基于JWT实现用户身份认证
常见场景
账号/密码登录、手机号验证码登录、微信扫码登录
解决方案
基于Session认证方案
什么是session认证方案
- 服务端生成httpsession认证(内存-sessionId)
- sessionId写到浏览器cookie
- 浏览器请求的header中自动带sessionId到服务端
- 服务端校验sessionId是否合法
优点
- . 方案成熟、实现简单
缺点
- 服务端压力大,用户的信息保存在服务端,用户量越大,内存开销越大
- 扩展性差,用户信息存在某一个服务器上,应用节点就会有状态,分布式环境下无法做到水平无限拓展(如何解决这个问题?可以将session共享,将session存在redis/mysql中,或者session复制,粘性session)
- 普通的session认证不支持跨域
- 容易被类似于csrf攻击,因为基于cookie类进行用户识别,cookie很容易被截获
基于JWT认证方案
什么是JWT
JWT(JSON WEB TOKEN) 是目前最流行的跨域认证解决方案,是一种基于Token认证授权机制,JWT自身包含了身份验证所需要的所有信息,因此我们服务端不需要存储Session信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端压力
JWT格式及组成
JWT也是令牌的token,是一个String字符串,由三部分构成,其中用点隔开,连接在一起就是一个JWT Token
JWT的组成
- 标头(Header)
- 有效载荷(Payload)
- 签名(Signature)
Header:描述JWT的元数据,定义生成签名的算法以及Token类型
Payload:有效负载,用来存放实际需要传递的数据
Signature:前面两部分都使用Base64进行编码,前端可以解开知道里面的数据,Signature需要使用编码后的header和payload加上我们提供的一个密钥使用header中指定的签名算法进行签名,签名的作用是保证JWT没有被篡改过
优点
- 跨平台实现,token是加密的形式保存在客户端,与语言无关,原则上任何web形式都支持
- 不需要存储session,服务端节点可水平无限拓展
- 不依赖cookie,使得其可以防止CSRF攻击
- 性能好,只需要在header中携带token就可以实现验证
缺点
- JWT生成的token在有效期内一直可用,因为存在客户端,无法在服务端删除
- 用户登出,只能在客户端中删除token,无法在服务端控制
- jwt本身无法实现用户禁止登录或拉黑用户需要业务自己实现
拓展
Jwt Token如何续期
方法一
管理后端
服务端(认证鉴权服务)
登录接口:返回accessToken和refreshToken(accessToken与refreshToken时间要错开,一般来说管理后台accessToken一般设置为30分钟,refreshToken设置为1h,小程序或APP:accessToken设置为7天,refreshToken设置为30天)
token续期接口:通过前台传过来的refreshToken来获取新的token(两个)(如果refreshToken过期,直接提示用户重新登录)
前端
- 前端将accessToken与refreshToken存在浏览器缓存
- 请求业务接口header中的Authorization参数携带token
- 如果接口返回token过期,前端通过refreshToken请求token续期接口,返回新的accessToken
- 前端将token更新缓存,下次使用新的token请求业务
方法二
token过期时间由redis来控制
在登陆时,把用户信息(或者token)放进redis,并设置过期时间
如果30分钟内用户有操作,前端带着token来访问,过滤器解析token得到用户信息,去redis中验证用户信息,验证成功则在redis中增加过期时间,验证失败,返回token错误。实现了token时间的自动更新。
如果30分钟内用户无操作,redis中的用户信息已过期,此时再进行操作,token解析出的用户信息在redis中验证失败,则重新登录。实现了一定时间内无操作掉线!
JWT如何中止
JWT正常情况下只有在过期过后才能失效,所以我们需要第三方的帮助
方案一
每个JWT都有一个唯一的jti字段,我们可以在退出登录/修改密码/重置密码等场景下,将jti字段给保存数据库(MySQL/Redis中),并设置过期的到期时间为Token的到期时间,如果是放在MySQL中则需要设置一个新的字段,如果是Redis中则可以直接设置过期时间,每次判断token的时候都需要查询一下
方案二
因为可以在每个token中加入盐值,认证的时候又会去验证这个盐的值,所以我们可以在每次退出登录/修改密码/重置密码时候,修改这个盐值,所以之前的token就不会验证成功也就失效了
基于JWT实现用户身份认证相关推荐
- 【java】基于JWT的token身份认证方案
1.概述 转载:基于JWT的token身份认证方案 2.使用JSON Web Token的好处 2.1 性能问题 验证信息可以由前端保存,后端不需要为保存token消耗内存.JWT方式将用户状态分散到 ...
- 基于jwt的用户登录认证
最近在app的开发过程中,做了一个基于token的用户登录认证,使用vue+node+mongoDB进行的开发,前来总结一下. token认证流程: 1:用户输入用户名和密码,进行登录操作,发送登录信 ...
- ASP.NET WebApi 基于JWT实现Token签名认证
一.前言 开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将会是需要思考的问题.在ASP.NET WebService服务中可以通过SoapHead验证机制 ...
- 构建具有用户身份认证的 Ionic 应用
序言:本文主要介绍了使用 Ionic 和 Cordova 开发混合应用时如何添加用户身份认证.教程简易,对于 Ionic 入门学习有一定帮助.因为文章是去年发表,所以教程内关于 Okta 的一些使用步 ...
- vue3+nodejs基于RSA加密的身份认证(token的组成及使用)
nodejs学习 1.express & nodejs & mysql 新建项目 2.nodejs尝试登陆接口 3.nodejs的前端项目搭建以及登陆接口开发 4.前端上传图片form ...
- 构建具有用户身份认证的 React + Flux 应用程序
序言:这是一篇内容详实的 React + Flux 教程,文章主要介绍了如何使用 API 获取远程数据以及如何使用 JSON Web Tokens 进行用户身份认证.在阅读本文之后,我一直使用文章介绍 ...
- 区块链BaaS云服务(36)欧盟“用户身份认证”ESSIF
1.用户身份认证 ESSIF (European Self Sovereign identity framework ) 1.1 目前问题 数据孤岛.数据共享. 1.2 目前解决方法 2. 区块链解决 ...
- Spring Security:基于MySQL数据库的身份认证
本文来说下Spring Security:基于MySQL数据库的身份认证和角色授权 .本文为了上手简单,只用了一张user表. 文章目录 概述 创建项目 基于数据库的身份认证 本文小结 概述 需求缘起 ...
- 一种基于区块链的身份认证方法
摘 要: 零信任理念的提出和发展,提高了网络信息系统数据访问的可控性和可信性,有效增强了系统数据的安全性.但是,总不信任,永远验证的设计原则,也给用户进行数据访问带来了巨大的挑战,特别是在广域.异地身 ...
- 校内实验六,Windows系统中基于用户名密码的身份认证
Windows系统中基于用户名密码的身份认证 一.实验目的 二.实验环境及原理 三.实验内容 1 检查和删除不必要的账户 2 禁用guest用户. 3 设置帐户/密码登录身份认证 4 匿名Admini ...
最新文章
- 哪些品牌开始连接鸿蒙系统,华为鸿蒙系统硬件生态品牌升级为 HarmonyOS Connect
- php接收ajax转数组
- 微信公众号支付开发全过程(java版)
- 第5章-Vue.js交互及生命周期练习
- python进度条 pyqt_python如何通过pyqt5实现进度条
- js input点击事件_Vue.js的旅程,简单的todo实例「602」
- python最短路径例子_Python实现的多叉树寻找最短路径算法示例
- 数据从hadoop到oracle,如何向 hadoop 导入数据
- 图书管理系统(微信、后台、网页端)总结
- iText关于中文的解决方案
- UI控件之(TextField)
- vim搜索设置高亮:set hlsearch
- 怎么调用新建模型里文章的内容_读完这篇文章,再难的建筑模型你都能快速上手...
- java计费系统_Java网吧计费系统
- 电脑输入法变成繁体中文如何改回来
- java文本框失去焦点事件,jQuery 文本框得失焦点的简单实例
- javaweb站点根目录和web应用根目录应用场景
- JavaScript中的作用域及作用域链
- html提取excel指定单元格数据,怎样从很多的表格中提取指定单元格数据
- telnet不是内部或外部命令解决方法