请立刻停止使用 JWT 进行会话管理

最新推荐文章于 2024-05-21 16:49:56 发布
最新推荐文章于 2024-05-21 16:49:56 发布
阅读量1.3k 收藏 3
点赞数 1
分类专栏: 软件架构 文章标签: jwt http 软件架构 session cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyj189802556/article/details/116780990
版权

引言

近来发现,不少 WEB 应用系统使用 JWT 进行会话管理,缘由竟然是为了避免服务端存储会话,或者追求可自主控制,实不知使用 JWT 进行会话管理有巨大的安全隐患!

HTTP 会话管理

先说说 HTTP 协议,众所周知, HTTP 协议的特点就是一问一答(一次请求一次响应)。那么基于 HTTP 协议,做个购物网站,要实现用户登录,添加商品到购物车,最终买单的功能。为了实现以上功能,识别出一系列操作都是同一个用户,最为简单的方式就是每次操作浏览器都发送账户和密码,这样服务端知道是哪个用户添加商品到购物车和最终买单。这样看起来很简陋,而且在每次请求中携带账户和密码将大大增加泄露风险。

为了减少账户密码在请求中携带的次数,我们引入一个 session-id 的东西。在你携带账户密码登录购物网站(第一次请求),服务端验证通过后返回一个 session-id 。此后你添加商品到购物车也好,最终下单也好,反正后续的每次请求都携带好这个 session-id 即可。为什么携带 session-id 就可以识别出这是哪个客户的操作呢?因为服务端将客户的账户信息和本次会话发送给客户端的 session-id 关联了起来,那么这个session-id 和账户的关联信息就是 session-data。

在以上例子里,session-data 是存储在服务端的。其实,session-data 也可以存储到客户端。那么根据 session-data 存储的位置不同,分为 Server Side Session 和 Client Side Session 两种模式。

Server Side Session

Server Side Session 模式是最为常见的,如前面购物网站的例子。在此模式中,客户端(浏览器)将 session-id 存储到 本地 cookies 中。其典型实现如下图所示:
在这里插入图片描述

上图中 User A 是个已经建立会话的老用户,他的 Cookies 中存储了 Session_id,值为“AA01”,在请求中携带这个 Session_id,服务端收到后通过 Session_id 查询到 Session Database 中对应的数据,并在程序中使用。New User是个刚开始会话的新用户,他的 Cookies 中还没有 Session_id,于是服务端生成一个新的 session_id 返回给他,并在返回中使用401状态码,告知他重定向到登录页,进行登录。后续如果这个 New User 登录成功,服务端将会把他的身份信息存储到 Session Table中,并与会话初生成的 session_id 关联,这样后续的请求就如同 User A 这个老用户。

Client Side Session

Client Side Session 模式大家可能觉得有点陌生,其实用的很多。如大部分使用 JWT 进行会话管理的WEB系统,就是 Client Side Session 模式。所谓 Client Side Session 模式就是把用户的 session-data 数据存储在客户端,这样

最低0.47元/天 解锁文章
云山千叠
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Springboot 关闭或绕过 jwt用户验证
u010076659的博客
05-27 6644
Springboot绕过jwt用户验证,直接访问后台接口的方法。总结了两种方法: 关闭jwt 简单粗暴,关闭jwt之后,所有接口都对外开放,谨慎使用。方法如下: 在 启动类上添加注解: @EnableAutoConfiguration(exclude = { org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.class }) 在 配置类WebSecurityConfigurerAdapte
JWT 认证
longlonglaobiao
06-08 775
基于传统的 cookiesession 认证的一些问题 session 一般存储在应用的内存中,随着用户数量增加,服务端内存开销也比较大【这里也推荐使用 redis】 如果是分布式服务应用,想要共享数据还得有一台中央服务器,这样会限制负载均衡的能力 CSRF【跨站求伪造】,只要截获 cookie ,用户信息很容易暴露 再一个问题是,cookie 是可以在浏览器端设置的,一旦用户不小心禁用了 cookie ,那他可能再也登录不了系统了。 基于 token 的鉴权 token 的鉴权
OnlyOffice 关闭密钥(JWT令牌)
jssqhuier的博客
09-26 5960
ONLYOFFICE 文档 v.7.2 起,默认启用 JWT,并自动生成密钥。您可以随时按需更改相关参数。
【DockerCE】onlyoffice从7.2 版本开始默认启用JWT
热门推荐
cnskylee的博客
10-18 1万+
命令,其实就是获取local.json里面随机生成的密钥信息。我这边直接将容器里面的local.json(本地先创建一个和容器里面内容一致的同名文件),然后在配置文件中将本地文件和容器文件进行映射。查询资料后,发现这个报错与7.2版本默认开启 JWT 令牌有关系(7.2之前的版本,并没有出现过这样的报错)。配置修改后保存,将容器down掉,重新up -d,然后再测试使用onlyoffice打开word文件,发现还是无法正常打开,但是这次的报错变成了:下载失败。但是,网盘本身的文件上传、下载都是正常的。
onlyoffice搭建及与alist/nextcloud等网盘连接。
最新发布
Jimu2018的博客
05-21 593
记录onlyoffice搭建的过程及与Alist nextcloud 等其他网盘连接使用。
Centos 7 通过Docker部署OnlyOffice -未默认启用JWT版本
檬柠wan
09-03 2166
在有些集成网站中,是不支持JWT,如果下载默认启用JWT的版本,然后禁用JWT的话,在局域网中通过私有IP访问时就会出现问题,以下会介绍未默认启用JWT版本的部署方法。
ONLYOFFICE 文档配置 JWT方法
zgp210317的博客
11-29 2803
ONLYOFFICE 编辑器使用 Json Web Token (JWT),保护文档免遭未经授权的访问。在文档编辑器被初始化、以及在内部 ONLYOFFICE 文档服务之间交换命令时,这个令牌会被添加到配置中。会通过密钥对JWT进行签名,并根据向 ONLYOFFICE 文档发出的求来验证该令牌。自 ONLYOFFICE 文档 v.7.2 起,默认启用 JWT,并自动生成密钥。您可以随时按需更改相关参数。
FEBS-Vue:SpringBoot,Shiro,JWT,Vue&Ant Design前次分离权限管理系统(有限,停止维护)
02-05
Apache Shiro是一个强大且易用的安全管理框架,用于身份验证、授权、会话管理和加密。在FEBS-Vue中,Shiro负责处理用户登录、权限控制和安全相关的操作。它与SpringBoot结合,实现了灵活的角色和权限管理,确保了...
express学习:mysql增删改查、图片上传、jwt登录,pm2部署.zip
02-22
在本项目中,我们将深入探讨Express.js框架的多个核心应用,包括MySQL数据库操作、图片上传功能、JWT(JSON Web Tokens)实现用户登录验证以及使用PM2进行应用部署。以下是这些知识点的详细介绍: **Express.js**: ...
SpringSecurityTest
05-26
Spring Security是Java领域中广泛使用的安全框架,它为应用程序提供了全面的安全管理解决方案,包括认证、授权以及会话管理等。 1. **Spring Security核心概念** - **认证**:确认用户身份的过程,Spring Security...
jwt-auth-go:API服务器使用基本身份验证验证并返回JWT。 该项目使用Golang + Docker
05-09
带有Golang + Docker的Basic-Auth-JWT-Server 使用Golang + Docker的基本身份验证服务器。 该服务器可以返回JWT。 快速开始 $ make up 尝试基本身份验证 $ curl --user test1@mail.com:pass1 http://localhost:8081/api/v1/auth/gettoken 发出命令 $ make help all go test & go build build build go binary test go test clean remove go bainary run run go bainary initdb
音乐播放_音乐播放网页_
10-03
这涉及到注册、登录、会话管理等后端技术,通常使用JWT(JSON Web Tokens)或者Cookie来实现用户身份验证。同时,前端需要处理登录状态,确保只有登录用户才能访问个人主页和播放音乐。 六、前端与后端交互 为了...
基于Springboot+FreeMarker+JPA图书馆座位占座预约系统设计毕业源码案例设计.zip
01-02
用户登录后,通过JWT(JSON Web Tokens)或Session进行会话管理,确保只有合法用户才能访问和修改资源。 7. **异常处理与日志记录** 项目可能包含全局的异常处理器,用于捕获并统一处理可能出现的运行时异常。同时...
java整合onlyoffice的各种坑
Ntotl_的博客
06-16 6697
onlyoffice
docker上部署onlyoffice新版的jwt和token问题
m0_50919638的博客
03-08 782
onlyoffice
6.使用 JWT 认证访问接口
Z17839935459的博客
06-23 684
1.定义 Json Web Token 过滤器 ublic class JwtAuthenticationFilter extends OncePerRequestFilter { private static final String AUTHENTICATION_PREFIX = "Bearer "; /** * 认证如果失败由该端点进行响应 */ private AuthenticationEntryPoint authenticationEntryPo
onlyoffice文件服务器,onlyoffice踩坑记录
weixin_29468281的博客
08-09 9618
以下问题都是PHP环境下遇到的1.因file_get_contents函数未正确配置导致的问题导致的问题重新打开同一个文档 无限弹出 “文件版本已更改。页面将被重新加载”在线编辑的内容未被真正的保存到服务器真实的文件中在线编辑的内容保存后重新打开还是空白的解决方法检测PHP配置中是否开启了 extension=php_openssl.dll 和 allow_url_fopen=on , 检测是否...
onlyoffice 的使用感受
fuqilee的博客
04-28 561
使用onlyoffice遇到的问题和解决方案
前端和后端如何使用jwt进行token校验
06-07
JWT(JSON Web Token)是一种广泛使用的跨域认证方案,它可以在前端和后端之间进行安全的token传递和校验。下面是前端和后端如何使用JWT进行token校验的一般步骤: 1. 前端在用户登录成功后,将用户的身份信息(如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值