JWT单点登录的三种解决方案

最新推荐文章于 2024-05-27 22:11:25 发布
最新推荐文章于 2024-05-27 22:11:25 发布
阅读量3.3k 收藏 29
点赞数
分类专栏: 登录流程 文章标签: jwt oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43883685/article/details/107379450
版权 
 看过不少JWT和单点登录系统的文章,这里就根据自己的实际开发经验谈一下我的理解。大致可以总结为以下三种方案:

三种方案:

1. 纯Jwt
2. Jwt + 认证中心Redis
3. Jwt + 认证中心Redis + 多系统Redis
1. 纯Jwt 方案
      
      1. 用户去认证中心登录,认证中心生成jwt,返回给客户端。
      2. 客户端携带jwt请求多个系统  
      3. 每个系统各自解析jwt,取出用户信息。能解析成功就说明jwt有效,继续处理自己的业务逻辑。
        (所有系统的jwt密钥保持一致才能各自解析成功)
            
      优点:认证流程简单,服务端处理速度快。
      
      缺点:因为简单,所以不安全。jwt一旦下发,有效期内就无法使其主动失效。

一句话总结:认证中心创建Jwt,其他系统解析。

2.Jwt + 认证中心Redis
  
  	1. 用户去认证中心登录,认证中心生成jwt,保存到redis并返回给客户端。
   	2. 客户端携带jwt去多个系统认证  
   	3. 每个系统只负责从请求中取出jwt, 传给认证中心。认证解析用户信息,
       并与redis中的jwt校验,判断是否有效。然后返回用户信息给刚才发起验证请求的系统。
       
   优点:安全性高,服务端能控制jwt主动失效。
   
   缺点:每次请求需要认证的接口,都需要访问认证中心,耗时略长。

一句话终结:认证中心负责Jwt的创建与解析,其他系统不参与认证逻辑。

3.Jwt + 认证中心redis + 多系统redis

	1.用户去认证中心登录,认证中心生成jwt,保存到redis并返回给客户端。
  	2.客户端携带jwt去多个系统认证  
    3.多系统(比如系统A)收到jwt,A解析并取出用户信息,先判断自己的A的redis中有没有jwt。
    	3.1 如果有,就合法,a系统可以继续执行业务逻辑。
        3.2 如果没有就拿着jwt去认证中心验证。
        	3.2.1 如果通过,a系统就把这个jwt保存到自己的redis,并设置对应的失效时间。
        	      下次这个jwt再来到a的时候,就不需要去认证中心校验了。
          	3.2.2 如果验证不通过此次请求就不合法,告诉客户端需要跳转登录页面,
           		  去认证中心登录,返回步骤1。
       
       优点:安全性高,平均认证过程较快。
       
       缺点:服务端流程复杂,需要考虑jwt的同步问题。比如注销或重新登录后,认证中心删除
            旧jwt需要同步给其他系统,其他系统删除自己保存的jwt。

一句话总结:认证中心创建jwt,其他系统解析并校验,需要保持jwt同步。

综合总结:

  1. 方案1才是Jwt的本质。
  2. 方案2是我基于Jwt的改进,用作我们公司新项目的登录系统。
    (个人比较推荐方案3,后续考虑会向方案3转移)
  3. 方案3准确说是单点登录系统的标准流程,只是结合了Jwt。其他2种方案都是伪单点。

备注: 文中使用Redis是为了单个系统集群机器之间能够“Session共享”。

以上都是我的个人理解,自己记录总结下,希望不要误导大家。如有错误或不足,望轻喷,希望大佬能在评论区帮忙改进。

JavaMa-
关注
  • 0
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于JWT实现单点登录
Lyh_ok的博客
05-15 1万+
单点登录概述: 多系统共存下,用户在一处地方登录,得到其他所有系统的信任,无需再次登录。 自己的理解:在进行用户登录的时候,jwt生成一个token,用户带着这个token去其他页面进行验证。(token设置过期时间) 这里介绍一些jwt基本概念 JWT:1.认证流程 a.首先,前端通过web表单将自己的用户民和密码发送到后端的接口,这一过程一般是一个HTTP,POST请求。建议的方式是通过SSL 加密的方式传输(https协议),从而避免敏感信息被嗅探。 b.后端核对用户名和密码成功后,将用户的id
jwt超时时间 angular expiredat_JWT实现单点登录的方法
weixin_39681644的博客
11-21 785
什么是JSON Web Token(JWT)?JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。虽然JWT可以加密以在各方之间提供保密,但只将专注于签名令牌。签名令牌可以验证其...
jwt,token的单点登录系统
Li2992673708的博客
12-24 241
作为⼀个开放的标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方之间以Json对象的形式安全的传递信息。最后,算出签名以后,把Header、Payload、Signature三个部分拼成一个字符串,每个部分之间用点(.)分隔,就可以返回给用户了。时,请求中携带JWT串到服务端,服务端通过签名加密串匹配校验,保证信息未被篡改,校验通过则认为是可靠的请求,将正常返回数据。例如,A网站和B网站是同一家公司的关联服务,现在要求,用户只要在其中一个网站登录,再访问另一个网站就无需登录。
spring boot如何基于JWT实现单点登录详解
08-25
主要介绍了spring boot如何基于JWT实现单点登录详解,用户只需登录一次就能够在这两个系统中进行操作。很明显这就是单点登录(Single Sign-On)达到的效果,需要的朋友可以参考下
单点登录JWT实现)
最新发布
weixin_62773644的博客
05-27 385
如果无效的话请求打回,浏览器自动发起登录请求,此时网关服务器将请求路由到登陆服务上,登陆服务根据用户的信息生成一个JWT令牌,然后返回给网关,网关再返回给浏览器,此时将JWT放到浏览器的cookie中,之后每次请求都会带着cookie中的JWT。在单体项目中,我们登陆之后可以把验证用户信息的值放入session中,单个tomcat中的session是可以共享的。主要是要在每次发起服务请求时经过一个专门用来拦截请求的服务器,这个服务器我们可以当作是网关,然后使用这个服务器来进行校验token是否有效。
JWT单点登录
weixin_45427945的博客
06-09 1664
JWT单点登录
JWT实现单点登录
Shu0Shuo的博客
05-15 1976
舔狗的自我修养:怕你(服务器)太累(装太多session数据),所以我来承担!!
详解使用JWT实现单点登录(完全跨域方案)
10-16
JSON Web Token(JWT)是...总之,JWT是现代Web应用中实现安全身份验证和授权的有效工具,尤其在跨域单点登录场景下,它提供了高效、轻量级的解决方案。理解JWT的工作原理和使用方式对于构建安全的分布式系统至关重要。
SpringBoot+JWT实现单点登录解决方案
07-26
在IT行业中,单点登录(Single Sign-On,简称SSO)是一种常见的身份验证机制,它允许用户在一个系统中登录后,无需再次输入凭证即可访问多个相互信任的系统。本方案结合了SpringBoot框架和JSON Web Token(JWT)技术...
JWT实现单点登录解决方案demo
04-03
在这个“JWT实现单点登录解决方案demo”中,我们主要探讨如何使用JWT来创建一个SSO系统。 JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部通常包含令牌的类型(JWT)和算法(如HS256或...
单点登录SSO解决方案之SpringSecurity+JWT实现.docx
10-26
单点登录SSO解决方案之SpringSecurity+JWT实现.docx
第三方单点登录Ecology方案
03-20
在IT行业中,第三方单点登录(Third-party Single Sign-On,3SSO)是一种常见的身份验证解决方案,它允许用户通过一个中央认证系统访问多个相互独立的应用系统,而无需反复登录。"第三方单点登录Ecology方案"是针对...
jwt单点登录
m0_61682705的博客
11-20 1104
在我们日常开发中登录是每个系统都要做的,对于单点登录是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。开一下传统登录:单点登录:通俗讲:用户登录一次,就可已访问系统里的其他子系统。
记录一下,如何使用redis,管理jwt 的单设备登录问题
A_samile的博客
04-08 552
String token = JwtUtil.buildJWT(vip.getPhone()); //解决多点登录问题 RBucket<Object> bucket = redisUtil.getBucket(ConfigConstant.SYS_IS_LOGIN + vip.getPhone()); bucket.set(token); 在登录的时候将生成的token,放到redis。使用固定值 + 手机号 作为key,token值作为 值。 // 获得用户信息 S..
JWT 单点登录
severl的博客
09-19 1601
JWT单点登录相关概念问题及基础操作介绍,附加面试题。
JWT实现单点登录(sso)功能
玩转Java
12-04 5650
单点登录描述: 单点登录主要时应用在微服务架构中,在任意一个子服务中输入用户的用户名,密码进行登录时, 在跳转到其他系统的时候,就无需在进行登录,直接可以识别出用户的身份,权限以及角色等信息 . . JWT:全称java web token, 本质时一组加密后的字符串 JWT有三部分组成: header + payload+ sign (头+载荷+签名), header记录: jwt使用的加密算法的类型,是一个json字符串,使用base64编码 payload载荷记录: 用户的用户名,用户角色,用户
基于redis实现 jwt 单设备登陆
qq_44352617的博客
06-07 1078
最近在研究security单设备登陆,单体的security(不使用oauth2)可以用内置的session设置session最大数量来实现单设备。oauth2的jwt该如何来实现单设备登陆?
基于JWT单点登录方案
JinXYan的博客
05-03 1059
cookie机制 关于cookie和seesion的联系 cookie中会包含那些信息 名字,值,过期时间,路径,域 cookie会带到http请求头中发送给服务端 如果cookie没有设置过期时间的话,那么cookie的默认生命周期是浏览器的会话。 session机制 1,session是容器对象,客户端在请求服务端的时候,服务端会根据客户端的请求判断是否包含了jsessionId的...
JWT——概念、认证流程、结构、使用JWT
Guizy
08-12 4220
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
auth2+jwt单点登录
09-03
Auth2(也称为OAuth2)是一种用于授权的开放标准,用于在不暴露用户凭据的情况下对第三方应用程序进行授权。JWT(JSON Web Token)是一种用于在网络应用间传递用于认证和授权的安全信息的开放标准。 单点登录(SSO)是一种身份验证机制,允许用户在一次成功的登录后,可以无需再次输入凭据即可访问多个关联应用程序。 在实现单点登录时,使用Auth2和JWT可以提供一种安全且有效的解决方案。 当用户尝试访问某个应用程序时,该应用程序将重定向用户到认证服务器(Auth Server)以获取授权。认证服务器验证用户凭据,并在身份验证成功后生成一个JWT令牌,并将其返回给应用程序。 应用程序接收到JWT令牌后,可以解析其中的信息,例如用户ID、权限等,并将其用于对用户进行身份验证和授权。 当用户尝试访问其他关联应用程序时,这些应用程序可以使用相同的JWT令牌进行身份验证,并验证其有效性。这样,用户无需再次输入凭据即可访问其他应用程序。 由于JWT令牌使用数字签名进行保护,因此可以防止黑客篡改令牌内容。此外,JWT令牌的过期时间可以被设置,以确保令牌在一段时间后失效,增加安全性。 综上所述,Auth2和JWT的组合可以实现单点登录,为用户提供一次登录即可访问多个应用程序的便利,并保证了安全性和授权的有效性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值