为什么JWT要结合Redis使用

原创 已于 2023-11-08 11:46:30 修改 · 2k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#redis #数据库 #缓存

于 2023-09-15 17:41:09 首次发布
本文探讨了JWT在解决存储和校验token问题上的优势,以及其自身的缺陷,如令牌撤销、缺乏加密等。通过与Redis集成,可以提高效率并增强安全性,但仍需注意中间人攻击。对于机器对机器通信,可能需要考虑其他加密方法如JWE。

JWT解决了什么问题

存储token的情况:校验token需要重复调用数据库耗时的问题

JWT本身缺陷

  1. alg不要指定为none
  2. 算法不要指定数组,只使用一种算法
  3. 令牌长度可能会超过允许的URL长度,和cookie长度
  4. 如果需要跟踪用于速率限制和 IP 白名单的 API这些功能,那么使用无状态是不现实的

以上都是容易避免的问题,JWT 最大的问题是令牌撤销问题。因为它
在过期前一直有效,因此服务器没有简单的方法来撤销它。

以下是一些可能导致令牌撤销问题的案例:

  1. 注销并不是真正注销。想象一下,你在发送完推文后注销了 Twitter。你会认为自己 注销了服务器,但事实并非如此,因为 JWT 是自包含的,在过期前都将继续工作。过期。过期时间可能是 5 分钟或 30 分钟,也可能是令牌中设定的任何时间。因此,如果有人 可以继续使用它进行身份验证,直到过期为止。
  2. 阻止用户不会立即阻止他们。想象一下,你是 Twitter 或某些在线实时游戏的版主,在这些游戏中,真实用户正在使用系统。游戏的版主,真实用户正在使用该系统。作为版主,您想快速阻止某人滥用系统。系统。出于同样的原因,你不能这样做。即使你阻止了他们,该用户仍可继续访问服务器,直到令牌过期。
  3. JWT 可能包含过期数据。比如,用户是管理员,却被降级为权限较少的普通用户。同样,这不会立即生效,用户将继续是管理员,直到令牌过期。
  4. JWT 通常没有加密。正因为如此,任何能够执行中间人攻击并嗅探 JWT 的人 现在就能获得你的身份验证凭据。由于中间人攻击只需在服务器和客户端之间的连接上完成,因此这变得更加容易。因为 MITM 攻击只需在服务器和客户端之间的连接上完成。有一种加密 JWT 令牌的方法叫 JWE,但使用这种方法时,客户端(尤其是浏览器和 移动设备)无法对其解密,也就无法看到实际的有效负载。此时,您基本上是将 JWT 作为普通的加密会话令牌–至少从网络应用程序和移动应用程序的角度来看是这样。

使用Redis规避JWT的缺陷

就需要结合Redis使用,既解决了数据库来回请求慢(Redis快)的问题,又解决了JWT令牌撤销问题。

Redis + JWT消除了之前讨论过的大部分安全问题(中间人攻击除外)。可以使用 JWT 作为初步检查,同时使用Redis 作为辅助检查(只是判断token是否存在)。

在这种情况下,如果 JWT 校验成功,服务器仍会转到 Redis对信息进行双重检查。如果JWT 验证本身失败,就不必担心检查 Redis 数据库。
这种方法的另一个好处是,你可以在前台使用前端和后端现有的 JWT 库而不必开发自己的自定义方式将数据存储在 Redis 中(尽管这并不是什么大问题)。

最后需要注意的一点是,如上所述、 这种设置仍会使应用程序受到潜在的 中间人攻击。因为令牌没有加密。

如前所述,有一种对 JWT 令牌进行加密的方法叫做 JWE,但使用这种方法时,客户端 (尤其是浏览器和移动设备)无法解密来查看实际有效负载。此时您基本上是将 JWT 用作普通的加密会话令牌,至少从网络应用程序和移动应用程序的角度来看。

如果您要将它用于机器对机器通信,比如在微服务中要在两个不同的服务之间共享登录信息时,就可以共享公钥来解密和查看 JWT 数据–但这是不同的用例。

Shiro+Jwt+Redis
qq_43907296的博客
05-27 1120
​ 而JWT(全称:Json Web Token)是一种特殊的Token,它采用了JSON格式来对Token进行编码解码,并携带了更多的信息,例如用户ID、角色、权限等。它包含了三部分:头部(Header)、数据(Payload)签名(Signature)。其中,头部数据都是经过Base64编码的JSON字符串,而签名是对头部数据进行签名后得到的字符串。
快速入门JWT+Redis实现Token验证
Trouvailless的博客
09-17 2565
导言:该文最终本人实现目的为通过JWT来生成token作为用户登录或调用api等身份验证凭证,同时简单的引入了Redis作为缓存来存放Token。用最简洁的方法给第一次接触Token的朋友们快速入门并且实际运用到项目中。不纠结于理论,只聚焦于实战,如果有希望了解更多理论的朋友,可以在看本文的过程中查询其他理论性文章。
【SpringBoot】最佳实践——JWT结合Redis实现双Token无感刷新
k123456kah的博客
03-15 2498
JWT是全称是JSON WEB TOKEN,是一个开放标准,用于将各方数据信息作为JSON格式进行对象传递,可以对数据进行可选的数字加密,可使用RSA或ECDSA进行公钥/私钥签名。JWT最常见的使用场景就是缓存当前用户登录信息,当用户登录成功之后,拿到JWT,之后用户的每一个请求在请求头携带上字段来辨别区分请求的用户信息。且不需要额外的资源开销。
实例详解:Java使用JWTRedis实现高效单点登录(SSO)
Da_zhenzai的博客
10-25 4008
单点登录(Single Sign-On,简称SSO)是一种身份验证访问控制机制,允许用户使用一组凭证(如登录名密码)登录到多个应用程序中,而无需为每个应用程序单独进行身份验证。用户只需要登录一次就可以访问所有系统的应用资源。相对于传统的每个系统都需要登录一次的方式,单点登录可以提高用户体验,降低用户的登录成本。在本文中,我们将通过使用JWT(JSON Web Token)Redis来实现SSO功能,并提供详细的Java代码实例。通过结合JWTRedis,我们可以轻松实现单点登录(SSO)的功能。
为什么jwt还要用redis呢,redis里存的什么呢
大连赵哥的博客
03-05 2139
为什么jwt还要用redis呢,redis里存的什么呢
SpringBoot集成Shiro、JwtRedis
10-24
在SpringBoot中结合Shiro使用Jwt,可以在用户登录成功后生成一个Jwt Token,然后将其返回给客户端。客户端每次请求时带上Token,服务器端验证Token的有效性,以此实现无状态的身份认证。 **Redis** 是一个高性能的...
精选资源
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWTRedis实现token登录授权验证以及token刷新
05-14
前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ 在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后...
springboot整jwt、shiro、redis实现token自动刷新
08-19
结合JWT(JSON Web Token)Shiro,我们可以构建一个高效的身份验证授权系统,同时利用Redis缓存来提高性能用户体验。下面将详细介绍如何在Spring Boot中整合JWT、ShiroRedis实现Token自动刷新。 JWT是一种...
JWTRedis比较选型
第三眼的思绪
04-19 883
我更倾向Redis方案,在性能影响范围有限时,安全变得很重要。
使用lask_jwt_extended结合redis使用
最新发布
09-28
以下是`flask_jwt_extended`与Redis结合使用的实现方法,主要用于单点登录(SSO)Token失效控制: ### 核心实现步骤 #### 1. 初始化配置 ```python from flask import Flask from flask_jwt_extended import ...
为什么使用 redis
02-16 1347
之前准备学习的时候写博客,可是都没有坚持下去,希望这次可以有始有终。
关于jwt的token是否需要存储到redis的探讨与个人想法
热门推荐
godHhh的博客
12-16 1万+
最近我在开发项目的注册登录模块,用到的技术是Jwt,做完后若有所思,现将想法分享给大家一同探讨,先来大概的了解一下jwt技术。 什么是jwt? ​ Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息
jwt需要存redis吗_Java基于JWT的token认证
weixin_39614322的博客
12-02 1458
一、背景引入由于Http协议本身是无状态的,那么服务器是怎么识别两次请求是不是来自同一个客户端呢,传统用户识别是基于seeioncookie实现的。大致流程如下:用户向服务器发送用户名密码请求用户进行校验,校验通过后创建session绘画,并将用户相关信息保存到session中服务器将sessionId回写到用户浏览器cookie中用户以后的请求,都会鞋带cookie发送到服务器服务器得到co...
【SpringSecurity】十二、集成JWT搭配Redis实现退出登录
llg___的博客
09-03 2494
因为JWT的无状态,服务端无法在使用过程中主动废止某个 token,或者更改 token 的权限。也就是说,目前,一旦 JWT 签发了,就只能等它到过期时间才能作废,即使用户已经退出登录。③ 用户每次访问时,先校验jwt是否合法,如果合法再从redis里面取出logintoken:jwt判断这个jwt还存不存在,如果不存在就说是用户已经退出登录了。注意过期时间jwt的过期时间保持一致,jwt过期时间可查看下创建jwt时的withExpiresAt方法。,key的过期时间token自身过期时间一致。
关于jwt的token是否要存储到redis的问题探讨
keleyayalo的博客
06-28 2640
在开发项目的登录模块的时候,采用了Jwt+redis,做完后若有所思,为什么用了Jwt还要加redis,是否有些多余,于是查阅资料,有了一些了解,如果有不足的地方请大家帮忙纠正。
jwt需要存redis吗_微服务:一步步带你认知前后端分离利器之JWT
weixin_39518530的博客
11-21 2284
一、HTTP的无状态性HTTP 是无状态协议,它不对之前发送过的请求响应的状态进行管理。也就是说,无法根据之前的状态进行本次的请求处理。假设要求登录认证的 Web 页面本身无法进行状态的管理(不记录已登录的状态),那么每次跳转新页面不是要再次登录,就是要在每次请求报文中附加参数来管理登录状态。不可否认,无状态协议当然也有它的优点。由于不必保存状态,自然可减少服务器的 CPU 及内存资源的消耗。从...
JWTRedis的讨论
想到哪记到哪
11-23 4509
先说jwt JWT全称(Json web token),也就是说 本质上它就是个Token,我觉得这一点很重要。采用json的实现,能有效的避开各种浏览器、运行环境的限制,而达到为用户创建身份认证的凭证,并且是跨语言的。 所以jwt本质是提供一个token的实现方式,一个基本的规范;而不是token之外的其他思路。密钥掌握在后台,所以jwt可以在后台运算,后台验证;又因为后台可以运算验证,所以可以不需要存储轻量的完成整个验证的逻辑。有得就有失,运算只能知道这个token是不是符合密钥规范的约束,可以得出一
码神之路博客系统技术精点(二)----jwt+redis
SuperBetterMan的博客
09-19 693
序:如何保存用户的登录状态?可能你会说用Session,对于使用Session这个解决办法,我会给出good but wrong 传统的Session登录认证:用户登录时,向服务器发送两次请求,我们在服务器存储用户登录信息,且会在浏览器存储一份cookie。之后浏览器在发送请求时,就会携带cookie,服务器根据cookie中携带的SessionId查找对应的Session,来判断用户是否登录。 这块详细可查看该文 JWT:它将用户信息加密到Token中,服务器并不保存用户信息,服务器只需要根据保存的密.
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值