatureAlgorithm.HS512, getKeyInstance())
                .compressWith(CompressionCodecs.GZIP)
                .compact();
        return token;
    }

    /**
     * 判断token是否有效
     * @param token
     * @return
     */
    public static boolean checkToken(String token) {
        if(StringUtils.isEmpty(token)) {
            return false;
        }
        try {
            Jwts.parser().setSigningKey(getKeyInstance()).parseClaimsJws(token);
            return true;
        } catch (Exception e) {
            return false;
        }
    }


    public static Long getUserId(String token) {
        Claims claims = getClaims(token);
        Integer userId = (Integer)claims.get("userId");
        return userId.longValue();
    }

    public static String getUserName(String token) {
        Claims claims = getClaims(token);
        return (String)claims.get("userName");
    }

    public static void removeToken(String token) {
        //jwttoken无需删除,客户端扔掉即可。
    }

    /**
     * 校验token并返回Claims
     * @param token
     * @return
     */
    private static Claims getClaims(String token) {
        if(StringUtils.isEmpty(token)) {
            // LOGIN_AUTH_ERROR(-211, "未登录"),
            throw new BusinessException(ResponseEnum.LOGIN_AUTH_ERROR);
        }
        try {
            Jws<Claims> claimsJws = Jwts.parser().setSigningKey(getKeyInstance()).parseClaimsJws(token);
            Claims claims = claimsJws.getBody();
            return claims;
        } catch (Exception e) {
            throw new BusinessException(ResponseEnum.LOGIN_AUTH_ERROR);
        }
    }
}
快乐@代码人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于SpringBoot实现用户身份验证工具
08-27
AuthenticationUtil工具类是为了将读写用户身份认证信息的功能分离而设计的工具类。该类可以用于获取用户身份信息,例如: ``` public class AuthenticationUtil { @Autowired private SessionKeyConfigProperties...
安全-用户身份验证
weixin_30408165的博客
07-23 276
前一阵子,线上的游戏被黑客着实折腾了一把,也给我好好上了一课。 这次反黑让我深刻认识到一个真理: 完全不能相信客户端信息! 但是,又不能完全去除客户端信息,比如通过parameter传递个用户id什么的,要不然怎么确定是那个人的操作呢,呵呵。 其实,我最初的实现是把用户状态放到了session中,但是随着用户量的增加,后台程序被发布到了多台服务器上。 这样拥有状态区分的session用不...
用户身份验证
Afreshmemory的博客
06-04 468
Http协议 http请求是无状态的,所以每次web请求都是相互独立的。但是在某些网站我们又需要我们登录,否则就不能访问某些页面。然而我们又不希望用户每次访问页面都需要输入用户名和密码,每次输入对用户体验来说是及其不好的。所以我们希望服务器在用户登录的时候记住这个用户已经登录了,当该用户访问其他需要登录的页面时,我们只要校验这个用户之前有没有登录就行了。所以有以下方式。 Session session其实就是服务端的cookie,与cookie不同的是session是存储在服务器上的,而cookie是存储在
用户身份认证-JWT
weixin_50224527的博客
09-18 660
用户身份认证 1.单一服务器模式 一般过程如下: 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户名,用户角色等)将保存在当前会话(session) 中。 3.服务器向用户返回session, id, session信息都会写入到用户的C ookie. 4.用户的每个后续请求都将通过在Cookie中取出session. id传给服务器。 5.服务器收到session, id并对比之前保存的数据,确认用户身份。 缺点: ●单点性能压力,无法扩展。 ●分布式架构中,需要session共
python 用户身份验证 示例
10-26
python 用户身份验证 示例
axis2客户端调用服务端,带用户身份认证
05-06
当涉及到“axis2客户端调用服务端,带用户身份认证”时,我们主要关注的是如何在 Axis2 客户端中添加安全机制,确保只有经过验证的用户能够访问服务。 首先,理解身份认证是网络安全的基础。在Web服务中,通常采用...
PHP中对用户身份认证实现两种方法
10-28
用户在设计和维护站点的时候,经常需要限制对某些重要文件或信息的访问。通常,我们可以采用内置于WEB服务器的基于HTTP协议的用户身份验证机制。
网站用户身份认证Authorazition系统原理
12-24
网站用户身份认证Authorazition系统原理 长话短说,判断用户身份其实就是cookie,session,token,后端判断这四部分 想细看,就下载看1,2,3,4,5步骤吧
用户认证
yongchaocsdn的博客
01-05 1606
8.1 Flask的认证扩展 Flask-Login:管理已登录用户用户会话。Werkzeug:计算密码散列值并进行核对。itsdangerous:生成并核对加密安全令牌。 除了认证相关的包之外,还会用到如下常规用途的扩展。 Flask-Mail:发送与认证相关的电子邮件。Flask-Bootstrap:HTML模板。Flask-WTF:Web表单 8.2 密码安全性 使用We
【Web总结】用户认证
weixin_34119545的博客
07-16 382
我的原文:www.hijerry.cn/p/61701.htm… 前言 用户认证就是判断一个用户是否为合法用户的过程。 目前用户认证大都是基于Cookie、Session实现的。对于HTTP协议还不熟悉的话,可以参考《HTTP权威指南》。 应用场景 注册、登陆几乎是所有Web站点都具备的两个功能。 以商城系统为例,用户输入登录名、密码进行注册、登陆,这样系统内就可以为用户保存如:购物车、订单、商品...
图解HTTP总结(8)——确认访问用户身份的认证
MaynyWoody的博客
06-07 590
Session 管理及 Cookie 应用        基于表单认证的标准规范尚未有定论,一般会使用Cookie来管理Session(会话)。基于表单认证本身是通过服务器端的Web应用,将客户端发送过来的用户ID和密码与之前登录过的信息做匹配来进行认证的。但鉴于HTTP是无状态协议,之前已认证成功的用户状态无法通过协议层面保存下来,即,无法实现状态管理,因此即使该用户下一次继续访问,也无法区分他...
基本用户身份验证
weixin_34221276的博客
03-23 219
/// <summary> /// 基本用户身份验证(各系统可根据自己的实际需要,自定义验证方法,此多语言模块实现了验证并提供参考依据) /// 详细说明:判断用户是否登录,如果未登录则跳转到统一登录页面 /// 其它:统一身份认证服务地址:http://218.201.35.212:11007/ /// 创建人:张甫军 创建时间:2...
用户认证(一)
GeekLee的博客
09-24 2687
Flask的认证扩展密码安全性为了保证数据库用户密码的安全,数据库不储存密码本身,而要储存密码的散列值。使用Werkzeug实现密码散列Werkzeug的security可以实现密码散列值的计算。 在User模型中加入密码散列的功能from werkzeug.security import generate_password_hash, check_password_hash ###从Werk
用户身份
qq_16233567的博客
02-23 303
Linux是一个多用户、多任务的操作系统,具有很好的稳定性与安全性,在幕后保障Linux系统安全的则是一系列复杂的配置工作。 管理员UID为0:系统的管理员用户。 系统用户UID为1~999: Linux系统为了避免因某个服务程序出现漏洞而被黑客提权至整台服务器,默认服务程序会有独立的系统用户负责运行,进而有效控制被破坏范围。 普通用户UID从1000开始:是由管理员创建的用于日常工作的用户。 *...
用户身份验证真的很简单吗
stone1290的专栏
02-14 2668
你现在要建立一个系统。无论系统的功能如何,用户身份验证都是始终存在的一个功能。实现它看起来应该很简单——只需“拖动”一些现成的身份验证模块,或使用一些基本选项(例如 Spring Security)对其进行配置,就完成了。 是这样吗,不是的。上面说的是表面上的描述(就比如要实现一个搜索引擎就一个输入框一个搜索按钮就行了??),要做到正确的身份识别极其复杂。这不仅仅是登录表单 -> 检查用户名/密码 -> 设置 cookie,还有很多其他的问题需要考虑的
nestjs 用户身份验证
最新发布
06-08
在 NestJS 中进行用户身份验证的方法有很多种,以下是其中的一些: 1. 使用 Passport.js:Passport.js 是一个 Node.js 的身份验证中间件,支持多种身份验证策略,包括本地验证、OAuth、OpenID 等。NestJS 也支持 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值