jwt实现无状态登录

最新推荐文章于 2024-07-17 10:26:28 发布
最新推荐文章于 2024-07-17 10:26:28 发布
阅读量787 收藏 2
点赞数
文章标签: java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xxyh1234/article/details/121957461
版权

3. jwt实现无状态登录

JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:https://jwt.io

GitHub上jwt的java客户端:https://github.com/jwtk/jjwt

3.1. 数据格式

JWT包含三部分数据:

  • Header:头部,通常头部有两部分信息:

    • token类型:JWT
    • 加密方式:base64(HS256)

  • Payload:载荷,就是有效数据,一般包含下面信息:

    • 用户身份信息(注意,这里因为采用base64编码,可解码,因此不要存放敏感信息)
    • 注册声明:如token的签发时间,过期时间,签发人等

    这部分也会采用base64编码,得到第二部分数据

  • Signature:签名,是整个数据的认证信息。根据前两步的数据,再加上指定的密钥(secret)(不要泄漏,最好周期性更换),通过base64编码生成。用于验证整个数据完整和可靠性

请添加图片描述

3.2. JWT交互流程

流程图:

请添加图片描述

步骤翻译:

  • 1、用户登录
  • 2、服务的认证,通过后根据secret生成token
  • 3、将生成的token返回给浏览器
  • 4、用户每次请求携带token
  • 5、服务端利用公钥解读jwt签名,判断签名有效后,从Payload中获取用户信息
  • 6、处理请求,返回响应结果

因为JWT签发的token中已经包含了用户的身份信息,并且每次请求都会携带,这样服务的就无需保存用户信息,甚至无需去数据库查询,完全符合了Rest的无状态规范。

3.3. 非对称加密

加密技术是对信息进行编码和解码的技术,编码是把原来可读信息(又称明文)译成代码形式(又称密文),其逆过程就是解码(解密),加密技术的要点是加密算法,加密算法可以分为三类:

  • 对称加密,如AES
    • 基本原理:将明文分成N个组,然后使用密钥对各个组进行加密,形成各自的密文,最后把所有的分组密文进行合并,形成最终的密文。
    • 优势:算法公开、计算量小、加密速度快、加密效率高
    • 缺陷:双方都使用同样密钥,安全性得不到保证
  • 非对称加密,如RSA
    • 基本原理:同时生成两把密钥:私钥和公钥,私钥隐秘保存,公钥可以下发给信任客户端
      • 私钥加密,持有公钥才可以解密
      • 公钥加密,持有私钥才可解密
    • 优点:安全,难以破解
    • 缺点:算法比较耗时
  • 不可逆加密,如MD5,SHA
    • 基本原理:加密过程中不需要使用密钥,输入明文后由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,无法根据密文推算出明文。

RSA算法历史:

1977年,三位数学家Rivest、Shamir 和 Adleman 设计了一种算法,可以实现非对称加密。这种算法用他们三个人的名字缩写:RSA

Charlie@
关注
JWT(Json Web Token)实现状态登录
yiXin_Chen的博客
02-28 746
1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 缺点是什么? 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行水平扩展 客户端请求依赖服务..
单点登录SSO,JWT实现状态登录,自定义网关过滤器处理登录验证
weixin_40055163的博客
12-13 472
1 单点登录(SSO) SSO英文全称Single Sign On,单点登录。 SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 1.1 Cookie问题 电商平台通常由多个微服务组成,每个微服务都有独立的域名,而cookie是有作用域的。 查看浏览器控制台: domain:作用域名, domain参数 gulimall.com search.gulimall.com item.gulimall.com gulimall.com √ √ √ search.g
jwt介绍
Leon_Jinhai_Sun的博客
05-12 266
jwt实现状态登录 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现状态、分布式的Web应用授权;官网:https://jwt.io GitHub上jwtjava客户端:https://github.com/jwtk/jjwt 数据格式 JWT包含三部分数据: Header:头部,通常头部有两部分信息: token类型:JWT 加密方式:base64(HS256) Payload:载荷,就是有效.
ChatGPT:为什么说 JWT 是无状态的,无法实现 Token 的作废,例如用户登出系统、修改密码等场景
最新发布
XRT_knives的博客
07-17 667
ChatGPT:为什么说 JWT 是无状态的,无法实现 Token 的作废,例如用户登出系统、修改密码等场景
使用JWT实现状态登录验证
sean的博客
02-21 996
使用JSON Web Token(JWT实现登录认证是一种常见的无状态身份验证机制,它允许服务器在一次登录后向客户端发送一个签名的令牌,客户端随后可以在每次请求中携带这个令牌以证明其身份。以下是JWT实现登录认证的一种方式(使用手机+验证码登录例子)。
JWT状态登陆与无状态登陆
程序员小明1024
11-23 2090
单点登录JWT JWT全称:Json Web Token 。作用:JWT 的作用是用户授权(Authorization),而不是用户的身份认证(Authentication)。用户认证指的是使用用户名、密码来验证当前用户的身份,即用户登录。用户授权指用户登录成功后,当前用户有足够的权限访问特定的资源。 传统的Session登录: 用户登录后,服务器会保存登录的Sess...
Jwt 启用无状态登陆系统(模拟用户登陆)
世界既不黑也不白,而是一道精致的灰。
08-23 289
Jwt 启用无状态登陆系统(模拟用户登陆) 一.创建controller(AuthenticateController) 1.创建控制器 2.配置controller namespace FakeXiecheng.API.Controllers { //设置特性 [ApiController] //配置路由 [Route("auth")] public class AuthenticateController : ControllerBase { p
Spring Boot Security 结合 JWT 实现状态的分布式API接口
10-17
JWT通过在客户端和服务器之间传递一个紧凑、自包含的令牌,来实现状态的会话管理。这个令牌包含了用户的相关信息,如身份、权限等,并且通过签名保证其完整性,防止篡改。 Spring Boot Security是一个强大的安全...
vue+egg+jwt实现登录验证的示例代码
10-16
在讨论基于vue框架、后端egg.js和JWT(JSON Web Tokens)实现登录验证的示例代码时,主要涉及的技术点包括前后端分离下的用户认证机制、JSON Web Tokens的使用、HTTP请求拦截以及cookie的操作。 首先,前端vue通过...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
通过这种方式,Spring Security会处理用户的登录认证,而JWT则负责在后续的API请求中传递用户信息,实现状态的身份验证。Spring Security OAuth2库可以进一步扩展功能,例如实现OAuth2的授权流程,以便在多应用...
JWT+Interceptor实现状态登录和鉴权
weixin_30781433的博客
08-13 1113
状态登录原理 先提一下啥是有状态登录 单台tomcat的情况下:编码的流程如下 前端提交表单里用户的输入的账号密码 后台接受,查数据库, 在数据库中找到用户的信息后,把用户的信息存放到session里面,返回给用户cookie 以后用户的请求都会自动携带着cookie去访问后台,后台根据用户的cookie辨识用户的身份 但是有缺点 如果有千千万的用户都往session里面存放信...
Spring Security 结合 Jwt 实现状态登录
Mr-Jies
04-17 1096
Spring Security 结合 Jwt 实现状态登录首先什么是有状态什么是无状态如何实现状态JWT实例一,Spring Security 配置二,JWT 过滤器配置1,用户登录的过滤器2,校验token的过滤器测试控制层开始~ 首先 什么是有状态 什么是无状态 江南一点雨 如何实现状态状态登录的流程: 首先客户端发送账户名/密码到服务端进行认证 认证通过后,服务端将用户信息加密并...
JWT-无状态方案处理
qq_40384690的博客
03-06 1430
1.JWT的优势在于无状态,如果非要结合redis等相关nosql来进行一些方案的处理,我觉得是没有必要的。这样还不如直接使用session集群。 2.那么针对JWT就会有几个问题 (1)退出登录,需要把token无效化 (2)修改密码,需要把token无效化 (3)单用户登录,需要进行判断 其实(1)(2)是属于差不多的类型。 这两种情况的处理就比较相似了。 那么我们首先考虑jwt...
状态登录原理以及通过JWT进行实现
qq_44575980的博客
04-21 1466
1.无状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户...
10-SpringSecurity:JWT及无状态服务
qq_44005305的博客
01-07 325
关于JWT的介绍,网上资源有很多,简单来说,JWT由三部分构成:Header、Payload、Signature,三者之间以点号. 分隔,前面两部分使用Base64编码(关于Base64编码的更多信息。
JWT状态理解
liuqinhou的博客
07-30 368
使用数字签名算法(例如RSA)不能被伪造。因此,任何信任签名者证书的人都可以放心地相信 JWT 是真实的。服务器无需咨询令牌颁发服务器以确认其真实性。因为授权服务器不需要维护任何状态;令牌本身就是验证令牌持有者授权所需的全部内容。
JWT 单点登陆之有状态登陆与无状态登陆的区别
耕耘虫
08-08 1387
单点登录JWT   JWT 全称: Json Web Token 。   作用: JWT 的作用是 用户授权(Authorization) ,而不是用户的身份认证(Authentication) 。   用户认证 指的是使用用户名、密码来验证当前用户的身份,即用户登录。   用户授权 指用户登录成功后,当前用户有足够的权限访问特定的资源。 传统的 Session 登录: 用户登录后,服务器会保存登录的 Session 信息 Session ID 会通过 cookie 传递给前端 http 请求会附带
状态登录 jwt+Rsa
sdaujsj1的博客
08-24 267
状态登录 jwt+Rsa架构图:
SpringSecurity整合JWT实现状态登录
"这篇文档介绍了如何使用Spring Security整合JWT(JSON Web Token)以实现状态登录,探讨了无状态登录的优缺点,并简要说明了JWT的基本原理和构成部分。" 正文: 在现代Web应用程序中,为了提高系统的可伸缩性和可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值