会话跟踪令牌技术

最新推荐文章于 2024-07-22 22:58:19 发布
最新推荐文章于 2024-07-22 22:58:19 发布
阅读量37 收藏
点赞数
文章标签: java spring boot 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48605536/article/details/132296595
版权

目录

会话跟踪

Cookis

Session

令牌技术

JWT令牌技术

用途

组成

解析数据

JWT是如何将原始的JSON格式数据,转变为字符串的呢?

令牌实现操作案例

登录下发令牌

实现步骤

1.引入JWT工具类

2.登录完成后,调用工具类生成JWT令牌并返回

会话跟踪

Cookis

优点

Http协议支持的技术

缺点

移动端app无法使用

不安全

不能跨域

Session

优点

存储在服务端,安全

缺点

服务器集群环境下无法直接使用Session

还有Cookie的缺点

令牌技术

优点

支持PC端,移动端

解决集群环境下的认证问题

减轻服务器存储的压力

缺点

需要自己实现

JWT令牌技术

简洁

指jwt就是一个简单的字符串。可以在请求参数或者是请求头当中直接传递。

自包含

指的是jwt令牌,看似是一个随机的字符串,但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。如:可以直接在jwt令牌中存储用户的相关信息。

用途

在通信双方以json数据格式安全的传输信息,所以安全

组成

由三个部分之间使用点来分割

Header(头):记录令牌类型、签名算法等

Payload(有效载荷):携带一些自定义信息、默认信息

Signature(签名):防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来

解析数据

JWT是如何将原始的JSON格式数据,转变为字符串的呢?

在生成JWT令牌时,会对JSON格式的数据进行一次编码:进行base64编码

一种基于64个可打印的字符来表示二进制数据的编码方式

64个字符分别是A到Z、a到z、 0- 9,一个加号,一个斜杠,加起来就是64个字符还有一个符号,等号它是一个补位的符号

是编码方式,而不是加密方式

令牌实现操作案例

1. 在登录成功之后,要生成令牌。

先引入JWT的依赖

<!-- JWT依赖-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

生成JWT代码

@Test
public void genJwt(){
    Map<String,Object> claims = new HashMap<>();
    claims.put("id",1);
    claims.put("username","Tom");
    
    String jwt = Jwts.builder()
        .setClaims(claims)      //自定义内容(载荷)          
        .signWith(SignatureAlgorithm.HS256, "itheima") //签名算法        
        .setExpiration(new Date(System.currentTimeMillis() + 24*3600*1000)) //有效期   
        .compact();
    
    System.out.println(jwt);
}

2. 每一次请求当中,要接收令牌并对令牌进行校验。

可以校验JWT令牌(解析生成的令牌):

@Test
public void parseJwt(){
    Claims claims = Jwts.parser()
        .setSigningKey("itheima")//指定签名密钥(必须保证和生成令牌时使用相同的签名密钥)  
        .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwiZXhwIjoxNjcyNzI5NzMwfQ.fHi0Ub8npbyt71UqLXDdLyipptLgxBUg_mSuGJtXtBk")
        .getBody();

    System.out.println(claims);
}

使用JWT令牌时需要注意

JWT校验时使用的签名秘钥,必须和生成JWT令牌时使用的秘钥是配套的。

如果JWT令牌解析校验时报错,则说明 JWT令牌被篡改 或 失效了,令牌非法。 

登录下发令牌

实现步骤

1.引入JWT工具类

public class JwtUtils {

    private static String signKey = "itheima";//签名密钥
    private static Long expire = 43200000L; //有效时间

    /**
     * 生成JWT令牌
     * @param claims JWT第二部分负载 payload 中存储的内容
     * @return
     */
    public static String generateJwt(Map<String, Object> claims){
        String jwt = Jwts.builder()
                .addClaims(claims)//自定义信息(有效载荷)
                .signWith(SignatureAlgorithm.HS256, signKey)//签名算法(头部)
                .setExpiration(new Date(System.currentTimeMillis() + expire))//过期时间
                .compact();
        return jwt;
    }

    /**
     * 解析JWT令牌
     * @param jwt JWT令牌
     * @return JWT第二部分负载 payload 中存储的内容
     */
    public static Claims parseJWT(String jwt){
        Claims claims = Jwts.parser()
                .setSigningKey(signKey)//指定签名密钥
                .parseClaimsJws(jwt)//指定令牌Token
                .getBody();
        return claims;
    }
}

2.登录完成后,调用工具类生成JWT令牌并返回

@RestController
@Slf4j
public class LoginController {
    //依赖业务层对象
    @Autowired
    private EmpService empService;

    @PostMapping("/login")
    public Result login(@RequestBody Emp emp) {
        //调用业务层:登录功能
        Emp loginEmp = empService.login(emp);

        //判断:登录用户是否存在
        if(loginEmp !=null ){
            //自定义信息
            Map<String , Object> claims = new HashMap<>();
            claims.put("id", loginEmp.getId());
            claims.put("username",loginEmp.getUsername());
            claims.put("name",loginEmp.getName());

            //使用JWT工具类,生成身份令牌
            String token = JwtUtils.generateJwt(claims);
            return Result.success(token);
        }
        return Result.error("用户名或密码错误");
    }
}

点击这里查看更多知识

小毅西
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
会话跟踪技术
大珍珠
07-11 113
会话技术,Cookie客户端(浏览器)会话跟踪技术,Session服务端(服务器)会话跟踪技术
会话跟踪技术的概述
Quella_ly的博客
07-12 626
对于这四个词,我们需要拆开来进行解释,首先要理解什么是,然后再去理解什么是:会话:用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含==多次==请求和响应。从浏览器发出请求到服务端响应数据给前端之后,一次会话(在浏览器和服务器之间)就被建立了会话被建立后,如果浏览器或服务端都没有被关闭,则会话就会持续建立着浏览器和服务器就可以继续使用该会话进行请求发送和响应,上述的整个过程就被称之为==会话==。用实际场景来理解下会话,比如在我们访问京东的时候,当打开浏览器
会话跟踪技术——JWT令牌
cl的博客
01-18 929
服务器会接收很多的请求,但是服务器是需要识别出这些请求是不是同一个浏览器发出来的。比如:1和2这两个请求是不是同一个浏览器发出来的,3和5这两个请求不是同一个浏览器发出来的。如果是同一个浏览器发出来的,就说明是同一个会话。如果是不同的浏览器发出来的,就说明是不同的会话。而识别多次请求是否来自于同一浏览器的过程,我们就称为会话跟踪。我们使用就是要。
SpringBootWeb 篇-深入了解会话技术会话跟踪三种技术(Cookie 会话跟踪、Session 会话跟踪与 JWT 令牌会话跟踪
小扳手
05-29 3618
三种会话技术:Cookie、Session、JWT 令牌技术,生成 JWT 与校验 JWT 代码实现。一种维护浏览器状态的方法,服务器需要识别多次请求是否来自同一浏览器,以便在同一次会话的多次请求间共享数据。用户打开浏览器,访问 web 服务器的资源,会话建立,直到有一方断开,会话结束。在一次会话中可以包含多次请求和响应。
用户登录,会话跟踪
02-12
本文将深入探讨如何使用session和cookie技术来实现会话跟踪。 首先,我们需要理解“会话”(Session)的概念。在Web应用中,会话是指用户打开浏览器与服务器进行交互的一系列连续操作。为了识别这些操作属于同一个...
会话跟踪技术及其应用1
08-04
会话跟踪技术是Web应用程序中不可或缺的一部分,它主要用于在用户浏览多页时保持其状态,以便提供个性化的用户体验和服务。传统的会话跟踪技术主要包括Cookie、URL重写和隐藏表单字段。 Cookie技术是最常见的会话...
第五章:会话会话技术chapter05
05-12
5. **会话跟踪**:除了使用cookie,还可以通过URL重写方式跟踪会话,即在URL后面附加会话ID。这种方法适用于禁用cookie的浏览器。 6. **会话范围内的通信**:在大型应用中,有时需要在多个请求间共享数据,但又不...
笔记:会话技术案例(X马)
03-19
在IT领域,会话技术是构建Web应用程序不可或缺的一部分,它允许服务器在用户浏览器与服务器交互时跟踪用户的活动。本笔记将重点讨论会话技术的一个案例,即在X马(此处的“X马”可能是某公司的匿名表述或者一个项目...
网站技术架构
11-01
Spring Security或Apache Shiro等库可以帮助实现基于角色的访问控制(RBAC)和会话管理。同时,HTTPS协议确保数据传输的安全,防止中间人攻击。 性能优化也是大型网站架构的重要部分。使用CDN(内容分发网络)加速...
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 563
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
Promise 详解(原理篇)
山重水复疑无路,柳暗花明又一村。
07-20 670
Promise 是一种异步编程的解决方案。在异步操作中,callback 会导致回调地狱的问题,Promise 解决了这个问题。一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。
Java内存模型
weixin_44267758的博客
07-19 690
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
接口防刷!利用redisson快速实现自定义限流注解
架构师小吴的博客
07-18 1197
如登录接口,当用户使用手机号+验证码登录时,一般我们会生成6位数的随机验证码,并将验证码有效期设置为1-3分钟,如果对登录接口不加以限制,理论上,通过技术手段,快速重试100000次,即可将验证码穷举出来。解决思路:对登录接口加上限流操作,如限制一分钟内最多登录5次,登录次数过多,就返回失败提示,或者将账号锁定一段时间。在日常开发中,一些重要的对外接口,需要加上访问频率限制,以免造成资��损失。ok,通过以上两步,即可完成我们的限流注解了,下面通过一个接口验证下效果。
JVM-垃圾回收与内存分配
m0_50846237的博客
07-19 1206
JVM-垃圾回收与内存分配
Java算法】前缀和 下
2302_79806056的博客
07-18 1092
这段代码实现了一个寻找数组中具有相等数量的0和1的最长子数组长度的算法。具体来说,它使用了前缀和(prefix sum)的概念以及哈希映射(HashMap)来优化查找过程。初始化哈希映射:计算前缀和:检查相等数量的0和1:更新哈希映射:返回结果:这种方法的时间复杂度为O(n),因为我们只遍历数组一次,并且对每个元素执行常数时间的操作。空间复杂度也是O(n),最坏情况下需要存储n个前缀和值。 初始化阶段:开始遍历数组:继续
淘客返利系统中的服务发现与注册机制详解
技术研究中心
07-22 706
通过服务注册中心,服务提供者可以将自己注册到注册中心,服务消费者可以从注册中心获取服务提供者的地址,以实现服务调用。本文详细介绍了淘客返利系统中服务发现与注册机制的实现,包括Eureka的配置与代码示例。通过Eureka,我们可以轻松实现服务的注册与发现,确保分布式系统中各个服务之间的通信。在本文中,我们将深入探讨淘客返利系统中的服务发现与注册机制,并结合Java代码进行详细讲解。在我们的淘客返利系统中,我们采用Eureka作为服务发现与注册的工具。在我们的淘客返利系统中,首先需要配置Eureka服务器。
Java实现拼图小游戏
最新发布
Aishangyuwen的博客
07-22 796
Java实现拼图小游戏
华为OD机试 - 分披萨 - 递归(Java 2024 D卷 200分)
学Java,找哪吒
07-21 747
递归算法通过函数调用自身解决问题,每次递归调用都处理问题的一个子部分,直到达到基准条件,从而构建最终解。
《Web前端黑客技术揭秘》——探索前端安全的攻防策略
书中还提到了Cookie安全,Cookie是跟踪用户会话和存储信息的一种常见方式,但如果不加保护,它们可能成为攻击者的攻击目标。因此,使用HTTPS加密通信、设置安全标志和HttpOnly属性是保护Cookie免受窃取和篡改的有效...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值