JWT的使用场景和优缺点,你都清楚吗?小知

最新推荐文章于 2024-07-29 03:38:44 发布
最新推荐文章于 2024-07-29 03:38:44 发布
阅读量1.4k 收藏 5
点赞数 1
文章标签: java 安全 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IT1124/article/details/121933332
版权
本文深入探讨JWT(JSON Web Token)的使用场景,包括一次性验证、RESTful API认证和单点登录,并分析JWT的优缺点。讨论了JWT的编码、签名和加密,以及JWT在安全性方面的问题,如签名、secret设计、注销和修改密码等。建议在Web应用中谨慎使用JWT代替session,以免引发安全隐患,而在简单的API认证中,JWT则表现良好。
摘要由CSDN通过智能技术生成

正文如下,如果觉得有用欢迎点赞、关注~~

前言

前面简单介绍了JWT的基础,但是对于JWT的应用场景和优缺点掌握的还够,这些东西只有自己实践过才能搞清楚其中的细节。在网上看到一个大佬对这块讲的比较好,就转载过来一起学习下。

编码,签名,加密

这些基础知识简单地介绍下,千万别搞混了三个概念。在 jwt 中恰好同时涉及了这三个概念,这里用大白话来做下通俗的讲解。

编码(encode)和解码(decode)

一般编码解码是为了方便以字节的方式表示数据,便于存储和网络传输。整个 jwt 串会被置于 http 的 Header 或者 url 中,为了不出现乱码解析错误等意外,编码是有必要的。

在 jwt 中以.分割的三个部分都经过 base64 编码(secret 部分是否进行 base64 编码是可选的,header 和 payload 则是必须进行 base64 编码)。

注意,编码的一个特点:编码和解码的整个过程是可逆的。得知编码方式后,整个 jwt 串便是明文了。所以注意一点,payload 是一定不能够携带敏感数据如密码等信息的。

签名(signature)

签名的目的主要是避免消息被篡改。jwt 中常用的签名算法是 HS256,常见的还有md5,sha 等,签名算法共同的特点是整个过程是不可逆的。

由于签名之前的主体内容(header,payload)会携带在 jwt 字符串中,所以需要使用带有密钥的签名算法,密钥是服务器和签发者共享的。header 部分和 payload 部分如果被篡改,由于篡改者不知道密钥是什么,也无法生成新的签名,服务端也就无法通过,在 jwt 中消息体是透明的,使用签名可以保证消息不被篡改。

加密(encryption)

加密是将明文信息改变为难以读取的密文内容,使之不可读。只有拥有解密方法的对象,经由解密过程,才能将密文还原为正常可读的内容。加密算法通常按照加密方式的不同分为对称加密(如 AES)和非对称加密(如 RSA)。

你可能会疑惑ÿ

最低0.47元/天 解锁文章
IT1124
关注
cookie、session和Token的区别?JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~
LYJbao的博客
11-06 439
JWT是JSON WEB TOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任和安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到不同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。
3-1. SpringBoot项目集成【用户身份认证】实战 【技术选型篇】基于Session、Token、JWT怎么选?
天罡gg的专栏
03-29 4911
接下来开始第三章,主要做用户身份认证,主要实现一套统一鉴权的用户身份认证的机制。 我已经提前和狗哥一起讨论确定了认证机制,会采用目前流行的基于JWT的Token用户身份认证机制,主流程如下: 前端请求【用户名+密码登录】接口,后端验证通过后生成Token 返回给前端; 前端保存Token,以后每次请求API都会携带Token,后端校验Token通过就正常返回数据; 直到后端校验Token已失效,这时再从第1步重新开始。
浅谈JWT身份认证及其优缺点
江南烟雨却痴缠丶
03-27 5664
一、登录模式 在介绍JWT之前,我要先介绍一下常见的几种登录模式。 1、单一服务器模式(Session) 我们登录认证成功之后,将用户信息就存放在服务端(Session),然后将其对应的session_id存储在客户端(Cookie),从Cookie中取出session_id,服务端就可以根据这个session_id获取对应的Session,从而获取存储用户信息。 其优点是:Session自动续期,用户体验较好 其缺点是: ①没有分布式架构,无法支持横向扩展。即分布式架构的情况下,其他服务器是没有办法获取到
JWT的优势
qq_64847107的博客
06-18 296
CSRF攻击,采用的是cookie进行攻击的;也避免XSS攻击,XSS采用的是js脚本进行攻击。:移动端没有cookie,jwt
jwt生成token还需要redis缓存吗
最新发布
weixin_40809615的博客
07-29 77
redis相关学习资料:https://edu.51cto.com/video/4196.htmlJWT生成Token是否需要Redis缓存? 作为一名经验丰富的开发者,我很高兴能够分享一些关于JWT(Json Web Tokens)生成Token以及是否需要使用Redis进行缓存的知识点。对于刚入行的小白来说,理解这些...
jwt的优点
weixin_57101315的博客
06-18 454
分布式和无状态:由于 JWT 包含了所有必要的信息,服务器不需要在数据库中存储会话信息,也无需在集群中共享会话状态。这使得应用程序可以轻松地进行水平扩展。可扩展性:JWT 是基于标准的 JSON 格式,因此可以通过添加自定义字段来轻松地扩展令牌的功能,以满足特定的应用程序需求。跨域支持:由于 JWT 是通过 HTTP 头或 URL 参数发送的,它可以轻松地跨域传输,并且没有额外的设置或配置需要。无需在服务器端存储会话状态:JWT 令牌中包含了所有必要的信息,减轻了服务器的存储负担和数据库查询的需要。
JWT令牌的优点
Leon_Jinhai_Sun的博客
12-21 625
JWT基于json,非常方便解析。 可以在令牌中自定义丰富的内容,易扩展。 基于token认证这种方式服务端不用存储认证数据,易维护,扩展性强, token 存在 localStorage 可避免 CSRF,并且可以实现web和app统一认证机制。 通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。 怎么保证令牌的安全?万一我仿造了一个锦衣卫令牌?非对称加密算法需要两个密钥来进行加密和解密,这两个秘钥是公开密钥(public key,简称公钥)和私有密钥(pr..
关于jwt在实际工作中的问题
weixin_43541749的博客
03-04 248
JWT简介:  Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。因为网络上有很多关于jwt的详细介绍了,所以我这里就不再赘述。但是JWT的大概还是要简要讲一下的。 众所周知,在现在的互联网世界中,越来越多的网站之间因为业务关系需要频繁的跨域互相访问,但是由于HTTP协议的同源策略,在跨域访问中如何携带用户个人信息认证就是一个大问题了。为了安全,cookie是只能在同域名下才能作用,这也使之前一直常用的session和cookie来保持用户状态的机
什么是JWT? Token? 如何基于Token进行身份验证?
HZ___ZH的博客
03-10 1212
JWT (JSON Web Token) Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT 本质上就一段签名的 JSON 格式的数据。由于
鉴权 5 兄弟:cookie、session、token、jwt、单点登录,终于有人说清楚
python6_quanzhan的博客
01-19 310
作者:Henrylulu 来源:juejin.cn/post/6898630134530752520 本文你将看到: 基于 HTTP 的前端鉴权背景 cookie 为什么是最方便的存储方案,有哪些操作 cookie 的方式 session 方案是如何实现的,存在哪些问题 token 方案是如何实现的,如何进行编码和防篡改?jwt 是做什么的?refresh token 的实现和意义 session 和 token 有什么异同和优缺点 单点登录是什么?实现思路和在浏览器下的处理 从状态说起 「
JWT优势在哪?
Leon_Jinhai_Sun的博客
01-02 777
简洁(Compact):可以通过URL,POST参 数或者在HTTP header发送,因为数据量小,传输速度也很快 自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库 因为Token是 以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。 不需要在服务端保存会话信息,特别适用于分布式微服务。 ...
jwt认证机制优势和原理_JWT不是万能的,入坑需谨慎
weixin_39567169的博客
11-23 559
越来越多的开发者开始学习 JWT 技术并在实际项目中运用 JWT 来保护应用安全。一时间,JWT 技术风光无限,很多公司的应用程序也开始使用 JWT(Json Web Token)来管理用户会话信息。本文将从 JWT 的基本原理出发,分析在使用 JWT 构建基于 Token 的身份验证系统时需要谨慎对待的细节。任何技术框架都有自身的局限性,不可能一劳永逸,JWT 也不例外。接下来,将从 JWT 的...
讲真,别再使用JWT了!
qq_41257819的博客
04-18 809
在Web应用中,使用JWT替代session并不是个好主意适合JWT使用场景抱歉,当了回标题党。我并不否认JWT的价值,只是它经常被误用。根据维基百科的定义,JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。HS256表示使用了 HMAC-SHA256 来生成签名。
jwt的原理以及使用
weixin_40482816的博客
03-03 1603
1、JWT简介 JWT:Json Web Token,是基于Json的一个公开规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。、 是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。 他的两大使用场景是:认证和数据交换 使用起来就是,由服务端根据规范生成一个令牌(token),并且发放给客户端。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 作用:类似session保持登
公司项目使用JWT认证逻辑
qq_37591691的博客
03-24 214
用户登陆成功会返回认证的令牌通常叫token,后续的代码登陆就只需要传token token分为两部分,用户数据+hash hash=调用hmacSha256的算法传入两个参数1.(用户数据+固定的secret)和2.signKey生成 具体代码: String hash = HashUtil.hmacSha256((str + secret).getBytes(StandardCharsets.UTF_8), signKey); 用户数据通常包含userId和过期时间,后续用户调用其他a
关于使用JWT我的一些建议及避坑指南(非必须建议别用)
wh445306
01-09 7796
关于jwt的一些不足之处,可以参考这里:(译)别再使用 JWT 作为 Session 系统!问题重重且很危险。 JWT存在的意义是什么?很显然就是去中心化,无状态化!这是他存在的核心意义和价值,除去这两点JWT可以说是一无是处! 如果你尝试使用jwt构建session方案,我直接告诉你,赶紧放弃!越早越好!会玩死你,JWT在作为session时, 最大的痛苦就是自动续期和指定失效2个方面是致命伤。而且无解! 最重要的,不要考虑在服务器维护 JWT,比如在服务端维护一个 token...
JWT』,你必须了解的认证登录方案
古时的风筝
08-19 520
JWT 全称是 JSON Web Token,是目前非常流行的跨域认证解决方案,在单点登录场景中经常使用到。 有些人觉得它非常好用,用了它之后就不用在服务端借助 redis 实现认证过程了,但是,还有一部分人认为它生来就有缺陷,根本不能用。
jwt优缺点 如何使用jwt
j9922816的博客
05-06 3003
在生成JWT令牌时,我们使用了一个密钥来签名令牌,并设置了令牌的过期时间为1小时。在验证JWT令牌时,我们使用相同的密钥来验证令牌的真实性,并获取令牌中的信息。而JWT是无状态的,不需要在服务器上存储任何信息,因此可以减轻服务器的负担。1. 令牌过期问题:JWT的令牌过期时间是固定的,无法在令牌生成后更改。2. 令牌大小问题:JWT令牌的大小通常比Session令牌大,因为它包含了更多的信息。本文将介绍JWT优缺点以及为什么使用JWT而不是Session,并提供使用JWT的示例代码。
jwt和csrf token的关系和优缺点
06-12
JWT(JSON Web Token)和 CSRF token...综上所述,JWT 和 CSRF token 都是常见的安全机制,应用场景不同,具有各自的优缺点。在实际开发中,应根据具体场景选择合适的安全机制,以保证应用程序的安全性和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值