JWT基本使用及常用验证方式对比

最新推荐文章于 2024-04-17 17:19:31 发布
最新推荐文章于 2024-04-17 17:19:31 发布
阅读量463 收藏 2
点赞数
分类专栏: SpringBoot 文章标签: jwt java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44906271/article/details/105766217
版权

目录

传统验证方式

在前后端分离的场景中,包括APP端和WEB端,由于http协议是无状态的,那么用户登录认证之后,再向服务器发送的请求的时候,服务器是不知道这个这个用户是否已经登录认证过了。

  1. 传统的方式是通过cookie和session,用户登录之后将用户信息存储在session中,下次请求的时候cookie里面会携带sessionId,以此来判断用户是否登录过。
    这样做的话,每次用户认证通过之后,服务器都需要保持一份用户信息存在session中,这样登录的用户变多的时候,服务器的开销会很大。
    另一方面,在扩展性方面,由于session是在服务器端的,在搭建分布式服务的话,需要每一台服务器都认证一下,这样显示是不合理的。
  2. 将token存在redis中,这种方案也是大多数实行的方案,这种方案的弊端是,在每一次请求的时候,都需要拦截请求,获取token,然后再判断redis中是否有这个数据,这种方案弊端是对redis的依赖太大了,如果redis宕机了,那么整个项目都不能运行了。

JWT是什么

JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

JWT流程大概是,用户登录之后,给用户生成jwt并返回给客户端,客户端每次请求的时候会携带这个jwt,然后再在拦截器中拦截请求,判断当前是否正确或者过期。

JWT机制优缺点

优点:

  1. 支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输.
  2. 无状态(也称:服务端可扩展行):Token机制在服务端不需要存储session信息,因为Token 自身包含了所有登录用户的信息,只需要在客户端的cookie或本地介质存储状态信息.
  3. 更适用CDN: 可以通过内容分发网络请求你服务端的所有资料(如:javascript,HTML,图片等),而你的服务端只要提供API即可.
  4. 去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在你的API被调用的时候,你可以进行Token生成调用即可.
  5. 更适用于移动应用: 当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的(你需要通过Cookie容器进行处理),这时采用Token认证机制就会简单得多。
  6. CSRF:因为不再依赖于Cookie,所以你就不需要考虑对CSRF(跨站请求伪造)的防范。
  7. 性能: 一次网络往返时间(通过数据库查询session信息)总比做一次HMACSHA256计算 的Token验证和解析要费时得多.
  8. 基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby, Java,Python, PHP)和多家公司的支持(如:Firebase,Google, Microsoft)

缺点:

  1. JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
  2. JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令×××的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
  3. 为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。

使用

依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>2.2.0</version>
</dependency>

jwtUtil

@Component
@ConfigurationProperties("config.jwt")
@Data
@EqualsAndHashCode(callSuper = false)
@Accessors(chain = true)
@Slf4j
public class JwtUtil {
    /**
     * 过期时间为一天
     */
    private long expire;
    /**
     * token私钥
     */
    private  String secret;
    private String header;
    /**
     * 生成签名,15分钟后过期
     * @param username
     * @param userId
     * @return
     */
    public String sign(String username,String userId){
        //过期时间
        Date date = new Date(System.currentTimeMillis() + expire* 1000);
        //私钥及加密算法
        Algorithm algorithm = Algorithm.HMAC256(secret);
        //设置头信息
        HashMap<String, Object> header = new HashMap<>(2);
        header.put("typ", "JWT");
        header.put("alg", "HS256");
        //附带username和userID生成签名
        return JWT.create().withHeader(header).withClaim("username",username)
                .withClaim("userId",userId).withExpiresAt(date).sign(algorithm);
    }

    public  boolean verity(String token){
        try {
            Algorithm algorithm = Algorithm.HMAC256(secret);
            JWTVerifier verifier = JWT.require(algorithm).build();
            DecodedJWT jwt = verifier.verify(token);
            log.info("================认证成功===============");
            return true;
        } catch (IllegalArgumentException e) {
            return false;
        } catch (JWTVerificationException e) {
            return false;
        }
    }
}

拦截器

@Component
@Slf4j
public class JwtInterceptor extends HandlerInterceptorAdapter {

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 地址过滤
        String uri = request.getRequestURI() ;
        if (uri.contains("/login")){
            return true ;
        }
        String token = request.getHeader(jwtUtil.getHeader());
        if(StringUtils.isEmpty(token)){
            token = request.getParameter(jwtUtil.getHeader());
        }
        log.info("token:{}",token);
        if(StringUtils.isEmpty(token)){
            throw new BizException(jwtUtil.getHeader()+ "不能为空");
        }
        if(!jwtUtil.verity(token)){
            throw new BizException(jwtUtil.getHeader() + "失效,请重新登录");
        }
        return true;
    }
}

配置拦截器和跨域

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    @Autowired
    private JwtInterceptor jwtInterceptor;
    /**
     * 设置跨域访问
     * @param registry
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("GET", "HEAD", "POST", "PUT", "PATCH", "DELETE", "OPTIONS", "TRACE")
                .allowCredentials(true)
                .maxAge(3600)
                .allowedHeaders("*");
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //添加拦截器
        registry.addInterceptor(jwtInterceptor);
    }
}

问题:

因为JWT一旦签发,不可撤销,为了防止被盗用,所以设置过期时间比较短,那如果JWT过期了,怎么处理?

在生成JWT的时候,比如设置过期时间为15分钟,同时保存该token到redis中,设置过期时间比如为7天。
当用户在登录后,比如登录后20分钟后,再发送请求的时候,拦截器会判断该token已过期,这时再查一下redis里面有没有这个缓存,如果有的话,代表没有过期,则重新生成JWT返回前端,并且重新刷新redis的过期的时间。
这样就可以解决JWT过期的问题,同时对redis的依赖也没有那么大。

牟野
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT使用方法
weixin_49596018的博客
03-31 187
一、加密算法 //salt文件 // 该文件包含一些加密的信息 // 会导出一个对象 const crypto = require('crypto'); // 加密方法包,里面包含了各种加密的方法 const MD5_SUFFIX = 'F71_salt'; // 加密后缀,也就是除了加密我们要加密的数据以外,我们在要加密的数据后面加一个后缀,增加安全性 module.exports = { secretKey : 'F71_key', // 密钥 // 可以对传入数据进行一个加密
对比三种认证方式:传统token认证,jwt认证,oauth认证
qq1319713925的博客
12-11 2170
详解几种认证方式的原理和区别
JWT技术选型以及相关功能的实现
最新发布
bjjx123456的博客
04-17 632
无状态服务是指在处理请求时不存储任何会话信息或状态信息的服务。这意味着每个请求都是独立且相互独立的,服务不会在请求之间保留任何状态。
Jwt初始 & session 比较
yangm
06-21 312
引言:最近看了一个开源项目,涉及了些比较陌生的东西,为了加深印象,做点小笔记; JWT json web token,简单来说,就是客户端与服务器进行验证的解决方案之一;另外一种就是使用session的方式使用原理: 当客户端第一次登陆后,服务端会返回JWT格式的令牌,包含一些用户的信息,客户端则会保存这个JWT信息至Cookie或者其他数据层框架,用于下次登陆时验证。 此时,服务端不需要去...
JWT(上):JWT 介绍及与 Session 对比
A minor
02-16 1815
JWT 全称 JSON WEB TOKEN,所以它本质上也是个 token。JWT 由 Header、Payload、Signature 三部分组成,结构上类似 JSON 对象,最后经 base64 编码后生成 xxx.yyyyy.zzzz 形式的 token 字符串。 1)Header:描述了 token 的基本信息,比如 token 类型与签名用的算法 header = '{"typ":"JWT", "alg":"HS256"}' # HS256 表示使用 HMAC-SHA256 生成签名 2)P
JWT登录凭证和TOKEN登录凭证对比
bihaiyanyu的专栏
11-18 1496
前几天新搭一个项目框架,在用户登录凭证选择上纠结了好久。之前我一直用的redis+token认证方式,这种方式感觉灵活也方便,然后同事说应该用JWT令牌方式,现在比较火。然后一场针对怎么选,选什么好的辩论展开了。针对这种技术选型的讨论,我觉得还挺有意思的,其实还是那句话:没有最好的方案,也不存在哪个更好,只是针对不同应用场景有做出合适的选择,那就是最好的。以下是我个人对token和JWT的对比理解: 共同点 两者都可以携带用户信息 都是访问资源的令牌 都是使服务端无状态化 都是只有验证成功后,客户端才能访
JWT与token+redis对比
山高水长
02-07 6598
16、JWT与token+redis对比 分析一、使用Token+redis的好处? 1.性能问题。 JWT方式将用户状态分散到了客户端中,相比于session, 可以明显减轻服务端的内存压力。 Session方式存储用户id的最大弊病在于Session是存储在服务器端的, 所以需要占用大量服务器内存, 对于较大型应用而言可能还要保存许多的状态, 一般还需借助nosql和缓存机制来实现session的存储, 如果是分布式应用还需session共享。 2.单点登录。 JWT能轻松的实现单点登录, 因为用户的状
cursMeanStack5:使用 node.js、express、mongoose、jwt 和 bcrypt 进行身份验证
06-23
在这个特定的课程“cursMeanStack5”,我们将重点讨论使用Node.js、Express、Mongoose、JSON Web Tokens (JWT) 和 bcrypt 进行身份验证的相关知识点。 **1. Node.js** Node.js是一个开放源代码、跨平台的JavaScript...
shrio-with-jwt-spring-boot-starter:spring-boot环境下基于JWT Token的无状态shiro权限验证框架
05-14
用户权限管理是每个信息系统最基本的需求,对基于 Java 的项目来说,最常用的权限管理框架就是大名鼎鼎的 Apache Shiro。Apache Shiro 功能非常强大,使用广泛,几乎成为了权限管理的代名词。但对于普通项目来说,...
WebApi 使用TOKEN+签名验证
10-17
在实际开发中,我们可以使用.NET框架或.NET Core,配合OAuth2、JWT标准库如System.IdentityModel.Tokens.Jwt和Signature验证库来实现这种安全机制。通过这种方式,我们可以构建出安全可靠的WebApi服务,有效防止未...
JAVA中的Token 基于Token的身份验证实例
08-24
JWT(JSON Web Tokens)是一种常用的Token验证方法。JWT Token由三个部分组成:header、payload和signature。header部分主要包含Token的类型和使用的算法,payload部分包含Token的具体内容,signature部分是对Token...
RoleBasedAccessControl_AuthenticationSystem:此仓库使用基于角色的访问控制和集成身份验证系统
04-12
JavaScript环境中,通常会使用bcrypt或argon2这样的库对用户密码进行哈希处理,以便在存储时保持安全性,同时在验证时能够比较哈希值。 “Cookie解析器”则表明系统可能通过HTTP cookies来维持用户的会话状态。当...
关于jwt的思考
雪雷-的专栏
06-23 9923
关于jwt的思考 jwt是个做用户权限认证的方案,科普的内容参考相关文档吧,这里提出几个关于jwt的思考: 现有项目架构:pc项目->pc服务器->api服务器 app项目->api服务器1. jwt是否需要服务器存储用户状态按照jwt的思路,服务端是不需要存储用户状态的,只要有秘钥+过期时间就可以实现用户的认证和过期,至于读库vs加解密验证哪个过程对服务器的压力更大,这个可能需要对比测试,但从
JWT使用教程
m0_50202747的博客
08-28 1618
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准,定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。...
JWT算法对比测试
weixin_30484247的博客
04-21 338
业务背景: 项目在解决临时权限的问题,欲引入JWT,故评估对比JWT实现方式之一JWS(RFC文档)的相关签名算法(由JWA规定),指导签名算法选择。 测试代码: https://github.com/z521598/jwt-compare 性能测试: 测试环境: 操作系统:Mac OS 内存:8GB CPU core: 2 本地测试只做性能纵向对比,具体耗时取决于具体运行环境 测试结果:...
Jwt常用技能
m0_56787367的博客
05-19 349
Jwt 概念: Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON\textcolor{red}{一种基于JSON}一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全\textcolor{red}{紧凑且安全}紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递\textcolor{red}{身份提供者和服务提供者间传递}身份提供者和服务提供者间传递被认证的用户身份信息,
OAuth2 vs JWT,到底怎么选?,java架构师面试宝典和答案
m0_60567796的博客
03-29 963
在这里,由于面试中MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。但是你要学习的往往不止这一点,还有一些主流框架的使用,Spring源码的学习,Mybatis源码的学习等等都是需要掌握的,我也把这些知识点都整理起来了24b (备注Java)**[外链图片转存中…(img-UJ6MYTqZ-1711713716991)]在这里,由于面试中MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。
jwt验证,用户登陆不同认证方式
weixin_43745987的博客
01-03 897
jwt的主要认证方式有一下四种: 转载出自:https://blog.csdn.net/Newbietan/article/details/80505403 使用APIView时,如果你的登录验证使用的是ObtainJSONWebToken,那么你的登录验证就要加上:authentication_classes = [JSONWebTokenAuthentication] 所以最重要的是先要弄...
session VS JWT 登陆对比
Machangzhi_1115的博客
04-04 345
session VS JWT 登陆对比
使用jwt实现登录验证
08-22
使用JWT实现登录验证是一种基于token的认证机制。在用户登录成功后,服务端会为用户颁发一个token(令牌),用户使用这个token来访问后台的接口。JWT的特点是无状态的,服务端不需要保留用户的认证信息或会话信息,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值