说明
在现代Web开发中,前后端分离架构已经成为主流。前后端分离后用户身份验证中JWT 是前后端分离架构中用户认证与权限管理的主流方案。
JWT优点本文就不讲了,它能成为主流说明有优点是很明显的,今天分析一下我使用jwt过程中对他缺点(在特定需求总的缺点)和不断改进符合要求的改造。
安全性演化
1.无状态(无法销毁)和生成加密字符串过长
针对这个无状态无法销毁的问题,可以使用内存或redis存储数据,记录token状态。同时可以使用新key标识加密作为存储key-value 价值对的key,然后token最为值存储在内存或redis中。返回前端的数据为key,这样即可记录状态有可以返回短加密数据。
2.JWT 有效期问题
为了token安全生产的token是要设置有效期的,有了失效,那么它是存在过期情况,也就是当用户操作时候token过期就好终止操作,这种打断用户使用状况,在实际非常不好。这时可以采用无感刷新设计,即设计一个过期前时间提交更新token并返回新的token替换,这种返回新的token需要前端替换,相对麻烦。从上面用新加密的key做存储的key,并把key返回前端(而不是token),这样的话,只需在后端把刷新的token替换掉,前端原来的key就无需跟新,返回旧的key获取新的token解析即可。
3.长久不变的key(token)会被劫持
由于JWT 有效期较长以及上面无感刷新 ,一旦泄露,风险将持续存在。为了解决这个问题可以采用动态token,也就是传输的token是变化的,可以一秒变化一次,并且每一个token设置短期失效。这样即使token泄露也无法正常使用,确保了系统数据安全。如果数据安全系数要求高,可以一次请求对应一个token,而且一个token只能使用一次。这样就可以做到安全token身份验证了。
好了以上我们实际开发中不断完善token机制,我们还继续完善。如果感兴趣可以到社区https://goflys.cn/goframepro 体验。或者有新token验证问题可以在社区留言或提问,我们一同完善。