【架构-12】JWT和Token

什么是Token?

Token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。

Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

有效期多长合适呢?

为了解决在操作过程不能让用户感到Token失效这个问题,有一种方案是服务器端保存Token状态,用户每次操作都会自动刷新或推迟Token的过期时间------Session就是采用这种策略来保持用户登录状态的。然而仍然存在这样一个问题,在前后端分离、单页APP这些情况下,每秒钟可能发起多次请求,每次都去刷新过期时间会产生非常大的代价。如果Token的过期时间会产生非常大的代价。如果Token的过期时间被持久化到数据库或文件,代价就更大了。所以通常为了提升效率,减少消耗,会把Token的过期时间保存在缓存或内存中。

还有一种方案,使用RefreshToken,它可以避免频繁的读写操作。这种方案中,服务端不需要刷新Token的过期时间,一旦Token过期,就反馈给前端,前端使用Refresh Token申请一个全新的Token继续使用。这种方案中,服务端只需要在客户端请求更新Token的时候对Refresh Token的有效性进行一次检查,大大减少了更新有效期的操作,也就避免了频繁读写。当然Refresh Token也是有有效期的,但是这个有效期就可以长一点,比如以天为单位的时间。

什么是JWT?

JWT(JSON Web Token)是一个开放的标准,它定义了一种紧凑且包含的方式,用JSON对象在各方之间安全地传输信息。此信息是经过数字签名的,可以验证和信任。

JWT是Token的一种具体实现方式,其本质就是一个字符串,将用户信息存储到JSON中然后经过编码得到的字符串,用于web中数据的安全传输。

JWT由三部分组成,分别是Header(头部)、Payload(有效载荷)、Signature(签名),用点(.)将三部分隔开便是JWT的结构,形如xxxxx.yyyyyy.zzzzz的字符串。

  1. Header

JWT Header由两部分组成,是一个描述JWT元数据的JSON对象,alg属性表示签名使用的算法,默认为HAMC SHA256;typ属性表示Token的类型,统一写成JWT。

  1. Payload

    Payload是JWT的主体部分,保存实体信息,每一个字段就是一个声明(claim),JWT为我们提供了一些默认字段。

  2. Signature

    签名部分是对上面两部分数据签名,通过哈希算法,以确保数据不会被篡改。

  3. 参考资料

    jwt.io/introduction

相关推荐
brzhang5 小时前
我操,终于有人把 AI 大佬们 PUA 程序员的套路给讲明白了!
前端·后端·架构
静若繁花_jingjing8 小时前
RocketMq部署模式简介
架构·rocketmq
workflower8 小时前
ISO-IEC-IEEE 42010架构规范
开发语言·架构·软件工程·软件需求·敏捷流程
heimeiyingwang8 小时前
架构如传承:技术长河中的可持续乐章
架构
WarPigs11 小时前
游戏框架笔记
笔记·游戏·架构
Guheyunyi12 小时前
电气安全监测系统:筑牢电气安全防线
大数据·运维·网络·人工智能·安全·架构
鲸鱼146665707541912 小时前
Android数据架构模式:四种主流方案对比
架构
Jackson_Mseven13 小时前
🥷 前端老六上线了:登录成功后,我到底是怎么“一直在线”的?
前端·后端·架构
cpsvps14 小时前
VR协作海外云:跨国企业沉浸式办公解决方案
windows·架构·vr·etw事件
boyedu14 小时前
Hyperledger Fabric架构详解:企业级区块链的模块化设计与实现
架构·区块链·fabric·企业级区块链