21-JWT令牌认证与置换

最新推荐文章于 2022-06-14 18:52:45 发布
最新推荐文章于 2022-06-14 18:52:45 发布
阅读量252 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangcan741147/article/details/114957343
版权

JWT令牌的认证与置换

令牌的产生是在具有登录服务的微服务上,而令牌的校验是在网关服务上对其进行校验

img

网关校验JWT
在网关过滤器IdentityAuthFilter中
    /**
     * 具体的过滤器规则
     * @return
     * @throws ZuulException
     */
    @Override
    public Object run() throws ZuulException {
        System.out.println("执行过滤方法");
        RequestContext requestContext = RequestContext.getCurrentContext();
        HttpServletRequest request = requestContext.getRequest();

        //从Http Header中,判断是否有authentication的存在
        String authentication = request.getHeader("authentication");
        if(StringUtils.hasLength(authentication)){
            //有长度,暂时默认成功
            System.out.println("进入到微服务");
            System.out.println(authentication);
            //当获取的令牌以后,Zuul需要对Token做一个身份识别
            validateTokenLegal(authentication,requestContext);

        }else{//如果没有长度,或者为NULL,设置响应失败(401)
            handlerIllegalToken(requestContext,HttpStatus.UNAUTHORIZED.value(),
                    ResponseMsg.builder().code(10001).msg("未认证,请登录!").build());
        }

        return null;
    }

    /**
     * 处理非常令牌
     * @param requestContext
     * @param status
     * @param responseMsg
     */
    public void handlerIllegalToken(RequestContext requestContext,int status,ResponseMsg responseMsg){
        //不进入到下一步(route过滤器)
        requestContext.setSendZuulResponse(false);

        //设置响应数据
        HttpServletResponse response = requestContext.getResponse();
        response.setContentType("application/json");
        response.setCharacterEncoding("utf-8");
        requestContext.setResponse(response);
        requestContext.setResponseStatusCode(status);
        requestContext.setResponseBody(JSONObject.toJSONString
                (responseMsg));
    }

    /**
     * 用于识别Token令牌是否合法
     * @param authentication
     * @param requestContext
     */
    private void validateTokenLegal(String authentication, RequestContext requestContext) {
        //创建一个JWT的验证实例
        JWTVerifier verifier = JWT.require(Algorithm.HMAC256(JWTUtil.SECURITY)).build();

       try{
           //该方法就是针对令牌做校验
           DecodedJWT decodedJWT = verifier.verify(authentication);

           //更新令牌
		   




       } catch (Exception e){
           e.printStackTrace();
           //令牌的算法错误
           if(e instanceof AlgorithmMismatchException){
               handlerIllegalToken(requestContext,HttpStatus.FORBIDDEN.value(),
                       ResponseMsg.builder().code(10003).msg("非法令牌,无法识别!").build());
           //令牌已失效
           }else if(e instanceof TokenExpiredException){
               handlerIllegalToken(requestContext,HttpStatus.FORBIDDEN.value(),
                       ResponseMsg.builder().code(10004).msg("令牌已过期,请重新登录!").build());
           //令牌是非法令牌
           }else if(e instanceof SignatureVerificationException){
               handlerIllegalToken(requestContext,HttpStatus.FORBIDDEN.value(),
                       ResponseMsg.builder().code(10005).msg("非法令牌,无法识别!").build());
           }else{
               handlerIllegalToken(requestContext,HttpStatus.FORBIDDEN.value(),
                       ResponseMsg.builder().code(10006).msg("未知错误!").build());
           }
       }
    }
令牌的刷新

原理:前端发起的每次请求,后端都给它置换一个新的令牌的信息


    /**
     * 用于识别Token令牌是否合法
     * @param authentication
     * @param requestContext
     */
    private void validateTokenLegal(String authentication, RequestContext requestContext) {
        //创建一个JWT的验证实例
        JWTVerifier verifier = JWT.require(Algorithm.HMAC256(JWTUtil.SECURITY)).build();

       try{
           //该方法就是针对令牌做校验
           DecodedJWT decodedJWT = verifier.verify(authentication);

           //更新令牌
           Map<String,Object> claims = new HashMap<>();
           String loginName = decodedJWT.getClaim("loginName").as(String.class);
           claims.put("loginName",loginName);

           String newToken = JWTUtil.createToken(claims);
           //获取到响应对象
           HttpServletResponse response = requestContext.getResponse();
           response.setHeader("token",newToken);
       } catch (Exception e){
           e.printStackTrace();
           //令牌的算法错误
           if(e instanceof AlgorithmMismatchException){
               handlerIllegalToken(requestContext,HttpStatus.FORBIDDEN.value(),
                       ResponseMsg.builder().code(10003).msg("非法令牌,无法识别!").build());
           //令牌已失效
           }else if(e instanceof TokenExpiredException){
               handlerIllegalToken(requestContext,HttpStatus.FORBIDDEN.value(),
                       ResponseMsg.builder().code(10004).msg("令牌已过期,请重新登录!").build());
           //令牌是非法令牌
           }else if(e instanceof SignatureVerificationException){
               handlerIllegalToken(requestContext,HttpStatus.FORBIDDEN.value(),
                       ResponseMsg.builder().code(10005).msg("非法令牌,无法识别!").build());
           }else{
               handlerIllegalToken(requestContext,HttpStatus.FORBIDDEN.value(),
                       ResponseMsg.builder().code(10006).msg("未知错误!
                                                             ").build());
           }
       }
    }

核心置换代码:

image-20210106105436310

思考:

1、如果现在说所有的终端,当有1个终端在线时,其他终端就无法登陆?

答案:将Token统一位置存储,每个人单位时间针对所有的终端,只能存在一个终端的Token信息。

当然,上述的问题,需要配合Redis来实现

2、如果假设有人将你的Token获取到了,模拟你操作,后端如何保证敏感数据的安全性?

答案:短信验证,支付密码,短期令牌(1分钟),人脸识别

终端就无法登陆?

答案:将Token统一位置存储,每个人单位时间针对所有的终端,只能存在一个终端的Token信息。

当然,上述的问题,需要配合Redis来实现

2、如果假设有人将你的Token获取到了,模拟你操作,后端如何保证敏感数据的安全性?

答案:短信验证,支付密码,短期令牌(1分钟),人脸识别

易与枫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
jwt token 过期刷新_替换JWT,移动APP保持用户登录的改进方案
weixin_40004081的博客
12-03 3469
一 面临问题当前移动app最常见的保持登录的方案就是:持续刷新的JWT(json web token)方案。即用户登录后,客户端获得JWT,此后不断刷新或是过期后刷新token。这个方案使用得十分广泛,几乎成了事实标准。但并不安全,有以下几个问题:1,JWT 密钥管理问题JWT 的安全的基石是保证秘钥(secret key)的安全,因为一旦秘钥泄露,拥有秘钥的人可以伪造所有用户。这给管理带来了麻烦...
jwt token 过期刷新_替换JWT
@涂涂博客
09-15 2526
问题: 为了安全,很多人都知道token长期保持不变不安全,通常会采取刷新token的机制。当是当下,很多刷新机制是为了刷新而刷新,常见的token刷新机制是:到期后刷新,或是提前刷新,或者定时刷新。如果token被盗,黑客和合法用户都可以通过刷新来获取新的token,这并没带来实际的安全提升。: 方案: 每个token有一个较长的有效期,比如90天,这个是为了满足长期登录的需求; 每个token有一个较短的刷新间隔,比如2个小时。常常更换token 提升安全性; 每当token刷新时,创建并颁
JWT整合springboot 自定义定时更换秘钥
骑猪少年
01-08 4094
JWT整合springboot 自定义定时更换秘钥 jwt概要: JWT(JSON WEB TOKEN):JSON网络令牌JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串。 jwt是一种无状态token,可用于oss单点登录 JWT的数据结构以及签发的过程 JWT由三部分构成:hea
使用JWT替换默认令牌token
whaleluo的博客
05-23 6565
文章目录JSON Web Token (JWT)自包含token的创建总结密签可扩展替换默认tokenTokenStoreConfigWhaleAuthenticationServiceConfigOAuth2Properties测试 jwtjwt token加额外信息实现TokenEnhancerTokenStoreConfig 配置 TokenEnhancer beanWhaleAuthent...
jwt令牌_JWT令牌的秘密轮换
最佳 Java 编程
07-01 387
jwt令牌 当您使用JSON Web令牌JWT )或需要对有效载荷信息进行签名或加密的任何其他令牌技术时,设置令牌的到期日期很重要,因此,如果令牌到期,则可以假定这可能被视为安全漏洞,您拒绝使用此令牌进行任何通信,或者您决定通过使用新的到期日期更新令牌来启用该令牌。 但是使用某种秘密轮换算法也很重要,因此用于签名或加密令牌的秘密会定期更新,因此,如果该秘密受到威胁,则此密钥泄漏的令牌...
详解Go-JWT-RESTful身份认证教程
09-18
主要介绍了详解Go-JWT-RESTful身份认证教程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
warden-jwt_auth:使用Warden进行JWT令牌认证
05-04
warden-jwt_auth是它使用扩展令牌进行用户认证。 它遵循原则。 当无法使用Cookie时,此gem只是它们的替代品。 作为cookie,以warden-jwt_auth过期的令牌将强制具有到期时间。 如果您需要用户永不注销,那么使用...
gin-jwt:JWT Gin中间件框架
04-28
简单的HS256 JWT令牌暴力破解程序。 仅对破解机密较弱的JWT令牌有效。 建议:使用强的长期机密或RS256令牌。 请参阅。 用法 使用下载并安装: export GO111MODULE=on go get github.com/appleboy/gin-jwt/v2 将其...
devise-jwt:具有devise和rails的JWT令牌认证
02-05
设计:: JWT devise-jwt是一个扩展,它使用令牌进行用户身份验证。... devise-jwt只是之上的 ,可将其配置为与和Rails一起使用。 升级说明 v0.7.0 从v0.7.0版开始, Blacklist撤销策略已重命名为“ Denylist而Whiteli
lua-resty-jwtJWT为伟大的Openresty
02-03
**标题与描述解析** 标题"lua-resty-jwtJWT为伟大的Openresty"表明了本文将探讨如何使用lua-resty-jwt库在Openresty(一个基于Nginx和Lua的高性能Web平台)中处理JSON Web Tokens (JWT)。JWT是一种安全的身份验证...
JWT令牌的秘密轮换
最佳 Java 编程
06-08 260
当您使用JSON Web令牌JWT )或需要对有效载荷信息进行签名或加密的任何其他令牌技术时,设置令牌的到期日期很重要,因此,如果令牌到期,则可以假定这可能被视为安全漏洞,您拒绝使用此令牌进行任何通信,或者您决定通过使用新的到期日期更新令牌来启用该令牌。 但是使用某种类型的秘密轮换算法也很重要,因此用于签名或加密令牌的秘密会定期更新,因此,如果该秘密受到威胁,则此密钥泄漏的令牌会更...
JWT生成token及过期处理方案
以梦为马,不负韶华
08-17 7694
业务场景 在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。 基本思路 单个token token(A)过期设置为15分钟 前端发起请求,后端验证token(A)是否过期;如果过期,前端发起刷新token请求,后端设置已再次授权标记为true,请求成功 前端发起请求,后端验证再次授权标记,如果
浅谈JWT
罗伯特是疯子丶
07-08 1001
前言 在SpringBoot集成SpringSecurity(一) 入门一文中我们曾经提到做会话管理控制的有两种方式(如果对其不了解的话,建议你去上一篇去看一下): 基于session方式; 基于token方式; 在之前的文章中(security系列)我们采用的会话管理方式皆为session的方式,而在本文中,我们将采用token的方式,顺便我们可以将两种方式的优劣势做一个对比。 本文代码已上传至GitHub https://github.com/wanglongsxr/springsecurity.
【Spring Security OAuth2笔记系列】- App认证框架- 使用JWT替换默认令牌
代码有毒的博客
08-31 2916
使用JWT替换默认令牌 什么是jwtJWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 优点:在分布式系统中,很好地解决了单点登录问题,很容易解决了session共享的问题。 缺点:是无法作废已颁布的令牌/不易应对数据过期。 特点: 自包含...
国服最强JWT生成Token做登录校验讲解,看完保证你学会!
热门推荐
u011277123的博客
12-28 12万+
Free码农 2017-12-28 00:08:02 JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是
jwt token 过期刷新_JWT对SpringCloud进行系统认证和服务鉴权
weixin_39703982的博客
11-26 592
一、为什么要使用jwt?在微服务架构下的服务基本都是无状态的,传统的使用session的方式不再适用,如果使用的话需要做同步session机制,所以产生了了一些技术来对微服务架构进行保护,例如常用的鉴权框架Spring Security OAuth2和用Jwt来进行保护,相对于框架而言,jwt较轻,且可以自包含一些用户信息和设置过期时间,省去了Spring Security OAuth2繁琐的步骤...
JWT 续期和服务下线
L的博客
06-14 759
传统httpsession和spring-session都是采用httpsession默认机制。内部会有线程不停的轮询会话列表。把那些内存中的会话列表中的过期时间和当前时间进行比较,如果超过> 30分钟 自动把session删除。如果在30以内的请求,会自动续期(时间会从0开始计数)。为什么要这样做?你思考。如果没有续期,会怎么样?就好比你登录腾讯游戏,你登录有效时间是30分钟。那么也就意味着你每隔30分钟要退出重新登录一次。所以我们应该是在你登录以后,未来的每一次请求中,只要用户一直在发起请求,就把时间永
物联网工程_基于RFID的食堂食品安全监测系统设计.docx
最新发布
07-20
物联网工程_基于RFID的食堂食品安全监测系统设计
gin-jwt/v2 与 "github.com/golang-jwt/jwt/v4" 使用jwt 冲突
03-17
它使用了 "github.com/dgrijalva/jwt-go" 这个库来处理 JWT 的生成和验证。 而 "github.com/golang-jwt/jwt/v4" 是一个通用的 JWT 库,它提供了一些基本的功能来生成和验证 JWT。它是由 Go 官方团队维护的,相对来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值