一文带你搞懂 JWT 常见概念 & 优缺点

于 2022-06-17 11:30:03 发布
阅读量614 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Java面试 大厂面试 文章标签: 安全 web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34337272/article/details/125330473
JWT 提供无状态的身份验证,有效避免 CSRF 攻击,适合移动端应用和单点登录。然而,JWT 在注销、续签等问题上存在挑战。为了解决 JWT 的注销问题,可以采用存储JWT、黑名单机制或修改密钥等策略。JWT的续签可以通过类似Session的策略、每次请求返回新JWT、设置较长时间有效期或使用双JWT机制来实现。选择JWT还是Session认证取决于项目需求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文原发于 JWT 身份认证优缺点分析

JWT 基本概念详解这篇文章中,我介绍了:

  • 什么是 JWT?
  • JWT 由哪些部分组成?
  • 如何基于 JWT 进行身份验证?
  • JWT 如何防止 Token 被篡改?
  • 如何加强 JWT 的安全性?

这篇文章,我们一起探讨一下 JWT 身份认证的优缺点以及常见问题的解决办法。

JWT 的优势

相比于 Session 认证的方式来说,使用 JWT 进行身份认证主要有下面 4 个优势。

无状态

JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。

不过,也正是由于 JWT 的无状态,也导致了它最大的缺点:不可控!

就比如说,我们想要在 JWT 有效期内废弃一个 JWT 或者更改它的权限的话,并不会立即生效,通常需要等到

了解本专栏 订阅专栏 解锁全文
博客
花了快2个月!Guide自己动手写了一个简单的RPC框架!
06-08 1万+
Github地址:https://github.com/Snailclimb/guide-rpc-framework (欢迎star,欢迎一起完善!共勉!)前言大概 2 个月前,我说过要利用业余时间写一个简单的 RPC 框架,今天(2020-06-05)总算将其开源出来,希望对小伙伴们有帮助。虽说 RPC 的原理实际不难,但是,自己在实现的过程中自己也遇到了很多问题。Guide-rpc-framework 目前只实现了 RPC 框架最基本的功能,一些可优化点都在下面提到了,有兴趣的小伙伴可以自行完.
博客
强烈推荐!15 个 Github 顶级 Java 教程类开源项目推荐!
02-21 3万+
B站在线观看地址:https://www.bilibili.com/video/av90155402 ,来个三连和关注啊!大家好,我是 Guide 哥!今天给大家推荐 15 个新手也能看懂的 Java 教程方向的开源项目。这些项目无论是对于你学习 Java 还是准备 Java 方向的面试都非常有帮助。正如我第一个要推荐的开源项目 JavaGuide 说的那样:开源项目在于大家的参与,这才使得它...
博客
良心推荐,我珍藏的一些Chrome插件
01-10 10万+
上次搬家的时候,发了一个朋友圈,附带的照片中不小心暴露了自己的 Chrome 浏览器插件之多,于是就有小伙伴评论说分享一下我觉得还不错的浏览器插件。我下面就把我日常工作和学习中经常用到的一些 Chrome 浏览器插件分享给大家,随便一个都能提高你的“生活品质”和工作效率。Markdown HereMarkdown Here 可以让你更愉快的写邮件,由于支持 Markdown 直接转电子邮...
博客
硬核! 逛了4年Github ,一口气把我收藏的 Java 开源项目分享给你!
12-09 3万+
Awsome JavaGreat Java project on Github(Github 上非常棒的 Java 开源项目).English Version大家都知道 Github 是一个程序员福地,这里有各种厉害的开源框架、软件或者教程。这些东西对于我们学习和进步有着莫大的进步,所以我有了这个将 Github 上非常棒的 Java 开源项目整理下来的想法。我会按照几个维度对项目进行分类...
博客
面试官:“谈谈Spring中都用到了那些设计模式?”。
05-23 3万+
我自己总结的Java学习的系统知识点以及面试问题,已经开源,目前已经 41k+ Star。会一直完善下去,欢迎建议和指导,同时也欢迎Star: https://github.com/Snailclimb/JavaGuideJDK 中用到了那些设计模式?Spring 中用到了那些设计模式?这两个问题,在面试中比较常见。我在网上搜索了一下关于 Spring 中设计模式的讲解几乎都是千篇一律,而且......
博客
美团OC了,给的挺多!很满意!!
08-04 164
错误日志(error log):对 MySQL 的启动、运行、关闭过程进行了记录。二进制日志(binary log,binlog):主要记录的是更改数据库数据的 SQL 语句。一般查询日志(general query log):已建立连接的客户端发送给 MySQL 服务器的所有 SQL 记录,因为 SQL 的量比较大,默认是不开启的,也不建议开启。慢查询日志(slow query log):执行时间超过秒钟的查询,解决 SQL 慢查询问题的时候会用到。
博客
诶,越来越多的程序员面试也开始卡学历了!
07-24 95
摘要:文章探讨了当前互联网行业普遍存在的学历歧视问题,尤其是针对非全日制本科及专升本求职者的隐性门槛。作者指出,尽管技术面试表现优异,很多求职者仍因学历问题在最后环节被淘汰。文章对比了校招和社招的考察重点,强调在无法改变学历的情况下,应着重提升技术实力、项目经验和软技能。最后,针对面试常见问题提供了实用建议,包括如何应对不会的问题、简历筛选标准等,帮助求职者在学历受限的情况下提高竞争力。
博客
杭州某国企面经,超简单!!
07-21 71
我平时接触和学习的,以及在项目中实际选型和应用的,主要还是像 MySQL、PostgreSQL、Redis、MongoDB 这些在业界广泛应用且生态成熟的开源或商业数据库产品。为了提升系统的响应速度和并发能力,特别是针对热点数据(例如热门博客、频繁访问的配置信息)的快速访问,我们引入了 Redis 作为分布式缓存。近年来,“国企”已然成为程序员圈内备受青睐的职业选择,无论是应届生还是社会招聘,投身国企的热情都空前高涨。另外,牛客上一位同学分享了四类需要谨慎选择的“国企”,总结的挺不错的,建议避雷一下!
博客
感谢数字马力收留,再也不想面试了!!
07-18 109
并且,Lua 脚本中支持一些简单的逻辑处理比如使用命令读取值并在 Lua 脚本中进行处理,这同样是 pipeline 所不具备的。像蚂蚁的“数字马力”、腾讯的“腾讯云智”,这些由大厂100%控股的子公司,就是典型的例子。如果在执行过程中,有其他客户端的命令插入进来,是可能发生的(虽然 Redis 单线程模型保证了单个命令的原子性,但 Pipeline 整体不是)。举个例子:秒杀进行过程中,缓存中的某个秒杀商品的数据突然过期,这就导致瞬时大量对该商品的请求直接落到数据库上,对数据库造成了巨大的压力。
博客
工商银行杭州软开校招面经分享
07-03 73
面试时的自我介绍,其实是你给面试官的“第一印象浓缩版”。它不需要面面俱到,但要精准、自信地展现你的核心价值和与岗位的匹配度。通常控制在 1-2 分钟内比较合适。用简单的话说清楚自己主要的技术栈于擅长的领域,例如 Java 后端开发、分布式系统开发;把重点放在自己的优势上,重点突出自己的能力,最好能用一个简短的例子支撑,例如:我比较擅长定位和解决复杂问题。
博客
东方财富服务端开发暑期实习,难度不小!
06-27 532
东方财富服务端开发实习面试复盘:技术一面侧重Java基础、数据库、缓存等核心技术栈的广度考察;二面深入挖掘项目经验,考察分布式系统、框架原理及算法能力。面试整体难度较大,要求扎实的基础和项目实践能力。最终通过技术两轮面试和HR沟通获得offer。
博客
Redis 8.0 正式版发布,新特性很强!
05-07 1670
Redis 8.0 算是一个里程碑的版本,拥抱 AGPLv3 重归开源,还引入了一些实用的新特性与功能增强。。Redis 常见面试题总结(上)Redis 常见面试题总结(下)如何基于Redis实现延时任务Redis 5 种基本数据类型详解Redis 3 种特殊数据类型详解Redis为什么用跳表实现有序集合Redis 持久化机制详解Redis 内存碎片详解Redis 常见阻塞原因总结。
博客
腾讯Java后端一面,被速通了!
04-27 153
分享一篇腾讯的后端Java一面凉经,被速通了, 大家感受一下难度如何。这次面试的考察覆盖了从 项目经验的深度挖掘(面试官非常看重 STAR 法则的应用)到 扎实的计算机基础(经典的 TCP/UDP 对比、MySQL 事务与 MVCC 原理),再到 分布式系统 的核心概念(如分布式锁的必要性与 Redis 实现),甚至还涉及了对 新兴技术趋势(如 AI 辅助编码)的看法,最后当然少不了 算法能力 的现场检验。
博客
公司来的新人用字符串存储日期,被组长怒怼了...
04-04 666
MySQL 中时间到底怎么存储才好?DATETIME?TIMESTAMP?还是数值时间戳?并没有一个银弹,很多程序员会觉得数值型时间戳是真的好,效率又高还各种兼容,但是很多人又觉得它表现的不够直观。《高性能 MySQL 》这本神书的作者就是推荐 TIMESTAMP,原因是数值表示时间不够直观。下面是原文:每种方式都有各自的优势,根据实际场景选择最合适的才是王道。类型存储空间日期格式日期范围是否带时区信息DATETIME5~8 字节否TIMESTAMP4~7 字节是数值型时间戳。
博客
社招 Java 中厂面试记录,难度有点大!
03-30 469
社招一年半:上海海鼎信息和深圳小赢科技:总体难度还是有点大的,第二家公司拷打的问题非常非常多,一共 60 个问题,多少有点离谱儿。不过,面试体验很好,面试官会引导往哪个方向思考。
博客
Java + LangChain 实战入门,开发大语言模型应用!
03-27 1204
在本教程中,我们将详细探讨LangChain,一个用于开发基于语言模型的应用程序的框架。我们将首先了解语言模型的基础概念,这些知识将对本教程有所帮助。尽管 LangChain 主要提供 Python 和 JavaScript/TypeScript 版本,但也可以在 Java 中使用 LangChain。我们会讨论 LangChain 作为框架的构建模块,然后尝试在 Java 中进行实验。在本教程中,我们探讨了创建基于大型语言模型的应用程序的一些基本元素。
博客
Kafka 4.0 正式发布,彻底抛弃 Zookeeper,队列功能来袭!
03-25 1558
在 Kafka 2.8 之后,引入了基于 Raft 协议的 KRaft 模式(Kafka Raft),不再依赖 Zookeeper,大大简化了 Kafka 的架构,让你可以以一种轻量级的、单进程的方式来使用 Kafka。只有需要调整的消费者和分区才会发生变更,未受影响的消费者可以继续正常工作(旧有的再均衡协议依赖于组范围内的同步屏障,所有消费者都需要参与,这会导致明显的“停顿”)。这次更新带来的改进优化非常多,不仅简化了 Kafka 的运维,还显著提升了性能,扩展了应用场景。Kafka 发布订阅模型。
博客
JDK 24 来啦!解读一下新特性!
03-20 1614
真快啊!Java 24 这两天已经正式发布啦!这是自 Java 21 以来的第三个非长期支持版本,和一样。下一个长期支持版是,预计今年 9 月份发布。Java 24 带来的新特性还是蛮多的,一共 24 个。Java 23 和 Java 23 都只有 12 个,Java 24的新特性相当于这两次的总和了。因此,这个版本还是非常有必要了解一下的。
博客
武汉小米 Java 岗位一二面校招面经
02-19 891
小米 Java 岗位的面试难度并不大,问题也较为常规,主要以技术八股文为主,手撕算法题基本来自 Leetcode 上的常见题目,整体难度适中。下面,分享一篇武汉小米 Java 岗位的校招面经(一二面核心问题整理,附带详细参考答案),大家可以感受一下具体的面试难度。
博客
Spring 项目接入 DeepSeek,分享两种超简单的方式!
02-12 3295
你可以将 Spring AI 看作是一个适配器或者高层封装,用来帮你更方便地集成和使用不同的 AI 模型。它的核心目标是简化开发流程,降低使用多种 AI 服务时的复杂性,同时提升代码的可维护性和灵活性。Spring AI 从著名的 Python 项目(例如 LangChain 和 LlamaIndex)中汲取灵感,解决了 AI 集成中的核心挑战:将企业数据和 API 与 AI 模型连接起来。DeepSeek 作为一款卓越的国产 AI 模型,越来越多的公司考虑在自己的应用中集成。在运行时,你可以通过在。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值