Token+JWT+Redis 实现鉴权机制

原创 已于 2025-04-07 20:38:50 修改
· 945 阅读 · 10 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#redis

于 2025-04-07 14:45:39 首次发布

Token+JWT+Redis 实现鉴权机制

使用 Token、JWT 和 Redis 来实现鉴权机制是一种常见的做法,尤其适用于分布式应用或微服务架构。下面是一个大致的实现思路:

1. Token 和 JWT 概述

Token:通常是一个唯一的字符串,可以用来标识用户的身份。
JWT (JSON Web Token):是一种自包含的、轻量级的认证方式。它由三个部分组成:
Header:包含算法信息(如 HMAC SHA256 或 RSA)和 Token 类型。
Payload:包含声明信息(如用户 ID、过期时间等)。
Signature:用于验证 Token 是否被篡改。

2. Token + JWT + Redis 鉴权机制

这个机制大体分为以下几个步骤:

步骤 1:用户登录并生成 JWT

  • 用户输入用户名和密码进行登录。

  • 服务端验证用户信息(用户名和密码)是否正确。

  • 如果验证通过,服务端生成 JWT Token:

      使用用户的 ID、角色、权限等信息作为 Payload。
  设置过期时间(例如 1 小时)作为 Token 的有效期。
  使用一个密钥(例如 secretKey)对 Token 进行签名。

示例 JWT 生成代码(Node.js + jsonwebtoken 库):

const jwt = require('jsonwebtoken');

const user = { id: 123, username: 'test' };  // 用户信息
const secretKey = 'your_secret_key';  // 密钥
const token = jwt.sign(user, secretKey, { expiresIn: '1h' });

服务端将生成的 Token 返回给客户端,客户端将 Token 存储在本地(通常是 localStorage 或 sessionStorage)。

步骤 2:客户端发送请求时携带 JWT

客户端在每次请求时,将 Token 添加到 HTTP 请求头中,通常是 Authorization 字段:

Authorization: Bearer <your_jwt_token>
步骤 3:服务端验证 JWT

每次服务端收到请求时,会验证请求头中的 Token 是否有效。

服务端首先检查 JWT 的签名和过期时间:

使用密钥验证 JWT 的签名。
如果 JWT 已经过期,拒绝请求,并提示重新登录。
示例 JWT 验证代码:

try {
    const decoded = jwt.verify(token, secretKey);  // 解码并验证签名
    console.log(decoded);  // decoded 包含用户信息
} catch (error) {
    // 处理验证失败(如过期、无效等情况)
    res.status(401).send('Unauthorized');
}

除了验证 JWT 本身,服务端还可以通过 Redis 来检查 Token 是否在服务端有效。

步骤 4:使用 Redis 存储和验证 JWT

Redis 用于存储和管理 JWT Token,特别是当需要支持 Token 黑名单、Token 强制失效等功能时。

存储 JWT 到 Redis:
在用户登录时,将 JWT 存储到 Redis,使用用户 ID 或者 Token 本身作为键,设置一个过期时间与 JWT 的有效期一致。

示例代码(Node.js + ioredis 库):

const Redis = require('ioredis');
const redis = new Redis();

// 假设 JWT 是 token,用户 ID 是 user.id
redis.set(`token:${user.id}`, token, 'EX', 3600);  // 设置过期时间为 1 小时

验证 Token 是否在 Redis 中:
在每次请求时,服务端可以通过 Redis 查找 Token 是否存在。如果 Token 不存在,说明用户的 Token 已经失效(比如被登出或超时)。

示例代码:

const tokenFromRequest = req.headers['authorization'].split(' ')[1];  // 获取请求中的 Token

redis.get(`token:${userId}`).then(redisToken => {
    if (!redisToken || redisToken !== tokenFromRequest) {
        // Token 不存在或已失效,返回 401
        return res.status(401).send('Unauthorized');
    }

    // Token 验证通过,继续处理请求
    next();
});
步骤 5:登出操作

登出操作:用户主动登出时,服务端可以将该用户的 Token 从 Redis 中删除,确保该 Token 不能再被使用。

示例代码:

redis.del(`token:${userId}`);

Token 过期:由于 Redis 存储的 Token 设置了过期时间,当 Token 超过有效期时,Redis 会自动删除该 Token。

3. 优势和扩展

Token:能够轻松支持无状态的鉴权,不需要在每个请求中携带用户的会话信息。
JWT:自包含的认证信息,不需要在服务器端存储会话状态,减少了数据库压力。
Redis:用于存储和管理 Token,提供高效的访问和强制失效控制。

总结

通过结合 Token、JWT 和 Redis,我们可以实现一个高效且可扩展的鉴权机制,支持无状态认证、Token 过期控制、强制登出等功能。

JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 2万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
jwt+redis实现登录认证
每天学习一点点
02-17 2065
上面代码是自定义的登录拦截器,在请求到来后,控制器方法执行前,会进入到拦截器的preHandle方法中,在这个方法里面,或获取到请求头中的Authorization属性值,也就是jwt的值,然后再获取到redis中的值,redis中key和values是相同的,都是jwt字符串的内容,所以这里是用jwt的值作为key去获取value,如果value有值则说明该请求是可以放行的(已经登录过),否则拦截请求,返回响应码401。这样原来的jwt就失效了,无法使用原来的jwt进行登录认证。JwtUtil工具类。
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态机制
10-17
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态机制(Restful风格API)(改为数据库形式(MySQL)) 博客源码 附件
JWT+redis实现三大令牌管理方案深度解析
liyunhua258的博客
02-27 565
使用短期Access Token(30分钟)和长期Refresh Token(7天),通过Refresh Token刷新Access Token。:符合OAuth 2.0标准,减少Access Token暴露风险。:支持独立吊销Refresh Token或Access Token。:快速实现,资源投入低,适合安全要求不高的场景。:符合行业合规要求,提供最高级别的安全防护。:无需生成新令牌,减少JWT签名计算成本。:平衡安全与性能,支持设备绑定和基础审计。:旧令牌立即失效,降低盗用风险。
使用JWTRedis + token实现用户登录的两种方式。
Demo的博客
04-16 1969
使用JWT实现登录功能 功能实现流程: 1.用户发起登录请求。 2.使用JwtBuilder生成令牌并返回。 3.写一个拦截器,拦截初登录之外的请求。拦截到请求后解析令牌,若正常放行,并将当前用户id存在当前线程。若出异常则返回登陆失败。
JWT+Redis 实现接口 Token 校验
qq_45110186的博客
12-27 1482
本文介绍在Java中使用JWT生成Token,并且使用Redis配合校验
使用了JWT+拦截器+redis实现用户登录功能
weixin_53693850的博客
09-07 754
JSON Web TokenJWT)是一种使用JSON格式传递数据的网络令牌技术,它是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任,它可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止内容篡改。传统的基于session的方式是有状态认证,用户登录成功将用户的身份信息存储在服务端,这样加大了服务端的存储压力,并且这种方式不适合在分布式系统中应用。
Springboot + vue前后端分离后台管理系统(七) -- 引入JWT
qq_36700462的博客
06-10 544
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 相关文章很多。。。 参考:https://www.jianshu.com/p/576
springboot+security+mybatis+redis+jwt框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
springboot+security+jwt+redis 实现微信小程序登录及token定.zip
03-10
速度快:加载速度相较于传统的HTML5网页更快,依托于微信强大的基础设施,能够实现近乎原生应用的流畅体验。 跨平台兼容:开发者一次开发,即可在多种终端设备上运行,免除了复杂的适配工作,大大提高了开发效率。...
基于springboot+oauth2.0+jwtToken认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
【SpringBoot】最佳实践——JWT结合Redis实现Token无感刷新
最新发布
k123456kah的博客
03-15 1668
JWT是全称是JSON WEB TOKEN,是一个开放标准,用于将各方数据信息作为JSON格式进行对象传递,可以对数据进行可选的数字加密,可使用RSA或ECDSA进行公钥/私钥签名。JWT最常见的使用场景就是缓存当前用户登录信息,当用户登录成功之后,拿到JWT,之后用户的每一个请求在请求头携带上字段来辨别区分请求的用户信息。且不需要额外的资源开销。
【Spring Security】前后端分离 入门-实践 JWT+Redis
weixin_45866411的博客
06-12 1703
最近在学习《Spring 实战》这本书,学习完第四章后,发现确实很强大。现在这个时代,信息可能是我们最有价值的东西,安全性是绝大多数应用系统的一个重要切面。(以上已经是我一年前写的草稿了,现如今已经工作了,但是还是想保留一下)自动配置Spring SecuritySpring Security 完整流程配置自己的过滤器设置自定义的用户储存自定义登录页防范CSRF攻击前后端分离,使用token登录验证限系统跨域问题配置登录处理器。
Springboot使用JWT+Redis实现一个简单的登录
rgrhiea的博客
08-07 6131
这是一个JWT+Redis实现登录的简单demo,通过它包括了springboot、jwtRedisTemplate的简单使用
jwtredis,把生成的token放入redis中进行临时存储
jakelihua
08-28 1648
简介:本文讲解,如何结合jwtredis,我们把jwt生成的token存放在redis中。
快速入门JWT+Redis实现Token验证
Trouvailless的博客
09-17 2503
导言:该文最终本人实现目的为通过JWT来生成token作为用户登录或调用api等身份验证凭证,同时简单的引入了Redis作为缓存来存放Token。用最简洁的方法给第一次接触Token的朋友们快速入门并且实际运用到项目中。不纠结于理论,只聚焦于实战,如果有希望了解更多理论的朋友,可以在看本文的过程中查询其他理论性文章。
基于 JWTRedis 实现高效账号密码验证码登录功能
2301_81284374的博客
09-24 1771
在当今数字化时代,用户对于登录体验的要求越来越高,同时,系统的安全性也至关重要。今天,我们就来探讨一种结合了 JWT(JSON Web Token)和 Redis 的强大方案,用于实现公众号的账号密码验证码登录功能。
【SpringSecurity】十二、集成JWT搭配Redis实现退出登录
llg___的博客
09-03 2298
因为JWT的无状态,服务端无法在使用过程中主动废止某个 token,或者更改 token限。也就是说,目前,一旦 JWT 签发了,就只能等它到过期时间才能作废,即使用户已经退出登录。③ 用户每次访问时,先校验jwt是否合法,如果合法再从redis里面取出logintoken:jwt判断这个jwt还存不存在,如果不存在就说是用户已经退出登录了。注意过期时间和jwt的过期时间保持一致,jwt过期时间可查看下创建jwt时的withExpiresAt方法。,key的过期时间和token自身过期时间一致。
Springboot+Shiro+jwt+Redis实现Token自动刷新源码分享
资源摘要信息:"本文档详细介绍了如何基于Spring Boot框架,结合Shiro安全框架、JWT(JSON Web Token)、Redis缓存以及Mybatis持久层框架来实现一个有效期内Token刷新的解决方案,并提供了源码。这一方案可以应用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

唐人街都是苦瓜脸

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值