JWT的优缺点及主动失效方案

最新推荐文章于 2024-07-11 09:27:02 发布
最新推荐文章于 2024-07-11 09:27:02 发布
阅读量3.7k 收藏 4
点赞数 2
分类专栏: 分布式 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45875621/article/details/123442322
版权

原因:前后端分离

以前的传统模式下,后台对应的客户端就是浏览器,就可以使用session+cookies的方式实现登录,但是在前后分离的情况下,后端只负责通过暴露的RestApi提供数据,而页面的渲染、路由都由前端完成。因为rest是无状态的,因此也就不会有session记录到服务器端。

优点

JWT的优点是服务端生成之后就不需要在维护JWT,只需要解析即可,省去分布式session方案中需要去数据库查询的时间。

缺点

不易实现JWT的主动失效。

要改变某个用户权限时数据库中用户的权限很容易改变,下次登录获得的JWT也是配置后的,还要解决的就是之前已经发放的失效前权限的JWT。

失效指的是加入管理员不想让某个持有JWT的用户继续访问资源,要让JWT失效不能再访问资源。

解决方案

将有效时间调小

但是即使过小会增加登陆的流程相当于一直在做登录操作。

维护JWT白名单

每个JWT发放都记录在数据库,这种和保存sessionid差不多。。

失效就将某个用户的JWT移除白名单。

维护JWT黑名单

失效就将该用户的JWT移入黑名单,直到过期再删除。

维护JWT版本号

数据库中记录用户所持有id的最新值,每次生成JWT时版本号自增。验证时先比较JWT版本号与数据库中维护的最新版本号是否相等,小于则失效。

 

 

MarsHys
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
修改jwt过期时间_服务端实现JWT主动失效
weixin_39777213的博客
01-29 4618
引言使用JWT时,有一个十分头疼问题就是:用户主动注销、强制登出(禁止登陆)、忘记密码、修改密码、JWT续签、踢出下线时,服务器不能让token主动失效!本文将探索关于这个问题的解决方案。目录:什么是JWTJWT的特点JWT主动失效方案JWT主动失效最佳实践进阶优化总结1.什么是JWTJWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方...
如何在修改密码、修改权限、注销等场景下使JWT失效
wdj_yyds的博客
12-30 4646
大家好,我是不才陈某~ 今天这篇文章介绍一下如何在修改密码、修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。 但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JW
JWT Token生成及验证(源码)
04-12
JWT Token生成及验证(源码)
JWT (JSON Web Token) 立即失效
最新发布
HakuMaster的博客
07-11 1100
使一个 JWT (JSON Web Token) 立即失效可以通过多种方式实现,取决于具体的实现和系统需求。
JWT 弊端解决思路(主动过期\权限更新)
编程大白菜
08-26 2883
JWT 弊端解决思路(主动过期\权限更新)
系统登录认证流程对比(cookie方式与jwt)
iygxv
11-01 1569
系统登录认证流程对比(cookie方式与jwt) 一个正在努力爱好运动的程序猿座右铭:越努力越幸运,越运动越健康,热爱编程,热爱运动。 文章目录系统登录认证流程对比(cookie方式与jwt)一、cookie方式登录认证二、JWT(Json Web Token)方式登录认 一、cookie方式登录认证 步骤: 1.用户向服务器发送用户名和密码。 2.服务器验证后,相关数据(如用户角色等)将保存在当前会话(session)中。 3.服务器向用户返回sessionId会写入到用户的Cookie。 4
浅谈JWT身份认证及其优缺点
江南烟雨却痴缠丶
03-27 5632
一、登录模式 在介绍JWT之前,我要先介绍一下常见的几种登录模式。 1、单一服务器模式(Session) 我们登录认证成功之后,将用户信息就存放在服务端(Session),然后将其对应的session_id存储在客户端(Cookie),从Cookie中取出session_id,服务端就可以根据这个session_id获取对应的Session,从而获取存储用户信息。 其优点是:Session自动续期,用户体验较好 其缺点是: ①没有分布式架构,无法支持横向扩展。即分布式架构的情况下,其他服务器是没有办法获取到
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 6889
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的时候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
深入了解jwt优缺点
fair_fair的博客
04-12 1974
文章目录Token 认证的优势1.无状态2.有效避免了CSRF 攻击3.适合移动端应用4.单点登录友好Token 认证常见问题以及解决办法1.注销登录等场景下 token 还有效2.token 的续签问题总结1. 好处2. 缺陷 Token 认证的优势 相比于 Session 认证的方式来说,使用 token 进行身份认证主要有下面三个优势: 1.无状态 token 自身包含了身份验证所需要的所有...
jwt做状态保持的优缺点及解决方案
heima201907的博客
04-27 239
什么是JWT JWT是Json Web Token的全称,它是由三部分组成: header payload signature header中通常来说由token的生成算法和类型组成。如: [Python]纯文本查看复制代码 ? 1 2 3 4 { "alg":"HS256", "...
JWT身份认证优缺点分析以及常见问题解决方案.docx
10-26
### JWT身份认证优缺点分析及常见问题解决方案 #### 一、JWT身份认证概述 JSON Web Token (JWT) 是一种开放标准 (RFC 7519),用于在各方之间以安全的方式传输信息。JWT 被设计成紧凑和安全的,特别适用于分布式...
JWT
weixin_44222931的博客
10-12 798
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “2018-...
JWT(JSON Web Token)
m0_46364778的博客
04-02 1601
JWT
网关进行jwt鉴权
FourZeroZero's home
04-12 2762
前端接口都进过网关,然后通过网关进行分发。所以在网关中鉴权,就可以把没有需要登录的请求在网关层进行拦截。 redis进行存储token和jwt实现token两种方案的对比 去中心化的JWT实现oken 优点: 去中心化,便于分布式系统使用 基本信息可以直接放在token中。 username,nickname,role 功能权限信息可以直接放在token中。用bit位表示用户所具有的功能权限 缺点:服务端无法主动让token失效 中心化的 redis token / memory session
快速上手JWT-详细流程分析与代码实战(包含与Shiro的整合)
04-03 3242
快速上手JWT-详细流程分析与代码实战,Springboot+JWT | Spring+Shiro+JWT | Springboot+Shiro+Redis+JWT
JWT优缺点
会飞的猪
07-17 1860
1.非高并发系统不建议使用JWT,可采用redis缓存机制,或者session、redis机制,开发成本低、易维护、安全性强。1.无需依赖数据库、Redis等中间件,token自带加密用户、权限信息等,后端直接解析即可获取;2.token过长,在前端页面交互跳转时会遇到token过长无法被传递;1.内网段,作为基础公共服务支撑对外系统输出能力,且要求承载一定并发量;3.安全性差,可解密出用户权限信息,如需解决,需要另外进行加密处理;2.token自带有效期,后端无需存储维护,只需校验;
springsecurity整合jwt自定义令牌失效机制_Spring Security 整合JWT(四)
weixin_34835470的博客
01-25 197
一、前言本篇文章将讲述Spring Security 简单整合JWT 处理认证授权基本环境spring-boot 2.1.8mybatis-plus 2.2.0mysql 数据库maven项目Spring Security入门学习可参考之前文章:SpringBoot集成Spring Security入门体验(一)Spring Security 自定义登录认证(二)Spring Security 动...
JWT优缺点,为什么不建议使用JWT
d932385747的博客
02-05 1331
JSON Web Token(JWT)是一种用于在网络上传输信息的开放标准(RFC 7519)。它通过使用 JSON 对象将声明进行编码,可以被用来在用户和服务之间传递安全的、经过签名的信息。尽管JWT在某些场景下很有用,但也存在一些优缺点,其中一些原因可能导致不建议使用JWT
jwt和csrf token的关系和优缺点
06-12
JWT(JSON Web Token)和 CSRF token(Cross-Site Request Forgery token)都是常见的安全机制,但它们的作用有所不同。 - JWT 主要用于认证和授权,它是一种基于 JSON 的开放标准,用于在客户端和服务器之间传递安全声明。JWT 通常包含用户身份信息、访问权限等信息,用于验证用户身份和控制用户权限,从而保证数据的安全性和完整性。 - CSRF token 主要用于防止跨站点请求伪造攻击,它是一种随机生成的 token,用于验证用户提交的请求是否合法。CSRF token 通常存储在用户的会话中,当用户提交表单或发出请求时,服务器会将 token 作为隐藏表单字段或请求头信息返回给客户端,客户端再将其作为表单提交或请求头信息一起发送到服务器端进行验证。 它们的优缺点如下: - JWT 的优点是可以在多个应用程序之间共享,由于 JWT 包含了用户身份信息和访问权限等信息,因此可以减少对服务器的重复查询和验证,提高应用程序的性能。但是,如果 JWT 被劫持或篡改,那么攻击者就可以冒充用户进行访问,造成安全风险。 - CSRF token 的优点是可以有效防止跨站点请求伪造攻击,保证用户提交的请求都是合法的,从而保护用户的安全。但是,CSRF token 需要将 token 存储在用户的会话中,如果会话被劫持或泄露,那么攻击者就可以使用该 token 进行攻击,造成安全风险。 综上所述,JWT 和 CSRF token 都是常见的安全机制,应用场景不同,具有各自的优缺点。在实际开发中,应根据具体场景选择合适的安全机制,以保证应用程序的安全性和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值