使用JWT来做后台认证api支撑(jwt

为移动端api做认证时,通过token的方式来做认证。使用jwt规范,具体实现如(请参考java-jwt文档);
总体流程:用户登录后,签发token给客户端,并保存该token到缓存jwtCache中,客户端每次访问api时,请求头中带token过来,判断该token是否是签发过的token,若是运行访问,不是,则拒绝访问;

遇到的问题:

        1.单使用jwt,当到过期时间时,用户继续访问会被强制性退出。
        2.当用户在web端修改了用户密码,或者禁止用户登录,怎样判定该token失效,让用户退出登录;

解决方法: 

        1.与ehcache集成,设定缓存的失效时间与过期存活时间。
        2.用户修改密码或者禁止登录时,对该用户的jwtCache缓存进行清除;拦截器中判定该token是否存在 于缓存该用户的集合中,若存在,则有效,不存在则无效,退出登录;

1. 登录成功,生成token:

1.1 token中payload的自定义数据为(userId,签发日期,随机数),随机数是为了同一用户在不同设备同时登录时(或者并发之类),使得签发的token做唯一性处理;

1.2 secret定义为配置文件的jwtSecret:uuid;

1.3 把生成的token存放在缓存jwtCache中;其中jwtCache缓存定义的过期时间为十四天,过期还可以存活的时间设置为半小时;缓存存放时以userId为key,value值为Set<String>类型的token集合;

1.4 把生成的 token 返回给客户端调用者;

2. 当用户的密码被修改或者loginFlag=0,从jwtCache缓存中清除该userId对应的值;

3. 拦截器校验token是否有效;我们说登录成功后,签发出去的token都是永久可校验通过的;

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

try{
      3.1 获取客户端请求过来的token=request.getHeader("token");

      3.2 校验token(JWT jwt = verifier.verify(token));

          3.2.1 获取当前token中的userId,签发日期;
                  Set<String> tokens=jwtCache.get(userId);
                  判断当前用户所签发的所有tokens中是否存在该token,若不存在,表示该token已过期失效,禁止访问api;

          3.2.2 若存在该token,表示该token未过期,允许访问api;

  }catch(JWTVerificationException e){
  ------------------------
      3.3 INVALID:校验失败的token,禁止继续访问api
  }

原文:大专栏  使用JWT来做后台认证api支撑(jwt

原文地址:https://www.cnblogs.com/dajunjun/p/11643653.html

时间: 2024-11-09 03:01:51

使用JWT来做后台认证api支撑(jwt的相关文章

基于Token的WEB后台认证机制

几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少.因此,在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Auth OAuth OAuth(开放授权)是一个开放的授权标准,允许用户让

OAuth 2和JWT - 如何设计安全的API?

OAuth 2和JWT - 如何设计安全的API? Moakap译,原文 OAuth 2 VS JSON Web Tokens: How to secure an API 本文会详细描述两种通用的保证API安全性的方法:OAuth2和JSON Web Token (JWT) 假设: 你已经或者正在实现API: 你正在考虑选择一个合适的方法保证API的安全性: JWT和OAuth2比较? 要比较JWT和OAuth2?首先要明白一点就是,这两个根本没有可比性,是两个完全不同的东西. JWT是一种认证

用户认证:基于jwt和session的区别和优缺点

背景知识: Authentication和Authorization的区别: Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A. Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据. 由于http协议是无状态的,每一次请求都无状态.当一个用户通过用户名和密码登录了之后,他的下一个请求不会携带任何状态,应用程序无法知道他的身份,那就必须重新认

ASP.NET Core Web Api之JWT VS Session VS Cookie(二)

前言 本文我们来探讨下JWT VS Session的问题,这个问题本没有过多的去思考,看到评论讨论太激烈,就花了一点时间去研究和总结,顺便说一句,这就是写博客的好处,一篇博客写出有的可能是经验积累,有的可能是学习分享,但都逃不过看到文章的你有更多或更好的想法,往返交流自身能收获更多,何乐而不为呢?希望本文能解惑或者能得到更多的交流.我们可直接抛出问题:使用客户端存储的JWT比服务端维持Session更好吗? 基于JWT和Session认证共同点 既然要比较JWT VS Session,那我们就得

ASP.NET Core Web Api之JWT刷新Token(三)

原文:ASP.NET Core Web Api之JWT刷新Token(三) 前言 如题,本节我们进入JWT最后一节内容,JWT本质上就是从身份认证服务器获取访问令牌,继而对于用户后续可访问受保护资源,但是关键问题是:访问令牌的生命周期到底设置成多久呢?见过一些使用JWT的童鞋会将JWT过期时间设置成很长,有的几个小时,有的一天,有的甚至一个月,这么做当然存在问题,如果被恶意获得访问令牌,那么可在整个生命周期中使用访问令牌,也就是说存在冒充用户身份,此时身份认证服务器当然也就是始终信任该冒牌访问令

.NetCore采取JWT方式进行身份认证

验证与授权 Authentication(身份认证) 认证是系统对请求的用户进行身份识别的过程. Authorization (授权) 授权是对认证通过后的用户进行权限分配的过程.授权简单理解就是:识别认证后用户所拥有哪些权限,从而开放服务器相对应的资源: 我们通俗点来解释身份验证与授权:验证确认用户是否允许访问,授权给予登录后的用户指定权限标识(通过这个标识,服务端可允许用户进行访问和操作): 在进行讲解Jwt身份认证前我们来回一下过去我们在MVC.WebForm这些站点都是怎样进行身份认证的

ASP.NET Core Web Api之JWT(一)

前言 最近沉寂了一段,主要是上半年相当于休息和调整了一段时间,接下来我将开始陆续学习一些新的技术,比如Docker.Jenkins等,都会以生活实例从零开始讲解起,到时一并和大家分享和交流.接下来几节课的内容将会讲解JWT,关于JWT的原理解析等等园子里大有文章,就不再叙述,这里我们讲解使用和一些注意的地方. 为什么要使用JWT 在.NET Core之前对于Web应用程序跟踪用户登录状态最普通的方式则是使用Cookie,当用户点击登录后将对其信息进行加密并响应写入到用户浏览器的Cookie里,当

Spring Boot认证:整合Jwt

背景 Jwt全称是:json web token.它将用户信息加密到token里,服务器不保存任何用户信息.服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证. 优点 简洁: 可以通过URL.POST参数或者在HTTP header发送,因为数据量小,传输速度也很快: 自包含:负载中可以包含用户所需要的信息,避免了多次查询数据库: 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持: 不需要在服务端保存会话信息,特别适用于分布式微

今天在做后台管理系统的无刷新左侧菜单,遇到两个难题:(CTE递归查询、ashx+Session[])

今天在做后台管理系统的无刷新左侧菜单,遇到两个难题: 1.怎么将数据表中的菜单项按树形结构进行层次性的查询?群里有人给我指点说用CTE递归查询,我还没搞明白. 2.要做左侧导航栏的根据用户权限的无刷新加载时,要用到AJAX,那么就要在ashx一般处理程序中取得Session["UserID"]的值,但是ashx中是不能用Session的,之后找到一篇文章,指出:若要在ashx中使用Session和Request需要引入一个接口. 在ashx文件中使用Session和QueryStrin