jwt面试

最新推荐文章于 2024-09-13 16:38:13 发布
最新推荐文章于 2024-09-13 16:38:13 发布
阅读量3.1k 收藏 8
点赞数
分类专栏: 测试

1、jwt和security的区别

  • jwt ( json web token)优点:

​ 无状态,json格式简单,不需要在服务端存储

  • 缺点

​ 一旦创建无法销毁或者修改状态,没有办法做权限 控制

  • security优点:

​ 和spring无缝结合,可以对用户状态坐控制,可以做权限控制

  • 缺点

​ 用起来比较复杂,权限控制需要一连串过滤连,消耗服务器内存空间

2、如何销毁jwt

生成token时,有效期设置短一些

可以和redis结合使用,退出时销毁redis的token。判断redis的token即可

还可以添加黑名单功能,对其进行拦截

3、如果token有效期过短,如何保持会话

token要到期时,在重新生成一份token

4、如何防止cookie被篡改

可以设置cokkie的状态为httponly

可以在请求中添加防盗链

可以把token存放在请求头中或者local storage中,由于无状态的token过长,很容易达到4kb

由于容易被篡改,payload中不要放用户重要信息,如密码

5、如果用户禁用cookie怎么办

普通用户一般不知道cookie,也不会禁用,如何禁用我们对其友好提示,让其开启

6、如何防止token异地登陆

token是没办法做异地的判断的,这时我们可以采取传统的session方式

7、你们怎么做权限控制的

我们有一套权限控制服务,保存用户的角色和路径信息、当用户发起请求的时候,通过网关的的全局pre过滤器拦截所有请求,获取请求信息,解析jwt参数,根据参数获取用户,根据用户明去查询数据库的用户是否存在,以及当前用户有无访问此地址的权限,没有即拦截

8、你们微服务地址对外暴漏了怎么办

首先因为用户访问的时候走的是我们nginx的代理,微服务对外暴漏的可能性很低,即使暴漏了,我们每个微服务也有一套的鉴权校验策略;首先有一张表存每个微服务的id,密钥;服务器启动的时候使用id和密钥去授权中心生成jwt令牌,去访问其他的时候访问携带令牌

9、如何防止token被篡改

jwt使用了header和payload参数来校验是否被篡改,header存放算法类型和类型是jwt方式的参数,payload是存放用户自定义的参数,还有签名结合来确认token是否被篡改

参考:https://blog.csdn.net/MINGJU2020/article/details/103039418

token-JWT学习笔记
程序猿劝退师的博客
12-02 768
目录 1. 常见的认证机制 2.基于 JWT 的 Token 认证机制实现 2.1.什么是 JWT 2.2JWT 组成 头部(Header) 载荷(playload) 签证(signature) 完整jwt 3.Java 的 JJWT 实现 JWT 3.1目录结构 3.2pom.xml文件引入 3.3项目中使用 JWTDemo JwtDemo2 JwtDemo3...
JWT
weixin_44557427的博客
09-08 406
一、 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": ...
Jwt、Filter、Interceptor
最新发布
m0_74035601的博客
09-13 918
(2)配置Filter:Filter类加上@WebFilter注解,配置拦截资源的路径。引导类加上@ServletComponentScan开启Servlet组件支持。(2)后续每个请求都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后再处理。(1)定义Filter:定义一个类,实现Filter接口,并重写其所有方法。定义拦截器,实现 HandlerInterceptor接口,并重写其所有方法。启动类加上@ServletComponentScan注解。(1)登录成功后生成令牌。
JWT面试
maotou526的博客
05-11 2500
一、JWT出现的原因 1.1 http无状态协议 http是无状态的协议,也就是说当客户端发来请求时,服务端并不清楚该请求是哪台主机发出的,因此需要有一种识别和鉴定机制来实现这一需求 1.2 传统上是采用给用户分配唯一session_id的方式实现这一需求 1)客户端登录成功后,服务器会给每一台主机分配一个唯一的session_id,用来区分他们,除了存入服务器的缓存,数据库或者内存中,还会把这个session_id返回给相应的主机, 2)主机收到session_id后会存入cookie中,以后主机的每一次
jwt面试详解
yxg520s的博客
07-21 742
一种常见的做法是在用户请求时,检查JWT的过期时间,如果即将过期,生成一个新的JWT返回给客户端。例如,我们可以通过Spring Security的过滤器来实现这个功能,当接收到用户的每个请求时,都检查JWT是否即将过期,如果是,则生成新的JWT并在响应中返回给客户端。解决方案:一种常见的做法是在用户请求时,检查JWT的过期时间,如果即将过期,服务器会在响应头部中添加一个新的JWT,客户端在接收到新的JWT后,替换掉旧的JWTJWT是存储在客户端的,服务器不存储任何关于JWT的信息。
JWT面试常见问题
热门推荐
Mingju's Blog
11-12 1万+
JWT面试常见问题 jwtsecurity的对比: JWT的优点: 无需再服务端存储用户数据,减轻服务端压力 轻量级,json风格,比较简单 跨语言 JWT的缺点: token一旦签发,无法修改 无法更新token有效期,用户登录状态刷新难以实现 无法销毁一个token,服务端不能对用户状态进行绝对控制 不包含权限控制 SpringSecurity: 优点: 用户信息保存再服...
jwt----入门面试
m0_52681702的博客
11-17 1765
课程目标: ①、jwt出现的原因及工作原理 ②、jwt工具类介绍,三种场景 ③、jwt与vuex配合在SPA项目中的应用 一.jwt出现的原因及工作原理 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserNam...
SpringBoot+JWT+Shiro,linux 高级编程面试
m0_67698950的博客
06-19 364
在软件行业,对于什么是架构,都有很多的争论,每个人都有自己的理解。 此君说的架构和彼君理解的架构未必是一回事。因此我们在讨论架构之前,我们先讨论架构的概念定义,概念是人认识这个世界的基础,并用来沟通的手段,如果对架构概念理解不一样,那沟通起来自然不顺畅。Linux 有架构,MySQL 有架构,JVM 也有架构,使用 Java 开发、MySQL 存储、跑在 Linux 上的业务系统也有架构,应该关注哪一个?想要清楚以上问题需要梳理几个有关系又相似的概念:系统与子系统、模块与组建、框架与架构小伙伴们有兴趣想了解
jwt ——面试概率非常高,java面试题及其答案
2401_83945851的博客
03-30 875
resturantName:‘飞歌餐馆’,
面试题:jwt 是什么?java-jwt 呢?
xuxu96
09-18 380
JWT只是一个标准 可以通过不过的开发语言实现,包括Java,.NET, Python,Node Js, JavaScript,Perl, Ruby,Go等。JWT加密JSON,保存在客户端,不需要在服务端保存会话信息,可以应用在前后端分离的用户验证上,后端对前端输入的用户信息进行加密产生一个令牌字符串, 前端再次请求时附加此字符串,后端再使用算法解密。这个网站提供了在线的基于不同算法的字符串和JSON对象的转换工具,同时也收集了不同语言的多种实现库。sub Subject 面向主体。
jwt面试问题
weixin_45566576的博客
05-30 1244
看了一个面试题,找的解决办法原帖:https://juejin.cn/post/7347947619746086939#heading-2提示:以下是本篇文章正文内容,下面案例可供参考不要将所有信息存储在 JWT 中:只存储必要的身份和授权信息,避免存储敏感数据。JWT 并非绝对安全:其安全性取决于正确的使用方式和配置,如使用强加密、短期有效性、HTTPS 传输等。保护 JWT:防止 JWT 被盗用的措施包括使用短期令牌和刷新令牌、撤销机制、绑定 IP 和 User-Agent 以及加密敏感数据。
有关JWT面试问题总结
qq_52880445的博客
11-03 1671
这个问题我们要知道JWT它是如何进行加密的。首先它有自己的一个加密算法,虽然该算法是可逆的,也就是说它是有可能被破解的,这个其实不需要担心,因为它还有一个签名,也就是签名+加密算法都要正确才能解锁,所以我们完全不害怕JWT被拦截伪造。以上就是我在JTW登录中常遇到的一些问题,也写了一些我的理解,如有错误,请练习我。对于这个问题,首先我们要明白啥是有状态,啥事无状态?
JWT相关面试
qq_19703557的博客
09-02 371
记录遇到的面试题,持续更新
JWT、reids相关面试题合集
2301_78549752的博客
06-19 358
当某一个时刻出现大规模的缓存失效的情况,那么就会导致大量的请求直接打在数据库上面,导致数据库压力巨大,如果在高并发的情况下,可能瞬间就会导致数据库宕机。这时候如果运维马上又重启数据库,马上又会有新的流量把数据库打死。这就是缓存雪崩。解决方案:可以设置不同的缓存过期时间,避免所有缓存在同一时间失效,从而减轻数据库的压力。对于一些热点数据,可以设置其永不过期,从而保证其在缓存中一直存在,减少数据库的压力。加入缓存预热机制,缓存预热指的是在系统启动前,将一些常用的数据提前加载到缓存中。
4、JWT常见面试总结
Java__EE小白成长之路
09-01 1775
关于JWT面试看它就够了
面试官:谈谈JWT鉴权的应用场景及使用建议?
架构师小秘圈
04-20 4027
作者:mantou叔叔 || 编辑:搜云库技术团队出处:https://dwz.cn/7bikj3yk1. JWT 介绍JSON Web Token(JWT)是一个开放式...
最全!2024字节跳动Spring JWT面试题大全,详解核心要点,收藏必备!
Von_016's Blog
05-02 1004
在Spring应用中,自定义JWT的生成和解析通常通过Java JWT库实现。可以定义自定义的Claim字段,例如用户角色等。.compact();.getBody();
JWT鉴权机制详解:前端大厂面试必备
前端大厂面试中,关于JWT(JSON Web Token)的鉴权机制是一个常见且重要的问题。JWT是一种轻量级的身份验证和授权协议,特别适合于前后端分离的现代应用架构。面试官可能会询问应聘者如何设计和实现JWT的整个流程。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值