JWT 弊端解决思路(主动过期\权限更新)

已于 2022-10-09 14:20:53 修改
阅读量3.3k 收藏 6
点赞数 1
文章标签: java restful 服务器
于 2022-08-26 16:19:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zxy144/article/details/126545732
版权
探讨JWT(JSON Web Token)在无状态认证中的局限性及解决方案,包括白名单、黑名单管理和短期AccessToken策略,以及如何解决权限实时更新等问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

JWT弊端解决思路(主动过期\权限更新)

了解JWT(JSON Web Token):
  • 优点
    • 服务器开销小,使用 Session + Cookie 需要服务器缓存用户数据,而使用 JWT 则是直接将用户数据下发给客户端,每次请求附带一并发送给服务器.
    • 扩展性好。服务器不缓存用户数据的好处是可以很方便的进行横向扩容
    • 更符合RESTFul API,遵循无状态原则,而JWT刚好把鉴权放在了客户端.
  • 缺点
    • 发下去的令牌服务器端无法控制,在退出或更改权限后,不会立即失效.令牌泄露后不安全
    • 增加带宽成本,使用JWT后,所有请求都需要携带Token,而token的体积很大,如果token过大,加解密过长,也会影响请求速度

(本篇就是围绕这两个缺点准备的解决思路)

安全问题:

JWT保存在客户端,由于JWT无状态去中心化的特点,首先要通过服务端保存一定的信息控制令牌随时失效保证安全,
(如果服务器端保存了令牌的状态,又和JWT的无状态化\去中心化相矛盾)

一、白名单

将所有发下去的令牌全都登记在白名单中

  • 缺点:数量比较大,记录了所有下发的token,而且又像session了
  • 优点:可以管理所有的令牌状态,还可以放入权限信息
  • 使用思路:白名单可以同时将用户的权限放入Redis中,在做令牌验证的时候再把用户的权限放进去
    (但是如果用户的权限发生变更,则之前的令牌中的权限信息就变的不准确)
二、黑名单

只将用户退出登录,或者手动失效的令牌记录下来

  • 缺点:无法管理用户申请的所有令牌,像修改密码后,无法使所有令牌失效,并且权限信息必须放在令牌内
  • 优点:退出登录这种的操作会很少,所以不会像白名单维护的数据量那么大
  • 解决办法:黑名单不能控制所有下发下去的令牌.当用户想要强制失效所有令牌,可以保存一个用户的信息和时间节点,黑名单验证比对中同时增加判断此用户该时间点前的令牌全部失效
三、较短的AccessToken

设置较短的AccessToken时间不做管理,记录所有refreshToken,即只保证refreshToken的安全

​ 比如将AccessToken的失效时间设置为3分钟,当AccessToken只剩下一分钟的有效期,就去调一遍刷新令牌的接口,拿着有效的refreshToken来获取新的AccessToken

  • 缺点:无法保证令牌实时失效,而且会大量的使用refreshToken获取新令牌.
  • 优点:这种AccessToken会更符合JWT令牌的初衷!

可以缩短AccessToken的有效时间到一个可接受的范围,如果只允许用户一个端登录,并且加上前端的配合(修改密码或权限后,自动获取新token,浏览器删除原token).也是一个比较合理的方案

(该方案就需要根据实际情况来权衡利弊)


JWT长度问题:

使用JWT时,如果要把用户的权限信息放入,则令牌会很长,加解密时间也会影响效率:

  • 在JWT中只存放一些少量的用户信息
  • 将权限信息放在网关中,当令牌到达时,使用令牌里的用户信息(或者权限标识)换取权限信息

(如果作为微服务之间的调用很多,或许可以将服务与服务之间的调用省去鉴权部分,直接调用,提高请求的处理时间)


用户权限信息的实时刷新问题:

如果将权限信息\或者权限标识信息放在JWT中,在用户权限发生改变时,下发的令牌权限并不会更新:

  1. 只能在权限改变时,失效所有令牌重新使用refreshToken获取新的令牌
  2. 或者将每个用户的权限信息保存在白名单中,修改权限就修改白名单

※配合强大的缓存服务:

为了实现权限即时更新,多端登录,修改密码,踢人下线等功能.我们永远躲不开有状态.服务端永远都得把控着所有的登录信息

  • 在大型的分布式系统中就要配合着强大的缓存实现:使用白名单,将所有登录系统的用户,全部放到缓存中,存入用户鉴权的所有信息.
  • 这样对缓存服务的要求会很高,也就是说:
    • 缓存服务的容量->系统可容纳的同时在线的用户数量
    • 缓存的查询速度->系统的访问速度

最后发现,我们使用JWT,大费周章的弥补了它无状态带来的问题,最后只是为了使用它的两个特点(优点):1.分布式2.可以存放少量的用户信息 …
其实这些工作使用cookie+分布式缓存也是可以实现的

然而我们不使用传统的session,就是因为在分布式系统的环境下,使用session还需要做多机器服务之间的数据共享和同步,显然不占优势,所以说才有了JWT或者分布式缓存这些东西

结语: 没有最好的解决方案,只有最适合的方案,一切都要根据实际需求来灵活运用

(仅个人理解,求指教)

清风挽歌
关注
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 2万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
AOP+JWT+RABC快速实现权限认证
wjianwei666的专栏
02-26 56
所以,在这里你要知道一件事情,那就是我们JWT生成的字符串,是由Base64进行编码的,我们的签名也就是slat其实只是用来校验头尾,查看JWT字符串是否被修改的。之后,我们知道了JWT,登录流程,同时我们明白,我们在验证token,生成token的时候,我们可以把角色信息搞进去,然后的话验证token的时候,就可以明白到我们的角色。随机签发token,将我们的用户信息,账号信息等等,存储到redis里面,刚刚签发的token是作为key来查询到我们的用户信息,这样的话,更加铭感的信息我们也可以存储进去。
使用Redis来实现JWT令牌主动失效机制
记得开心一点嘛的博客
08-07 696
使用Redis来实现JWT令牌主动失效机制。
修改jwt过期时间_服务端实现JWT主动失效
weixin_39777213的博客
01-29 4770
引言使用JWT时,有一个十分头疼问题就是:用户主动注销、强制登出(禁止登陆)、忘记密码、修改密码、JWT续签、下线时,服务器不能让token主动失效!本文将探索关于这个问题的解决方案。目录:什么是JWTJWT的特点JWT主动失效方案JWT主动失效最佳实践进阶优化总结1.什么是JWTJWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方...
jwt 存在的无状态的安全问题与解决方案
dengjiayue的博客
03-04 1019
可以更好的解决安全问题,还可以进行安全警告(比如异地登录,异设备登录等等),告知客户有正在非法访问他的账号.这样我们就解决了密码泄露/token泄露无法强制下线的安全问题。解决密码泄露/token泄露无法强制下线的安全问题。成本比方案1低了80%泄露的情况与解决方案。
JWT 身份认证优缺点分析以及常见问题解决方案
编码行者的博客
10-22 822
之前分享了一个使用 Spring Security 实现 JWT 身份认证的 Demo,文章地址:适合初学者入门 Spring Security With JWT 的 Demo。 Demo 非常简单,没有介绍到 JWT 存在的一些问题。所以,单独抽了一篇文章出来介绍。为了完成这篇文章,我查阅了很多资料和文献,我觉得应该对大家有帮助。 相关阅读: 《一问带你区分清楚Authentication,Authorization以及Cookie、Session、Token》 适合初学者入门 Spring Secur
关于分布式系统中jwt token主动过期的方案总结
qq_34776150的博客
12-10 2346
jwt token本是为了解决服务间无状态调用确认调用身份合法性的问题出现的解决方案。其设计是为了去中心化、无状态的设计,无需一个统一的token管理服务。为了解决无法主动过期token的问题,就需要为引入状态对token进行管理,需要服务端记录某些token,这又违背了jwt token的设计初衷。在实际生产中如果有类似需求,我们可以根据实际情况结合每种解决方案的优缺点来选择解决方案。我个比较推荐黑名单的解决方案,因为其对存储的要求适中,且可以实时使token主动过期生效,提高了系统的安全性。
JWT的优缺点
会飞的猪
07-17 2106
1.非高并发系统不建议使用JWT,可采用redis缓存机制,或者session、redis机制,开发成本低、易维护、安全性强。1.无需依赖数据库、Redis等中间件,token自带加密用户、权限信息等,后端直接解析即可获取;2.token过长,在前端页面交互跳转时会遇到token过长无法被传递;1.内网段,作为基础公共服务支撑对外系统输出能力,且要求承载一定并发量;3.安全性差,可解密出用户权限信息,如需解决,需要另外进行加密处理;2.token自带有效期,后端无需存储维护,只需校验;
系统登录认证流程对比(cookie方式与jwt)
iygxv
11-01 1947
系统登录认证流程对比(cookie方式与jwt) 一个正在努力爱好运动的程序猿座右铭:越努力越幸运,越运动越健康,热爱编程,热爱运动。 文章目录系统登录认证流程对比(cookie方式与jwt)一、cookie方式登录认证二、JWT(Json Web Token)方式登录认 一、cookie方式登录认证 步骤: 1.用户向服务器发送用户名和密码。 2.服务器验证后,相关数据(如用户角色等)将保存在当前会话(session)中。 3.服务器向用户返回sessionId会写入到用户的Cookie。 4
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
浅谈JWT身份认证及其优缺点
江南烟雨却痴缠丶
03-27 5815
一、登录模式 在介绍JWT之前,我要先介绍一下常见的几种登录模式。 1、单一服务器模式(Session) 我们登录认证成功之后,将用户信息就存放在服务端(Session),然后将其对应的session_id存储在客户端(Cookie),从Cookie中取出session_id,服务端就可以根据这个session_id获取对应的Session,从而获取存储用户信息。 其优点是:Session自动续期,用户体验较好 其缺点是: ①没有分布式架构,无法支持横向扩展。即分布式架构的情况下,其他服务器是没有办法获取到
Gin中使用jwt-go实现JWT鉴权登陆
mjiarong的博客
10-01 2333
JWT全称Json web token ,是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,是目前最流行的跨域身份验证解决方案。JWT基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息,一旦用户完成了登陆,在接下来的每个请求中都会包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限的验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,这也为应用的扩展提供了便利。JWT 以 JSON 对象的形式安全传递信息。
JWT实践总结篇 二 (实现JWT并发请求刷新、主动过期问题)
qq_41829492的博客
08-30 1236
实现JWT并发请求刷新、主动过期 在第一篇文章中总结出了很多JWT的特点,本篇我们解决在使用JWT过程中出现的问题解决思路。下面我们带着问题进入我的思路。 为什么JWT必须设置失效时间? 在使用JWT来认证的系统中,token是标识一个用户的身份、权限唯一标识,如果token泄露,不能保证盗用者拿token来做好事。因此安全起见,普遍token有效期非常短。 为什么需要我们来编写刷新逻辑? 假设...
JWT的优缺点及主动失效方案
weixin_45875621的博客
03-12 3802
原因:前后端分离 以前的传统模式下,后台对应的客户端就是浏览器,就可以使用session+cookies的方式实现登录,但是在前后分离的情况下,后端只负责通过暴露的RestApi提供数据,而页面的渲染、路由都由前端完成。因为rest是无状态的,因此也就不会有session记录到服务器端。 优点 JWT的优点是服务端生成之后就不需要在维护JWT,只需要解析即可,省去分布式session方案中需要去数据库查询的时间。 缺点 不易实现JWT主动失效。 要改变某个用户权限时数据库中用户的权限很容易改变
jwt做状态保持的优缺点及解决方案
黑马程序员广州中心的专栏
12-25 724
什么是JWT JWT是Json Web Token的全称,它是由三部分组成: header payload signature header中通常来说由token的生成算法和类型组成。如: [Python]纯文本查看复制代码 ? 1 2 3 4 { "alg":"HS256", "...
JWT的Token自动续期和主动终止
desky的专栏
03-10 1万+
(1)JWT的续签问题和终止问题 JWT的优势在于无状态,也就是生成的Token中本身有存储信息(payload),所以不需要依赖Redis和DB。JWT本身也有有效期参与签名,问题在于这个有效期不能更改,也很好理解如果参与签名的参数(有效期)发生变化,Token也就不一样了。如果有效期不能改变,即便时间设计的再长,也会有到期的时候,而且Token这种设计初衷也不能有效期很长,导致用户在操作过程中Token到期授权失败,这种情况根本是无法接受的。 另外,JWT的Token签发之后,理论上在到
jwt token太长了?自己实现序列化并缩短token长度
fashionbrot的专栏
07-06 2021
jwt token 太长了? 可以试一下自定义实现的数据+签名的 token秘钥
我不应该用JWT的!
2301_78976656的博客
07-16 836
JWT: 生成并发给客户端之后,后台是不用存储,客户端访问时会验证其签名、过期时间等再取出里面的信息(如username),再使用该信息直接查询用户信息完成登录验证。jwt自带签名、过期等校验,后台不用存储,缺陷是一旦下发,服务后台无法拒绝携带该jwt的请求(如除用户);Token+Redis: 是自己生成个32位的key,value为用户信息,访问时判断redis里是否有该token,如果有,则加载该用户信息完成登录。
JWT (JSON Web Token) 立即失效
HakuMaster的博客
07-11 1876
使一个 JWT (JSON Web Token) 立即失效可以通过多种方式实现,取决于具体的实现和系统需求。
JWT更新过期时间
最新发布
03-22
### 如何修改JWT令牌的过期时间设置 在实际开发中,可以通过多种方式调整JWT令牌的过期时间。以下是几种常见的方法: #### 方法一:通过配置文件动态管理过期时间 如果当前项目使用的是静态配置文件(如`application.yml`或`application.properties`),可以直接在此类文件中定义过期时间参数[^2]。例如,在Spring Boot项目中,可以这样配置: ```yaml jwt: expiration-time: 3600000 # 过期时间为3600秒(1小时) ``` 随后在代码逻辑中读取该值并用于生成JWT令牌。 #### 方法二:基于Redis动态控制过期时间 为了更灵活地管理JWT的有效期限,推荐采用Redis作为缓存工具来存储Token及其对应的过期时间。这种方式允许开发者随时更改某个特定用户的Token有效期而无需重启服务。下面是一个简单的实现思路: - **保存Token到Redis** 当创建一个新的JWT时,除了将其返回给客户端外,还需同步记录至Redis数据库,并指定其TTL(Time To Live),即存活周期。 ```java String token = generateJwtToken(user); // 假设这是生成JWT的方法 long expireMillis = getExpireTimeFromConfig(); // 获取配置中的超时时长(毫秒) // 将Token写入Redis并设定生存时间 redisTemplate.opsForValue().set(token, user.getId(), Duration.ofMillis(expireMillis)); ``` - **验证Token有效性** 每次接收到请求携带的JWT时,先查询Redis确认是否存在对应键名;若不存在,则表明此Token已过期或者从未注册成功。 #### 方法三:手动构建Payload自定义exp属性 另一种直接的方式是在编码阶段主动JWT Payload加入名为`exp`(Expiration Time)的时间戳字段[^3]。这个数值代表Unix纪元后的绝对时刻数(单位为秒)。一旦到达预设时限之后再尝试解码就会触发异常提示“Token has expired”。 示例Python脚本如下所示: ```python import time import jwt def create_jwt_token(secret_key, username): payload = { 'sub': username, 'iat': int(time.time()), # Issued At Claim 'exp': int(time.time()) + 86400 # 设置一天后到期 } encoded_jwt = jwt.encode(payload, secret_key, algorithm='HS256') return encoded_jwt.decode('utf-8') if isinstance(encoded_jwt, bytes) else encoded_jwt ``` 以上三种途径各有千秋,请依据具体业务需求选取最合适的方案实施部署。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值