JWT安全验证常见疑问解答 向右看齐 2022-09-23 04:54 132阅读 0赞 最近做基于[BFF架构][BFF]的分布式移动端API接口的系统设计。工作过程中发现有些工程师对JWT安全验证的认识存在一些偏差,重复讲解实在太麻烦了,在这里把关于JWT常见的一些疑问统一回答下吧。 1. 什么是JWT? [JSON Web Token (JWT)][JSON Web Token _JWT]是一种基于 token 的认证方案。 JSON Web Tokens are an open, industry standard [RFC 7519][] method for representing claims securely between two parties. 简单的说,JWT就是一种Token的编码算法,服务器端负责根据一个密码和算法生成Token,然后发给客户端,客户端只负责后面每次请求都在HTTP header里面带上这个Token,服务器负责验证这个Token是不是合法的,有没有过期等,并可以解析出subject和claim里面的数据。 注意JWT里面的数据是BASE64编码的,没有加密,因此不要放如敏感数据。 可以通过[https://jwt.io/][https_jwt.io]这个网站对JWT Token进行解析。 一个JWT token 看起来是这样的: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjEzODY4OTkxMzEsImlzcyI6ImppcmE6MTU0ODk1OTUiLCJxc2giOiI4MDYzZmY0Y2ExZTQxZGY3YmM5MGM4YWI2ZDBmNjIwN2Q0OTFjZjZkYWQ3YzY2ZWE3OTdiNDYxNGI3MTkyMmU5IiwiaWF0IjoxMzg2ODk4OTUxfQ.uKqU9dTB6gKwG6jQCuXYAiMNdfNRw98Hw_IWuA5MaMo 可以简化为下面这样的结构: base64url_encode(Header) + '.' + base64url_encode(Claims) + '.' + base64url_encode(Signature) 2. 为什么用JWT? JWT只通过算法实现对Token合法性的验证,不依赖数据库,Memcached的等存储系统,因此可以做到跨服务器验证,只要密钥和算法相同,不同服务器程序生成的Token可以互相验证。 3. JWT Token需要持久化在Memcached中吗? 不应该这样做,这样就背离了JWT通过算法验证的初心。 4. 在退出登录时怎样实现JWT Token失效呢? 退出登录, 只要客户端端把Token丢弃就可以了,服务器端不需要废弃Token。 5. 怎样保持客户端长时间保持登录状态? 服务器端提供刷新Token的接口, 客户端负责按一定的逻辑刷新服务器Token。 6. 服务器端是否应该从JWT中取出userid用于业务查询? REST API是无状态的,意味着服务器端每次请求都是独立的,即不依赖以前请求的结果,因此也不应该依赖JWT token做业务查询, 应该在请求报文中单独加个userid 字段。 为了做用户水平越权的检查,可以在业务层判断传入的userid和从JWT token中解析出的userid是否一致, 有些业务可能会允许查不同用户的数据。 7. JWT 在Jave项目中如何实现? 生成Token String token = Jwts.builder().setSubject(userId) .setExpiration(new Date(System.currentTimeMillis() + Constant.TOKEN_EXP_TIME)) .claim("roles", Constant.USER_TYPE_EMP).setIssuedAt(new Date()) .signWith(SignatureAlgorithm.HS256, Constant.JWT_SECRET).compact(); loginResponse.setToken(token); 验证JWT Token final String authHeader = request.getHeader("Authorization"); if (authHeader == null || !authHeader.startsWith("Bearer ")) { log.debug("no Authorization ", e); return; } else { try { final String token = authHeader.substring(7); // The part after "Bearer " log.debug("token " + token); final Claims claims = Jwts.parser().setSigningKey(Constant.JWT_SECRET) .parseClaimsJws(token).getBody(); log.debug(claims.toString()); } catch (Exception e) { //包含超时,签名错误等异常 log.debug("JWT Exception", e); return; } } 注意客户端发送的Authorization HTTP HEADER格式是 “Bearer YOUR\_JWT\_TOKEN”,这是OAuth的规范规定的。 [本文独立博客地址][Link 1] [BFF]: http://samnewman.io/patterns/architectural/bff/ [JSON Web Token _JWT]: http://tools.ietf.org/html/rfc7519 [RFC 7519]: https://tools.ietf.org/html/rfc7519 [https_jwt.io]: https://jwt.io/ [Link 1]: http://www.offbye.com
相关 Java垃圾回收机制:常见疑问及解答 在Java开发中,垃圾回收(Garbage Collection, GC)是一项重要的机制,它负责自动管理程序中的对象内存。以下是一些关于Java垃圾回收的常见疑问及解答: 灰太狼/ 2024年09月19日 16:12/ 0 赞/ 7 阅读
相关 Java多线程编程常见疑问解答 在Java多线程编程中,可能会遇到一些常见的问题。以下是这些问题以及简要的解答: 1. **什么是多线程?** 多线程是指在一个进程中创建了多个并发执行的线程。 叁歲伎倆/ 2024年09月15日 14:39/ 0 赞/ 17 阅读
相关 Java垃圾回收机制:常见疑问及解答 在Java开发中,垃圾回收(Garbage Collection, GC)是一个自动化的内存管理过程。以下是一些关于Java垃圾回收的常见疑问及其解答: 1. 什么是垃圾? 左手的ㄟ右手/ 2024年09月14日 22:42/ 0 赞/ 15 阅读
相关 Java集合框架使用中的常见疑问解答 1. **什么是Java集合框架?** Java集合框架是Java语言提供的一种处理和操作数据的接口。它包括各种容器,如List、Set、Map等。 2. **如何选择 忘是亡心i/ 2024年09月13日 11:15/ 0 赞/ 5 阅读
相关 Java垃圾回收机制:常见疑问解答 在Java编程中,垃圾回收(Garbage Collection,GC)是一个自动的过程,旨在管理程序中的不再使用的内存。以下是关于Java垃圾回收的一些常见疑问的解答: 1 亦凉/ 2024年09月11日 20:00/ 0 赞/ 27 阅读
相关 Java内存模型(Memory Model)理解与常见疑问解答 Java内存模型(Java Memory Model,简称JMM)是Java语言规范的一部分,它定义了所有Java虚拟机必须遵守的行为规则。 理解和处理Java内存模型的常见 古城微笑少年丶/ 2024年09月05日 14:30/ 0 赞/ 16 阅读
相关 JWT安全验证常见疑问解答 最近做基于[BFF架构][BFF]的分布式移动端API接口的系统设计。工作过程中发现有些工程师对JWT安全验证的认识存在一些偏差,重复讲解实在太麻烦了,在这里把关于JWT常见的 向右看齐/ 2022年09月23日 04:54/ 0 赞/ 133 阅读
相关 Java安全验证之jwt(json web token) [http://blog.csdn.net/u012017645/article/details/53585872][http_blog.csdn.net_u012017645 刺骨的言语ヽ痛彻心扉/ 2022年06月10日 05:10/ 0 赞/ 304 阅读
相关 JWT验证 JWT 什么是JWT 官方文档网址:[JWT introduction][] ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naG 雨点打透心脏的1/2处/ 2021年10月06日 18:44/ 0 赞/ 284 阅读
还没有评论,来说两句吧...