当前位置：首页 > news >正文

基于JWT实现用户身份认证

news 2026/2/10 23:18:34

常见场景

账号/密码登录、手机号验证码登录、微信扫码登录

解决方案

基于Session认证方案

什么是session认证方案

服务端生成httpsession认证(内存-sessionId)
sessionId写到浏览器cookie
浏览器请求的header中自动带sessionId到服务端
服务端校验sessionId是否合法

优点

. 方案成熟、实现简单

缺点

服务端压力大，用户的信息保存在服务端，用户量越大，内存开销越大
扩展性差，用户信息存在某一个服务器上，应用节点就会有状态，分布式环境下无法做到水平无限拓展(如何解决这个问题？可以将session共享，将session存在redis/mysql中，或者session复制，粘性session)
普通的session认证不支持跨域
容易被类似于csrf攻击，因为基于cookie类进行用户识别，cookie很容易被截获

基于JWT认证方案

什么是JWT

JWT(JSON WEB TOKEN) 是目前最流行的跨域认证解决方案，是一种基于Token认证授权机制，JWT自身包含了身份验证所需要的所有信息，因此我们服务端不需要存储Session信息，这显然增加了系统的可用性和伸缩性，大大减轻了服务端压力

JWT格式及组成

JWT也是令牌的token，是一个String字符串，由三部分构成，其中用点隔开，连接在一起就是一个JWT Token

JWT的组成

标头（Header）
有效载荷（Payload）
签名（Signature）

Header：描述JWT的元数据，定义生成签名的算法以及Token类型
Payload：有效负载，用来存放实际需要传递的数据
Signature：前面两部分都使用Base64进行编码，前端可以解开知道里面的数据，Signature需要使用编码后的header和payload加上我们提供的一个密钥使用header中指定的签名算法进行签名，签名的作用是保证JWT没有被篡改过

优点

跨平台实现，token是加密的形式保存在客户端，与语言无关，原则上任何web形式都支持
不需要存储session，服务端节点可水平无限拓展
不依赖cookie，使得其可以防止CSRF攻击
性能好，只需要在header中携带token就可以实现验证

缺点

JWT生成的token在有效期内一直可用，因为存在客户端，无法在服务端删除
用户登出，只能在客户端中删除token，无法在服务端控制
jwt本身无法实现用户禁止登录或拉黑用户需要业务自己实现

拓展

Jwt Token如何续期

方法一

管理后端

服务端(认证鉴权服务)

登录接口：返回accessToken和refreshToken（accessToken与refreshToken时间要错开，一般来说管理后台accessToken一般设置为30分钟，refreshToken设置为1h，小程序或APP：accessToken设置为7天，refreshToken设置为30天）

token续期接口：通过前台传过来的refreshToken来获取新的token(两个)（如果refreshToken过期，直接提示用户重新登录）

前端

前端将accessToken与refreshToken存在浏览器缓存
请求业务接口header中的Authorization参数携带token
如果接口返回token过期，前端通过refreshToken请求token续期接口，返回新的accessToken
前端将token更新缓存，下次使用新的token请求业务

方法二

token过期时间由redis来控制

在登陆时，把用户信息（或者token）放进redis，并设置过期时间
如果30分钟内用户有操作，前端带着token来访问，过滤器解析token得到用户信息，去redis中验证用户信息，验证成功则在redis中增加过期时间，验证失败，返回token错误。实现了token时间的自动更新。
如果30分钟内用户无操作，redis中的用户信息已过期，此时再进行操作，token解析出的用户信息在redis中验证失败，则重新登录。实现了一定时间内无操作掉线！

JWT如何中止

JWT正常情况下只有在过期过后才能失效，所以我们需要第三方的帮助

方案一

每个JWT都有一个唯一的jti字段，我们可以在退出登录/修改密码/重置密码等场景下，将jti字段给保存数据库（MySQL/Redis中），并设置过期的到期时间为Token的到期时间，如果是放在MySQL中则需要设置一个新的字段，如果是Redis中则可以直接设置过期时间，每次判断token的时候都需要查询一下

方案二

因为可以在每个token中加入盐值，认证的时候又会去验证这个盐的值，所以我们可以在每次退出登录/修改密码/重置密码时候，修改这个盐值，所以之前的token就不会验证成功也就失效了

基于JWT实现用户身份认证

常见场景

解决方案

基于Session认证方案

基于JWT认证方案

拓展

Jwt Token如何续期

JWT如何中止

相关文章：

基于JWT实现用户身份认证

SaltStack 远程命令执行漏洞（CVE-2020-16846）

SAP 详细解析成本收集器

Vision Transformer学习了什么-WHAT DO VISION TRANSFORMERS LEARN? A VISUAL EXPLORATION

一种全新的图像滤波理论的实验（三）

CV——day79 读论文：基于小目标检测的扩展特征金字塔网络

智能家居项目（五）测试串口功能

2023年全国最新道路运输从业人员精选真题及答案7

python的所有知识点（含讲解），不看就亏死了

【Servlet篇】Response对象详细解读

SAP FICO期初开账存货导入尾差

微信商城小程序怎么做_分享实体店做微信商城小程序制作步骤

【moment.js】时间格式化插件

微信小程序开发【壹】

2 k-近邻算法

深入探究文件I/O

【LeetCode】剑指 Offer（9）

python 遍历可迭代对象的方法

【数据库】第11章并发控制

Python3-数字

Python爬虫实战：研究MechanicalSoup库相关技术

oracle与MySQL数据库之间数据同步的技术要点

Spring Boot面试题精选汇总

相机Camera日志分析之三十一：高通Camx HAL十种流程基础分析关键字汇总（后续持续更新中）

HDFS分布式存储 zookeeper

JS手写代码篇----使用Promise封装AJAX请求

免费数学几何作图web平台

c++第七天继承与派生2

Python 高效图像帧提取与视频编码：实战指南

Python竞赛环境搭建全攻略