长春星宿网站建设公司怎么样网站片区
目录
- 背景
- 1. 白名单
- 2. 黑名单
- 3. 黑名单具体实现
背景
JWT 最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。
例如注销场景下,就传统的 cookie/session 认证机制,只需要把存在服务器端的 session 删掉就OK了。但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JWT行了吧?不行!被你在客户端删掉的JWT还是可以通过服务器端认证的。
使用JWT要非常明确的一点:JWT失效的唯一途径就是等待时间过期。
但是可以借助外力保存JWT的状态,常用的方案有两种,白名单和黑名单方式。
1. 白名单
在 Redis 维护有效的 JWT。登录成功时将生成的 JWT 存入 redis,并按照 jwt 中的过期时间来设置存入 Redis 的过期时间。登出时将该 JWT从 redis 中删除。
这样在 JWT 校验之前先查询白名单中是否有该 JWT,如果有则表明是有效的,然后进入 JWT 校验与解析的逻辑。有点像有状态的 session 的味道了。
2. 黑名单
在 Redis 维护无效的 JWT。登出(注销)时,将 JWT 放入redis中,并且设置过期时间为 JWT 的过期时间;请求资源时判断该JWT是否在redis中,如果存在则拒绝访问。
白名单和黑名单这两种方案都比较好实现,但是黑名单带给服务器的压力远远小于白名单,毕竟登出(注销)不是经常性操作。
3. 黑名单具体实现
究竟向 Redis 中存储什么?
如果直接存储JWT令牌可行吗?当然可行,不过JWT令牌可是很长的哦,这样对内存的要求也是挺高的。
熟悉JWT令牌的都知道,JWT令牌中有一个jti字段,这个字段可以说是JWT令牌的唯一ID了。因此可以将这个 jti 字段存入redis中,作为唯一令牌标识。
如何实现呢? 分为两步:
- 网关层的全局过滤器从 JWT 中解析出 jti 和过期时间,根据 jti 从redis中查询是否存在黑名单中,如果存在则直接拦截,否则放行;
- 注销接口中将JWT的 jti 字段作为key存放到 redis 中,且设置为 JWT 的过期时间。
--------over