关于jwt

于 2022-04-21 15:08:52 发布
阅读量2.4k 收藏
点赞数
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hero_s_/article/details/124321521
版权

1.jwt认证流程在这里插入图片描述

用户登录成功后,服务端通过jwt生成一个随机token给用户(服务端无需保留token),以后用户再来访问时需携带token,服务端接收到token之后,通过jwt对token进行校验是否超时、是否合法

2.jwt创建token

jwt的生成token格式如下,即:由.连接的三段字符串(Header、payload、signature )组成。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

  • Header
    固定包含算法和token类型,对此json进行base64url加密,这就是token的第一段

    {
  "alg": "HS256",
  "typ": "JWT"
}

  • payload
    包含一些自定义的数据,对此json进行base64url加密,这就是token的第二段

    {
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

  • signature
    把前两段的base密文通过.拼接起来,然后对其进行HS256加密+加盐,再然后对hs256密文进行base64url加密,最终得到token的第三段

    base64url(
    HMACSHA256(
      base64UrlEncode(header) + "." + base64UrlEncode(payload),
      your-256-bit-secret (秘钥加盐)
    )
)

  • 注意:base64url加密是先做base64加密,然后再将-替代+_替代 /

3.jwt校验token

以后用户再次访问时候需要携带token,此时jwt需要对token进行超时及合法性校验

  • 第一步:获取token对其进行切割

    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

  • 第二步:对第二段进行base64url解密,并获取payload信息,检测token是否过期

    {
  "id": "1234567890",
  "name": "chenglong",
  "exp": 1516239022  # 过期时间
}

  • 第三步:把前两段的base密文通过.拼接起来,然后对其进行HS256加密+加盐,再将token的最后一段进行base64url解密,再进行比较

    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

加密、加盐后的密文 = base64url解密(SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c)
如果相等,认证通过
Hero_s_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT(JSON Web Tokens)
dianxiuzhi3696的博客
10-27 110
1.JWT即JSON Web Tokens,他可以用来安全的传递信息,因为这些信息是经过数字签名的 2.JWT可以使用一种加密算法比如HMAC算法,也可以使用公钥/私钥的非对称算法 3.因为JWT签名后的信息够短,可以放在url里、request body里、http header里,传输够快。 4.荷载信息里包含所有你想要的,避免不止一次的去查询数据库 5.JWT的使用场景主...
关于JWT
hpessnS_JX的博客
09-04 159
JWT简介
JWT
JustinNeil的博客
08-13 259
JWT简介JWT 数据格式HeaderPayloadSignatureJWT交互流程JWT存在的问题 简介   JWT,全称是Json Web Token, 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权: JWT 作为一种规范,并没有和某一种语言绑定在一起,常用的Java 实现是GitHub 上的开源项目 jjwt,地址如下:https://github....
JWT的介绍与应用
CONSOLE11的博客
12-30 3549
目录 2.JWT的应用场景 3.JWT的应用详解 4.为什么要用JWT 2.1 传统Session认证的弊端 2.2 JWT认证的优势 5.JWT结构 1.Header 2.Payload 3.Signature 6.JWT的种类 JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
c#关于JWT跨域身份验证的实现代码
08-25
"C#关于JWT跨域身份验证的实现代码" 本文将详细介绍C#关于JWT跨域身份验证的实现代码,通过示例代码对JWT的组成、JWT与传统session的对比、JWT的实现代码等方面进行了详细的介绍,对大家的学习或者工作具有一定的...
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
c#关于JWT跨域身份验证解决方案.docx
10-26
c#关于JWT跨域身份验证解决方案.docx
JWT Token生成及验证
07-16
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一...通过`JWTToken`这个压缩包文件,你可能可以找到更多关于JWT在C#中的具体实现示例和最佳实践。
关于JWT 的介绍和使用
rat_house的博客
02-18 706
Json Web Token 最近公司项目在用jwt,感觉以后会再用得到,先写下自己理解的jwt用途范围,方便以后查找。 包、库的引入 用途1:Build a dedicated JWT endpoint for the Support SDK in implementing Zendesk Service 在对接Zendesk 客户服务的时候,Zendesk第三方接口会调用我方接口,获取到JWT...
WEB 安全认证方式介绍+Spring Security 入门案例
qq_29342297的博客
10-31 856
WEB 安全认证 Http Basic Auth Http Basic Auth 就是简单的访问API的时候,带上访问的username和password,由于信息会暴露出去,我们会在请求头中看到多出的用Base64 加密的一串字符。为自己的访问凭证。但安全程度过低。 案例:在Tomcat中配置Http Basic Auth 修改tomcat的conf目录下的tomcat-user.xml文件 <?xml version='1.0' encoding='utf-8'?> <tomc
一、什么是JWT?了解JWT,认知JWT
dxyzhbb的博客
08-10 5223
首先jwt其实是三个英语单词JSON Web Token的缩写。通过全名你可能就有一个基本的认知了。token一般都是用来认证的,比如我们系统中常用的用户登录token可以用来认证该用户是否登录。jwt也是经常作为一种安全的token使用。 JWT的定义: JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用
前后端分离之JWT用户认证
kevin_lcq的博客
07-08 3万+
在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁,就要再验证一次。所以为了保证系统安全,我们就需要验证用户否处于登录状态。
关于 JWT,你真的理解了吗?
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
06-24 963
刚接触使用JWT没多久,发现它的一些自包含特性,和Session机制很是不一样,还蛮有意思,但是接触多了会发现它的很多弊端,这里转载一篇大佬的文章,写的真心不错。
关于JWT 和Token
架构专栏
07-04 1万+
关于 Token token 即使是在计算机领域中也有不同的定义,这里我们说的token,是指访问资源的凭据。例如当你调用Google API,需要带上有效 token 来表明你请求的合法性。这个 token 是 Google 给你的,这代表 Google 给你的授权使得你有能力访问 API 背后的资源。 请求 API 时携带 token 的方式也有很多种,通过 HTTP Header 或者 ...
关于jwt的思考
雪雷-的专栏
06-23 9929
关于jwt的思考 jwt是个做用户权限认证的方案,科普的内容参考相关文档吧,这里提出几个关于jwt的思考: 现有项目架构:pc项目->pc服务器->api服务器 app项目->api服务器1. jwt是否需要服务器存储用户状态按照jwt的思路,服务端是不需要存储用户状态的,只要有秘钥+过期时间就可以实现用户的认证和过期,至于读库vs加解密验证哪个过程对服务器的压力更大,这个可能需要对比测试,但从
关于JWT的理解
Ybbb的博客
06-28 1883
转自https://www.cnblogs.com/java-jun-world2099/p/9146143.html 基于jwt的token验证 一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被...
golang jwt
最新发布
09-21
在Golang中,有很多关于JWT的包可供使用,其中一个常用的包是`github.com/dgrijalva/jwt-go`。你可以使用以下命令安装该包:`go get github.com/dgrijalva/jwt-go`。 在使用JWT时,你需要了解以下几个基本概念和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值