ASP.NET Core 标识(Identity)框架系列(四):闲聊 JWT 的缺点,和一些解决思路

最新推荐文章于 2024-06-04 09:45:20 发布
最新推荐文章于 2024-06-04 09:45:20 发布
阅读量790 收藏 4
点赞数 4
分类专栏: C# 文章标签: 后端 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangshuquan/article/details/137893596
版权

iamge

前言

前面的几篇文章讲了很多 JWT 的优点,但作为技术人员都知道,没有一种技术是万能的 “银弹”,所谓有矛就有盾,相比 Session、Cookie 等传统的身份验证方式,JWT 在拥有很多优点的同时,也有着不可忽视的缺点,比如:

JWT 的缺点

无法撤销

一旦 JWT 被发放给客户端,在有效期内这个 Token 就一直有效,无法被提前撤回

体积大,吃带宽

JWT 中包含了一些额外的信息,可能会使得 JWT 体积较大,增加网络传输开销

安全性比较差

JWT 中的信息是以明文形式存储的,容易被破解

一些解决的思路

1. 无法撤销 的解决思路

  1. 在用户表中增加一个整数类型的列 JWTVersion,它代表最后一次发放出去的令牌的版本号;
  2. 每次登录、发放令牌的时候,都让 JWTVersion 的值自增,同时将 JWTVersion 的值也放到 JWT 的负载中;
  3. 当执行禁用用户、撤回用户的令牌等操作的时候,让这个用户对应的 JWTVersion 的值自增;
  4. 当服务器端收到客户端提交的 JWT 后,先把 JWT 中的 JWTVersion 值和数据库中的 JWTVersion 值做比较,如果 JWT 中 JWTVersion 的值小于数据库中 JWTVersion 的值,就说明这个 JWT 过期了,这样就实现了 JWT 的撤回机制。

总结:
这个方案在用户表中保存了 JWTVersion 值,因此它本质上仍然是在服务器端保存状态,这是绕不过去的,它算是一种缺点比较少的妥协方案,相类似的方案还有比如维护一个 Token 黑名单的办法,相对步骤比较多

2. 体积大,吃带宽 的解决思路

  1. 精简 JWT 中的信息,只存储必要的信息。将一些非敏感且不经常变动的信息存储在服务端,而不是每次都包含在JWT中

  2. 设置较短的 JWT 过期时间,减少 JWT 的有效期,从减小 JWT 的体积

  3. 传输时对 JWT 进行压缩,减小 JWT 的大小,常见的压缩算法包括 GZIP 和 DEFLATE

  4. 在使用对称加密算法时,可以选择较小的密钥长度,减小 JWT 的大小

  5. 选择更高效的加密算法和签名算法,减小 JWT 的大小

  6. 定期清理过期的 JWT,避免过多无效 JWT 的存储占用带宽

3. 安全性比较差 的解决思路

  1. 不在 JWT 中存储敏感信息,如密码等,降低信息泄露的风险
  2. 将 JWT 中的信息放在 Redis 上,Token 只放相应的 key,服务端拿到 token 后,再到 Redis 取具体的信息并反序列化为对象
代码掌控者
关注
专栏目录
5分钟带你了解JWT
qq_26920153的博客
11-10 1255
目录 JWT详解 jwt介绍: jwt产生的原因: JWT格式: JWT的构成: Header Payload Signature Base64URL算法: 生成jwt信息的拼接: token到jwt的转换: JWT用法: JWT存在的问题: JWT详解 jwt介绍: Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景
spring security Jwt令牌 (前后端分离)
l1306395862的博客
09-10 655
详细流程和想了解源码 请跳转,大神写的很详细 (https://blog.csdn.net/yuanlaijike/article/details/80249235) 需要的依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency&gt
JWT使用和讲解(保姆级)
qq_53930044的博客
01-05 955
JWT使用和讲解(保姆级)
ASP.NET Core 标识Identity框架系列(二):使用标识Identity框架生成 JWT Token
yangshuquan的专栏
04-10 775
JWT 具有很多优点,例如很方便在不同的域之间进行身份验证、减少服务器端的存储压力、以及支持跨语言和跨平台使用等等。通过本文,可以详细了解如何利用 ASP.NET Core 标识Identity框架生成 JWT Token。
NET中使用Identity+CodeFirst+Jwt实现登录、鉴权
qq_42335551的博客
12-24 1057
identityASP.NET Core提供了标识identity框架,它采用RBAC(role-based access control,基于角色的访问控制)策略,内置了对用户、角色等表的管理及相关的接口,从而简化了系统的开发。CodeFirst先创建实体类,再通过实体类反向的创建数据库和表结构什么是JWT?JSON WEB Token,是一种基于JSON的、用于在网络上声明某种主张的令牌(token)JWT组成。
ASP.NET Core 自定义JWT认证实战:轻量级API保护方案
最新发布
gitblog_00039的博客
06-04 332
ASP.NET Core 自定义JWT认证实战:轻量级API保护方案 项目地址:https://gitcode.com/mrsheepuk/ASPNETSelfCreatedTokenAuthExample 在当今的Web开发领域,安全性一直是开发者关注的核心之一。对于ASP.NET Core开发者而言,实现一个安全且灵活的身份验证机制尤为重要。今天,我们要推荐一个开源宝藏项目——ASP.NET ...
ASP.NET-Core-5-with-IdentityServer4-JWT:使用Identity Server 4和.NET Core 5以及通过JWT保护API服务器来开发令牌服务器
04-06
使用Identity Server 4和.NET Core 5以及带有JWT的Protecting API服务器来开发令牌服务器。 实施的技术: ASP.NET Core 5.0 身份服务器4 JwtBearer 招摇UI 政策和数据保护: 在IDENTITYSERVER4中扩展身份以...
PeliculasApp:Aplicacion completa de Peliculas utilizando Angular,ASP.NET Core,实体框架Core,材质设计,JWT,Leaflet
03-06
该应用使用了一系列现代Web开发技术,包括Angular、ASP.NET Core、实体框架Core(Entity Framework Core)、材料设计(Material Design)以及JWT(JSON Web Tokens)和Leaflet地图库。这个项目可能是为了展示如何...
JWT(跨域身份验证解决方案)
u011607686的博客
03-26 2398
参考:https://www.jianshu.com/p/180a870a308a 1、JWT-Json Web Token两个特点: 简洁(Compact) 可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快 自包含(Self-contained) 负载中包含了所有用户所需要的信息,避免了多次查询数据库 2、JWT组成 Header 头部 头部包...
SpringBoot使用GZIP压缩反回数据
热门推荐
小郎人的博客
05-13 1万+
SpringBoot使用GZIP压缩反回数据        1、初识gzip,第一次看到或者说注意到gzip的时候是在做数据爬虫的时候,需要爬取第三方网站的图片,开始写的爬虫有问题,爬到的图片都不能展示,当然跟这个gzip压缩没关系,但是当时以为是这个东西再作祟,就看了下相关的资料。        2、gzip是什么,可以干什么?gzip是一种压缩方式,就是对数据进行压缩,使其变得更小,节省硬盘资...
ASP.NET Core的身份认证框架IdentityServer4(7)- 使用客户端证书控制API访问
liuyu5210的博客
09-12 8532
前言 今天(2017-9-8,写于9.8,今天才发布)一口气连续把最后几篇IdentityServer4相关理论全部翻译完了,终于可以进入写代码的过程了,比较累。目前官方的文档和Demo以及一些相关组件全部是.net core 1.1的,应该是因为目前IdentityServer4目前最新版本只是2.0.0 rc1的原因,官方文档和Demo还没来更新。我准备使用的是.net core 2.0 所
跟着微软学ASP.NET Core(六)-Identity获取当前登陆用户
黑猫拉面
11-09 1万+
在使用了asp.net core 自带的Identity建立了项目,使得项目只带了一个带有登陆功能的项目.那么我们如何获取当前已登录的用户信息呢? 1.控制器中引入 using Microsoft.AspNetCore.Identity; 2.使用UserManager&lt;IdentityUser&gt; private readonly UserManager&lt;Identi...
asp.net core 集成JWT
dotNET跨平台
06-14 3802
【什么是JWT】  JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。  JWT的官网地址:https://jwt.io/  通俗地来讲,JWT是...
使用JWTASP.NET CORE令牌身份验证和授权(无Cookie)——第1部分
寒冰屋的专栏
11-18 4123
目录 介绍 JWT(JSON Web令牌) ASP.NET Core中的JWToken配置 用户模型类 创建令牌 第1步 第2步 第4步 令牌存储 中间件 自定义中间件app.Use() 中间件app.UseAuthentication() 自定义中间件代码 登录页面(Index.cshtml) Home控制器 注销(Log Off) 登录演示项目 登录页面 ...
ASP.Net Core实战——身份认证(JWT鉴权)
iZaix的博客
11-10 2759
踩坑不背锅,.NET Core 试深浅 ASP.NetCore实战——JWT鉴权认证(Swagger实践) 什么是鉴权认证 常见鉴权方式 关于JWT认证 JWT认证流程 JWT组成 JWT实践 仅仅简单的使用JWT鉴权认证,有更好的想法欢迎留言交流 ...
JWT来保护我们的ASP.NET Core Web API
weixin_34273479的博客
11-13 223
  在上一篇博客中,自己动手写了一个Middleware来处理API的授权验证,现在就采用另外一种方式来处理这个授权验证的问题,毕竟现在也 有不少开源的东西可以用,今天用的是JWT。   什么是JWT呢?JWT的全称是JSON WEB TOKENS,是一种自包含令牌格式。官方网址:https://jwt.io/,或多或少应该都有听过这个。   先来看看下面的两个图:   站点是通过R...
Asp.net core 学习笔记 ( identity server 4 JWT Part )
weixin_33889245的博客
07-17 410
更新 : id4 使用这个 DbContext 哦 dotnet ef migrations add identity-server-init --context PersistedGrantDbContext 参考 https://docs.microsoft.com/en-us/azure/key-vault/key-vault-use-from-we...
ASP.NET Core 2.1 JWT原理与实战:自定义验证中间件
这篇教程主要探讨了在ASP.NET Core 2.1中如何深入理解和使用JSON Web Tokens (JWT)。JWT是一种轻量级的身份验证机制,常用于保护API免受未经授权的访问。在ASP.NET Core中,JWT被用来创建和验证令牌,确保只有经过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值