当前位置: 首页 > article >正文

Web身份认证 --- Session和JWT Token

Web 身份认证 — Session和JWT Token
  • 方法一: 通过使用Session进行身份认证
  • 方法二: 通过JWT token进行身份认证
    • 什么是JWT
    • JWT完整流程
    • JWT攻防
    • JWT 如何退出登录
    • JWT的续签

方法一: 通过使用Session进行身份认证

  • 用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建创建对应的 Session
  • 请求返回时将此 Session 的唯一标识信息 SessionID 返回给浏览器,浏览器接收到服务器返回的 SessionID 信息后,会将此信息存入到 Cookie 中,同时 Cookie 记录此 SessionID 属于哪个域名.
  • 当用户第二次访问服务器的时候,请求会自动判断此域名下是否存在 Cookie 信息,如果存在自动将 Cookie 信息也发送给服务端,服务端会从 Cookie 中获取 SessionID,再根据 SessionID 查找对应的 Session 信息,如果没有找到说明用户没有登录或者登录失效,如果找到 Session 证明用户已经登录可执行后面操作.
    在这里插入图片描述
  • 当流量大时,后端往往需要多台服务器共同来支撑前端用户请求,那如果用户在 A 服务器登录了,第二次请求跑到服务 B 就会出现登录失效问题, 此时可以使用共享session
  • 将用户的 Session 等信息使用缓存中间件来统一管理 (如Redis),保障分发到每一个服务器的响应结果都一致

使用SpringBoot实现简单的session + cookie实现持久登录

  • 当用户第一次login时
@PostMapping("login")
    public JsonData login(@RequestBody User user, HttpServletRequest request, HttpServletResponse response) {
        String crypPassword = MD5Utils.MD5(user.getPwd());
        User loggedinUser = userService.login(user.getPhone(),  crypPassword);
        if (loggedinUser != null) {
        	//随机生成一个UUID作为seesion ID
            String sessionID = UUID.randomUUID().toString();
            //在服务器中将sessionID和用户组成 KV pair: Map<sessionID, USER>
            //setAttribute的底层实现是一个hashmap
            request.getSession().setAttribute(sessionID, loggedinUser);
            //生成一个cookie, 并将sessionID加入cookie, 对应的名字是 "sessionId"
            Cookie cookie = new Cookie("sessionId", sessionID);
            cookie.setPath("/");
            cookie.setMaxAge(FIVE_DAYS);
            //在response中给客户端返回cookie
            response.addCookie(cookie);
            return JsonData.buildSuccess(loggedinUser);
        }
        return JsonData.buildError("Password or username invalid");
    }
  • 在interceptor中判断是否已经登录:
public static int currentUserID = -1;

String sessionId = "Default";
Cookie[] cookies = request.getCookies();
if (cookies == null) {
	System.out.println("Intercepter: No Cookies");
   	sendJsonMessage(response, JsonData.buildError("Interceptor: No Cookies, please log in first"));
    currentUserID = -1;
    return false;
}
		
//遍历前端传来的cookie
for (Cookie cookie: cookies) {
	//如果发现 sessionId字段, 则说明发现sessionID
    if (cookie.getName().equals("sessionId")) {
    	System.out.println("Interceptor: found a session id in cookie:" +  cookie.getValue());
    	//拿到sessionId
        sessionId = cookie.getValue();
        break;
    }
}
//通过sessionID拿到user
User user = (User)request.getSession().getAttribute(sessionId);


if (sessionId.equals("Default") ||  user == null) {
	System.out.println("Interceptor: sessionId not match, cannot preceed");
    sendJsonMessage(response, JsonData.buildError("Interceptor: No record of this sessionID, please log in first"));
    currentUserID = -1;
    return false;
}

//拿到userID, 在别的类中可以通过 int uid = LoginInterceptor.currentUserID; 拿到uid
currentUserID = user.getId();
  • Session模式有个明显缺点就是在分布式系统中,session缓存可能被频繁调用,形成性能瓶颈甚至发生单点故障,导致系统崩溃.
  • 可以使用JWT进行验证,JWT是无状态的验证方法,不需要缓存

方法二: 通过JWT token进行身份认证

什么是JWT

  • JWT,全称为JSON Web Token,是一种开放标准(RFC 7519),用于在网络应用环境间安全地传输信息。
  • 它本质上是一个经过数字签名的JSON对象,能够携带并传递状态信息(如用户身份验证、授权等)
  • JWT由 Header + Payload + Signature三部分组成, 并经过Base64Url编码之后使用 (注意编码不是加密)
    在这里插入图片描述

Header

  • JWT 的头部通常由两部分组成,分别是令牌类型(typ)和加密算法(alg)。一般情况下,头部会采用 Base64 编码。
{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

  • JWT 的载荷也称为声明信息,包含了一些有关实体(通常是用户)的信息以及其他元数据。通常包括以下几种声明:
  • Registered Claims:这些声明是预定义的,包括 iss(发行者)、sub(主题)、aud(受众)、exp(过期时间)、nbf(生效时间)、iat(发布时间)和 jti(JWT ID)等。
  • Public Claims:这些声明可以自定义,但需要注意避免与注册声明的名称冲突。
  • Private Claims:这些声明是保留给特定的应用程序使用的,不会与其他应用程序冲突。
  • 注意:Payload中一定不要存放敏感或重要信息,如密码等
{
  "sub": "666666",
  "name": "warriors",
  "admin": true
}

Signature

  • JWT 的签名是由头部、载荷和密钥共同生成的。它用于验证 JWT 的真实性和完整性。一般情况下,签名也会采用 Base64 编码。
    例如,如果要使用 HMAC SHA256 算法,将按以下方式创建签名:
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

JWT完整流程

  • 假设你现在有一个应用,需要用户登录后获取访问权限。

用户登录

  • 用户在登录页面输入用户名和密码,点击登录。服务器接收到登录请求并验证用户的凭证。

生成JWT

  • 如果用户的凭证(账号密码)正确,服务器将生成一个JWT。假如服务器将生成的JWT为:
  • eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
  • 让我们详细分解这个JWT的生成过程,一共三个部分,每个部分被点号(.)截断

Header: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

  • base64url解码一下得到
{
	"alg": "HS256",
	"typ": "JWT"
}
  • 这个头部表示我们将使用HMAC SHA-256算法进行签名,并且这是一个JWT。

Payload: eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

  • base64url解码一下得到
{
	"sub": "1234567890",
	"name": "John Doe",
	"iat": 1516239022
}
  • 这个负载部分包含了一些声明,比如用户ID(sub)、用户名(name)和签发时间。

Signature: SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

  • 第三部分签名的生成是由第一部分和第二部分组成的
  • 我们使用密钥(secret)来生成签名。签名是使用以下方法生成的:
  • 将编码后的Header和Payload用点号(.)连接在一起:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
  • 使用HMAC SHA-256算法和密钥secret对上述字符串进行签名:
header_payload = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ"
secret = "secret"
signature = hmac.new(secret.encode(), header_payload.encode(), hashlib.sha256).digest()
signature_base64 = base64.urlsafe_b64encode(signature).rstrip(b'=').decode()
print(signature_base64)
  • 生成的第三部分签名是:SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
  • 最后,将编码后的Header、Payload和生成的Signature用点号(.)连接在一起,形成完整的JWT:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

返回JWT

  • 服务器将生成的JWT返回给客户端。客户端可以将JWT存储在本地存储(Local Storage)或Cookie中。

携带JWT进行请求

  • 在用户登录后的每次请求中,客户端会在请求头中携带JWT,例如:
  • Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

服务器验证JWT

  • 服务器接收到请求后,会验证JWT的签名是否正确。验证过程如下:
  • 从JWT中提取出header和payload部分。
  • 使用同样的签名密钥和header中的算法,重新生成签名。
  • 将重新生成的签名与JWT中的签名进行比较,如果相同,则验证通过。

响应请求

  • 如果JWT有效且未过期,服务器处理请求并返回响应。

JWT攻防

常见攻击方法

  • 暴力破解签名密钥:攻击者可以使用暴力破解的方法猜测JWT的签名密钥。如果签名密钥比较弱,这种攻击可能会成功。
  • 算法替换攻击:如果服务器在验证JWT时不严格检查头部的alg字段,攻击者可以将alg字段改为none,绕过签名验证。
  • 伪造Token:如果服务器使用对称加密算法(如HS256),并且密钥泄露,攻击者可以使用密钥伪造有效的JWT

防御措施

  • 使用强密钥:确保签名密钥足够强,难以被暴力破解。
  • 严格验证算法:在服务器端严格验证alg字段,拒绝none算法。
  • 使用非对称加密:使用非对称加密算法(如RS256),即使公钥泄露,攻击者也无法伪造JWT。
  • 定期更换密钥:定期更换签名密钥以增加安全性。
  • 设置适当的过期时间:设置合理的JWT过期时间,减少被盗用的风险。

JWT 如何退出登录

JWT一旦发出,不能撤回,所以在有效期内会一直有效,常见退出方法有三种

  • Simply remove the token from the client
  • Create a token blacklist
  • Just keep token expiry times short and rotate them often

JWT的续签

  • JWT在使用中一般遵循OAuth2.0的标准,OAuth2.0中的续签通常使用“双令牌(access_token, refresh_token) 续签”
  • 注意 access_token和refresh_token是OAuth2规范的内容,不是jwt规范的部分

访问令牌(Access Token)

  • 用途:访问令牌是一个短期的令牌,用于授权第三方应用访问受保护的资源。每次访问受保护的资源时,第三方应用需要在请求头中携带这个令牌。
  • 有效期:访问令牌通常有一个较短的有效期,可能是几分钟到几小时不等。这是为了减少令牌被盗用的风险。
  • 格式:访问令牌通常是一个字符串,可以是 JWT(JSON Web Token)格式,也可以是其它格式。

刷新令牌(Refresh Token)

  • 用途:刷新令牌用于获取新的访问令牌。当访问令牌过期时,客户端可以使用刷新令牌向授权服务器请求新的访问令牌,而不需要再次通过用户的授权。
  • 有效期:刷新令牌的有效期通常比访问令牌长得多,可以是几天、几周甚至更长时间。
  • 安全性:由于刷新令牌的有效期较长,应该妥善保护,避免泄露。一般来说,刷新令牌不应该在前端应用中存储,而应存储在服务器端

为什么需要两个token

首先确认一点: token使用的次数越多被窃取概率越大,过期时间越长也就越危险

  • 一个token的续签方法: 假设现在只有一个access token,因为使用次数很多(每次Api调用都会用到)并且token无法被设置为失效, 所以access token的过期时间需要被设置的很短,这样即使被token盗,损失也可以降到最低.
  • 方法一: token过期之后,用户重新输入账号密码拿到新的access token.
  • 缺点:因为access token过期时间很短,用户需要频繁输入账号密码,很影响使用.
  • 方法二:当服务器收到请求之后,计算token剩余有效时间,如果小于一个阈值,则颁发新access token.
  • 缺点:如果用户在阈值之内没有进行api调用,则还是需要重新输入账号和密码,影响使用
  • 缺点:如果access被盗用,则盗用者还是可以通过被盗用的access token进行续签,拿到新的token.

使用两个token续签:

  • OAuth2定义了资源服务器授权服务器,第一次认证向授权服务器提交用户名和密码获得两个token,然后访问资源服务器获取资源使用access_token
  • 当access_token有效期失效的时候,前端使用这个refresh_token请求授权服务器换取新的acceess_token来保证接口的正常请求, 这样可以做到用户无感知续签
  • 这样即使access token被盗用,access token的过期时间设置的很短,损失也可以降到最低.
  • 而refresh token使用次数少,保存在数据库中,被盗风险小

http://www.kler.cn/a/455829.html

相关文章:

  • docker-开源nocodb,使用已有数据库
  • OTA场景使用mbed TLS 进行 MD5 校验
  • opencl 封装简单api
  • 【HarmonyOS】鸿蒙arrayBuffer和Uint8Array互相转化
  • 龙智出席2024零跑智能汽车技术论坛,分享功能安全、需求管理、版本管理、代码扫描等DevSecOps落地实践
  • EDGE浏览器每次关闭时再次打开保存的密码就消失如何解决
  • Python爬虫:爱奇艺榜单数据的实时监控
  • No.1免费开源ERP:Odoo自定义字段添加到配置页中的技术分享
  • 华为仓颉编程语言的应用案例分析
  • 深入解析MVCC中Undo Log版本底层存储读取逻辑
  • [实战]Spring Boot启动卡在Root WebApplicationContext initialization completed in
  • rust windwos 两个edit框
  • 矩阵线性方程组
  • js版本之ES6特性简述【Proxy、Reflect、Iterator、Generator】(五)
  • React vite + less
  • 云原生架构中的中间件容器化:优劣势与实践探索
  • PHP技术全栈开发秘籍:从基础到实战的进阶之旅
  • 深度学习驱动的油气开发技术与应用
  • .NET平台用C#通过字节流动态操作Excel文件
  • JVM - JVM调优
  • BFS中的多源BFS、最小步数模型和双端队列广搜
  • HarmonyOS NEXT 实战之元服务:静态案例效果---教育培训服务
  • MacOS下TestHubo安装配置指南
  • Ubuntu24.04最新版本安装详细教程
  • “拍卖信息化”:网上拍卖系统的未来发展
  • 基于Spring Boot的手机卡销售系统的设计与实现