JWT令牌和单点登录

最新推荐文章于 2024-07-04 22:55:50 发布

..cht..

最新推荐文章于 2024-07-04 22:55:50 发布

阅读量724

点赞数 12

文章标签： java

本文链接：https://blog.csdn.net/weixin_60090880/article/details/140066321

版权

JWT令牌

1、什么是jwt令牌？

JWT（JSON Web Token）是一种用于在网络应用中传输信息的开放标准（RFC 7519）。它通常被用于对用户进行身份验证和授权。

我们可以把它想象成一个“通行证”，用来证明你的身份或者携带一些信息。

2、有什么作用？

举个例子：

想象你正在使用一个在线购物网站。当你登录时，网站会验证你的用户名和密码，也就是说第一次进入该网站，都需要输入用户名和密码，才能登录。一旦你成功登录，网站会生成一个JWT令牌，里面包含了你的用户ID和一些其他信息，然后把这个令牌发送给你。

之后，当你浏览商品或下单购买时，你的浏览器会自动在请求中携带这个JWT令牌。服务器收到请求后，会验证令牌的有效性，并从中读取你的用户ID和其他信息。这样，服务器就知道是你发送的请求，并且能根据你的用户信息来处理请求。

也就是说当你在电商网站成功登录并获得了JWT令牌之后，你在该网站进行下单支付时，就不需要再次输入登录密码进行验证了。你的浏览器或客户端应用会在请求中自动携带这个JWT令牌，服务器通过这个令牌来验证你的身份，并处理你的支付请求。

总的来说，JWT令牌就像是一个“通行证”，让你在不需要每次都输入用户名和密码的情况下，证明你的身份并携带一些必要的信息。

最后总结一下，我的理解就是，当第一次去一个关卡，守卫不知道你的信息，就需要确认你的信息，并发给你一个通行证，一旦第一次确认了以后，经过后面的关卡的时候，你只需要手持通行证就能证明你的身份，并成功经过，这样也就不需要每次都验证你的身份了。

3、JWT的优点和缺点？

优点：

无状态性：JWT不需要在服务端存储会话信息，使得服务端的扩展性更好，并且可以方便地实现分布式系统。这种无状态性降低了服务器的存储负担，提高了系统的可扩展性和可靠性。
缓存优化：由于JWT包含了用户的身份信息，因此可以减少对数据库频繁的查询和访问，提高系统性能。
简洁性：JWT是一种轻量级的认证方式，通过使用JSON格式来传递信息，使其易于解析和使用。这种简洁性使得JWT在传输和存储上都非常高效。

缺点：

安全性问题：虽然JWT使用数字签名或加密算法保证令牌的真实性和完整性，但如果密钥被泄露，攻击者仍然可以篡改令牌。因此，对密钥的保护和管理至关重要。
令牌过期时间管理：JWT的令牌过期时间是固定的，无法在令牌生成后更改。这要求开发者在设置过期时间时需要考虑平衡安全性和用户体验。
令牌无法撤销：一旦JWT令牌生成，就无法在不更改密钥的情况下撤销。如果需要在令牌有效期内撤销访问权限，会面临挑战。这通常需要通过设置较短的过期时间和使用令牌刷新机制来解决。

单点登录

1、什么是单点登录?

单点登录（SSO，Single Sign-On）是一种用户认证和授权的解决方案，允许用户使用一组凭据（如用户名和密码）登录多个相互关联的应用程序和网站，而不需要在每个应用程序和网站中重新输入凭据。

SSO 通过在用户访问第一个应用程序或网站时进行身份验证，然后将用户的身份信息存储在一个中央位置中，以便于其他应用程序和网站进行访问。这种方式可以简化用户的登录过程，减少用户需要记住的凭据数量，提高用户体验和工作效率。

实现原理：
单点登录的实现依赖于一个独立的认证中心（SSO Server），该认证中心负责处理用户的登录请求和身份验证。当用户尝试访问一个受保护的应用程序时，如果该用户尚未登录，则应用程序会将用户重定向到认证中心进行登录。认证中心验证用户的身份后，会生成一个令牌（Token），并将该令牌返回给用户。用户在后续的访问中，只需携带这个令牌即可访问其他受保护的应用程序，而无需再次登录。

2、单点登录的优势？