JWT的简析

最新推荐文章于 2024-06-18 10:05:45 发布
最新推荐文章于 2024-06-18 10:05:45 发布
阅读量256 收藏
点赞数 1
分类专栏: DRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Best_fish/article/details/83352919
版权

JWT概念:

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

基于token的鉴权机制
token由3部分组成

  1. jwt的头部承载两部分信息:
    声明类型,这里是jwt
    声明加密的算法 通常直接使用 HMAC SHA256
    对头部进行base64加密,构成第一部分

  2. payload
    载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分
    标准中注册的声明
    公共的声明
    私有的声明

    公共的声明 : 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

    私有的声明 : 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

  3. signature
    JWT的第三部分是一个签证信息,这个签证信息由三部分组成:
    header (base64后的)
    payload (base64后的)
    secret
    这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

    注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证
    在这里插入
    token作为保存状态的一种方式,原理流程如图
    1.用户注册或登录时使用用户名和密码来请求服务器
    2 服务器验证用户名密码无误后,经过加密算法构造出一个token值
    3 服务器将生成的token值签发给用户,客户端会存储这个token值
    4 客户端每次发起请求登录服务器时,都会携带token值,服务器会拿到客户端请求头里的header和payload再次进行计算得出token两者进行比较来判断是否原用户

优点:
因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。

因为有了payload部分,所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。

便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。
它不需要在服务端保存会话信息, 所以它易于应用的扩展

WTF在DRF框架中的使用:

官方文档:Django REST framework.

  1. 虚拟环境中安装
pip install djangorestframework-jwt
  1. 配置
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication',
    ),
}

JWT_AUTH = {
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),  # 有效期
}
  1. 使用
    Django REST framework JWT 扩展的说明文档中提供了手动签发JWT的方法
from rest_framework_jwt.settings import api_settings

jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER

payload = jwt_payload_handler(user)
token = jwt_encode_handler(payload)

签发的token值可以作为用户对象的一个属性,进行序列化输出给客户端用户
user.token = token

唐阿彪
关注
专栏目录
浅谈JWT身份认证及其优缺点
江南烟雨却痴缠丶
03-27 5708
一、登录模式 在介绍JWT之前,我要先介绍一下常见的几种登录模式。 1、单一服务器模式(Session) 我们登录认证成功之后,将用户信息就存放在服务端(Session),然后将其对应的session_id存储在客户端(Cookie),从Cookie中取出session_id,服务端就可以根据这个session_id获取对应的Session,从而获取存储用户信息。 其优点是:Session自动续期,用户体验较好 其缺点是: ①没有分布式架构,无法支持横向扩展。即分布式架构的情况下,其他服务器是没有办法获取到
jwt的优点
weixin_57101315的博客
06-18 477
分布式和无状态:由于 JWT 包含了所有必要的信息,服务器不需要在数据库中存储会话信息,也无需在集群中共享会话状态。这使得应用程序可以轻松地进行水平扩展。可扩展性:JWT 是基于标准的 JSON 格式,因此可以通过添加自定义字段来轻松地扩展令牌的功能,以满足特定的应用程序需求。跨域支持:由于 JWT 是通过 HTTP 头或 URL 参数发送的,它可以轻松地跨域传输,并且没有额外的设置或配置需要。无需在服务器端存储会话状态:JWT 令牌中包含了所有必要的信息,减轻了服务器的存储负担和数据库查询的需要。
JWT的优势
最新发布
qq_64847107的博客
06-18 320
CSRF攻击,采用的是cookie进行攻击的;也避免XSS攻击,XSS采用的是js脚本进行攻击。:移动端没有cookie,jwt
JWT令牌的优点
Leon_Jinhai_Sun的博客
12-21 637
JWT基于json,非常方便解析。 可以在令牌中自定义丰富的内容,易扩展。 基于token认证这种方式服务端不用存储认证数据,易维护,扩展性强, token 存在 localStorage 可避免 CSRF,并且可以实现web和app统一认证机制。 通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。 怎么保证令牌的安全?万一我仿造了一个锦衣卫令牌?非对称加密算法需要两个密钥来进行加密和解密,这两个秘钥是公开密钥(public key,简称公钥)和私有密钥(pr..
系统登录认证流程对比(cookie方式与jwt)
iygxv
11-01 1680
系统登录认证流程对比(cookie方式与jwt) 一个正在努力爱好运动的程序猿座右铭:越努力越幸运,越运动越健康,热爱编程,热爱运动。 文章目录系统登录认证流程对比(cookie方式与jwt)一、cookie方式登录认证二、JWT(Json Web Token)方式登录认 一、cookie方式登录认证 步骤: 1.用户向服务器发送用户名和密码。 2.服务器验证后,相关数据(如用户角色等)将保存在当前会话(session)中。 3.服务器向用户返回sessionId会写入到用户的Cookie。 4
Nodejs生成JWT Token并在Vue中携带token发起请求
鸭绒的博客
10-23 1418
文章目录1.Token简析2. JWT简析3.在Nodejs生成JWT Token 1.Token简析 Token 本质是字符串,用于请求时附带在请求头中,校验请求是否合法及判断用户身份。 Token 与 Session、Cookie 的区别: Session 保存在服务端,用于客户端与服务端连接时,临时保存用户信息,当用户释放连接后,Session 将被释放; Cookie 保存在客户端,当客户端发起请求时,Cookie 会附带在 http header 中,提供给服务端辨识用户身份; Token
SpringBoot2.2 JWT入门:理解与实战跨域认证
**JWT全称简析与应用** JWT (Json Web Token) 是一种基于JSON格式的开放标准,用于在网络应用环境中安全地传递声明,特别适用于跨域认证和无状态、分布式Web应用中的授权管理。它是根据RFC 7519规范设计的,通过数字...
构建微服务云原生应用_Staffjoy 微服务实现简析.pdf
08-21
《构建微服务云原生应用:Staffjoy微服务实现简析》 在现代软件开发领域,微服务架构已经成为构建可扩展、高可用性系统的重要手段。Staffjoy 是一个基于微服务设计的云原生应用程序,它展示了如何有效地利用微服务...
Golang HTTP服务器源码简析
WXM
01-21 431
自己开发的博客网站,欢迎访问www.weiboke.online 简单用例 mux := http.NewServeMux() mux.HandleFunc("/", func(writer http.ResponseWriter, request *http.Request) { writer.Write([]byte("ok&
15 Go 鉴权(一):鉴权机制概述
gofuncchan的博客
07-20 587
一、系统鉴权概述 在现代web开发中,系统鉴权服务已是基本标配模块,有些开发框架甚至内置了鉴权模块的实现,或者提供一些鉴权的工具类,然而鉴权的方式也分为多种,了解各种鉴权方式的特点及使用场景可以帮助我们构建更健壮的web系统。以下列出四种常见的鉴权方式,我们来认识一下: HTTP Basic Authentication Session-Cookie机制 Token令牌机制 OAuth2.0授权...
JWT的原理及其相对优缺点
热门推荐
qq_44969643的博客
07-28 1万+
一,Token token特点 Token 临时且唯一 保证不能够重复 (缓存有效期机制),智能门锁、临时密码 具有有效期2小时 token生成 Token如何生成:uuid作为token。 比如:生成token(uuid生成),作为Rediskey放入redis中,Redis的key作为有效期。 实际项目中,token和sessionid非常相似 session缺陷 传统项目使用session存在缺陷:放入到服务端, session 类似redis存放缓存内容, session中的sessionid类似于
jwt优缺点 如何使用jwt
j9922816的博客
05-06 3055
在生成JWT令牌时,我们使用了一个密钥来签名令牌,并设置了令牌的过期时间为1小时。在验证JWT令牌时,我们使用相同的密钥来验证令牌的真实性,并获取令牌中的信息。而JWT是无状态的,不需要在服务器上存储任何信息,因此可以减轻服务器的负担。1. 令牌过期问题:JWT的令牌过期时间是固定的,无法在令牌生成后更改。2. 令牌大小问题:JWT令牌的大小通常比Session令牌大,因为它包含了更多的信息。本文将介绍JWT的优缺点以及为什么使用JWT而不是Session,并提供使用JWT的示例代码。
JWT简介及优缺点(附Java版示例)
大道至简
12-22 507
JSON Web Token(JWT)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。在Web应用中,JWT通常用于身份验证和信息交换,它使得在服务提供者和服务消费者之间传递安全可信的声明成为可能。
一文带你搞懂 JWT 常见概念 & 优缺点
程序员小明1024
07-13 2680
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
JWT的优缺点以及双token实现无感知回话管理
weixin_44421461的博客
06-11 2203
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析...
JWT优缺点及应用介绍
码农的日常收集
06-06 1892
JWT,全称是JSON Web Token,是一种规范化的 token,能解决分布式部署会话问题。 JWT是一个很长的字符串,字符之间通过"."分隔符分为三个子串:JWT头,有效载荷,签名。 默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。有效载荷这个JSON对象也使用Base64 URL算法转换为字符串保存。...
JWT原理解析
诺浅的专栏
05-14 2149
什么是JWT JSON Web Token(JWT),是一个开放安全的行业标准,用于多个系统之间传递安全可靠的信息. 为什么会有JWT 在很久很久以前…常见的访问模式是这种的。 这个时候因为用户都是通过电脑上的浏览器访问服务端,而由于浏览器有cookie机制,服务端有session机制,所以这个流程是行得通的,伪流程如下 随着乔布斯时代的来临,智能手机,微信小程序等用户终端越来越多,服务端需要...
jwt token 流程讲解
风轻衣的博客
04-09 6042
1。启动项目,首先初始化WebSecurityConfig中的认证管理器然后给认证管理器绑定提供者第一个为自定义的ajax认证提供,第二个为jwt认证提供2.重写WebSecurityConfigurerAdapter的配置项,为自己需要的进行配置配置不需要携带token进行认证的路径认证请求对登陆和刷新token放行,可以自定义添加更多不需要携带token的路径然后对其他的路径都要求携带toke...
Token:JWT的优点与注意事项
正趣果上果
05-22 6681
JWT的优点: 安全性高,防止token被伪造和篡改 自包含,减少存储开销 跨语言,支持多种语言的实现 支持过期,发布者校验JWT的注意事项: 消息体可以被base64解密为明文 不适合存放大量信息 无法作废未过期的jwt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值