Хранение токена JWT
Я использую JWT для аутентификации. Теперь я хочу сохранить этот токен, который создается в одном классе, чтобы любой другой класс мог использовать его до истечения сеанса. Как лучше всего это сделать. Мое приложение находится в весенней загрузке. Добавляем еще. Я делаю клиента, который обращается к веб-сервису отдыха с учетными данными для получения токена. Теперь мне нужно где-то хранить этот токен, чтобы его могли использовать дальнейшие запросы на отдых. Можно ли хранить токен в httpSession и извлекать его дальше.
@MehrajMalik Похоже, это на клиенте, которому, безусловно, нужно хранить токен.
@MehrajMalik, вы полностью уверены, что говорите, потому что я видел несколько случаев, когда это более чем удобно ...
Привет, добавляю еще к моему вопросу. Я делаю клиента, который обращается к веб-сервису отдыха с учетными данными для получения токена. Теперь мне нужно где-то хранить этот токен, чтобы его могли использовать дальнейшие запросы на отдых.
На самом деле это довольно часто задаваемый вопрос людьми, которые плохо знакомы с концепцией аутентификации на основе токенов. Обычно тот факт, что вы НЕ храните JWT, либо упускается из виду, либо не подчеркивается авторами статей. Вы можете прочитать официальную документацию по JWT, чтобы лучше понять, как это работает: jwt.io/introduction
Ответы 2
Обычно не рекомендуется хранить токен JWT, поскольку он должен содержать всю информацию для идентификации и авторизации пользователя службы без попадания на уровень БД / постоянства.
Но, возможно, есть ситуации, когда требуется сохранить его среди пользовательских данных. В этом случае вы можете сохранить его в таблице / коллекции и получить при аутентификации пользователя.
Если вы используете Spring + Spring Security, вы можете заполнить поле token в пользовательской реализации User.
Вы можете получить данные пользователя следующим образом:
CustomUser userDetails = (CustomUser)SecurityContextHolder.getContext().getAuthentication().getPrincipal();
Не рекомендуется хранить токен JWT, чтобы защитить его от CSRF.
Но если вы хотите сохранить или использовать его в любом случае, один из способов весенней загрузки - вы можете просто включить параметр @RequestHeader в любой запрос отдыха со значением «Авторизация», а затем вы можете просто извлечь из него токен jwt и использовать его как по вашей функциональности:
@GetMapping("/abc")
public ResponseEntity<String> getToken(
@RequestHeader(value = "Authorization") String authorizationHeader){
String jwt = authorizationHeader.substring(7);
//your functionality
return ResponseEntity.ok("JWT Token successfully retrieved");
}
substring(7) используется, чтобы избавиться от строки "Bearer ", я полагаю? Гарантируется ли, что это всегда 7 символов? В противном случае предпочтительнее разделение пробелами.
да, правильно, он используется, чтобы избавиться от строки на предъявителя. Да, предполагается, что к jwt добавляется «предъявитель» и пробел.
Никогда не храните токен JWT