jwt与token+redis,哪种方案更好用

说论金 2024-11-06 10:15:00

在设计no session系统时,遇到了有两种可选方案:jwt与token+redis。

JWT: 生成并发给客户端之后,后台是不用存储,客户端访问时会验证其签名、过期时间等再取出里面的信息(如username),再使用该信息直接查询用户信息完成登录验证。jwt自带签名、过期等校验,后台不用存储,缺陷是一旦下发,服务后台无法拒绝携带该jwt的请求(如踢除用户);

token+redis: 是自己生成个32位的key,value为用户信息,访问时判断redis里是否有该token,如果有,则加载该用户信息完成登录。服务需要存储下发的每个token及对应的value,维持其过期时间,好处是随时可以删除某个token,阻断该token继续使用

想问针对它们的情况,都适合是么样的系统?再一起讨论下两种方案的优缺点及缺点的解决方案

1.为什么很多人不推荐你用JWT?

JWT全称就是Json Web Token,翻译成中文就是基于JSON数据格式的web请求的token令牌。这玩意儿在身份验证和信息交换方面挺火的,但奇怪的是,虽然它挺受欢迎的,却也有很多人不推荐使用。这是为什么呢?咱们来用大白话聊聊这背后的原因。

首先,咱们得明白JWT是啥。简单来说,JWT就是一种加密的字符串,里面包含了用户的身份信息。它可以用来在双方之间传递安全信息,让服务器知道“嘿,这个请求是来自那个用户的”,这样的话浏览器给服务器发送的每个请求要是都带JWT了,那服务器不就知道这请求是谁发过来得了?

那服务器代码的手上就有很多权利了,通过JWT令牌带的用户信息,感觉这个请求的用户信息很不靠谱,这人都被注销了,或者是这人怎么频繁的瞎发请求,或者这人被禁用了,这人可能登录都失效了,等等,那不就可以拒绝处理这个请求了。

其实JWT只不过是一个开源的框架,即使咱们不用JWT框架,也可以自己封装基于用户信息的请求令牌功能,比如说一个用户浏览器登录成功了,你服务器生成一个token令牌,token令牌里有一些加密的密钥数据和用户信息数据,数据库里也可以存放一下,还可以设置一个过期时间对吧,完了token令牌返回给浏览器,浏览器可以存自己本地存储。

后续浏览器发送请求的时候,就一定要带上这个token令牌数据,标明每个请求是谁发送的,而且里面还加密了一些只有服务器知道的密钥信息,服务器每次拿到这个请求,先校验token令牌,看看令牌里的加密数据是否跟数据库里一致,是不是自己发出去的,另外就是这个token令牌过期没有,过期了就要求重新登录。

必须校验通过了这个token令牌才能处理这个请求,对不对?

比如,你登录一个网站,网站给你返回一个JWT,你拿着这个JWT去访问网站的其他页面,网站就知道你已经登录过了,不需要再登录一次。还有,两个系统之间要交换信息,也可以用JWT来传递加密的用户身份信息。

这个其实本质就是一种系统的请求处理安全校验机制,必须搞明白每个请求是谁发的,这个请求的令牌是不是合理的,类似皇帝派锦衣卫出去办事,总得发块大内密探零零发的令牌,对不对?所以JWT听着很奇怪,其实就这么个意思。

那JWT有什么好处呢?首先就是简单啊,客户端和服务端都可以用,而且很容易在不同语言间通用。再者,它因为加密了,所以相对来说比较安全。最后,它还支持跨域认证,这对于现在的前后端分离的应用来说,简直太方便了。

你前后端分离以后,可以通过JWT校验请求,你不同语言的系统之间互相请求可以用JWT校验,同一个公司的不同系统之间跨域请求,也可以用JWT校验请求,对吧,是不是很不错?

那JWT怎么使用呢?其实很简单,就三步:生成、发送、验证。服务器端要允许一个浏览器或者其他系统请求自己的话,可以提供一个生成token令牌的接口,任何人要请求你先访问这个接口,去生成一个JWT令牌,那生成JWT的时候,你需要把用户的信息加密进去,这个一般开源框架就搞定了;那浏览器和其他系统后续给你发请求的时候,就可以在请求里带上JWT令牌,发送JWT的时候,你就把这个加密的字符串放在HTTP请求的头部或者其他地方;服务器收到请求之后,验证JWT的时候,服务器就解密这个字符串,看看里面的用户信息是不是对的。

下面是一个简单的Java代码示例,演示了如何使用JWT:

import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; public JwtExample { public static void main(String[] args) { // 生成JWT String jwt = Jwts.builder() .setSubject("用户ID") // 这里可以设置用户ID或者其他身份信息 .setExpiration(new Date(System.currentTimeMillis() + 60000)) // 设置过期时间,这里是1分钟后过期 .signWith(SignatureAlgorithm.HS256, "你的密钥") // 设置加密算法和密钥 .compact(); System.out.println("生成的JWT: " + jwt); // 这里演示的是生成和打印JWT,实际使用中你需要把这个JWT发送给客户端 // 客户端在后续的请求中会把这个JWT发回给服务器,服务器再验证这个JWT } }

但是啊,这么好的东西,为什么还有人不推荐使用呢?其实啊,主要是因为它有下面这几个问题。

第一个问题,就是JWT太大了。你想啊,一旦用户信息多起来,这个加密的字符串就会变得非常长。这样一来,每次请求都得带着这么长的一个字符串,网络传输的压力可就大了。尤其是对于那些信息敏感、需要频繁传输的应用来说,这简直就是个大累赘。

第二个问题呢,就是JWT不太容易废止。一旦JWT发出去了,只要它还没过期,你就可以一直用它来访问服务。这听起来挺方便的,但其实是个大隐患。比如说,要是用户的信息变了,或者用户被踢出登录了,你怎么让这个已经发出去的JWT失效呢?没办法,只能等它自己过期。这可真够让人头疼的。

第三个问题,就是JWT的安全性问题了。虽然JWT是加密的,但也不是绝对的安全。比如说,如果有人拿到了你的JWT,那他就可以在你的身份下做任何操作了。还有啊,因为JWT是把信息都放在客户端的,所以一旦客户端被破解了,那用户的信息也就泄露了。这对于那些对安全性要求很高的应用来说,可是个大问题。

所以啊,这就是为什么很多人不推荐使用JWT的原因了。当然啦,这并不是说JWT就不好了,关键还是要看你的应用场景是否适合。如果你的应用需要跨域认证、对安全性要求很高、而且用户信息也不多的话,那JWT还是个不错的选择的。但如果你的应用并不需要这些功能的话,那就得好好考虑一下了,看看有没有更适合你的身份验证方案。

毕竟啊,选择什么样的技术方案,关键是要看你的应用场景和需求。没有一种技术是万能的,每种技术都有它的优点和缺点。所以啊,在选择技术方案的时候,一定要多思考、多比较、多实践,这样才能找到最适合你的方案。别盲目跟风,得根据自己的实际情况来做出选择。

2.JWT VS token + redisJWT: 生成并发给客户端之后,后台是不用存储,客户端访问时会验证其签名、过期时间等再取出里面的信息(如username),再使用该信息直接查询用户信息完成登录验证。jwt自带签名、过期等校验,后台不用存储,缺陷是一旦下发,服务后台无法拒绝携带该jwt的请求(如踢除用户);Token+Redis:是自己生成个32位的key,value为用户信息,访问时判断redis里是否有该token,如果有,则加载该用户信息完成登录。服务需要存储下发的每个token及对应的value,维持其过期时间,好处是随时可以删除某个token,阻断该token继续使用;去中心化的JWT

优点:

去中心化,便于分布式系统使用;基本信息可以直接放在token中。username,nickname,role;功能权限较少的话,可以直接放在token中。用bit位表示用户所具有的功能权限;

缺点:

服务端不能主动让token失效;中心化的Redis+Token

优点:

服务端可以主动让token失效;

缺点:

依赖内存或redis存储;分布式系统的话,需要redis调用增加了系统复杂性;

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

让我们来假想一下一个场景。在A用户关注了B用户的时候,系统发邮件给B用户,并且附有一个链接“点此关注A用户”。链接的地址可以是这样的

https://your.awesome-app.com/make-friend/?from_user=B&target_user=A

上面的URL主要通过URL来描述这个当然这样做有一个弊端,那就是要求用户B用户是一定要先登录的。可不可以简化这个流程,让B用户不用登录就可以完成这个操作。JWT就允许我们做到这点。

JWT 的组成

一个JWT实际上就是一个字符串,它由三部分组成:头部、载荷与签名。

载荷(Payload)

我们先将上面的添加好友的操作描述成一个JSON对象。其中添加了一些其他的信息,帮助今后收到这个JWT的服务器理解这个JWT。

{ "iss": "John Wu JWT", "iat": 1441593502, "exp": 1441594722, "aud": "www.example.com", "sub": "jrocket@example.com", "from_user": "B", "target_user": "A"}

这里面的前五个字段都是由JWT的标准所定义的。

iss: 该JWT的签发者sub: 该JWT所面向的用户aud: 接收该JWT的一方exp(expires): 什么时候过期,这里是一个Unix时间戳iat(issued at): 在什么时候签发的

这些定义都可以在标准中找到。

将上面的JSON对象进行[base64编码]可以得到下面的字符串。这个字符串我们将它称作JWT的Payload(载荷)。

eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9

如果你使用Node.js,可以用Node.js的包base64url来得到这个字符串。

var base64url = require('base64url')var header = { "from_user": "B", "target_user": "A"}console.log(base64url(JSON.stringify(header)))// 输出:eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9

Java 技术资源分享(包括 Java 高阶编程、架构师、SSM、微服务、Spring Cloud 、Spring全家桶)mp.weixin.qq.com/s?__biz=MzI0MDQ4MTM5NQ==&mid=2247520688&idx=2&sn=a13932c38fd16f7cff2d026bc3be673a&chksm=e918f4acde6f7dba3beead28fa0e5c31afaec00ef27b0c48ed426a1b06c75b4b51f5b9d0227b&token=1760256455&lang=zh_CN#rd

头部(Header)

JWT还需要一个头部,头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。

{ "typ": "JWT", "alg": "HS256"}

在这里,我们说明了这是一个JWT,并且我们所用的签名算法(后面会提到)是HS256算法。

对它也要进行Base64编码,之后的字符串就成了JWT的Header(头部)。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9签名(签名)

将上面的两个编码后的字符串都用句号.连接在一起(头部在前),就形成了

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0

这一部分的过程在node-jws的源码中有体现

最后,我们将上面拼接完的字符串用HS256算法进行加密。在加密的时候,我们还需要提供一个密钥(secret)。如果我们用mystar作为密钥的话,那么就可以得到我们加密后的内容

rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

这一部分又叫做签名。

最后将这一部分签名也拼接在被签名的字符串后面,我们就得到了完整的JWT

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

于是,我们就可以将邮件中的URL改成

https://your.awesome-app.com/make-friend/?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

这样就可以安全地完成添加好友的操作了!

用户认证八步走

所谓用户认证(Authentication),就是让用户登录,并且在接下来的一段时间内让用户访问网站时可以使用其账户,而不需要再次登录的机制。

小知识:可别把用户认证和用户授权(Authorization)搞混了。用户授权指的是规定并允许用户使用自己的权限,例如发布帖子、管理站点等。

首先,服务器应用(下面简称“应用”)让用户通过Web表单将自己的用户名和密码发送到服务器的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。

接下来,应用和数据库核对用户名和密码。

核对用户名和密码成功后,应用将用户的id(图中的user_id)作为JWT Payload的一个属性,将其与头部分别进行Base64编码拼接后签名,形成一个JWT。这里的JWT就是一个形同http://lll.zzz.xxx的字符串。

应用将JWT字符串作为该请求Cookie的一部分返回给用户。注意,在这里必须使用HttpOnly属性来防止Cookie被JavaScript读取,从而避免跨站脚本攻击(XSS攻击)。

在Cookie失效或者被删除前,用户每次访问应用,应用都会接受到含有jwt的Cookie。从而应用就可以将JWT从请求中提取出来。

应用通过一系列任务检查JWT的有效性。例如,检查签名是否正确;检查Token是否过期;检查Token的接收方是否是自己(可选)。

应用在确认JWT有效之后,JWT进行Base64解码(可能在上一步中已经完成),然后在Payload中读取用户的id值,也就是user_id属性。这里用户的id为1025。

应用从数据库取到id为1025的用户的信息,加载到内存中,进行ORM之类的一系列底层逻辑初始化。

应用根据用户请求进行响应。

单点登录

Session方式来存储用户id,一开始用户的Session只会存储在一台服务器上。对于有多个子域名的站点,每个子域名至少会对应一台不同的服务器,例如:

www.taobao.comnv.taobao.comnz.taobao.comlogin.taobao.com

所以如果要实现在http://login.taobao.com登录后,在其他的子域名下依然可以取到Session,这要求我们在多台服务器上同步Session。

使用JWT的方式则没有这个问题的存在,因为用户的状态已经被传送到了客户端。因此,我们只需要将含有JWT的Cookie的domain设置为顶级域名即可,例如

Set-Cookie: jwt=lll.zzz.xxx; HttpOnly; max-age=980000; domain=.taobao.com

注意domain必须设置为一个点加顶级域名,即.http://taobao.com。这样,http://taobao.com和*.http://taobao.com就都可以接受到这个Cookie,并获取JWT了。

作者:子回(John Wu) http://blog.leapoahead.com/2015/09/07/user-authentication-with-jwt/

token+redis登录流程

什么是token:

1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。

2、Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

3、使用Token的目的:Token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。

分析一、使用Token+redis的好处?

性能问题。

JWT方式将用户状态分散到了客户端中,相比于session,可以明显减轻服务端的内存压力。Session方式存储用户id的最大弊病在于Session是存储在服务器端的,所以需要占用大量服务器内存,对于较大型应用而言可能还要保存许多的状态,一般还需借助nosql和缓存机制来实现session的存储,如果是分布式应用还需session共享。

单点登录。

JWT能轻松的实现单点登录,因为用户的状态已经被传送到了客户端。token 可保存自定义信息,如用户基本信息,web服务器用key去解析token,就获取到请求用户的信息了。我们也可以配置它以便包含用户拥有的任何权限。这意味着每个服务不需要与授权服务交互才能授权用户。

前后端分离。

以前的传统模式下,后台对应的客户端就是浏览器,就可以使用session+cookies的方式实现登录,但是在前后分离的情况下,后端只负责通过暴露的RestApi提供数据,而页面的渲染、路由都由前端完成。因为rest是无状态的,因此也就不会有session记录到服务器端。

兼容性。

支持移动设备,支持跨程序调用,Cookie 是不允许垮域访问的,而 Token 则不存在这个问题。

可拓展性。

jwt是无状态的,特别适用于分布式站点的单点登录(SSO)场景。比如有3台机器(A、B、C)组成服务器集群,若session存在机器A上,session只能保存在其中一台服务器,此时你便不能访问机器B、C,因为B、C上没有存放该Session,而使用token就能够验证用户请求合法性,并且我再加几台机器也没事,所以可拓展性好。

安全性。因为有签名,所以JWT可以防止被篡改。

分析二、JSON Web Token+redis方案说明

JWT是基于token的身份认证的方案。json web token全称。可以保证安全传输的前提下传送一些基本的信息,以减轻对外部存储的依赖,减少了分布式组件的依赖,减少了硬件的资源。可实现无状态、分布式的Web应用授权,jwt的安全特性保证了token的不可伪造和不可篡改。本质上是一个独立的身份验证令牌,可以包含用户标识、用户角色和权限等信息,以及您可以存储任何其他信息(自包含)。任何人都可以轻松读取和解析,并使用密钥来验证真实性。这时候又凸显出了传统Session模型的好处,服务器生成令牌下发给前端,前端只持有令牌本身,而令牌代表的数据则完全由服务器说了算,此种模式下:什么Session会话、踢人下线之类的都是信手拈来,但是缺点又回来了:失去了去中心化,水平扩展比较难,且服务器需要维护所有用户的数据状态,性能压力比较大常见解决方案也很简单,那就是把会话数据放到专业的数据中心,比如Redis, 此模式既保证了服务器对会话数据的可控性,又保证了服务水平扩展时的会话一致性

缺陷:

1)JWT在生成token的时候支持失效时间,但是支持的失效时间是固定的,比如说一天。但是用户在等出的时候是随机触发的,那么我们jwt token来做这个失效是不可行的,因为jwt在初始化的时候已经定死在什么时候过期了。采用其他方案,在redis中存储token,设置token的过期时间,每次鉴权的时候都会去延长时间

2)jwt不适合存放大量信息,信息越多token越长JWT就是一个字符串,经过加密处理与校验处理的字符串

分析三.jwt+redis的登录方案流程:

前端服务器收到用户登录请求,传给后台API网关。API网关把请求分发到用户服务里进行身份验证。后台用户服务验证通过,然后从账号信息抽取出userName、login_time等基本信息组成payload,进而组装一个JWT,把JWT放入redis(因为退出的时候无法使jwt立即作废,所以使用保存在redis中,退出的时候delete掉就可以了,鉴权的时候加一层判断jwt是否在redis里,如果不在则证明jwt已过期作废),然后包装cookie中返回到前端服务器,这就登录成功了。前端服务器拿到JWT,进行存储(可以存储在缓存中,也可以存储在数据库中,如果是浏览器,可以存储在 localStorage 中,我实现的是放入到cookie里面)登录后,再访问其他微服务的时候,前端会携带jwt访问后台,后台校验 JWT,验签通过后,返回相应资源和数据就可以了。

链接:https://blog.csdn.net/weixin_43556773/article/details/113737921

为什么不使用JWT的方案?

1、使用了JWT,服务端无法对用户请求进行管理,比如:统计登录用户数、统计一个用户登录了多少次。2、使用了JWT,服务端无法剔除一个已登录的用户,因为JWT一旦生成,在失效之前,总是有效的。

0 阅读:0