关于jwt的思考

最新推荐文章于 2025-07-14 11:50:06 发布
原创 最新推荐文章于 2025-07-14 11:50:06 发布 · 1w 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jwt

关于jwt的思考

jwt是个做用户权限认证的方案,科普的内容参考相关文档吧,这里提出几个关于jwt的思考:

现有项目架构:

pc项目->pc服务器->api服务器
app项目->api服务器

1. jwt是否需要服务器存储用户状态

按照jwt的思路,服务端是不需要存储用户状态的,只要有秘钥+过期时间就可以实现用户的认证和过期,至于读库vs加解密验证哪个过程对服务器的压力更大,这个可能需要对比测试,但从原理和常识来讲,存库读库的成本应该更高一点。无库产生的加解密开销相对于读写库应该是非常小的,而且无库可以轻松做到跨服务器的认证。

2. jwt方案中token的安全问题

分为两个安全问题:

  • token泄露,泄露一般存在两个地方,1是传输层,2是客户端。先考虑传输层:http被窃听,或者https被破解(https的安全性这里不做讨论),那么如果token在传输层被拦截,传统的cookie存储的sessionId也有一样的问题。再说客户端,一样的情况,如果cookie可以被窃取,token也没办法解决这个问题。已经做过的测试是:拦截到cookie后,把cookie放在另一台电脑上也是可以使用的,这个跟token是一样的。

  • 还有一种情况是重放攻击,http请求被拦截重放,这个安全性对于cookie和jwt是一样的,避免这个问题需要配合其他手段,但基本很难避免。

综上,jwt碰到的安全问题跟传统方式一样。

3. jwt如何解决续签问题

传统的cookie的续签方案一般都是框架自带的,session有效期30分钟,30分钟内如果有访问,session有效期被延长30分钟。那么jwt是怎么实现的呢,细节没看完,不过基本的逻辑是频繁重签名(不知道为什么有人这么干,开销应该不小,而且问题挺多),或者是有效期30分钟,服务器发现token要过期了,提前三分钟重签并返回新的token,客户端每次请求都检测新旧token,如果不一致更新本地token(这个可以放在http的请求预处理里,复杂度和开销都不大)。关于新token的发放导致旧token有效期内的访问失效的问题参见这里的token新旧更替问题讨论 。这种方案就可以实现浏览器里传统cookie的续签需求,以及app7天内登陆就可以持续刷新登陆状态的问题(app比较特殊,每天第一次访问时刷新一下token)。

4. jwt如何解决注销问题

好了,jwt最大的问题来了,怎么注销?先看传统的session是怎么注销的:用户点击退出,调用后台退出接口,也就是session注销接口,依托于后台的状态更新。那么服务端做的呢,如果是用文件或者数据库存储的,那么通过删记录是可以后台强制踢出的,放在内存里就不要想了(如果用户量大了放内存的话服务器也吃不消,放文件里io太频繁基本也不靠谱,还好有了Redis)。jwt最大的问题就在于后台没有存储用户状态,用户退出的话只是客户端删掉了token,然而此token在有效期内还是有效的,也就是说如果token泄露的话就麻烦了,不过token泄露的问题已经在上面讲过了,和cookie是同一个问题。那么最麻烦的就是怎么让一个token在用户注销后失效,以及后台强制退出,这个jwt是没办法的,因为jwt的无状态和用户状态维护是个矛盾冲突的话题。如果要解决就要建立一个黑名单,也就是把用户注销后的token放到redis里,然后每次校验黑名单(这里还是用到了数据库),

5. 使用jwt+Redis黑名单的方案

接上个问题,jwt推崇的无状态和跨服务器认证在数据库的出现后,貌似没有任何优势,真的没有优势吗?也不全是,至少有两个小优势,第一,存储黑名单(也就是注销后的用户或者黑户)比起存储登录之后的用户这个量级都是相当小的,存储量下降&读取速度提高。第二个优势是app和pc能共用同一套认证机制,也就意味着前后端彻底的分离,不必再为cookie和session认证单独搭一个服务器。

6. 用了jwt之后html服务怎么提供呢

对于前后端分离的项目来说,pc服务器的两个任务1是做认证(jwt已经解决),2是提供html服务。html服务可以交给nginx或者放到cdn,无论哪个方案都比tomcat之类的静态资源处理能力更强大,也就是说html和js等静态资源全部交给静态资源服务器来处理。那么安全问题又来了,怎么对文件做权限控制呢?对于一个前后端分离的项目来说,html一般不会嵌套后端的代码,所以html没有所谓的安全问题,换句话说html里根本没有任何有价值的内容。对于js来说,里面包含了业务逻辑,实际上对js做限制也是没有任何意义的,因为前端的代码是暴露给客户端的,即便控制,黑客登录之后也是能看到你的代码的,惟一能做的就是压缩混淆,把压缩后的代码放到线上,源码不放到线上,最大程度增加通过阅读js读取业务逻辑的难度(实际意义也不大,尤其对于有些公司压根连压缩这一步都不做的,更没有这个问题的顾虑了)。那么也就是说前后端分离的项目里html(没有后端代码嵌入)和js是没有安全的考虑必要的,真正要考虑的大概也就是图片的防盗链和pdf等静态资源的处理吧,这个因为对于后端不是很熟悉所以不做深入讨论,对于pdf等资源能想到的也就是通过需要授权的接口去拿pdf的路径吧。

7. 到底要不要数据库

如果不考虑用户注销后一定要token失效和强制退出需求的话,是不需要数据库的,即便加上redis对于传统方案来说也是有上文提到的两个优势。而且其实注销后一定要token失效主要也是考虑token泄露的问题(见上文),所以如果有踢出用户登录需求的话,还是要有数据库做黑名单存储的,一旦用户被拉入黑名单,就要立马停掉用户的签名发放,所以这个问题并不单单是认证的问题,还有签名发放的问题。

8. 用户认证的终极解决方案(跨服务器)

前提就是跨服务,实际上jwt本身已经实现了跨服务(无状态),既然服务端不存储用户状态,只要多个服务器之间使用共同的秘钥和加密方案就可以实现x.abc.com里登录之后在y.abc.com那台服务器做登录认证。但是问题上面也说了,如果不考虑注销和强制退出的情况的话,这个话题也就到处为止了。但是如果完美主义呢?当然还是要实现这两个功能,也就是要有黑名单服务器,或者说认证服务器auth.abc.com,无论x.abc.com还是y.abc.com里登录或者注销都要先通过auth.abc.com,但是带来的读写不一致和额外的认证开销问题大概也是一个历史性难题吧。或许也可以参考Oauth2.0的方案,做隐式认证。不存储用户的状态的话,jwt跨服务器应该是个比较简单的解决方案吧,但如果一个公司有跨服务器需求的话,那么规模之大,里面的后端童鞋应该有更为专业的方案吧,欢迎分享。此段不专业莫要踩我。

结论:

上文阐述了作为一个卑微的前端能想到的jwt的问题和思考,总结来说,使用jwt可以实现真正的前后端分离,浏览器可以和app用一样的认证机制,无论对服务器的搭建还是服务器开销都是不错的优化,至于黑名单的设置,这个看需求吧。

彩蛋

为什么会有彩蛋呢,因为结论里不能说太多废话,就搁这里说了,jwt主要解决了浏览器和app共用一个服务器的问题,也就是少了一个pc服务器。
有看客就要问了,那你怎么看node呢,ssr?pwa?字节码?
这个当然要且看下回分晓了️️��

Layne101
关注
JWT(JSON Web Token)详解
XiaoMu_001的博客
10-12 1361
JWT(JSON Web Token)详解
branca:安全替代JWT。 经过验证的Go加密API令牌
01-30
布兰卡 branca是JWT的安全替代方案,此实现是用纯Go语言编写的(无cgo依赖项),并且实现了。 要求 转到1.13+ 安装 go get -u github.com/hako/branca 例 package main import ( "fmt" "github.com/hako/branca" ) func main () { b := branca . NewBranca ( "supersecretkeyyoushouldnotcommit" ) // This key must be exactly 32 bytes long. // Encode String to Branca Token. token , err := b . EncodeToString ( "Hello world!" ) if err != nil { fmt . Println ( err ) } //b.SetTTL(3600) // Uncomment this to set an expiration (or ttl) of the tok
Jwt初始 & session 比较
yangm
06-21 417
引言:最近看了一个开源项目,涉及了些比较陌生的东西,为了加深印象,做点小笔记; JWT json web token,简单来说,就是客户端与服务器进行验证的解决方案之一;另外一种就是使用session的方式; 使用原理: 当客户端第一次登陆后,服务端会返回JWT格式的令牌,包含一些用户的信息,客户端则会保存这个JWT信息至Cookie或者其他数据层框架,用于下次登陆时验证。 此时,服务端需要去...
web 开发中jwt的使用
一路奔跑94的博客
04-28 2990
摘要: 在Web应用中,使用JWT替代session并是个好主意 适合JWT的使用场景 抱歉,当了回标题党。我并否认JWT的价值,只是它经常被误用。 网友看法: jwt最致命的问题,就是将用户标识明文(base64等同明文)的放在客户端,而且单一依赖同一个secret。一旦secret被泄露,那攻击者就可以毫费力的冒充所有用户。而幸的是,secret的保护并足够:1. 一般作为配...
JWT基本使用及常用验证方式对比
weixin_44906271的博客
04-26 726
这里写目录标题传统验证方式JWT是什么JWT机制优缺点使用依赖jwtUtil拦截器配置拦截器和跨域问题: 传统验证方式 在前后端分离的场景中,包括APP端和WEB端,由于http协议是无状态的,那么用户登录认证之后,再向服务器发送的请求的时候,服务器是知道这个这个用户是否已经登录认证过了。 传统的方式是通过cookie和session,用户登录之后将用户信息存储在session中,下次请求的时...
JWT与token+redis对比
山高水长
02-07 7594
16、JWT与token+redis对比 分析一、使用Token+redis的好处? 1.性能问题。 JWT方式将用户状态分散到了客户端中,相比于session, 可以明显减轻服务端的内存压力。 Session方式存储用户id的最大弊病在于Session是存储在服务器端的, 所以需要占用大量服务器内存, 对于较大型应用而言可能还要保存许多的状态, 一般还需借助nosql和缓存机制来实现session的存储, 如果是分布式应用还需session共享。 2.单点登录。 JWT能轻松的实现单点登录, 因为用户的状
关于 JWT Token 自动续期的解决(根据其他文献参考写的)
qq_40095187的博客
04-22 1406
关于 JWT Token 自动续期的解决 关于 JWT Token 自动续期的解决方案 在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个 jwt token。前端(如 vue)在接收到 jwt token 后会将 token 存储到 LocalStorage 中。 后续每次请求都会将此 token 放在请求头中传递到后端服务,后端服务会有一个过滤器对 token 进行拦截校验,校验 token 是否过期,如果 token 过期则会让前端跳转到登录页面重新登录。 因为 jwt token
精选资源
详解JWT token心得与使用实例
01-21
Token的优点和思考 参考代码:核心代码使用参考,是全部代码 JWT token的组成 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base...
c#关于JWT跨域身份验证解决方案
wanglei_smartfish的专栏
10-28 895
学习程序,是记代码,而是学习一种思想,以及对代码的理解和思考。 JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519), 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息, 以便于从资源服...
springboot实战学习(7)(JWT令牌的组成、JWT令牌的使用与验证)
岁岁岁平安的博客
09-22 2261
本篇博客主要是学习和介绍了JWT令牌的组成、JWT令牌的生成、JWT令牌的验证。其中重点分析了JWT令牌组成中"头部"、"载荷"、"数字签名"、"密钥"。也分析到如何借助工具"java-jwt"去生成合法的JWT令牌。如何再通过测试方法去验证令牌的合法性...
RuoYi-Vue(RuoYi):基于SpringBoot的官方仓库,Spring Security,JWT,Vue&Element的前替代分离权限管理系统
02-06
平台简介 若依是一套全部开源的快速开发平台,毫无保留给个人及企业免费使用。 前端采用Vue,Element UI。 初步采用Spring Boot,Spring Security,Redis&Jwt。 权限认证使用Jwt,支持多终端认证系统。 支持加载动态权限菜单,多方式轻松权限控制。 高效率开发,使用代码生成器可以一键生成前的代码。 提供了单应用版本 ,Oracle版本 ,保持同步更新。 分离版本,请移步 ,微服务版本,请移步 特别鸣谢: , , 。 阿里云折扣场:,腾讯云秒杀场: 阿里云优惠券: ,腾讯云优惠券: 内置功能 用户管理:用户是系统操作者,该功能主要完成系统用户配置。
JWT 与 WebSockets 的认证集成
最新发布
架构师的AI之路,分享AI应用开发架构的学习与实践。
07-14 1135
目的:解决实时应用中“WebSockets连接的身份认证”问题,让你掌握JWT与WebSockets集成的核心逻辑和实战技巧。 范围:覆盖JWT基本原理、WebSockets认证痛点、两者集成的架构设计、代码实现(Node.js后端+前端)、安全注意事项。小明最近迷上了一款在线多人游戏,需要登录后才能和小伙伴一起玩。游戏里的实时互动(比如“发送消息”“组队打怪”)用的是WebSockets——因为HTTP每次发消息都要重新连接,太慢了!但问题来了:这时候,JWT就像“游戏门票”:小明登录时,服务器给它发一张
推荐:branca - 安全的JWT替代方案
gitblog_00024的博客
06-04 943
推荐:branca - 安全的JWT替代方案 branca:key: Secure alternative to JWT. Authenticated Encrypted API Tokens for Go.项目地址:https://gitcode.com/gh_mirrors/br/branca 项目介绍 在寻找一种安全且高效的身份验证机制吗?branca 是一个值得您关注的项目。它是基于纯 ...
系统登录认证流程对比(cookie方式与jwt)
iygxv
11-01 2125
系统登录认证流程对比(cookie方式与jwt) 一个正在努力爱好运动的程序猿座右铭:越努力越幸运,越运动越健康,热爱编程,热爱运动。 文章目录系统登录认证流程对比(cookie方式与jwt)一、cookie方式登录认证二、JWT(Json Web Token)方式登录认 一、cookie方式登录认证 步骤: 1.用户向服务器发送用户名和密码。 2.服务器验证后,相关数据(如用户角色等)将保存在当前会话(session)中。 3.服务器向用户返回sessionId会写入到用户的Cookie。 4
Branca:Go语言下的安全替代JWT方案
gitblog_00212的博客
12-26 485
Branca:Go语言下的安全替代JWT方案 1. 项目基础介绍及编程语言 Branca 是一个用Go语言编写的开源项目,旨在提供一个比JWT(JSON Web Tokens)更安全的API令牌解决方案。该项目纯Go实现,没有依赖cgo,完全兼容Go 1.13及以上版本。 2. 项目核心功能 Branca的核心功能是创建和验证经过加密的API令牌,这些令牌仅携带了认证信息,还通过加密确保了内容的...
探索安全认证新境界:Branca,JWT的优质替代方案
gitblog_00634的博客
08-25 634
探索安全认证新境界:Branca,JWT的优质替代方案 在当今这个高度数字化的时代,数据的安全传输与验证显得至关重要。JWT(JSON Web Tokens)作为广泛使用的身份验证和授权机制,虽然便捷,但随着安全性需求的提升,开发者们断寻求更强大、更安全的解决方案。今天,我们来探索一个新兴的明星——Branca,一个专为现代应用设计的加密令牌框架。 项目介绍 Branca,一个由纯Go语言编写的...
取代JWT,使用Redis来管理Token
weixin_41070914的博客
04-13 1729
模仿JWT,写基于Redis的鉴权Token管理,解决JWT是无状态的问题,JWT续期流程略麻烦,得前端配合更换TOKEN 示例代码使用Spring Boot编写 代码已经上传码云 Redis_Token示例 示例代码已经集成全局异常拦截,拦截器配置等等,下载了可以根据自己业务需求去更改。 ...
JWT实现登录功能
m0_51660523的博客
06-22 373
首先在pom文件中引入json依赖: <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> public class Test { private Long time = 1000*60*60*24 ; pri..
jwt工具类及其使用
03-26
<think>好的,我现在要解决用户关于JWT工具类的实现和使用的问题。首先,我需要回忆JWT的基本结构,它由Header、Payload和Signature三部分组成,引用[2]提到过这个结构。用户需要工具类的示例代码,所以我得考虑如何用Java实现生成和解析JWT的功能。 首先,工具类需要依赖JWT库,比如jjwt。在示例中,用户可能使用了io.jsonwebtoken的库,所以我要确保代码中的导入正确。工具类通常会包含生成JWT和解析JWT的方法。生成JWT时需要设置签名算法,比如HS256,以及密钥。密钥需要保密,所以可能需要从配置文件中读取,但示例里可能直接硬编码了,如引用[2]中的工具类。 接下来,生成JWT的方法需要接收claims和有效时间。根据引用[1],测试代码里有效时间设置的是3秒,所以工具类中的createJwt方法应该接收一个long类型的有效期参数,并将其加到当前时间上。代码中可能需要使用setExpiration和setIssuedAt来设置过期和签发时间。 解析JWT时,需要验证签名,并处理可能的异常,比如过期或签名无效。引用[3]提到解析成功后可以在controller中使用载荷内容,所以解析方法应返回Claims对象。 然后,用户的使用示例部分需要展示如何生成和解析JWT。测试代码部分引用了[1]中的测试方法,生成JWT后打印,然后解析并输出签发和过期时间。这部分需要转换成示例代码,可能需要处理异常,比如用try-catch块捕获JwtException。 还要注意代码格式,比如使用正确的语法,变量命名等。确保代码中的注释和输出语句清晰,用户能理解每个步骤的作用。同时,要引用相关的引用来源,如引用[1]、[2]、[3]来支持代码的正确性。 最后,生成相关问题。根据用户的问题和提供的引用,可能的问题包括JWT结构、密钥管理、异常处理、刷新机制等。这些问题需要与工具类的实现和使用相关,帮助用户进一步学习。 现在需要把这些思考整合成一个结构清晰的回答,分步骤说明工具类的实现和使用,并附上示例代码,确保符合用户的要求,如使用正确的LaTeX格式和引用标识。</think>### JWT工具类实现与使用示例 #### 一、JWT工具类核心实现 JWT工具类需包含生成、解析和验证令牌的功能,依赖`jjwt`库实现。以下为简化版代码: ```java import io.jsonwebtoken.*; import javax.crypto.SecretKey; import javax.crypto.spec.SecretKeySpec; import java.util.Date; import java.util.Map; public class JwtUtils { private static final String SECRET = "your-256-bit-secret-key-encoded-in-base64"; // 密钥需保密存储[^2] private static final SecretKey KEY = new SecretKeySpec(SECRET.getBytes(), "HmacSHA256"); // 生成JWT public static String createJwt(Map<String, Object> claims, long ttlMillis) { long now = System.currentTimeMillis(); return Jwts.builder() .setClaims(claims) .setIssuedAt(new Date(now)) .setExpiration(new Date(now + ttlMillis)) // 设置有效期[^1] .signWith(KEY, SignatureAlgorithm.HS256) .compact(); } // 解析JWT public static Claims parseJwt(String jwt) throws JwtException { return Jwts.parserBuilder() .setSigningKey(KEY) .build() .parseClaimsJws(jwt) .getBody(); // 获取载荷供业务层使用[^3] } } ``` #### 二、使用示例 ```java public class JwtDemo { public static void main(String[] args) { // 1. 生成JWT Map<String, Object> claims = new HashMap<>(); claims.put("username", "zss"); String jwt = JwtUtils.createJwt(claims, 3000L); // 有效时间3秒 System.out.println("生成JWT: " + jwt); // 2. 解析并验证JWT try { Claims parsed = JwtUtils.parseJwt(jwt); System.out.println("用户名: " + parsed.get("username")); System.out.println("过期时间: " + parsed.getExpiration()); } catch (ExpiredJwtException e) { System.err.println("令牌已过期"); } catch (JwtException e) { System.err.println("令牌验证失败"); } } } ``` #### 三、关键实现说明 1. **密钥管理** 使用`HmacSHA256`算法需256位密钥,建议通过`Base64`编码生成,生产环境应从安全配置读取 2. **时效控制** 通过`setExpiration()`设置绝对过期时间,时间单位需与系统时钟一致 3. **异常处理** 需捕获`ExpiredJwtException`(过期)和`MalformedJwtException`(格式错误)等异常 4. **载荷扩展** 可通过`claims.put("role", "admin")`添加业务字段,但需避免存储敏感数据
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值