jwt无状态登陆常见面试问题总结

最新推荐文章于 2024-07-25 15:08:53 发布
最新推荐文章于 2024-07-25 15:08:53 发布
阅读量1.7k 收藏 12
点赞数 1
分类专栏: jwt 文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51291483/article/details/109211659
版权

1.Jwt和Spring Security的对比:

JWT的:

  • 优点:

    • 无需再服务端存储用户数据,减轻服务端压力
    • 轻量级,json风格,比较简单
    • 跨语言
    • 有利于水平扩展

  • 缺点:

    • token一旦签发,无法修改
      • 无法更新token有效期,用户登录状态刷新难以实现
      • 无法销毁一个token,服务端不能对用户状态进行绝对控制
    • 不包含权限控制

SpringSecurity:

  • 优点:
    • 用户信息保存再服务端,服务端可以对用户状态绝对控制
    • 基于Spring,无缝整合,修改登录逻辑,其实就是添加过滤器
    • 整合权限管理
  • 缺点:
    • 限定了语言
    • 实现复杂,基于一连串的过滤器链
    • 需要再服务端保存用户信息,增加服务端压力
    • 依赖于tomcat的HttpSession、如果是分布式项目,session不共享,登录失效,需要借助于SpringSession,实现共享session效果(利用redis代替tomcat的session)

2.登录控制问题

  • 你们使用JWT做登录凭证,如何解决token注销问题

    答:jwt的缺陷是token生成后无法修改,因此无法让token失效。只能采用其它方案来弥补,基本思路如下:

    1)用户登录后,生成JWT,其中包含用户身份

    2)以用户id为key,把JWT的id存入redis,只有redis中有id的JWT,才是有效的JWT

    3)并且给Redis设置有效期,有效期到自动删除

    4)退出登录时,把ID从Redis删除即可

  • 怎么解决登录超时后的登录续签问题?

    答:判断登录是否超时的标准是redis,而不是JWT,因此每次用户访问网关,我们都会刷新redis的数据有效期,保证登录状态不断。

  • 如何解决异地登录或跨设备登录问题?

    答:

    方案一:不允许多端登录

    如果账户在第二个设备登录,自然会将redis中的JWT覆盖,那么之前的登录凭证就成了无效凭证。

    方案二:允许多端登录

    存入redis时,redis的类型可以选择set,这样一个用户可以具备多个JWT的id,实现多端登录。

3.cookie安全问题

  • JWT中的cookie泄露,是否会泄露用户隐私?

    • 不会,因为JWT中只保存用户id这样的非敏感字段,不存放例如手机、用户名、密码之类的信息

  • 如何解决token被篡改问题?

    • 答:token中的数据可以篡改,但是签名无法篡改,否则服务端认证根本不会通过,因此篡改的token是无法通过服务端校验的

  • 如何防止token的伪造

    • 与上个问题类似,token中带有签名认证,而签名需要秘钥加密生成。只要秘钥不泄露,就不可能有人伪造token,因为其它秘钥生成的token是不会被认可的。
    • 另外,我们服务内部有秘钥管理机制,其它外部请求是无法获取我们的秘钥的。

  • 如何解决cookie被盗用问题?

    答:cookie被盗用的可能性主要包括下面几种:

    • XSS攻击:这个可以再前端页面渲染时对 数据做安全处理即可,而且我们的cookie使用了Httponly为true,可以防止JS脚本的攻击。
    • CSRF攻击:
      • 利用Referer头,防盗链
      • 请求头中加随机码
    • 数据抓包,获取用户cookie:我们采用了HTTPS协议通信,无法获取请求的任何数据
    • 请求重放攻击:对于普通用户的请求没有对请求重放做防御,而是对部分业务做好了幂等处理。运行管理系统中会对token添加随机码,认证token一次有效,来预防请求重放攻击。
    • 用户电脑中毒:这个无法防范。

  • 用户的cookie被禁用怎么办?

    • cookie一般情况下,是不会被禁用,因为普通人根本不知道是什么是cookie,一般不用管,为了友好,我们可以给用户一个提示:你的cookie已经被禁用了,请启用cookie。
    • 把jwt作为响应头返回,浏览器中JS把token写到本地存储(sessionStorage),要求前端每次发ajax,都必须自己携带token。而且有被xss攻击的风险

4.权限问题

  • 如何完成权限校验的?

    • 首先我们有权限管理的服务,管理用户的各种权限,及可访问路径等
    • 在网关中利用过滤器,拦截一切请求,在过滤器中,解析和验证jwt,获取用户身份,查询用户权限,判断用户身份可以访问当前路径

5.跨域登录问题

单点登录,顾名思义:在分布式服务中,用户只需要在一处登录,即可在各个受信任的服务器之间,共享登录状态,称为单点登录。

任何登录都离不开cookie,如果cookie无法使用或共享,就会导致登录凭证无法共享,导致登录状态无法共享。例如因为跨域名的多个服务,其cookie不可共享,导致登录失效。

因此实现单点登录有多种方式,其区别就在于是否能解决跨域登录

  • 同域名单点登录
    • 分布式服务共享二级域名,二级以上域名不同,此时cookie可以共享。解决思路:
      • JWT无状态登录
      • 共享Session
  • 跨域单点登录
    • 服务二级域名就不同,导致cookie无法共享,解决办法:

CAS原理图:

在这里插入图片描述

IsToRestart
关注
专栏目录
WebSocket面试常见知识点和面试
大模型大数据攻城狮的专栏
06-09 4862
WebSocket是一种网络通信协议,提供全双工通信机制,允许服务器主动向客户端发送消息,实现实时双向数据传输。WebSocket的设计理念是为了解决HTTP协议在实时性方面的不足。连接方式:HTTP协议是无状态的,每次通信都需要建立新的连接。而WebSocket在初次握手后,会保持一个持久的连接,用于后续的数据传输,减少了连接建立的开销。实时性:WebSocket提供了更高的实时性,服务器端有新数据时可以立即推送给客户端,而HTTP协议通常需要客户端定期发送请求来获取更新。消息格式。
java技术总监面试常见问题及答案,送大厂面经一份!
m0_57081438的博客
07-21 2522
Spring Security观后感——手绘思维脑(供参考) 手绘的思维导图,是我自己根据自身的情况读完这套阿里出品的Spring Security王者晋级文档之后所绘的,相当于是一个知识的总结与梳理,我将其分为“核心组件”与“工作原理/认证流程”。 Spring Security王者晋级文档-Spring Security 4.2内部资料 Spring Security 4.2内部资料——主要专注于企业级 Java 安全的研究,尤其是 Spring Security。因此,我们的一切内容会以 Ja
Docker MySQL 5.7 to 8.0 Upgrade fails with error
weixin_43687313的博客
02-15 787
操作情景:保留原MySQL挂载文件,升级Docker中安装的MySQL的版本,报错如上图所示. 解决方案:先用MySQL5.7版本启动一次,会根据日志恢复数据,然后再更新到MySQL8.0版本,重启数据库服务即可.
JWT状态登录+跨域问题
~
01-29 2765
1.无状态登录原理 1.1.什么是有状态? 用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 缺点是什么? 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行水平扩展 客户端请求依赖服务端,多...
浅析JWT原理及牛客出现过的相关面试
最新发布
Kixuan214的博客
07-25 1331
总结jwt相关原理及牛客出现的面试题(含答案)
JWT-无状态方案处理
qq_40384690的博客
03-06 1427
1.JWT的优势在于无状态,如果非要结合redis等相关nosql来进行一些方案的处理,我觉得是没有必要的。这样还不如直接使用session集群。 2.那么针对JWT就会有几个问题 (1)退出登录,需要把token无效化 (2)修改密码,需要把token无效化 (3)单用户登录,需要进行判断 其实(1)(2)是属于差不多的类型。 这两种情况的处理就比较相似了。 那么我们首先考虑jwt...
单点登录(面试总结)
qq_42475949的博客
12-06 4078
单点登录(面试总结) 什么是单点登录: 单点登录(Single Sign On),简称SSO. 用户只需要登陆一次就可以访问所有相互信任的应用系统 单一服务器的登录 使用session对象来实现 登陆成功后,把用户数据放到session中 判断是否登录,从session获取数据,可以获取到登陆信息 //JavaWeb 中的使用 session.setAttribute("user",user); session.getAttribute("user"); 集群部署中的登录(三种
普通token登录验证和OAuth2.0应用场景(简述,之后有空再详写)
suixinsuoyu12519的专栏
02-03 1302
之前2月底特地看了很多关于token机制和Oauth2.0的文章。由于3月初到现在每天都很忙,所以一直没时间整理。今天其实也还是没时间。不过现大概写一些东西。后面有空在补上吧。之前忙着发现杯的作品提交材料,最近则是忙着Netty开发。 在正式介绍Token之前,先大致回顾一下Cookie和Session。(下面介绍跨度比较大,涉及内容不止Cookie和Session) 1. Cookie ​ Cookie一般是指客户端浏览器的Cookie,别的地方有没有Cookie我就不清楚了。Cookie可以用.
JWT面试常见问题
热门推荐
Mingju's Blog
11-12 1万+
JWT面试常见问题 jwt和security的对比: JWT的优点: 无需再服务端存储用户数据,减轻服务端压力 轻量级,json风格,比较简单 跨语言 JWT的缺点: token一旦签发,无法修改 无法更新token有效期,用户登录状态刷新难以实现 无法销毁一个token,服务端不能对用户状态进行绝对控制 不包含权限控制 SpringSecurity: 优点: 用户信息保存再服...
面试】前端常见面试总结
qq_46580087的博客
05-04 5588
这些钱都是你的。
常见网络编程面试题以及答案(网络面试30题)
日积月累,水滴石穿
06-29 9765
1.常说的四层、五层、七层网络模型有什么区别?2.TCP/IP 网络模型中的五层模型,每层分别有什么用?3.介绍一下 HTTP 协议4.GET 和 POST有什么区别?5.PING 的作用?6.常见的 HTTP 状态码有哪些7.HTTP1.1 和 HTTP1.0 的区别有哪些?8.HTTPS 和 HTTP 的区别是什么?9.HTTP2 和 HTTP1.1 的区别是什么?10.HTTP3 和 HTTP2 的区别是什么?11.TCP 建立连......
jwt + spring security 登陆验证和权限管理
04-19
一个Spring Security+JWT认证和授权的demo,此demo为Spring安全性与OAuth(1a)和OAuth2结合使用提供了支持。它提供了在Spring安全编程模型和配置下实现分布式无状态授权。
Mysql数据库从5.6.28版本升到8.0.11版本部署项目时遇到的问题及解决方法
09-09
主要介绍了Mysql数据库从5.6.28版本升到8.0.11版本过程中遇到的问题及解决方法,解决办法有三种,每种方法给大家介绍的都很详细,感兴趣的朋友跟随脚本之家小编一起学习吧
若依封装SpringSecurity+JWT
weixin_45943597的博客
08-19 1745
公司用的是若依管理系统封装了SpringBoot,权限使用了SpringSecurity+JWT令牌机制,今天花时间研究了一下若依是如何对Security进行封装的。 登录 1.用户存在性验证 首先将后台清了一下,访问系统登录的页面,发现控制台打印了如下SQL: 16:10:13.119 [http-nio-8082-exec-15] DEBUG c.r.s.m.S.selectUserByUserName - [debug,159] - ==> Preparing: select u.user_i
Mysql8.0数据库url时区问题
浅海星星的博客
04-11 5273
dateTime会早8小时 或者启动时数据库会报未设置时区的错误 yml配置文件里修改即可 url:jdbc:mysql://47.105.91.111:3306/ops?useUnicode=true&characterEncoding=utf8&useSSL=false&nullCatalogMeansCurrent=true&serverTimezone=Ai...
SpringBoot+Security+Vue前后端分离开发权限管理系统
04-10
适用人群所有的IT从业者,尤其适合快速掌握新技术,快速增长工作经验人群,对教育公平,教育公益,教育爱心公益人士课程概述该互联网实战项目是基于 Spring Boot 2+ SpringSecurity5+Element UI+Vue Admin Template+蚂蚁可视化AntV 等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring Boot2MVC框架 开发的一站式解决方案Spring Security5 认证和授权框架MyBatisPlus3.3.1 基于 MyBatis 框架的快速研发框架MyBatisCode工具生成 MyBatis 相关代码Jackson提供了处理 JSON 数据的工具Lombok简化对象封装工具 Druid   数据库连接池 【前端技术】Vue       互联网最火的前端框架Vue Router路由框架Vuex全局状态管理框架Axios前端 HTTP 框架Element UI前端 UI 框架Vue Element Admin前端模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV【开发工具】IntelliJ IDEA开发 IDESQLyog数据库连接客户端PostmanHTTP 请求工具【开发环境】工具版本JDK1.8MySQL5.7
Spring Security、Shiro、JWT权限认证
HelloQ的博客
08-19 1万+
JWT jwt是什么? JWT又名Json Web Token,基于数字签名,定义了一个紧凑、字包含的方式,用于json在各方之间安全传输信息。 使用场景 一般用于授权认证和数据交换: Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小...
JWT登录验证遇到的坑
weixin_42010530的博客
02-13 699
问题:ajax即没有进入success也没有进入error 经验证发现是在ajax的异步传输还未完成验证,页面已进行刷新。由于页面用的是layui框架(基于bootstrap),bootstrap框架下form表单中的按钮被点击后会自动刷新页面。 解决方案,将form改为div即可,页面样式不会发生变化。 ...
Spring Security整合JWT:实现无状态认证
- Stateless:适用于无状态接口应用,Spring-Security不创建或使用session,这与JWT的无状态特性相吻合。 关于会话超时,可以在Spring Boot的配置文件中设置`server.servlet.session.timeout`或使用Spring Session...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值