JWT使用HS512算法生成全局服务token原理

原创 已于 2023-12-29 08:30:07 修改 · 3.5k 阅读 · 21 ·
CC 4.0 BY-SA版权
本文为博主原创文章,未经博主允许不得转载。
文章标签:

#算法 #c++ #token #JWT

于 2023-12-28 23:52:14 首次发布
本文详细介绍了如何使用HS512算法在C++中生成和验证JWT令牌,包括token的构成(头部、Payload和Signature),以及加密和签名的具体步骤。

JWT使用HS512算法生成全局服务token原理

JWT使用HS512算法生成全局服务token原理

前言

最近需要使用C++服务中根据用户名生成全局服务的token,然后在java服务中印证token正确性。因为java服务中使用jwt库生成全局的token, 我就对应找C++中jwt的库, github中有开源库叫jwt-cpp然后我就下载了, 我使用没有找到java中生成token好使用的接口、没有办法我只有看一下jwt生成token的步骤实现一遍

一、jwt生成token原理

HMACSHA512(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
your-512-bit-secret
) secret base64 encoded

jwt由三部分构成

  • 头部(Header)
  • 负载(Payload)即数据
  • 签证(Signature)

1、 jwt的头部承载两部分信息

  • 声明类型, 即jwt
  • 声明加密的算法 (HMAC、SHA256, HS512)

头部json格式

{"typ“: "JWT", "alg":"HS512"}

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

2、Payload数据

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

标准中注册的声明 (建议但不强制使用) :

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明 :

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明 :

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
定义一个payload:

{  "sub": "1234567890",  "name": "John Doe",  "admin": true}

然后将其进行base64加密,得到Jwt的第二部分

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

3、signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)
  • payload (base64后的)
  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串(头部在前),然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

UQmqAUhUrpDVV2ST7mZKyLTomVfg7sYkEjmdDI5XF8Q

密钥secret是保存在服务端的,服务端会根据这个密钥进行生成token和验证,所以需要保护好。

4、 签名的目的

最后一步签名的过程,实际上是对头部以及载荷内容进行签名。一般而言,加密算法对于不同的输入产生的输出总是不一样的。对于两个不同的输入,产生同样的输出的概率极其地小(有可能比我成世界首富的概率还小)。所以,我们就把“不一样的输入产生不一样的输出”当做必然事件来看待吧。
所以,如果有人对头部以及载荷的内容解码之后进行修改,再进行编码的话,那么新的头部和载荷的签名和之前的签名就将是不一样的。而且,如果不知道服务器加密的时候用的密钥的话,得出来的签名也一定会是不一样的。
服务器应用在接受到JWT后,会首先对头部和载荷的内容用同一算法再次签名。那么服务器应用是怎么知道我们用的是哪一种算法呢?别忘了,我们在JWT的头部中已经用alg字段指明了我们的加密算法了。
如果服务器应用对头部和载荷再次以同样方法签名之后发现,自己计算出来的签名和接受到的签名不一样,那么就说明这个Token的内容被别人动过的,我们应该拒绝这个Token,返回一个HTTP 401 Unauthorized响应。

二、 JWT的HS512算法生成token的C++语言实现

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <openssl/hmac.h>
#include <openssl/bio.h>
#include <openssl/evp.h>
#include <iostream>
namespace chen {


	namespace jwt {
	

		//java 从最后 删除'='个数  url-unfriendly base64 char u
		int remove_padding( char*  data, size_t len )
		{
			int paddingCount = 0;
			//int encoded_payload_len = strlen(encoded_payload);
			for (int i = len - 1; i > 0; --i)
			{
				if (data[i] == '=')
				{
					++paddingCount;
				}
				else
				{
					break;
				}
			}
			//replace URL-unfriendly Base64 chars to url-friendly ones:
			for (int i = 0; i < len; ++i)
			{
				if (data[i] == '+')
				{
					data[i] = '-';
				}
				else if (data[i] == '/')
				{
					data[i] = '_';
				}
			}

			return len - paddingCount;
		}



		std::string create_token( const std::string& secret_key,  const std::string& payload)
		{
			// 构建头部
			static const char* header = "{\"alg\":\"HS512\"}";
			char buffer[10240] = {0};

			// 计算 Base64 编码后头部的长度
			int header_len = EVP_ENCODE_LENGTH(strlen(header));

			// 计算 Base64 编码后负载的长度
			int payload_len =   payload.length();// = EVP_ENCODE_LENGTH(strlen(payload));

			// 分配内存存储 Base64 编码后的头部和负载
			 
			char  encoded_header[4096] = {0};
			char  encoded_payload[4096] = {0};
			 
			// Base64 编码头部和负载
			EVP_EncodeBlock((unsigned char*)encoded_header , (const unsigned char*)header, strlen(header));
			EVP_EncodeBlock((unsigned char*)encoded_payload , (const unsigned char*)payload.c_str(), payload.length());

 


			// 构建待签名字符串
			int unsigned_data_len = remove_padding( encoded_header , strlen(encoded_header) ) + remove_padding(encoded_payload, strlen(encoded_payload) ) + 2; // 加上两个点号
			 
			snprintf(buffer, unsigned_data_len, "%s.%s", std::string(encoded_header, remove_padding((char*)encoded_header , strlen(encoded_header) )).c_str(), std::string(encoded_payload, remove_padding((char*)encoded_payload ,  strlen(encoded_payload))).c_str());
			 
			// 使用 HMAC SHA-512 对待签名字符串进行签名
			signed char hmac_result[EVP_MAX_MD_SIZE];// = { 0 };
			unsigned int hmac_len;// = 0;

			HMAC(EVP_sha512(), secret_key.c_str(), secret_key.length(), (const unsigned char*)buffer, strlen(buffer), (unsigned char*)hmac_result, &hmac_len);

			// Base64 编码签名结果
			int signature_len = EVP_ENCODE_LENGTH(hmac_len);
			char encoded_signature[4096 * 2] = {0}; 
			EVP_EncodeBlock((unsigned char*)encoded_signature , (unsigned char*)hmac_result, hmac_len);

			// 构建 JWT token
			int token_len = unsigned_data_len + remove_padding((char *)encoded_signature , strlen(encoded_signature) ) + 1; // 加上两个点号和结尾的 null 字符
			 
			 snprintf(buffer, token_len, "%s.%s.%s", std::string(encoded_header, remove_padding((char*)encoded_header, strlen(encoded_header))).c_str(), std::string(encoded_payload, remove_padding((char*)encoded_payload, strlen(encoded_payload))).c_str(), std::string(encoded_signature, remove_padding((char*)encoded_signature, strlen(encoded_signature))).c_str());

			 
		
			return buffer;
		}
		void test_create_token()
		{
			std::string key = "chensong";
			std::string payload = "{\"chensong\":\"{\\\"userId\\\":18}\",\"sub\":\"chensong\"}";
			std::string token = create_token(key, payload);
			std::cout << "jwt token = " << token << std::endl;
		}
	}
}

总结

JWT的HS512算法实现源码地址:

token生成
weixin_51482243的博客
07-31 768
jwt官网:token生成是这三部分:Header(请求头),Payload(有效负载),Signature(签名-生成token)->TokenUtils开发 + ResultToken开发 -> 达到生成,验证,响应token
JWT、 超详细、分析、token、鉴权、组成、优势
【优快云】
12-22 2691
一、Token token 是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权。 1. API 鉴权 那么 API 鉴权一般有几种方式呢?我大概整理了如下: cookie + session 和平常 web 登陆一样的鉴权方式,很常见,不再赘述。 HTTP Basic 将账号和密码拼接然后 base64 编码加到 header 头中。很显然,因为账号和密码几乎是『明文』传输的,而且每次请求都传,安全性可想而知。 HTTP Digest 将账号和密码加上其他一些信息拼.
JWT生成token——中间部分Payload的坑
weixin_29634843的博客
11-13 9864
JWT进行token认证应该都用过,标准的加密(Base64 编码)后的token是这样的三段式的: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiaWQiOiIxMjM0NTY3ODkwIiwiZXhwIjoxNjA1MDAxNzQyLCJpYXQiOjE2MDQ5OTQ1NDIsImp0aSI6IjU5YjI2NDEzLTE4MjMtNDVlZS1iZTI1LTA5M2ZjMjlhMmYzOCJ9.FMpVjuTUSOY5sbYqbJslJCnIvEx
SHA512算法详解
草香农的博客
07-24 972
SHA-512是NIST标准化的安全哈希算法,采用512位输出和80轮加密运算,通过预处理、消息扩展和迭代压缩等步骤生成不可逆的哈希值。其核心特性包括高安全性(256位抗碰撞)、雪崩效应和高效计算,适用于数字签名、区块链、数据校验和密码存储等场景。算法基于Merkle-Damgård结构,使用64位字长进行80轮复杂运算,确保输入微小变化会导致输出完全不同。作为SHA-2家族重要成员,SHA-512在安全性和性能间取得平衡,被广泛应用于现代密码学领域。
使用 crypto-js 实现 JWT 验证:HS512 算法的实践指南
最新发布
gitblog_01079的博客
10-11 310
你还在为 JWT(JSON Web Token)验证中的签名安全问题烦恼吗?是否担心前端加密实现复杂度过高?本文将带你使用 crypto-js 库,通过 HS512(HMAC-SHA512算法轻松实现 JWT 验证,让你在 5 分钟内掌握从引入库到完整验证的全流程。读完本文,你将能够独立完成前端 JWT 签名验证、理解 HS512 算法的实现原理,并解决常见的加密错误问题。 ## JWT 验证...
详细扒一扒 Keys.secretKeyFor(SignatureAlgorithm.HS512)
qq_24910693的博客
08-25 4471
学习spring security中涉及到对JWT令牌加密,代码如下 public static final Key key = Keys.secretKeyFor(SignatureAlgorithm.HS512); 只知道是取512长度的哈希,为深入了解具体原理,如今深扒一下搞个透彻 先了解 哈希原理和JAVA中的实现 1. 看源码知道HSS512对应的是SHA512 2.MD5 SHA1 SHA256 SHA512 SHA1WithRSA 的区别 MD5 SHA1 SH...
HS算法
Lucy有话讲
01-14 1413
因为LCR算法的通信复杂度过高,为o(n2),所以对他进行改进,但是前提仍然是寻找UID最大的process,区别在于不再采用类似于LCR的单向的环进行顺时针或逆时针的遍历,而是在双向环中同时向两侧进行,把搜索的过程分为很多的phase,每次向左右搜索2的phase次方个process,当到头之后再返回给发送消息的节点。 message包括三元组{uid,{in|out},hop-count...
java基础之JWT生成
qq_41613913的博客
10-04 754
import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.beans.factory.annotation.Autowired; import javax.crypto.spec.Se...
加密与安全_深入了解Hmac算法(消息认证码)
小工匠
03-01 8554
HMAC(Hash-based Message Authentication Code)算法是一种基于哈希函数的消息认证码算法,用于验证消息的完整性和认证消息的发送者。它结合了哈希函数和密钥,通过将密钥与消息进行哈希运算来生成消息认证码。首先,选择一个适当的哈希函数(如MD5、SHA-1、SHA-256等)和一个密钥。将密钥进行适当的填充和处理,以满足哈希函数的输入长度要求。将消息与填充后的密钥按照特定的方式进行组合。对组合后的数据进行哈希运算。将哈希结果作为消息认证码输出。
Cookie、Session、TokenJWT的区别和使用场景
2303_76696898的博客
04-05 835
针对认证问题,负载至少应该包含能够告知服务端“这个用户是谁”的信息,针对授权问题,令牌至少应该包含能够告知服务端“这个用户拥有什么角色/权限”的信息。JWT 的负载部分是可以完全自定义的,根据具体要解决的问题不同,设计自己所需要的信息,只是总容量不能太大,毕竟要受到 HTTP Header 大小的限制。(Header):它描述了令牌的类型(统一为 typ:JWT)以及令牌签名的算法,示例中 HS256 为 HMAC SHA256 算法的缩写,其他各种系统支持的签名。
【AI图像生成网站&Golang】JWT认证与令牌桶算法
qq_42638506的博客
11-16 1336
JWT 中,Payload 就是 Token 的核心数据部分,用来存储那些需要在两方之间传递的信息。它包含了自定义的声明(Claims),例如用户的标识(user_id)或过期时间(exp)。单位为秒,自 Unix 时间纪元(1970-01-01 00:00:00 UTC)以来的秒数。JWT(JSON Web Token)是一种开放标准(RFC 7519),定义了一种紧凑的、自包含的方式,用于在各方之间安全地传输信息。),但在实际应用中,我们需要存储更多的业务数据,比如用户 ID 和用户名。
HMac_SHA512哈希算法
03-11
HMAC_SHA512算法 提供一个VC6.0的源码工程
SHA-512加密算法的实现
12-21
SHA-512消息摘要算法实现。很好用。快下载, 你值得拥有
详解JWT token心得与使用实例
10-16
主要介绍了详解JWT token心得与使用实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
一个用于在c++ - Thalhammer/jwt-cpp中创建和验证json web令牌的头库
01-27
一个用于在c++ - Thalhammer/jwt-cpp中创建和验证json web令牌的头库-源码
【Gin-Web】Bluebell社区项目梳理2:JWT-Token认证
theaipower的博客
02-21 4619
梳理项目中的JWT-Toekn认证相关代码和知识点。
SHA512系列哈希算法原理及实现(附源码)
洛奇看世界
06-22 8249
SHA512系列哈希算法原理及实现(附源码) 相关文章: SHA224和SHA256哈希算法原理及实现(附源码) 国密SM3哈希算法原理及实现(附源码) SHA1哈希算法原理及实现(附源码) MD5哈希算法原理及实现(附源码) MD4哈希算法原理及实现(附源码) MD2哈希算法原理及实现(附源码) MD2中用于随机置换的S盒是如何生成的? 最近陆续造了一批哈希算法的轮子,包括MD家族(包括MD2/MD4/MD5), SHA1, SHA2家族(SHA224, SHA256, SHA384, SHA51
JAVA 的 SHA-256 和 SHA-512 两种 Hash 算法的调用
热门推荐
NULL BLOG
11-18 6万+
JAVA 已经实现了 SHA-256 和 SHA-512 两种 Hash 算法 利用 java.security.MessageDigest 调用已经集成的 Hash 算法 创建 Encrypt 对象,并调用 SHA256 或者 SHA512 并传入要加密的文本信息,分别得到 SHA-256 或 SHA-512 两种被加密的 hash 串。 若要改为 MD5 算法,修改传入参数 strTyp...
Vue.js安装JWT
UserGuan的博客
10-12 1467
--save 是在package.json的【dependencies】里面 --save-dev 是在package.json的【devDependencies】里面 1、进入项目目录下(my-project),执行一下npm语句,在项目的package.json文件中有"jwt-simple": "^0.5.6"就表示安装成功,如图: npm install --save jwt-si......
jwtservice 生成的refreshtoken 时间精确到秒,导致生成的值是一样的.
07-29
<think>首先,用户的问题是:如何解决使用JwtService生成refreshToken时因时间精确到秒导致重复的问题。具体来说,问题是由于时间精确到秒,导致生成的refreshToken可能重复。 关键点: - 使用JwtService(可能是JSON Web Token服务生成refreshToken。 - 时间精确到秒,这可能导致多个token在同一秒内生成,从而产生重复。 - 用户想解决这个问题。 从系统指令: - 所有行内数学表达式用$...$格式。 - 独立公式用$$...$$$$格式。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识。 - 回答结构清晰,帮助用户逐步解决问题。 参考站内引用: - [^1]: 提到JWT自带用户信息,不需要持久化。 - [^2]: 解释access token和refresh token,access token有效期短,refresh token用于获取新的access token。 - [^3]: 描述了refresh token的工作流程。 这些引用是关于JWTtoken机制的,但用户的问题是关于时间精度导致重复的问题。所以,我需要基于这些上下文来回答,但焦点是解决重复问题。 核心问题:时间精确到秒导致refreshToken重复。refreshToken通常有较长的有效期,如果生成使用秒级时间戳,可能在同一秒内生成多个token,导致冲突。 常见解决方案: 1. **增加随机性**:在token生成中加入随机数或唯一标识符,确保每个token是唯一的。 2. **使用更高精度时间**:使用毫秒级或微秒级时间戳,减少冲突概率。 3. **序列号或计数器**:引入一个序列号,每次生成token时递增。 4. **数据库检查**:在保存token时检查是否已存在,如果存在则重新生成(但可能增加延迟)。 在JWT的上下文中,refreshToken通常是一个JWT,包含claims(声明)如exp(过期时间)、iat(签发时间)等。如果iat精确到秒,且在同一秒内签发多个token,它们可能有相同的iat,导致冲突。 如何避免: - 在JWT的payload中添加一个唯一标识符,如jti(JWT ID),这是一个唯一字符串。 - 使用更精细的时间戳,例如毫秒。 在实现中,JwtService可能允许自定义claims。所以,建议在生成refreshToken时添加一个唯一值。 步骤式回答: 1. **理解问题**:解释为什么时间精确到秒会导致重复。 2. **解决方案**:提供具体方法。 3. **代码示例**:如果可能,给出伪代码或代码片段。 4. **注意事项**:讨论潜在问题。 生成相关问题:在回答后,添加相关问题部分。 回答结构: - 开头确认问题。 - 逐步解释解决方案。 - 添加引用标识(如果适用)。 - 最后,生成相关问题。 引用标识:由于用户提供了引用[^1], [^2], [^3],我需要自然地融入它们。例如: - 引用[^2]提到refresh token用于获取access token,有效期较长。 - 在讨论refreshToken时,可以引用这些。 但用户的问题是关于技术实现,所以引用可能不是直接相关。我可以这样引用: - "正如引用[^2]所述,refresh token用于安全地获取新的access token,因此确保其唯一性至关重要。" - 然后讨论解决方案。 最终回答: - 用中文。 - 清晰结构。</think>### 解决JwtService生成refreshToken因时间精确到秒导致重复的问题 在使用JwtService生成refreshToken时,如果时间戳(如`iat`签发时间)精确到秒,可能在同一秒内生成多个token,导致重复问题。这是因为秒级时间戳无法区分毫秒级事件,尤其在并发请求或高负载场景下,多个token可能共享相同的时间戳值,从而引发冲突(例如,在token验证或存储中出现重复键错误)。refresh token通常具有较长的有效期(如引用[^2]所述,refresh token用于安全获取新的access token,有效期较长),因此确保其唯一性至关重要。下面我将逐步解释问题原因和解决方案,帮助您彻底解决这个问题。 #### 问题原因分析 - **时间戳精度不足**:JWT的payload中通常包含`iat`(签发时间)字段,默认使用Unix时间戳(精确到秒)。如果在同一秒内生成多个refreshToken,`iat`值相同,可能导致token内容重复。 - **缺少唯一标识**:如果token生成仅依赖时间戳和固定数据(如用户ID),而没有随机或唯一元素,重复概率增加。 - **潜在影响**:重复refreshToken可能导致: - 安全风险:攻击者可能利用重复token进行重放攻击。 - 系统错误:数据库存储时出现主键冲突(例如,如果token作为唯一键)。 - 用户体验问题:用户会话中断或重新认证失败。 正如引用[^1]提到的,JWT自带用户信息,不需要授权服务持久化,但这也意味着生成token时必须内置唯一性机制,以避免依赖外部存储。 #### 解决方案:确保refreshToken唯一性 以下是几种可靠的方法,按推荐顺序列出。核心思路是**增加随机性或更高精度时间戳**,确保每个refreshToken独一无二。您可以根据技术栈(如Spring Security、Node.js等)选择实现。 1. **添加唯一标识符(推荐方法)** 在JWT的payload中引入一个唯一字符串,如`jti`(JWT ID)。`jti`是一个标准JWT claim,用于防止重放攻击。生成时,使用随机UUID或纳秒级时间戳组合用户信息。 - **为什么有效**:`jti`作为唯一键,即使`iat`相同,也能保证token不同。 - **实现步骤**: - 在生成refreshToken时,使用UUID库(如Java的`java.util.UUID`)创建`jti`值。 - 将`jti`添加到JWT payload中。 - 在验证token时,检查`jti`是否已使用(可选,可通过缓存或数据库实现)。 - **代码示例(伪代码,基于Java Spring)**: ```java import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; import java.util.UUID; public String generateRefreshToken(String userId) { // 生成唯一jti String jti = UUID.randomUUID().toString(); // 构建JWT,添加jti和毫秒级时间戳(减少冲突) return Jwts.builder() .setSubject(userId) .setId(jti) // 设置jti claim .setIssuedAt(new Date()) // iat使用毫秒级精度 .setExpiration(new Date(System.currentTimeMillis() + refreshTokenValidity)) // 设置较长有效期 .signWith(SignatureAlgorithm.HS512, secretKey) // 使用密钥签名 .compact(); } ``` - **说明**:`setIssuedAt`使用`Date`对象,其内部是毫秒级时间戳(Java的`System.currentTimeMillis()`),这比秒级精度高1000倍,大大降低冲突概率。结合`jti`,重复概率几乎为零。 2. **提升时间戳精度到毫秒或微秒** 如果无法添加`jti`,直接提升时间戳精度是最简单的方法。JwtService通常支持毫秒级时间戳(如JavaScript的`Date.now()`或Python的`time.time() * 1000`)。 - **为什么有效**:毫秒级精度将冲突窗口从1秒缩小到1毫秒,显著减少重复。 - **实现步骤**: - 在生成token时,使用高精度时间函数替换秒级时间戳。 - 确保JWT库支持毫秒级`iat`(大多数库如jjwt或jsonwebtoken自动处理)。 - **注意事项**:在高并发系统(如每秒请求量 >1000)中,毫秒级仍可能有冲突,因此建议与随机数结合。例如: - 在payload中添加一个随机数:`"nonce": Math.random()`(JavaScript)或`ThreadLocalRandom.current().nextInt()`(Java)。 3. **引入序列号或计数器** 对于分布式系统,使用全局唯一序列号(如Snowflake算法)作为payload的一部分。 - **为什么有效**:序列号确保递增唯一性,不受时间限制。 - **实现步骤**: - 在token服务中维护一个计数器(例如,使用Redis或数据库自增键)。 - 将计数器值嵌入payload(如`"seq": atomicIncrement()`)。 - 验证时检查序列号有效性。 - **优点**:适合超高并发场景,但增加了系统复杂性(需要共享存储)。 4. **数据库去重检查(后备方案)** 在保存refreshToken前,检查是否已存在相同token(基于payload哈希值)。 - **为什么有效**:作为安全网,捕获潜在重复。 - **实现步骤**: - 生成token后,计算其SHA-256哈希值。 - 查询数据库或缓存,如果哈希值存在,则重新生成token。 - 示例SQL检查:`SELECT COUNT(*) FROM tokens WHERE hash = ?`。 - 如果使用引用[^3]的架构,refresh token由独立服务处理,可以在该服务中添加此检查。 - **缺点**:增加延迟和负载,只作为辅助手段。 #### 最佳实践建议 - **优先使用`jti` + 毫秒级时间戳**:这是最平衡的方案,无需额外存储,且符合JWT标准(RFC 7519)。确保在生成token时,始终包含唯一元素。 - **并发处理**:在高并发下,使用线程安全方法(如Java的`AtomicLong`或分布式锁)。 - **安全考虑**:refresh token有效期较长(引用[^2]强调其安全性),因此生成使用强随机源(避免`Math.random()`,改用加密安全库如`SecureRandom`)。 - **测试验证**:通过单元测试模拟高并发(如用1000个线程生成token),检查重复率。工具如JMeter可帮助压力测试。 - **性能影响**:以上方案CPU开销低(纳秒级),不影响服务响应。 通过以上方法,您可以彻底解决时间精度导致的重复问题。如果您的JwtService库有特定限制,请提供更多细节,我可以给出更针对性的代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值