个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
25
4
JWT是确保发送给用户和返回给用户的数据未被篡改的好方法,但这会带来一些艰难的选择。目前,我在将授权数据存储在 JWT 声明中和仅接触数据库一次以进行授权之间做出选择,或者仅存储用户 ID 并使用数据库检查对服务器的每个请求的授权级别。
之所以做出如此艰难的选择,是因为该应用程序使用多个授权级别,这使得 base64 编码的 url 非常长且体积庞大(请参阅下面可以预期存储为授权级别的内容)。
另一方面,要获得授权,需要在数据库中进行两次查找。
所以我的问题如下; 通过将权限发送到服务器而在每个请求上产生的额外开销是否值得避免在每个请求时查找权限的麻烦?
作为旁注;在权限更改的情况下,在数据库中查找方法的好处是不需要用户再次登录 (see post)。
"perms": {
"roles": [
{
"name": "Admin",
"id": 1,
"assigned": true
},
{
"name": "Webmaster",
"id": 8,
"assigned": true
}
],
"actions": [
{
"id": 1,
"name": "cms-edit",
"parameters": null,
"parameterized": null
},
{
"id": 9,
"name": "admin-syslog",
"parameters": null,
"parameterized": null
},
{
"id": 10,
"name": "admin-debug",
"parameters": null,
"parameterized": null
},
{
"id": 12,
"name": "member-list-extended",
"parameters": null,
"parameterized": null
},
{
"id": 2,
"name": "cms-list",
"parameters": null,
"parameterized": null
},
{
"id": 3,
"name": "cms-add",
"parameters": null,
"parameterized": null
},
{
"id": 5,
"name": "member-list",
"parameters": null,
"parameterized": null
},
{
"id": 7,
"name": "member-view",
"parameters": null,
"parameterized": null
},
{
"id": 8,
"name": "member-edit",
"parameters": null,
"parameterized": null
}
]
最佳答案
您的第一个问题:
Is the extra overhead on each request by sending the permissions to the server worth avoiding the hassle of looking up the permissions upon each request?
回答:
让我们看一下 jwt.io 提供的关于何时使用 JWT 的描述:
Authorization: This is the most common scenario for using JWT. Once the user is logged in, each subsequent request will include the JWT, allowing the user to access routes, services, and resources that are permitted with that token. Single Sign On is a feature that widely uses JWT nowadays, because of its small overhead and its ability to be easily used across different domains.
这意味着您需要在用户登录后在服务器端生成 token 。
它包含:
一旦客户端请求或向服务器发送数据,服务器首先检查给定的 token 是否有效且已知,然后它会检查角色是否满足访问特定资源的条件。
所有角色/访问数据都可以在系统启动时读取一次并保存在内存中。此外,客户端具有的角色仅在客户端登录时从数据库中读取一次。这样您就没有后续的数据库访问,因此性能得到了很大的提高。
另一方面,如果客户端请求数据或想要执行操作,您需要一种身份验证机制来评估传递的 token 是否具有执行此操作所需的角色。
这样我们解决了数据库的麻烦,而且我们消除了向客户端暴露过多信息的危险(即使客户端不能篡改数据,它也可以读取数据!)
请注意:https://jwt.io/introduction
Do note that with signed tokens, all the information contained within the token is exposed to users or other parties, even though they are unable to change it. This means you should not put secret information within the token.
参见 A3(敏感数据暴露):https://www.owasp.org/index.php/Top_10-2017_Top_10
最后:如果客户端闲置时间过长或故意注销,请务必使 token 失效。
后续问题:
The case of permission changes the look-up-in-the-database approach has the benefit of not requiring the user to log in again
回答:
根据您服务器的基础设施,您可以编写一个刷新机制(如果角色更新,服务器生成一个新 token 并将其与生成的答案一起发送给客户端,使旧的无效,客户端仅使用最近的 token 并覆盖旧的)或在服务器端添加一些状态,如客户端 session :
消除 token 处的角色/权限。您最好为客户端生成 session 并在服务器端提供 session 角色/权限。客户端获取它可以用来进行身份验证的 session token (通常是一个 ID)。一旦权限/角色发生变化,我们必须做两件事:
同样,每个后续请求都将在内存中进行角色/权限检查,不需要数据库通信,而客户端只有一个小 session token (或您的 JWT)。因此,角色/权限更改对客户端是透明的(不需要重新登录),我们消除了 JWT 刷新要求。
关于http - 将用户的权限存储在 JWT 声明中或在每次请求时在服务器上检查它是否更有效?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51507978/
25
4
0
我在覆盖 ReSwift Pod 中的函数时遇到问题。我有以下模拟类(class): import Foundation import Quick import Nimble import RxSwi
我有一个类似于下面的继承结构。我正在采用 Printable 协议(protocol)并努力覆盖 description 属性。我遇到了一个谷歌此时似乎不知道的奇怪错误,提示为第三类,并引用了第二类和
我有一个类“Cat”和 Cat 类的一个子类“DerivedCat”。 Cat 有一个函数 meow(),而 DerivedCat 覆盖了这个函数。 在应用程序中,我声明了一个 Cat 对象: Cat
Kotlin 变量 变量是用于存储数据值的容器。 要创建一个变量,使用 var 或 val,然后使用等号(=)给它赋值: 语法 var 变量名 = 值 val 变量名 = 值 示例 va
C 中的所有标识符在使用前都需要声明,但我找不到它在 C99 标准中表示的位置。 我觉得也是指宏定义,不过定义的只是宏展开顺序。 最佳答案 C99:TC3 6.5.1 §2,脚注 79 明确指出: T
今天我的博客提要显示错误: This page contains the following errors: error on line 2 at column 6: XML declaration
在编写 IIF 语句、表和下面给出的语句时出现错误。 陈述: SELECT IIF(EMP_ID=1,'True','False') from Employee; table : CREATE TAB
我正在创建一个登录 Activity ,我希望它在按下登录按钮时显示进度对话框,我声明、初始化并调用了它,但它没有显示。但是当我在创建时调用进度对话框时,它出现了 这是我的代码: public cla
当我输入声明语句时: Vector distance_vector = new Vector(); 我收到错误(在两种情况下都在“双”下划线): Syntax error on token "doub
我正在本地部署在docker-for-desktop中。这样我将来可以迁移到kubernetes集群。 但是我面临一个问题。使用永久卷时,docker容器/ pod中的目录将被覆盖。 我正在拉最新的S
我有一个 MyObject 类型的对象 obj,我声明了它的实例。 MyObject obj; 但是,我没有初始化它。 MyObject 的类看起来像: public class MyObject {
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭 9 年前。 Improv
这个问题已经有答案了: Android: Issue during Arraylist declaration (1 个回答) 已关闭 9 年前。 有时我会看到 ArrayList 声明如下 Arra
我对java比较陌生,经过大量搜索,我无法将相关问题的任何解决方案与我的解决方案配对。我正在尝试实现一种非常简单的方法来写入/读取数组,但编译器无法识别它。 “键盘”也是一个“无法识别的变量”。这是数
简短:何时分配内存 - 在声明或初始化时? 长整型:int x;将占用与int z = 10;相同的内存。 此外,这对于包含更多数据的自定义对象将如何工作。假设我有这个对象: public class
我需要使用此程序更好地理解函数定义、声明和正确调用。我真的需要了解如何使用它们。您能否向我展示编写此程序的正确方法(所有三个都正确并进行解释)? #include #include quad_eq
这是我的主要功能以及我要传递的内容。 int main(void){ struct can elC[7]; // Create an array of stucts Initiali
我想知道是否有更好的方法来完成此任务; 我有一个对象 - 其中一个属性是字典。我有一组逗号分隔值。我需要过滤 Dictionary 并仅获取 Dictionary 值至少与其中一个值匹配的那些元素 这
下面的using-declarations有什么意义 using eoPop::size; using eoPop::operator[]; using eoPop::back; using eoPo
我的问题更像是一个关于 for 循环样式的好奇问题。在阅读别人的一些旧代码时,我遇到了一种我以前从未见过的风格。 var declaredEarlier = Array for(var i=0, le
我是一名优秀的程序员,十分优秀!