Spring Security 的 jwt 与 token+redis方案

最新推荐文章于 2025-10-31 07:29:24 发布
转载 最新推荐文章于 2025-10-31 07:29:24 发布 · 1.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:https://www.zhihu.com/question/274566992

本文探讨了去中心化的JWT令牌和中心化的Redis令牌在身份验证中的优缺点。JWT的优点在于其去中心化和信息内置,但无法主动失效;而Redis令牌允许服务端主动失效,但增加了查询负担。为解决这个问题,提出了优化方案:JWT中增加TokenId字段,并结合Redis黑名单存储,同时利用非对称加密确保安全性。此方案在保持一定程度的去中心化的同时,实现了服务端的主动控制。

1. 去中心化的JWT token
优点:

  1. 去中心化,便于分布式系统使用
  2. 基本信息可以直接放在token中。 username,nickname,role
  3. 功能权限信息可以直接放在token中。用bit位表示用户所具有的功能权限。

缺点:服务端无法主动让token失效

2. 中心化的 redis token / memory session等

优点:服务端可以主动让token失效

缺点:每次都要进行redis查询。占用redis存储空间。

这里 redis存储的是token的白名单。用户的其他信息也要放在redis中存储。需要占用较大的redis空间和查询次数。

3. 优化方案:

  1. Jwt Token中,增加TokenId字段。
  2. 将TokenId字段存储在redis中,用来让服务端可以主动控制token失效
  3. 牺牲了JWT去中心化的特点。
  4. 使用非对称加密。颁发token的认证服务器存储私钥:私钥生成签名。其他业务系统存储公钥:公钥验证签名。

这里的redis只存储tokenId的黑名单,同时redis也可以分布式部署,读写分离。token认证服务器操作redis的master,其他redis同步master的数据

 

 

https://www.zhihu.com/question/274566992

SpringSecurity整合springBootredis token动态url权限校验
mofsfely2的博客
02-18 3793
背景 简单先说一下需求吧,这样也好让看的人知道到底适不适合自己。 1、实现自定义的登录认证。 2、登录成功,生成token并将token 交由redis管理。 3、登录后对用户访问的接口进行接口级别权限认证。 springSecurity提供的注解权限校验适合的场景是系统中仅有固定的几个角色,且角色的凭证不可修改(如果修改需要改动代码)。 @PreAuthorize("hasAuthority('ROLE_TELLER')") public Account post(Account account, do
基于Spring Boot 3 + Spring Security6 + JWT + Redis实现登录、token身份认证
ekskef_sef的博客
01-24 957
基于Spring Boot3实现Spring Security6 + JWT + Redis实现登录、token身份认证。系列文章指路??项目源码??
springSecurity+token+redis 实现单点登录请求时序图
qq_27990381的博客
12-25 2046
最近在设计统一认证中心,多个子系统接入统一认证中兴后能够实现单点登录、异地登陆下线、统一的用户权限管理等。 由于现有子系统都有自己的用户和权限控制,系统建设初期阶段,暂时不考虑统一的用户信息管理。权限控制由子系统独立判断。 系统暂时没有第三方应用接入的需求,本着的简单的原则,使用springSecurity+token+redis的架构。 下面是第一版的系统请求时序图。 ...
SpringBoot 中集成 Spring Security + JWT 实现基于 Token 的身份认证
最新发布
良月柒
10-31 173
方法创建一个新的 JwtBuilder 对象,设置 JWT 的 subject(即用户名)、发布日期(issue date)和到期日期(expiration date),并使用 key() 方法对 JWT 进行签名。小项目有Shiro的比较多,因为相比SpringSecurity,Shiro的上手更加的简单。然后,它会从 JWT 的 Claims 对象中获取 subject(即用户名),并以字符串形式返回。)的关系,即多个用户(User)可以关联到同一个角色(Role),但每个用户只能属于一个角色。
基于springSecurity + redis + token 的请求流程大致图
qq_41456651的博客
08-28 751
SpringSecurity6.0+Redis+JWT+MP基于token认证功能开发(源码级剖析可用于实际生产项目)
laizhenghua的博客
06-25 8165
引子:最近做项目时遇到了一个特殊的需求,需要写共享接口把本系统的一些业务数据共享给各地市的自建系统,为了体现公司的专业性以及考虑到程序的扩展性(通过各地市的行政区划代码做限制),决定要把接口做的高级一些,而不是简单的传个用户名和密码对比数据库里面的,那样真的很low。于是写了基于token的认证功能,在这里分享出来供大家学习探讨。
Spring Security 结合 TokenRedis 实现多终端认证单点登录
m0_73950742的博客
03-05 1093
Spring SecuritySpring 生态中的安全框架,提供了完整的认证、授权和安全防护机制。全面的认证和授权支持可扩展的安全机制防御常见的网络攻击(CSRF、XSS等) Spring 生态无缝集成。
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本多个技术的深度整合,包括Spring SecurityJWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
Spring Security 5.7.5 CURRENT GA-Token+Redis有状态登录
csdn4m
11-25 538
【代码】Spring Security 5.7.5 CURRENT GA-Token+Redis有状态登录。
springSecurity+JWT+Redis权限认证(完整项目代码)
gorylee的博客
12-10 3764
springboot+springsecurity+JWT+redis
springboot+redis+token保持登录
08-03
通过redis 设置session过期时间,实现token 登录机制
Spring Security+redis+jwt的简单使用(登入登出及token验证)
weixin_65247941的博客
09-22 2576
​ 自定义的登入接口放行@Autowired//创建BCryptPasswordEncoder 注入容器@Bean //注入IOC容器@Overridehttp//关闭csrf//不通过Session获取SecurityContext.and()// 对于登录接口 允许匿名访问// 除上面外的所有请求全部需要鉴权认证//把token校验过滤器添加到过滤器链中http@Override@Bean//用户认证后的封装@Autowired。
Spring Security+Redis实现登录
sky2019116的博客
02-03 1967
Spring Security是一个基于Spring框架的安全框架,它提供了一套完整的认证和授权机制,可以方便地实现登录功能需要实现UserDetails接口,并重写其中方法和定义一下自己需要用到的属性。@Data/** 用户唯一标识 *//** 登陆时间 *//** 过期时间 *//** 登录IP地址 *//** 浏览器类型 *//** 操作系统 *//** 用户信息 */@Override@Override/*** 账户是否未过期,过期无法验证*/
SpringSecurity+SpringSecurityOauth2集成实现权限框架,Redis分发Token
积少成多
08-24 2039
写在前面:当我们开始使用Security的时候,常常因为各种注入,而迷糊,但是很害怕使用security,感觉很重很难用!再加入oauth2更难搞,今天我就写点自己的配置理解,希望对大家有帮助!(会提供一个可以使用的源码,放在最后,如果你不想看内容,可以直接下载!) 一: spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) oauth2根据使用场景不同,分成了4种模式,感兴趣的可以去了解,我们主要用密...
spring security oauth2使用redis存储token
weixin_33690963的博客
12-11 1877
序 本文就来讲述一下spring security oauth2使用redis来存储token的配置及在redis中的存储结构 maven <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-secu...
springboot整合JWT+Redis
mclt2017的博客
06-29 4731
——————————已实际运用在项目中,可放心使用———————————————— 引入依赖 创建JWT工具类 创建JWT拦截器 创建Redis工具类 目录 引入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.
springboot22集:security,Lombok,tokenredis
程序员哆啦A梦,蓝胖子
05-12 896
Spring Security是一个基于Spring框架的权限管理框架,用于帮助应用程序实现身份验证和授权功能。它可以为Web应用程序、REST API和方法级安全性提供支持,并支持各种认证方式。Spring Security最初是Acegi Security的前身,但由于其配置繁琐而受到批评。随着Spring Boot的出现,Spring Security的易用性得到了极大的提高,成为了Spri...
Spring Security + jwt + redis +token+shiro权限控制到按钮级别+日志处理实现
08-21
实现一个基于 **Spring Security + JWT + Redis + Token + Shiro 权限控制(到按钮级别)+ 日志处理** 的系统,是一个典型的 Java Web 安全架构。下面我将从整体架构设计、模块划分、核心代码实现几个方面来说明。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值