JWT是基于token进行的,那么它是有状态的还是无状态的?
对于这个问题,首先我们要明白啥是有状态,啥事无状态?
- 有状态的典型的例子就是session,对于一个操作,我们必须要找到对应的sessionId来后才可以进行操作,如果需要改变信息,那么session也需要进行改变。也就是说,正是因为它是有状态的,所以我们对于分布式的系统,我们无法进行相关的负载均衡,因为每一步操作都和session息息相关,而session又存储在服务器上,除非说你给每台服务器都进行相关的传递,这也是session的弊端。
- 无状态的典型例子就是token,我们拿JTW进行举例,对于JTW而言,它会生成一段字符串,而这字符串其实是三部分。也就是说,我们所有的内容都在该字符串中,这也就意味着,我们进行操作无需去和服务器做相关约定,如果修改了也在token中进行改动,没有什么约束,这也就是说他无状态的原因。同时也是适用于分布式的原因。
JWT是否可以被拦截进行伪造呢?
这个问题我们要知道JWT它是如何进行加密的。首先它有自己的一个加密算法,虽然该算法是可逆的,也就是说它是有可能被破解的,这个其实不需要担心,因为它还有一个签名,也就是签名+加密算法都要正确才能解锁,所以我们完全不害怕JWT被拦截伪造。
那么他是可以被拦截,之后用拦截到的请求中截取我们token进行一个自己的操作吗(CSRF)?这个是有可能的发生的,如果我们的cookie被拦截就有可能发生身份被伪造的问题,所以官方建议我们存放在LocalStorage(本地存储)中,并放在请求头中。
也可以在应用程序中增加一些黑名单机制去进行阻塞一些操作
你们项目中是如何使用JWT的呢?
这里其实每个人的用法都有所不同,我讲述一下我的思路:
- 当用户第一次进登录时,后台会根据用户的相关信息进行判断是否可以进行登录,如果登录成功,就生成一个token,并存放入Redis中,并设置了一个过期时间。然后传递给用户前台。
- 我的项目时微服务去搞得,所以用来一个组件叫GateWay网关,所以之后用户只要进行操作,我们都会通过网关的全局过滤器进行一个过滤请求,当用户请求过来后,我们去拿到token,判断是否在Redis中, 如果存在就可以正常操作,同时给该记录进行一个加长过期时间的操作。
- 当用户长期没有操作,等到Redis中token过期后用户就需要重新登录。
以上就是我在JTW登录中常遇到的一些问题,也写了一些我的理解,如有错误,请练习我。
扫一扫
259
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
