Token验证——JWT方法(明白了!好文章!!)

最新推荐文章于 2024-07-16 21:34:35 发布
最新推荐文章于 2024-07-16 21:34:35 发布
阅读量2.2w 收藏 75
点赞数 18
分类专栏: springBoot 大厂任性挑 文章标签: token 验证 JWT
原文链接:https://blog.csdn.net/weixin_43648017/article/details/111464021
版权

简而言之,JWT就是一个加密的字符串,作为验证信息在计算机之间传递,只有可以访问持有对应正确的加密密钥的计算机才能对其进行解密,从而验证携带这个令牌(Token)的请求是否合法。

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:

  1. 客户端使用用户名跟密码请求登录
  2. 服务端收到请求,去验证用户名与密码
  3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  4. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

JWT验证

JWT,读作:jot ,表示:JSON Web Tokens

JWT 标准的 Token 由三个部分组成:header.payload.signature

  • header(头部)
  • payload(数据)
  • signature(签名)

中间用点分隔开,并且都会使用 Base64 编码,所以真正的 Token 看起来像这样:

eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

Header

每个 JWT token 里面都有一个 header,也就是头部数据。里面包含了使用的算法,这个 JWT 是不是带签名的或者加密的。主要就是说明一下怎么处理这个 JWT token 。

唯一在头部里面要包含的是 alg 这个属性,如果是加密的 JWT,这个属性的值就是使用的签名或者解密用的算法。如果是未加密的 JWT,这个属性的值要设置成 none。

eg:

{
  "alg": "HS256"
}

意思是这个 JWT 用的算法是 HS256,在base64url编码之后变成

eyJhbGciOiJIUzI1NiJ9

Payload

Payload 里面是 Token 的具体内容,这些内容里面有一些是标准字段,你也可以添加其它需要的内容。

  • iss:Issuer,发行者
  • sub:Subject,主题
  • aud:Audience,观众
  • exp:Expiration time,过期时间
  • nbf:Not before
  • iat:Issued at,发行时间
  • jti:JWT ID

两个自定义的字段,一个是 name ,还有一个是 admin 。

{
 "iss": "ninghao.net",
 "exp": "1438955445",
 "name": "wanghao",
 "admin": true
}

使用 base64url 编码以后就变成了这个样子:

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ

Signature

JWT 的最后一部分是 Signature ,这部分内容有三个部分——
    第一部分 :Base64 编码的header。
    第二部分:Base64 编码的payload。
    第三部分:再用加密算法加密一下,加密的时候要放进去一个 Secret ,这个相当于是一个密码,这个密码秘密地存储在服务端,不得泄露

组成结构是这样子:

  • header
  • payload
  • secret
const encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); 
// 这里的 HMACSHA256() 就是我们在第一部分定义的加密算法。
HMACSHA256(encodedString, 'secret');

Signature部分处理完成以后看起来像这样:

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最后这个在服务端生成并且要发送给客户端的 Token 看起来像这样:(由以上三部分组成)

eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客户端收到这个 Token 以后把它存储下来,下回向服务端发送请求的时候就带着这个 Token 。服务端收到这个 Token ,然后进行验证,通过以后就会返回给客户端想要的资源。

 

验证流程:

  • 在头部信息中声明加密算法和常量,然后把header使用json转化为字符串
  • 在载荷中声明用户信息,同时还有一些其他的内容,再次使用json把在和部分进行转化,转化为字符串
  • 使用在header中声明的加密算法来进行加密,把第一部分字符串和第二部分的字符串结合和每个项目随机生成的secret字符串进行加密,生成新的字符串,此字符串是独一无二的
  • 解密的时候,只要客户端带着jwt来发起请求,服务端就直接使用secret进行解密,解签证解出第一部分和第二部分,然后比对第二部分的信息和客户端穿过来的信息是否一致。如果一致验证成功,否则验证失败。

工作方式:

举一个例子🌰就能够明白 JWT 在实际项目的使用方式了。

在任意系统中,用户首先都会要要登陆他的账户,他们会向服务发送账号密码,服务器验证通过之后,创建的成一个令牌(Token),并返回给客户端,客户端保存这个令牌。以后客户端发出的所有请求都会携带这个令牌(客户端一般会将这个令牌放在请求头的 x-access-token 中)。

这里服务器创建的令牌就是上文所说的加密的字符串了。

 

特点:

  • 三部分组成,每一部分都进行字符串的转化
  • 解密的时候没有使用数据库,仅仅使用的是secret进行解密(减小服务器资源压力)
  • Jwt使用的secret千万不能丢失


————————————————
节选自,对原文有增加:https://blog.csdn.net/weixin_43648017/article/details/111464021

HD243608836
关注
  • 18
    点赞
  • 75
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
基于jwttoken验证
weixin_34266504的博客
06-06 1039
一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该t...
JWT Token生成及验证
11-03
请参考博客:http://www.cnblogs.com/chenwolong/p/Token.html
JWT Token 认证
qq_30436011的博客
11-04 487
JWT是一种通用的规范,它定义了Token的生成方式。
什么是 JWT? 如何基于 JWT 进行身份验证
最新发布
double222222的博客
07-16 1200
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 TokenToken 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则。
基于jwttoken验证、原理及流程
z_ssyy的博客
05-31 6638
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
【SpringBoot】1、SpringBoot整合JWT实现Token验证
qq_24099547的博客
04-10 8190
单点登录
Java简单快速入门JWTtoken生成与验证
greatming666的博客
09-08 8571
java jwt简单了解并快速上手
基于JWT前后端token认证
热门推荐
java小酱油
03-10 3万+
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个sessi
JWT token验证
曾令胜的博客
06-09 876
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。 这种模式的问题在于,扩展性(scaling)不好。单机当然没有问
JWT--Token(令牌)验证
jiangsheer的博客
03-13 1万+
什么是Token? 在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般我们所说的的token大多是指用于身份验证token 为什么使用token? 我们需要每次都知道当前请求的人是谁,但是又不想每次都让他提交用户名和密码,这时就需要有一个等同于用户名密码也能够标识用户身份的东西,即—token. 基于Token的身份验证方法 客户端使用用户名和密码请求登录 服务端收到请求,...
JWT 实现 token 认证
javaTalk
06-15 6460
目录 一 什么是 JWTJWT 适用场景 2.1 认证 2.2 信息交换 三 几种认证方式 3.1 session 认证 3.2 token 认证 四 JWT 的数据结构 4.1 header 4.2 playload 4.3 signature 4.4 总结 五 JWT 的使用方式 六 JWT的优点 七 JWT的使用注意 八 JWT 等待解决的问题 九 参...
JWT 生成Token验证
01-22
JWT生成token验证(过期时间)用于前后断分离,及APP认证,可结合redis使用也可单独使用。
thinkphp框架使用JWTtoken方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
在node中使用jwt签发与验证token方法
01-02
jwt,即JSON Web Token的缩写,是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。 jwt由三个部分组成,它们之间用.分开,通常如下所示xxxxx.yy
JWT Token生成及验证(源码)
04-12
这个"JWT Token生成及验证(源码)"的压缩包文件可能包含了一个示例项目,用于演示如何生成和验证JWT令牌。让我们深入探讨JWT的工作原理以及相关的关键知识点。 1. JWT结构: JWT令牌由三部分组成,用点(.)分隔:...
Token验证--JWT
qingxiao1999的博客
09-06 3345
Token的本质是将有意义的数据进行加密处理后的结果,各服务器都只需要具有解析这个加密数据的功能即可获取到其中的信息含义,理论上**不占用内存资源,更适合用于集群和分布式系统,但是,存在一定的被解密的风险(概率极低)。
nesjt 用户验证 token jwt策略
06-09
要实现用户验证JWT 策略,可以按照以下步骤操作: 1. 用户登录时,服务器生成一个包含用户信息的 JWT Token 并返回给客户端。 2. 客户端在每个请求中都需要携带这个 Token,可以将 Token 存储在浏览器的 Cookie 中或者在请求头部中添加 Authorization 字段。 3. 服务器接收到请求后,会从请求中获取 Token,并解析出其中的用户信息。 4. 服务器可以根据解析出来的用户信息,判断用户是否有访问该接口的权限。 在实际操作中,可以使用一些现有的 JWT 库来简化处理过程,如 jsonwebtoken 库。具体实现过程可以参考该库的文档和示例代码。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值