摘要:設(shè)置過期時間每次登錄�����,包括登錄都返回一個可用的給客戶端�,保證合理登錄的用戶都可以用,實現(xiàn)不會過期的效果����。直接將中該用戶的信息過期。下次通過登錄���,會提醒失效�����,要重新登錄�����,我們重新生成一個新的給用戶,然后�。。通過存儲�,實現(xiàn)過期失效的問題了���。
JWT
使用場景:(自己總結(jié)的,每次請求攜帶token,然后到服務(wù)端驗證token是否正確�,是否過期,然后解碼出攜帶的用戶信息�����。服務(wù)端不需要再存儲session信息����,避免多點部署帶來session處理的問題。 適合做無狀態(tài)用戶請求用戶驗證���,避免存儲session)
介紹:
https://jwt.io/introduction/
http://www.jianshu.com/p/576d...
http://www.jianshu.com/p/fcc1...
總結(jié)
優(yōu)點
因為json的通用性�����,所以JWT是可以進行跨語言支持的����,像JAVA,JavaScript,NodeJS,PHP等很多語言都可以使用�。
因為有了payload部分,所以JWT可以在自身存儲一些其他業(yè)務(wù)邏輯所必要的非敏感信息。
便于傳輸���,jwt的構(gòu)成非常簡單���,字節(jié)占用很小,所以它是非常便于傳輸?shù)摹?它不需要在服務(wù)端保存會話信息, 所以它易于應(yīng)用的擴展
缺點
- 一旦拿到token����, 可用它訪問服務(wù)器,直到過期���,中間服務(wù)器無法控制它���,如是它失效(有解決方案: 在 token
中保存信息,可添加額外的驗證����,如加一個 flag, 把數(shù)據(jù)庫對應(yīng)的flag失效�����,來控制token有效性)����。
- token的過期時間設(shè)置很關(guān)鍵,一般把它設(shè)到凌晨少人訪問時失效����,以免用戶使用過程中失效而丟失數(shù)據(jù)。
- token保存的信息有限����,且都是字符串。
安全相關(guān)
不應(yīng)該在jwt的payload部分存放敏感信息��,因為該部分是客戶端可解密的部分��。
保護好secret私鑰����,該私鑰非常重要。
如果可以�,請使用https協(xié)議
有人提到j(luò)wt暴露簽名算法(alg),而且會有None(無簽名)�����,所以建議隱去alg���。一般的協(xié)議制定都會考慮擴展性和普適性���。但是我們在應(yīng)用中可以采用我們默認(rèn)的算法���,而不是根據(jù)alg去處理。
作者:Dearmadman
鏈接:http://www.jianshu.com/p/576dbf44b2ae
來源:簡書
著作權(quán)歸作者所有�。商業(yè)轉(zhuǎn)載請聯(lián)系作者獲得授權(quán),非商業(yè)轉(zhuǎn)載請注明出處��。
---------------------
作者:o王o
來源:CSDN
原文:https://blog.csdn.net/u012129607/article/details/78685356
版權(quán)聲明:本文為博主原創(chuàng)文章����,轉(zhuǎn)載請附上博文鏈接!
今天討論的主要是 token過期時間的問題
參考 :https://stackoverflow.com/que...
我們的解決方法是:
要求:
①一個賬號僅能有一個token可以使用��。
②token設(shè)置過期時間
③每次登錄���,包括token登錄都返回一個可用的token給客戶端��,保證合理登錄的用戶都可以用token����,實現(xiàn)token不會過期的效果�。
思路:
function 刷新toke()
{
token登錄和正常賬號密碼登錄:
判斷該用戶(在redis中)是否已經(jīng)有token�����,然后判斷這個token創(chuàng)建時間是否當(dāng)日創(chuàng)建的��,如果是當(dāng)日創(chuàng)建的。則直接返回該token給客戶端�。非當(dāng)日創(chuàng)建的,重新生成一個新token給客戶端
redis中保存數(shù)據(jù)結(jié)構(gòu) token_account_id:111 ["token"=>"aaa" , "create_time" =>1500000];
}
function 根據(jù)token獲取用戶信息(token)
{
判斷token對錯=》是否過期=》解析出用戶信息����;
到redis中查該用戶 請求的token 和 redis存的token是否一致,不一致不允許token登錄�����,
再次根據(jù)創(chuàng)建時間����,判斷這個token是否可以用(主要防止修改密碼和注銷操作的token沒失效問題)
最后返回用戶信息
}
修改密碼和注銷。直接將redis中該用戶的信息過期���。下次通過token登錄�����,會提醒token失效�,要重新登錄,我們重新生成一個新的token給用戶��,然后balaball�。。通過redis存儲token���,實現(xiàn) token過期失效的問題了���。
jwt采用 H256加密算法demo:https://github.com/postbird/j...
采用RSA加密算法demo http://blog.csdn.net/u0121296...
作者:o王o
來源:CSDN
原文:https://blog.csdn.net/u012129...
版權(quán)聲明:本文為博主原創(chuàng)文章,轉(zhuǎn)載請附上博文鏈接�����!
文章版權(quán)歸作者所有��,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/72663.html
