jwt,token生成,续约,注销操作浅谈

已于 2022-05-08 16:30:40 修改
阅读量7.8k 收藏 8
点赞数
分类专栏: jwt 文章标签: jwt
于 2019-12-23 23:29:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u010772230/article/details/103674910
版权

JWT

JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案

原理

JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,由客户端来保存登录信息。此后,客户端每次与服务器通信,都要带上这个 JWT。 生成的token可以放在HTTP 请求的头信息Authorization字段里面,也可以放在 POST 请求的数据体里面。当然也可以把它放在 Cookie 里面自动发送,但是这样不能跨域。所以一般建议放在请求头里。这样子,服务器变成无状态,从而比较容易实现扩展。

token生成:

token由三部分组成

Header(头部)

payload(负载)

signature(签名)

token的payload里面会包含用户的信息(依据业务需要存放)和token的过期时间等信息

token续约方案:

可以在token即将过期的时候,告诉客户端,token快过期了,需要续约。

例如:token过期时间是7天,当第四天(这个天数可以自由控制,但是必须小于过期时间)的时候,就需要续约了。

那么每当客户端请求过来的时候,进行校验。

可以用当前时间+3天是否大于过期时间7天,如果大于的话,代表需要续约了,抛出一个业务的异常给客户端。告诉客户端,你的token快过期了,要重新续约。

token注销方案:

由于jwt整个json对象是保存在客户端的,对于服务器是无感知的,所以服务器无法控制token是否删除整个操作,只要token不过期,都认为是合法的请求。

那么如果要用jwt来实现注销的功能的话,在用户认证成功后,将用户uid和token保存在redis中,并设置token的过期时间,在续约的时候,要同步更新redis中token的过期时间。那么注销的时候,只需要将redis中的token移除即可。

所以校验的时候,只需要判断redis中token是否存在,即可判断用户是否注销。

但是这样子不好的地方,就是每次都要花费一次网络开销去请求redis,还要用redis来存储token,违背了jwt的无状态特性。实际中可以根据项目特点,自行取舍考虑合理的方案。

以上纯属笔者的个人观点,如果更好的方案,欢迎评论。

watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTA3NzIyMzA=,size_16,color_FFFFFF,t_70

 

 

Spring Boot + Redis:实现Token登录授权、续期与主动终止的终极指南
java专栏
11-02 639
通过今天的介绍,相信你已经掌握了如何在Spring Boot项目中实现Token的登录授权、续期主动终止功能。Redis的使用使得Token管理更加灵活高效,希望这篇文章能够帮助你在未来的开发中更加得心应手。如果你有任何问题或建议,欢迎在评论区留言,让我们一起交流,共同进步!
OAuth 2.0最佳实践
javaTalk
04-30 1201
一OAuth 2.0 是什么 OAuth 2.0 是一种授权协议。 二 为什么用OAuth 2.0 OAuth 2.0 这种授权协议,能保证第三方软件只有在获得授权之后,才可以进一步访问授权者的数据,能保证授权者数据的安全性。 三OAuth 2.0四种授权流程 在 OAuth 2.0 的体系里面有 4 种角色,它们分别是资源拥有者、客户端、授权服务受保护资源。 为了详细的讲解四种授权流程,以产品 A 集成产品 B 进行授权登录为例,来具体说明四种授权流程应用场景。 3.1授权码模...
jwt token注销_JWT生成token及过期处理方案
weixin_34118593的博客
01-27 4642
## 业务场景在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。## 基本思路- 单个token1. token(A)过期设置为15分钟2. 前端发起请求,后端验证token(A)是否过期;如...
fastadmin token 验证错误_基于token机制鉴权架构
weixin_39620037的博客
11-22 1390
常见的鉴权方式有两种,一种是基于session,另一种是基于token方式的鉴权,我们来浅谈一下两种 鉴权方式的区别。两种鉴权方式对比session安全性:session是基于cookie进行用户识别的,cookie如果被截获,用户很容易受到跨站请求伪造的攻击。扩展性:session是有状态的,是具有IP黏贴性有中心化特性的,在分布式环境下,虽然每台服务器业务逻辑一样,但是session是保存在...
为什么我们抛弃了Session,拥抱了JWT
最新发布
HYY的博客
04-07 1088
注意signWith(key)是对签名的加密而不是内容,黑客实际上可以枚举jwt提供的有限的算法,去解析出token中传递的数据,这是为什么说明不建议用token去传递敏感信息的原因!使用令牌技术可以解决session的这个痛点,因为令牌使用的是统一的一些哈希算法去生成解析令牌的,每个服务器只需要保存同一个密钥,即可。token生成需要key,token的解析也需要key,而key保存在服务器中,因此,token可以防止被黑客伪造!(保存在服务器,不能公开,用于token生成token的解析)
搞懂 JWT 这个知识点
程序员成长指北
09-22 742
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signatur...
jwt token注销_基于JWTToken登录认证
weixin_39561004的博客
01-12 707
JWT简介 :json Web Token(缩写JWT)是目前最流行的跨域认证解决方案session登录的认证方案是看,用户从客户端传递用户名密码登录信息,服务端认证后将信息储存在session中,将session_id放入cookie中,以后访问其他页面,服务器都会带着cookie,服务端会自动从cookie中获取session_id,在从session中获取认证信息。JWT的解决方案是,将认...
SpringCloud Alibaba微服务实战三十五 - 实现退出登录后注销 jwt token(1)
m0_61549353的博客
04-04 1353
1、看视频进行系统学习这几年的Crud经历,让我明白自己真的算是菜鸡中的战斗机,也正因为Crud,导致自己技术比较零散,也不够深入不够系统,所以重新进行学习是很有必要的。我差的是系统知识,差的结构框架思路,所以通过视频来学习,效果更好,也更全面。关于视频学习,个人可以推荐去B站进行学习,B站上有很多学习视频,唯一的缺点就是免费的容易过时。2、读源码,看实战笔记,学习大神思路“编程语言是程序员的表达的方式,而架构是程序员对世界的认知”。所以,程序员要想快速认知并学习架构,读源码是必不可少的。
python token过期_JWT生成token及过期处理方案
weixin_39670857的博客
12-05 3481
业务场景在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。基本思路单个tokentoken(A)过期设置为15分钟前端发起请求,后端验证token(A)是否过期;如果过期,前端发起刷新toke...
Token 过期后,如何自动续期
拥有必珍惜
07-24 2708
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在网络应用环境间安全地传输信息。这些信息通过数字签名的方式进行编码验证,以确保信息的真实性完整性。JWT可以在两个实体之间安全地传输信息,通常用于在用户服务器之间传输认证会话信息。JWT 的优点无状态:JWT允许服务器无状态地验证用户的身份,因为JWT本身包含了所有必要的验证信息。易于使用:JWT易于在多种语言平台之间传输,因为它只是一个JSON对象。安全性。
基于JWTToken认证
互联网叫兽
03-02 2271
1、什么是JWT JSON Web Tokens,是一种开发的行业标准规范RFC 7519。广泛的用在系统的用户认证方面。 2、JWT结构 JWT 由三个部分依次组成 Header(头部) Payload(载荷) Signature(签名) 2.1、Header Header 部分是一个 JSON 对象,描述 JWT 的元数据,包含算法token类型。 需要对json进行base64url加密 { "alg": "HS256", "typ": "JWT" } 2.2、Payload 用来存
用户认证中心 CASSO 产品原型设计稿 (使用Axure RP 9 以上版本打开)
05-24
二级缓存:jwt token 登陆状态续期 退出登陆 隐性登陆 访问日志 消息推送-单独存储 第二期 运营子系统 用户管理 停用 注销 重置密码 修改密码 在线用户 访问日志 登陆日志 访问链接...
jwt token注销_如何在注销时销毁JWT令牌
热门推荐
weixin_30119251的博客
12-29 1万+
6 个答案:答案 0 :(得分:42)JWT存储在浏览器上,因此删除在客户端删除cookie的令牌如果您还需要在服务器端到期之前使令牌无效,例如帐户已删除/阻止/暂停,密码已更改,权限已更改,用户已由管理员注销,请查看Invalidating JSON Web Tokens一些公共技术,如创建黑名单或旋转令牌答案 1 :(得分:7)创建令牌后,无法手动使令牌失效。因此,实际上无法像在会话中那样在服...
jwt token注销_如何用SpringBoot集成JWT实现token验证及token注销?一招教会你
weixin_39968852的博客
12-19 932
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT 可以使用HMAC算法或者是RSA的公私秘钥对进行签名。JWT 请求流程这里还要注意:光理论是不够的。在此顺便送大家十套20...
java中注销怎么写_java – JWT身份验证:如何实现注销
ぃ妖气ぅ的博客
02-24 410
我为我的Spring启动应用程序实现了JWT身份验证.总的来说,它的工作原理如下:>客户端将用户名,密码发送到登录端点.>服务器检查提供的凭据是否有效.>如果不是,则会返回错误>如果是,它将返回一个令牌,该令牌实际包含>客户端会在每个将来的请求中发送该令牌问题是,我们应该如何实施注销?import org.springframework.security.authen...
jwt token注销_JWTToken登录认证,你用过没?
weixin_35259908的博客
12-29 955
1.JWT简介JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证信任,因为它是数字签名的。2 JSON Web Token的应用场景Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服...
jwt token注销_关于JWT用户主动注销、强制登出、忘记密码、修改密码的一些思考...
weixin_39610366的博客
12-19 555
JWT(JSON WEB TOKEN)的特点是无状态,通常用来作为验证登录以及鉴权,在这一方面,JWT体现出了他的优点。然而,如果使用JWT实现,用户主动注销、强制登出(禁止登陆)、忘记密码、修改密码,JWT续签等方面的需求,就会让人头疼。按照网上的一些讨论,我概括如下:1、将每一个签发的JWT保存在REDIS上,当出现上述的需求时,就更新对应的JWT,如果客户端与REDIS中的不同,那么登录失败...
Shiro整合JWT:解决jwt注销续签的问题
你今天真好看呀
08-01 3787
文章目录Shiro管理用户认证时jwt续签注销的问题1. 场景一:token注销问题(黑名单)2. 场景二:token的续签问题3. 项目中的实现3.1 封装JWT工具类3.2 配置Shiro的自定义认证类3.3 登录退出登录(token注销)3.3.1 登录接口3.3.2 退出登录3.3.3 在shiro的自定义认证类中添加认证规则3.4 修改密码(token注销)3.5 token续签问题(token续签)3.6 用户的角色发生了变化(token注销)3.6.1 更新角色3.6.2 删除角色3.6
JWT详解(组成,工作原理,优缺点,续签问题,删除但有效问题)
m0_62201229的博客
11-26 3667
JWT的组成,工作原理,优缺点,续签问题等常见问题有较为详细的解析,适合小白快速补充知识
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值