jwt认证授权方案优化

最新推荐文章于 2024-02-02 11:34:22 发布
最新推荐文章于 2024-02-02 11:34:22 发布
阅读量704 收藏 3
点赞数 1
分类专栏: 微服务API网关 鉴权认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whos2016/article/details/108782490
版权

jwt是保存在客户端的字符串,里面携带了用户的一些基本信息,每次请求时候由客户端携带jwt token去后端请求接口。

jwt认证授权过程

一般jwt认证授权过程可以描述如下:

  1. 用户登录通过系统的认证后,系统颁发jwt令牌给该用户,用户将该jwt存储起来,可存放在cookie,header,或者localstorage等;
  2. 用户发送请求,请求携带上系统颁发的jwt去请求服务;
  3. 服务端解析该jwt令牌,若是解析且验证通过,将解析后的用户信息存储在ThreadLocal容器,作为该请求的一个识别体;否则将提示授权失败。
  4. 在jwt有效期内,用户便可以通过该令牌进行服务资源的请求。

jwt一旦颁发就会一直有效,直到有效期过后;为了更好的利用http无状态特性,服务端也没有对jwt进行缓存或者进行会话管理,这样在此期间用户退出系统后,jwt的有效期还没有到,其他用户便可以窃取该token进行服务资源的请求;
区别于cookie-session的鉴权方式,在jwt鉴权中,仍然存在一定的身份认证漏洞;这是很危险的一个过程,也是一个缺陷。

对比cookie-session

session-cookie,我们暂且不考虑分布式情况下session共享和其他可能的的安全攻击;
jwt客户端持有,sessionId服务端保存;这种方式让http无状态的请求变成了有状态的。
用户通过cookie携带sessionId,去请求服务资源,后台服务资源根据sessionId来区分用户,请求来源,是否授权等;
这种虽然是有状态的,但是可以由服务端去控制用户的权限;
借鉴:jwt是否也能够用这种方式解决这个jwt管理工作呢?
当然可以,除了在客户端保持jwt,在服务端也可维持一份jwt,
so问题来了,那选取jwt是为了利用jwt的无状态,将jwt保存在服务端,那又跟session-cookie有什么区别呢?
区别当然是有的:

  1. session存储数据相对较多,要在服务端维持所有的sessionId表,用户同时访问会占用更高的处理内存;
    当然你可以设置个外置缓存,如redis来解决内存消耗,顺便还可以解决分布式session共享问题;相比于session来说,我们可以在服务端维持一份jwt黑白名单,通过jwt过期时间能够很好地控制jwt在服务端保持的总量;
    比如某些由于主动退出或者主动作废的jwt,便可以通过redis进行维护,redis将jwt中的jti字段进行存储和exp字段进行过期时间的维护;在结合系统可以设置jwt过期时间短一点,这样就能很好的控制jwt黑白名单的增长。

  2. jwt本身提供了jti字段,这个默认字段含义是JWT ID,这个按照官方说明,就是说这个不建议将jwt字符串整体存储在服务端保持,但可以短时间去缓存这个jwt;
    可以使用jti字段(jti是有效载荷里面的一个预设字段)
    RFC 7591中的定义:

    The “jti” (JWT ID) claim provides a unique identifier for the JWT.
    The identifier value MUST be assigned in a manner that ensures that there is a negligible probability that
    the same value will be accidentally assigned to a different data object;
    if the application uses multiple issuers, collisions MUST be prevented among values produced by different issuers as well.
    The “jti” claim can be used to prevent the JWT from being replayed.
    The “jti” value is a case- sensitive string. Use of this claim is OPTIONAL.

    无状态请求可以简单理解为:前后请求无关联无上下文,服务端处理每个请求的全部信息必须只来自该请求,以及其他服务端保持的可以被所有请求共用的公共信息(外部存储介质),如redis里面的公共信息。
    因此这并不违反无状态。

jwt解决方案优化

添加黑名单机制:

  1. 每次生成颁发jwt时候,附加生成一个jti字段来标识每个jwt;
  2. 使用redis来缓存jwt,存储结构选取string类型,设置key格式(suggestion):jwt:user_id:jti 例如:jwt:17788822333:dakhawadjfaihf
  3. 为了防止redis挂掉中断,可以加入一个数据表进行临时替代品,id可取jti字段值。
  4. 用户主动退出时候,我们在登出逻辑中将该jwt放入黑名单中,设置失效时间即为jwt过期时间。(jwt一旦颁发变不可更改,这样设置时间是经过考量的,具体略;
  5. 每次请求校验时候,除了校验jwt本身,还要去黑名单中去查询一下,如果有,即使解析通过也不得授权;

补充

后续将对jwt payload预设内容做出如下优化

预设字段说明描述
iss签发者存放签发系统或其子系统的标识,用来后续区分颁发者信息做不同处理
sub所面向的用户存放用户的唯一标识信息,如UserID/UserName/UserPhone等
aud接收的受众存放设备标识,如ip,登录设备是IOS还是Android等
jtijwt id存放jwt令牌的唯一标识,可作为数据库主键id,redis缓存key
exp过期时间标识令牌失效时间,Unix时间戳(s)
iat签发时间标识令牌颁发时间,Unix时间戳(s)
nbf之前时间不可用标识令牌生效时间,Unix时间戳(s)

all done

是下雨天啊
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt token太长了?自己实现序列化并缩短token长度
fashionbrot的专栏
07-06 600
jwt token 太长了? 可以试一下自定义实现的数据+签名的 token秘钥
JWT认证
乌云的博客
05-09 986
JSON Web Token (JWT)是⼀个开放标准(RFC 7519),它定义了⼀种紧凑的、⾃包含的⽅式,⽤于 作为JSON对象在各⽅之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
Redis实现登录的优化
最新发布
qq_71654538的博客
02-02 633
在我们使用JWT令牌进行登录验证的时候,不可避免的也会出现一些问题。比如:当用户修改密码后,旧的令牌仍然生效。因此,我们可以采用Redis进行登录的优化
记-JWT 认证接口性能调优
搬山境KL攻城狮的修炼手册
10-25 971
记-JWT 认证接口性能调优 文章目录记-JWT 认证接口性能调优一、前言1.服务器2.工具2.描述二、问题排查1.加密2.匹配3.示例程序4.总结三、解决办法 一、前言 1.服务器 4核16G 2.工具 工具 用途 jmeter 压力测试工具 arthas 阿里开源的Java诊断工具 2.描述 使用jmeter压测jwt认证接口时发现,服务器CPU占用特别高,TPS总是上不去仅有50 tps 二、问题排查 使用arthas 诊断工具连续打印CPU使用率高的线程堆栈,发现该
Authentication 方案优化探索(JWT, Session, Refresh Token, etc.)
weixin_33819479的博客
08-03 54
转载自:http://www.jianshu.com/p/5ac8a0e1e5a8 转载于:https://www.cnblogs.com/zl0372/p/Authentication.html
微服务统一登录认证怎么做?JWT
Java知音
02-06 1658
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!作者:hongxinerkecnblogs.com/zhenghongxin/p/10006697.html无状态登录...
JJwt耗时分析及优化
city1993的博客
11-17 1157
1 问题 在tomcat nio的框架下,每个请求都会有一个单独的tomcat 线程对请求进行处理。Arthas观察发现,在请求中如果有jjwt的签名,有的请求耗时会非常高,高到3s ~ 4s. 查看源码,jjwt的签名方法compact,有一处源码如下 // io/jsonwebtoken/impl/DefaultJwtBuilder.java @Override public String compact() { if (this.serializer
JWT优缺点及应用介绍
码农的日常收集
06-06 1717
JWT,全称是JSON Web Token,是一种规范化的 token,能解决分布式部署会话问题。 JWT是一个很长的字符串,字符之间通过"."分隔符分为三个子串:JWT头,有效载荷,签名。 默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。有效载荷这个JSON对象也使用Base64 URL算法转换为字符串保存。...
springsecurity jwt mybatis redis
08-01
1. **SpringSecurity**:作为Spring生态中的安全组件,SpringSecurity提供了全面的安全管理解决方案,包括用户认证、权限控制、会话管理等。它基于过滤器链的概念,可以自定义拦截请求并处理安全逻辑。在配置Spring...
shiro_jwt.rar
04-02
通过以上步骤,我们可以构建一个基于SpringBoot、Shiro和JWT认证授权系统,既满足了微服务的轻量需求,又实现了安全的身份验证和权限管理。在实际应用中,还需考虑更多细节,如错误处理、安全性优化等,以提供更...
计算机专业技术认证课程大作业-新闻管理系统设计和解决方案.doc
06-23
- 安全性方面,会使用HTTPS协议,结合OAuth2.0、JWT等技术进行身份验证和授权。 6. **测试与维护**: - 开发完成后,需进行全面的功能测试、性能测试和安全测试,确保系统无误。 - 系统上线后,需持续监控系统...
jwt_token_test.zip
05-21
Java Web Token(JWT)是一种轻量级的身份验证和授权机制,广泛应用于移动应用与服务器之间的交互。JWT允许在用户身份验证后将权限信息安全地编码为一个字符串,并在客户端和服务端之间传递,无需存储session信息在...
JwtSpringSecurity:具有基于JWT的身份验证的Spring Security
03-27
4. 创建认证授权逻辑:处理用户登录请求,成功后返回JWT,同时设置访问控制规则。 5. 实现刷新令牌功能:可以设计一个刷新令牌的API,客户端在需要时请求更新JWT。 6. 测试和优化:确保所有API接口都按预期工作...
单点登录 Oauth2.0 + jwt + 资源服务器配置与授权
weixin_44816511的博客
08-01 737
一、创建认证配置类 1. pom <properties> <java.version>1.8</java.version> <spring-cloud.version>Greenwich.SR1</spring-cloud.version> </properties> <dependencies> <dependency> <groupId>org.spri
JWT的问题研究和解决方案
养码一生
07-09 693
对于Jwt认证协议来说,本身作为一种轻量级的的认证协议有很大的优势和使用场景,但是由于自己实现的局限性,导致了接下来的一些问题。 1. 续签 2.改密 3.退出 4.签名过期 等问题
JWT分析
Arthas的博客
10-09 825
本篇文章不讨论 Laravel 中 JWT 这个怎么使用,要这方面内容的可以看我另一篇文章 JWT 完整使用详解 。 在此我要从一个更深的层次来探讨 JWT 在实际运用中的使用以及其优缺点,以及 JWT 和 Oauth 2.0 这两者到底有什么差别和联系。 首先我们从 Token 入手,再联系到 JWT,然后分析 JWT 的优缺点和使用场景,最后再联系到 Oauth2.0。 一、Token ...
理解JWT的使用场景和优劣
程序猿DD
04-24 4074
作者:徐靖峰 原文:https://www.cnkirito.moe/2018/04/20/jwt-learn-3/经过前面两篇文章《JSON Web Token - 在...
Blazor jwt认证授权
05-31
Blazor是一种基于WebAssembly的新型Web开发框架,可以使用C#语言开发客户端应用程序。它提供了一种方便的方式来实现JWT认证授权。 在Blazor应用程序中,您可以使用ASP.NET Core Identity和JSON Web Token(JWT)来实现JWT认证授权。首先,您需要在ASP.NET Core应用程序中配置JWT认证服务。然后,您可以使用Identity提供的API来管理用户和角色,以及实现基于角色的授权策略。 接下来,您需要在Blazor组件中使用`[Authorize]`属性来标记需要授权才能访问的组件。这将要求用户登录,并检查他们是否具有访问该组件的权限。 最后,您可以使用JWT来验证用户身份,并根据用户的角色和权限来授权访问。 下面是一个示例,演示如何在Blazor应用程序中使用JWT认证授权: ``` @page "/myprotectedpage" @attribute [Authorize(Roles = "Admin")] <h1>Welcome to the protected page!</h1> @code { [Inject] private IAccessTokenProvider TokenProvider { get; set; } private async Task<string> GetAccessTokenAsync() { var tokenResult = await TokenProvider.RequestAccessToken(); if (tokenResult.TryGetToken(out var token)) { return token.Value; } else { return null; } } protected override async Task OnInitializedAsync() { var accessToken = await GetAccessTokenAsync(); if (accessToken != null) { // Verify the token and extract the user's claims var handler = new JwtSecurityTokenHandler(); var token = handler.ReadJwtToken(accessToken); var userId = token.Claims.FirstOrDefault(c => c.Type == ClaimTypes.NameIdentifier)?.Value; var roles = token.Claims.Where(c => c.Type == ClaimTypes.Role).Select(c => c.Value).ToList(); // Check if the user has the required role if (!roles.Contains("Admin")) { NavigationManager.NavigateTo("/accessdenied"); } } else { NavigationManager.NavigateTo("/login"); } } } ``` 在上面的示例中,我们使用`[Authorize(Roles = "Admin")]`属性来标记需要“Admin”角色才能访问的组件。然后,我们使用`IAccessTokenProvider`来获取JWT访问令牌,并验证令牌以确定用户的身份和角色。如果用户没有所需的角色,我们将重定向到一个名为“accessdenied”的页面。 希望这个示例能够帮助您实现Blazor中的JWT认证授权
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值