JWTToken介绍

最新推荐文章于 2024-06-30 20:52:42 发布
最新推荐文章于 2024-06-30 20:52:42 发布
阅读量4.5k 收藏 2
点赞数
分类专栏: .NET 文章标签: JWTToken
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDN_wcy/article/details/118700237
版权

JWTToken介绍

如题,先上一个token

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJOYW1lIjoi6buE6I2v5biIIiwiRW1wbG95ZWVJRCI6MSwiZXhwIjoxNjI2MTU5ODM5LjB9.h_4jRq621FbsZMRx1lXaM_gqVPMHL_9qO8k-NMDTUho

JWT:Json Web Token ,是由三段信息构成的,将这三段信息用 相连在一起就构成了JWT字符串

http协议无状态的,所以需要sessionId或token的鉴权机制,jwt的token认证机制不需要在服务端再保留用户的认证信息或会话信息。这就意味着基于jwt认证机制的应用程序不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利,jwt更适用于分布式应用。

JWTToken的鉴权机制

token认证流程上是这样的:

  • 用户使用用户名密码来请求服务器进行验证
  • 服务器通过验证,发送给用户一个token(该jwt 不需要在服务器保存一份)
  • 客户端存储token且在每次请求时附送上这个token值
  • 服务端验证token值,并返回业务数据
这个token必须要在每次请求时传递给服务端,它应该保存在请求头里, 另外,服务端要支持CORS(跨来源资源共享)策略,
一般我们在服务端这么做就可以了Access-Control-Allow-Origin: *

 一般是手动在请求头里加入参数 ‘Authorization’,并加上 ”Bearer ” 标注(非必须):

Authorization:Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJOYW1lIjoi6buE6I2v5biIIiwiRW1wbG95ZWVJRCI6MSwiZXhwIjoxNjI2MTU5ODM5LjB9.h_4jRq621FbsZMRx1lXaM_gqVPMHL_9qO8k-NMDTUho

也可以放到cookie,localstorage中,让浏览器发送请求时自动携带。

JWT的构成

一个JWT实际上就是一个字符串,它由三部分组成:header头部、playload载荷、sign签名。

头部

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。表示成一个JSON对象,经base64编码形成第一部分。
例如:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 头部 base64在线解码如下

{"typ":"JWT","alg":"HS256"}

载荷

其实就是自定义的数据,一般存储用户Id,用户名、过期时间等信息。也就是JWT的核心所在,因为这些数据就是使后端知道此token是哪个用户已经登录的凭证。而且这些数据是存在token里面的,由前端携带,所以后端几乎不需要保存任何数据。
例如:

eyJOYW1lIjoi6buE6I2v5biIIiwiRW1wbG95ZWVJRCI6MSwiZXhwIjoxNjI2MTU5ODM5LjB9 载荷部分base64在线解码如下:

{"Name":"黄药师","EmployeeID":1,"exp":1626159839.0}

exp是时间戳,存的是过期时间,时间戳转换成北京时间后如下

"exp":1626159839.0  => 2021-07-13 15:03:59 

签名

1.头部和载荷各自由base64加密后用 连接起来,然后就形成了xxx.yyy的前两段token。

2.最后一段token的形成:前两段字符串xxx.yyy 加入一个密钥用sha256算法或者其他算法加密形成不可逆的密文sign。

哈希算法生成的sign:h_4jRq621FbsZMRx1lXaM_gqVPMHL_9qO8k-NMDTUho

注意:secret密钥是保存在服务器端的,jwt的签发生成也是在服务器端的,secret密钥就是用来进行jwt的签发和jwt的验证。

所以,secret密钥就是你服务端的私钥,在任何场景都不应该泄露出去。一旦非法客户端得知这个secret密钥, 那就意味着非法客户端可以自我签发jwt了。

总结

  • 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用
  • 因为有了payload部分,所以JWT可以存储一些其他业务逻辑所需要的非敏感信息,敏感信息还是不建议存放到jwt中
  • 便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的
  • 它不需要在服务端保存会话信息, 所以它易于应用的扩展
  • 服务器保护好secret私钥,该私钥很重要,不能泄露
  • 如果可以,请使用https协议

本文参考链接https://www.cnblogs.com/crowbrother/p/14813754.html

仅供学习参考,如有侵权联系我删除

醉酒的李白、
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
jwtoken-java:JSON Web令牌的实现
05-26
JWToken Java 的实现。 介绍 JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。 由于此信息是经过数字签名的,因此可以被验证和信任。 可以使用秘密(使用HMAC算法)对JWT进行签名。 用法 JWToken.sign(声明,秘密,算法) return Token claim是包含索赔的索赔对象。 secret是一个字符串,其中包含HMAC算法的密钥。 algorithm是用于Hmac的算法 可用算法 该库使用以下算法实现JWT验证和签名: JWS 算法 描述 HS256 HMAC256 带SHA-256的HMAC HS384 HMAC384 带SHA-384的HMAC HS512 HMAC512 带有SHA-512的HMAC 规范定义了更多的签名算法。
tokenJWT详细介绍
lixianhe的博客
06-28 4万+
tokenJWT详细介绍
JWT生成Token
最新发布
zhuge_long的专栏
06-30 1161
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
基于jwttoken验证、原理及流程
z_ssyy的博客
05-31 6516
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
JwtToken详解
星辰的动态博客
09-16 2万+
​ 简单来说,token就是一种身份验证方法,和cookie有相似作用;它被很多人翻译过来后生动的称为“令牌”,它的扩展性,安全性更高,非常适合用在Web应用和移动开发应用上。 1.1token验证流程 ​ 使用token身份验证,服务器端就不会存储用户的登录记录。 (1)客户端使用用户名跟密码请求登录; (2)服务端收到请求,去验证用户名与密码; (3)验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端; (4)客户端收到 Token 以后可以把它存储起来,比如放在 Cookie
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
基于springboot+jwt实现刷新token过程解析
08-19
本文主要介绍了基于SpringBoot和JWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于SpringBoot+JWT实现刷新Token的过程,旨在为读者提供...
SpringBoot集成JWT生成token及校验方法过程解析
08-19
本文主要介绍了SpringBoot集成JWT生成token及校验方法的过程解析,通过示例代码详细介绍JWT token的生成和校验过程,为读者提供了详细的Reference和学习价值。 一、什么是JWT? JSON Web Tokens(JWT)是一种...
C#手写jwtToken生成与校验
04-27
本文介绍了C#中手写JWT Token的生成与校验过程,涵盖了基本概念、编码、签名生成和验证等关键步骤。实际开发时,应遵循最佳实践,如使用安全的哈希算法、妥善管理密钥和定期刷新Token,以确保系统的安全性和用户体验...
Json web token (JWT) golang实现
weixin_38805083的博客
04-12 1517
Json web token (JWT) eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.UQmqAUhUrpDVV2ST7mZKyLTomVfg7sYkEjmdDI5XF8Q 三部分构成 第一部头部(header),作用: 声明类型 声明加密的算法 通常直接使用 HMAC SHA256 {'typ': 'JWT','alg': 'HS2
基于JWT的用户登录认证的原理与实现
JieZai958921541的博客
11-12 3041
JWT认证原理 JWT简介: JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于JSON对象在各方之间安全的传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT的结构: JWT由三个部分组成,各部分之间用小数点连接。这三部分分别是Header(请求头)、Payload(有效载荷)、Signature(签名),一个典型的JWT看起来是这个样子的:xxx.yyy.zzz 1. header请求头: 由Token的类型和算法名称组成,如下所示
connect time out 获取token失败_springboot+jwt实现token登陆权限认证
weixin_39855796的博客
11-20 474
一 前言此篇文章的内容也是学习不久,终于到周末有时间码一篇文章分享知识追寻者的粉丝们,学完本篇文章,读者将对token类的登陆认证流程有个全面的了解,可以动态搭建自己的登陆认证过程;对小项目而已是个轻量级的认证机制,符合开发需求;更多精彩原创内容关注公主号知识追寻者,读者的肯定,就是对作者的创作的最大支持;二 jwt实现登陆认证流程用户使用账号和面发出post请求服务器接受到请求后使用私钥创建一个...
微信小程序---订阅消息
qq_37655169的博客
12-07 1165
在做退款的时候需要给用户发一条消息,告诉他已经在退款了,一开始是想用模板消息来做的,但是看微信开发文档说模板消息要下线,推荐用订阅信息。这边记录一些步骤。 1,登录微信公众平台获取订阅信息的模板id 登录微信公众平台,点击订阅信息,我的模板,添加我的模板,微信会提供一些常用的模板,可以选择,也可以自己申请,通过就可以使用了,把模板id复制下来保存一下。代码里面需要用到。 ...
Python接口自动化之Token详解及应用
07-27 8497
在上一篇Python接口自动化测试系列文章:Python接口自动化之cookie、session应用,介绍了cookie、session原理及在自动化过程中如何利用cookie、session保持会话状态。 以下介绍Token原理及在自动化中的应用。 一、Token基本概念及原理 1、Token作用 为了验证用户登录情况以及减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。 2、什么是Token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次...
JwtToken介绍与使用 超详细保姆级教程 内附详细示例代码
burgerh的博客
11-25 9918
文章目录一、什么是JWT认证二、JWT认证的特点优点:缺点:三、JWT的组成四、JWT代码展示 一、什么是JWT认证 Json web token (JWT),根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可
JWTToken之间的区别
热门推荐
分享思想,留下痕迹。
11-24 14万+
✅作者简介:大家好,我是Leo,热爱Java后端开发者,一个想要与大家共同进步的男人😉😉✨特色专栏:🥭本文内容:JWTToken之间的区别,欢迎大家访问📚个人知识库:,欢迎大家访问。
session与token
Uzizi的博客
07-30 445
基于session认证所显露的问题 Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。 扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的...
JWT身份验证绕过——来自hacker game2020
fatmoForE
12-02 3683
JWT简介 JWT (JSON Web Tokens) ,是一串用于身份验证的token(内容公开),存储在客户端,通过签名保证token的内容没有被篡改。 题解分析 官方wp中有这一串token: eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJndWVzdCIsImV4cCI6MTYwNDM3NDE4N30.ZADFKRFG0I5LpsUwb2hAqcyD1BOWf5doLrxVIuI-OINDPaBNKsuCPInxadxW5VbhDmmkcgBnGT_
JWT Token验证技术介绍
03-03
JWT(JSON Web Token)是一种用于在网络应用程序之间安全传输信息的开放标准。它以 JSON 为基础并使用数字签名或消息认证码(MAC)来验证信息的完整性和真实性。 JWT 由三个部分组成:头部、载荷和签名。 头部包含 JWT 使用的签名算法信息,例如 HMAC SHA256 或 RSA。载荷包含需要传输的信息,例如用户 ID 或权限信息。签名是将头部、载荷和秘钥组合后生成的哈希值,用于验证信息的真实性。 JWT 的工作原理如下: 1. 用户使用用户名和密码进行身份验证。 2. 服务器验证用户名和密码的正确性。 3. 如果验证成功,服务器生成 JWT 并将其发送回客户端。 4. 客户端将 JWT 存储在本地并在每个后续请求中将其包含在请求头部中。 5. 服务器在接收到请求时,验证 JWT 的签名并检查载荷中的信息是否与所需的一致。如果验证成功,服务器会处理请求。 JWT 的优点是: 1. 轻量级和简单:JWT 以 JSON 格式编码,易于理解和实现。 2. 安全性:使用数字签名或消息认证码(MAC)验证信息的完整性和真实性,确保信息不被篡改或伪造。 3. 可扩展性:JWT 载荷可以包含任意数量的属性和元数据,使其非常适合用于身份验证和授权。 4. 无状态:JWT 包含所有必要的信息,因此服务器不需要存储任何会话信息,使其易于扩展和实现负载均衡。 然而,JWT 也存在一些缺点,例如: 1. JWT 一旦生成就无法撤销,因此必须确保密钥的安全性。 2. JWT 中包含的信息对于攻击者来说是可见的,因此敏感信息不应该存储在 JWT 中。 3. JWT 无法在传输过程中进行更新,因此在过期之前必须生成新的 JWT。 总体来说,JWT 是一种非常有用的身份验证和授权解决方案,但在使用时需要仔细考虑其安全性和缺点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值