JWT实现分布式Session?行不?,最详细的解释小白也能听懂

最新推荐文章于 2025-03-08 16:48:56 发布
最新推荐文章于 2025-03-08 16:48:56 发布
阅读量711 收藏 26
点赞数 24
分类专栏: 程序员 文章标签: 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/feifei99_8820/article/details/137528226
版权
本文详细介绍了JWT的工作原理,包括Header、Payload和Signature的构成,以及与传统Session-Cookie方式的区别。作者还强调了系统化学习的重要性,推荐了《Android移动开发全套学习资料》和面试题集,帮助开发者提升技术能力。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

自包含的含义:jwt可以让用户自定义JWT里面包含的用户信息,如:姓名、昵称等(不要放隐密的信息)。从而避免了多次查询数据库

JWT数据结构

JWT由三个部分组成

1、Header
2、Payload
3、Signature

三者组合在一起

Header.Payload.Signature

案例
图片
看上去是不是满乱,我们来依次看下里面的结构。

Header

这个是JWT第一段数据,表示头部信息,主要的作用是描述JWT的元数据,上面的案例就是:

{
alg: “HS256”,
typ: “JWT”
}

1、alg属性表示签名的算法,默认算法为HS256,可以自行别的算法。
2、typ属性表示这个令牌的类型,JWT令牌就为JWT。

上面的JSON数据会通过Base64算法进行编码而成,看工具图图片

Payload

此为JWT第二段数据,用来存放实际需要传递的数据。JWT官方也规定了7个字段供选用图片
当然除了官方字段,我们可以自定义字段,以上面的案例,我们看下实际的数据图片

注意:这段也是用Base64算法,JWT默认是不加密的,任何人都可以获取,只要进行Base64解码就行了,所以不要把隐密的信息放到JWT中

Signature

此为JWT第三段数据,主要作用是对前面两段的数据进行签名,防止数据篡改。一般我们进行签名的时候会有个密钥(secret)只有服务器知道,然后利用Header中的签名算法进行签名,公式如下:

HMACSHA256(
base64UrlEncode(header) + “.” + base64UrlEncode(payload),
secret)

算出签名后,把Header、Payload、Signature三个部分拼成一个字符串,之间用(.)分隔,这样就可以把组合而成的字符串返回给用户了。

JWT的工作方式

在用户进行认证登录时,登录成功后服务器会返回一个JWT给客户端;那这个JWT就是用户的凭证,以后到哪里去都要带上这个凭证token。尤其访问受保护的资源的时候,通常把JWT放在Authorization header中。要用 Bearer schema,如header请求头中:

Authorization: Bearer

图片

基于JWT的身份认证

上面的JWT的工作方式,其实就是一个完整的身份认证流程,我们这里把这个讲的在通俗一点。

1、用户提供用户名和密码登录
2、服务器校验用户是否正确,如正确,就返回token给客户端,此token可以包含用户信息
3、客户端存储token,可以保存在cookie或者local storage
4、客户端以后请求时,都要带上这个token,一般放在请求头中
5、服务器判断是否存在token,并且解码后就可以知道是哪个用户
6、服务器这样就可以返回该用户的相关信息

这个流程小伙伴们有没有发现,用户信息是放在JWT中的是存放在客户端(cookie,local storage)中的,服务器只需解码验证就行了,就可以知道获取到用户信息。而我们之前的Session方式就不一样。

与Session-Cookie方式的区别

Session-Cookie方式的这里就不多作介绍了,之前文章已经介绍了。直接上图说明区别
图片
上图是Sesson服务器方式,我们发现Session用户信息是在服务器端存储的。
我们再来看看JWT方式
图片
上面的token即用户信息是存储在客户端的,服务器端只要解码即可。
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Android移动开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

如果你觉得这些内容对你有帮助,可以扫码获取!!(备注:Android)

如何做好面试突击,规划学习方向?

面试题集可以帮助你查漏补缺,有方向有针对性的学习,为之后进大厂做准备。但是如果你仅仅是看一遍,而不去学习和深究。那么这份面试题对你的帮助会很有限。最终还是要靠资深技术水平说话。

网上学习 Android的资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。建议先制定学习计划,根据学习计划把知识点关联起来,形成一个系统化的知识体系。

学习方向很容易规划,但是如果只通过碎片化的学习,对自己的提升是很慢的。

我们搜集整理过这几年字节跳动,以及腾讯,阿里,华为,小米等公司的面试题,把面试的要求和技术点梳理成一份大而全的“ Android架构师”面试 Xmind(实际上比预期多花了不少精力),包含知识脉络 + 分支细节。

img

我们在搭建这些技术框架的时候,还整理了系统的高级进阶教程,会比自己碎片化学习效果强太多

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!

析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!**

分布式项目登录——JWT技术
wang_yaqin的博客
01-03 4023
1.JWT介绍 1.1什么是JWT       JWT是json web token缩写。它将用户信息加密到token里,服务器保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 1.2JWT的组成        一个JWT其实就是一个字符串,由三部分组成:头部(header)、载荷(payload)、签名(signature),以“.”拼接 1.2...
Java开发三年月薪才12K,JWT实现分布式Session
m0_60388216的博客
08-06 208
Header 这个是JWT第一段数据,表示头部信息,主要的作用是描述JWT的元数据,上面的案例就是: {  alg: "HS256",  typ: "JWT" } 1、alg属性表示签名的算法,默认算法为HS256,可以自别的算法。 2、typ属性表示这个令牌的类型,JWT令牌就为JWT。 上面的JSON数据会通过Base64算法进编码而成,看工具图 Payload 此为JWT第二段数据,用来存放实际需要传递的数据。JWT官方也规定了7个字段供选用 当然除了官方字段,我们可
分布式环境集成JWT(Java Web Token)
weixin_44924882的博客
08-30 1192
AuthAccess是一个自定义的注解,在拦截器中判断如果方法上有加入该注解,则放校验tokenimport cn//如果是映射到方法直接通过 if(!} else {// 判断是否为自定义注解AuthAccess,如果是,就校验了,直接放 HandlerMethod h =(HandlerMethod) handler;= null) {} } //执认证 if(StringUtils . isBlank(token)) {
JWT,TOKEN,SESSION三种用户身份认证方式的介绍和比较
最新发布
qq_44845473的博客
03-08 1160
本文介绍了sessionjwt,token三种身份认证方式,包括它们的工作流程,优缺点,适用场景等
分布式统一授权方案JWT
杨宇昌的博客
05-03 1066
分布式统一授权方案 JWT
【Redis 与 JWT 实现session分布式 区别】
weixin_59565183的博客
06-07 1135
在Redis中,Session的数据是以Key-Value的形式进存储,其中Key是一个唯一的Session ID,Value则是Session中包含的所有信息,如Session的创建时间、后访问时间、Session属性等。比如,用户注册后发一封邮件让其激活账户,通常邮件中需要有一个链接,这个链接需要具备以下的特性:能够标识用户,该链接具有时效性(通常只允许几小时之内激活),能被篡改以激活其他可能的账户,一次性的。根据实际的应用场景,我们可以选择同的Session管理解决方案。
Java学习专栏!全网牛!
weixin_70730532的博客
08-12 3274
00254:《SpringCloud Alibaba微服务实战十四 - SpringCloud Gateway集成Oauth2.0》00242:《SpringCloud Alibaba微服务实战二十四 - SpringCloud Gateway的全局异常处理》00251:《SpringCloud Alibaba微服务实战十五 - SpringCloud 容器化部署》00248:《SpringCloud Alibaba微服务实战十八 - Oauth2.0 自定义授权模式》00184:《TCP网络那点破事!..
字节后端暑期实习 一二三面(已拿offer)
热门推荐
404name的博客
05-09 1万+
整体情况总结 个人简历情况:双非大三 + 去年八月份开始准备 + 两个项目 + 开源仓库 + 几个国奖 + 知识库 + 专业绩点前1%面试背景:去年9月投递了一次,过了简历年底才面,面完三面凉面试经验|字节后端实习 一二三面(凉经)也没告知原因,也没被捞,服气寒假准备了两个月继续投暑期,应该是面的早的一批,然后就有了这篇面经了~从二面起写的很详细,尽大可能还原了现场和我的回答逻辑。希望能给有需要的人一些帮助。面试情况:笔试1h ak + 6场面试算法题都过 + 八股文应该没问题 + 中间件可能.
【案例实战】分布式应用下登录检验解决方案(JWT
互联网小阿祥
11-16 1204
分布式应用下登录检验解决方案(JWT),编写登录逻辑全流程
分布式权限验证之JWT
小小的人儿的博客
03-27 1664
JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {“typ”:“JWT”,“alg”:“HS256”} 在头部指明了签名算法...
分布式认证JWT
b2105859的博客
02-13 1414
分布式认证JWT
JWT实现分布式Session
m0_57768035的博客
06-13 449
享学课堂特邀作者:老顾 转载请声明出处! 前言 小伙伴们老顾在上一篇【微服务架构下分布式Session】介绍了Session实现方式,这篇文章中我们来了解一下JWT是何方神圣?以及JWT实现分布式SessionJWT是什么 JWT一看就是简称,它的全称JSON Web Token,从字面上我们看出 1、数据是JSON格式 2、用于Web应用 3、是一个Token,也就是一个令牌方式 看看官方的说明,它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象进安全传输信息。这些信息可以通过对.
Java分布式JWT(JSON Web Tokens)
weixin_30755709的博客
02-20 171
Java分布式JWT(JSON Web Tokens) 0、优势   Session方式存储用户状态占用大量服务器内存。一般而言,大型应用还需要借助一些KV数据库和一系列缓存机制来实现Session的存储。而JWT方式将用户状态分散到了客户端中,可以明显减轻服务端的内存压力。除了用户id之外,还可以存储其他的和用户相关的信息,例如该用户是否是管理员、用户所在的分桶等。 1.原理 ...
JWTSession的比较
death05的博客
04-27 907
如今,越来越多的项目开始采用JWT作为认证授权机制,那么它和之前的Session究竟有什么区别呢?今天就让我们来了解一下。 JWT是什么 定义 JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑和自包含的方式,用于在各方之间作为JSON对象安全地传输信息。作为标准,它没有提供技术实现,但是大部分的语言平台都有按照它规定的内容提供了自己的技术实现,所以实际...
JWT实现分布式Session?(1)
2401_84048445的博客
04-16 685
小伙伴们怎么去选择Session的方式,是用传统的Sesion-Cookie服务器方式,还是用JWT方式,具体集合业务看。过老顾这里推荐还是用传统的方式,因为以后的业务很有可能会用到用户Session。!!自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力小。自己成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞前!
C#基于jwt实现分布式登录
chinaherolts2008的博客
03-24 309
一、传统的session登录 在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。 在asp.net core中可以简单实现: // This method gets called by the runtime. Use this method to configure the HTTP request pipeline. public void Co
JWT安全验证常见疑问解答
西涛offbye-移动全栈技术博客
07-05 1万+
近做基于BFF架构的分布式移动端API接口的系统设计。工作过程中发现有些工程师对JWT安全验证的认识存在一些偏差,重复讲解实在太麻烦了,在这里把关于JWT常见的一些疑问统一回答下吧。 什么是JWT?JSON Web Token (JWT)是一种基于 token 的认证方案。 JSON Web Tokens are an open, industry standard RFC 7519 metho
分布式应用下登录校验解决方案——JWT
weixin_43434080的博客
05-17 514
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
一文带你了解Jwtsession的区别
hola173841439的博客
07-26 1624
因为要重构公司的web端产品,和前端一起对了下接口。在对接用户登录的时候,发现当用户关掉浏览器后再次打开浏览器竟然能无密码登录。然后就和前端商量了下,后端采用jwt技术将生成token给前端,前端将token存储到localstorage,以便后续请求以token方式进无秘登录以及权限校验。但是今天在该代码的时候发现后端有用到session用户登录的一个校验,似乎和我用的jwt实现的效果有异曲同工之妙,我就好奇了这个和jwt到底有什么区别呢?然后就进了一番研究…session服务器端。
Spring Boot集成JWT实现分布式站点单点登录
本知识点将详细解释如何利用Spring Boot使用JWT(Json Web Token)来实现单点登录(SSO)系统,以及相关的概念和技术细节。 ### JWT(Json Web Token)概述 JWT是一种开放标准(RFC 7519),它定义了一种紧凑的、自...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值