JWT认证方案与禁用令牌策略

最新推荐文章于 2024-04-01 21:41:25 发布
最新推荐文章于 2024-04-01 21:41:25 发布
阅读量1.1k 收藏
点赞数
分类专栏: web开发 文章标签: jwt 认证方案 加密策略 禁用令牌 对称加密和非对称加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jack_yun_feng/article/details/95675360
版权
本文探讨了JWT作为认证方案的优缺点,包括JWT的不可逆加密、消息摘要与数字签名机制。详细介绍了PyJWT的使用,以及JWE在数据加密中的角色。此外,还阐述了刷新令牌的实现流程及其在访问控制中的应用,并讨论了禁用令牌的必要场景和逻辑。
摘要由CSDN通过智能技术生成

认证方案

1.1 jwt

  • 对比状态保持机制

    • APP不支持状态保持
    • 状态保持有同源策略, 无法跨服务器传递

  • 不可逆加密

    • md5 sha1 sha256
    • 主要用于数据认证, 防止数据被修改

  • 消息摘要 MD

    • 通过哈希算法将任意长度内容转为定长内容, 且相同内容的哈希值始终相同, 不同内容的哈希值不同(极小概率出现碰撞)
    • 由于其唯一性, 一般将数据的哈希值称为数据的摘要信息, 称为数据的"指纹", 用于检测数据是否被修改
    • 代表算法 sha1 sha256 md5
    • 缺点
      • 哈希算法是公开的, 如果可以获取到明文, 就可以穷举出使用的算法

  • 消息认证 MA

    • 哈希算法基础上混入秘钥, 防止哈希算法被破解, 避免签名被伪造
    • 代表算法 hmacsha256
    • JWT一般会采用 消息认证 机制
      • 一般的web应用, 不会将秘钥交给客户端 ,也就表示客户端不会验签服务器的身份
    • 缺点
      • 一旦秘钥泄露, 仍然可以伪造签名

  • 数字签名

    • 利用非对称加密对摘要信息进行加密, 避免摘要信息被伪造
    • 非对称加密采用秘钥对
      • 公钥和私钥
      • 公钥加密, 私钥解密
      • 私钥加密, 公钥解密
      • 私钥可以推出公钥, 公钥无法推出私钥
    • 发送者使用私钥对数据摘要加密(签名), 接收者使用对应的公钥解密, 然后对数据进行哈希处理, 比对摘要信息是否一致
    • 代表算法 RSA
    • 使用场景
      • 安全级别要求比较高的系统, 如银行等
    • 优点
      • 客户端不会像消息认证一样保存秘钥, 而是保存了非对称加密的公钥, 即使客户端被破解, 公钥被获取, 也无法通过公钥生成合法的签名
    • 缺点
      • 效率低
1.2 PyJWT
  • 安装 pip install PyJWT
import jwt
from datetime import datetime, timedelta
from jwt import PyJWTError

# 包装数据  jwt的规范中要求通过exp参数来设置有效期, 要求有效期使用格林尼治时间
payload = {
   'payload': 'test', 'exp': datetime.utcnow() + timedelta(seconds=30)}

key = 'secret'
# # 生成jwt
# token = jwt.encode(payload, key, algorithm='HS256')
# print(token)


token = b'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJwYXlsb2FkIjoidGVzdCIsImV4cCI6MTU2MjgwOTkzMn0.BSc0A2ibdjHTlmW7wtWfj5ZGkny8RX8tV12313'
# 验证jwt    pyjwt内部对有效期进行了验证, 如果超过时间, 会报错
try:
    ret = jwt.decode(token, key, algorithms='HS256')
    print(ret)
except PyJWTError
最低0.47元/天 解锁文章
「已注销」
关注
专栏目录
Spring Security 6.x 系列【35】认证篇之基于JWT的集成方案
记录知识、锤炼自我
05-06 2299
在云计算、微服务流行的技术架构下,大型项目中的后端服务可能成千上万,用户端不仅仅是浏览器网站,可能还包含移动APP、机器终端等应用,传统的Cookie Session方式可能会面临一些问题。
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
springSecurity整合jwt做系统权限控制
qq_41988229的博客
01-16 994
springSecurity+jwt基于url的权限动态校验
jwt,token白名单过滤。从写中间件。生成token
jiedong_xu的博客
01-23 665
如果需要用户的id可以调用request.id。上面把用户id存到request里面了。从写中间件,在settings文件里面的加上“MIDDLEWARE”中加上封装的。里面的SECRET_KEY需要从配置文件中settings中导过来。封装一个token进行解析判断,校验。
【SSO单点登录】JWT如何防篡改&&主动注销【黑白名单机制】
m0_57042151的博客
10-13 1596
这种方式和cookie/session机制中的会话失效删除session基本一致,但同时也违背了JWT的初衷,每次登录,我们都需要存储token,跟session一样有内存开销问题。上文我们谈到,一般注销只需要前端销毁存储在客户端的token即可,但那样的话,其实token本质上是还能用,一旦泄露了,你的登录状态就能被别人利用。黑名单机制,巧妙的解决了存储的问题,而且存储量是远远小于,大多数情况下,登录状态都是token自动过期了,而不是用户主动注销。JWT 安全的核心在于签名,签名安全的核心在秘钥。
通用开发技能系列:Authentication、OAuth、JWT 认证策略
最新发布
a1369760658的博客
04-01 1288
本文是 golang语言系列 文章,主要对编程通用技能 Authentication、OAuth、JWT 认证策略 进行学习
jwt 实现token 拦截器bug +前端路由白名单bug总结
weixin_45351914的博客
04-21 1475
token 拦截器bug 前端路由白名单bug
浅谈JWT身份认证及其优缺点
江南烟雨却痴缠丶
03-27 5689
一、登录模式 在介绍JWT之前,我要先介绍一下常见的几种登录模式。 1、单一服务器模式(Session) 我们登录认证成功之后,将用户信息就存放在服务端(Session),然后将其对应的session_id存储在客户端(Cookie),从Cookie中取出session_id,服务端就可以根据这个session_id获取对应的Session,从而获取存储用户信息。 其优点是:Session自动续期,用户体验较好 其缺点是: ①没有分布式架构,无法支持横向扩展。即分布式架构的情况下,其他服务器是没有办法获取到
JWT 认证
longlonglaobiao
06-08 860
基于传统的 cookie 、session 认证的一些问题 session 一般存储在应用的内存中,随着用户数量增加,服务端内存开销也比较大【这里也推荐使用 redis】 如果是分布式服务应用,想要共享数据还得有一台中央服务器,这样会限制负载均衡的能力 CSRF【跨站请求伪造】,只要截获 cookie ,用户信息很容易暴露 再一个问题是,cookie 是可以在浏览器端设置的,一旦用户不小心禁用了 cookie ,那他可能再也登录不了系统了。 基于 token 的鉴权 token 的鉴权
“长短令牌三验证”的JWT令牌续签策略(兼顾安全、性能的综合性方案
ckw1988的专栏
05-31 5923
“长短令牌三验证”的JWT续签、管理策略 前言:最近研究JWT的续签机制,发现虽然JWT已经在业界广泛应用,但续签机制的探讨还是处于一种百家争鸣的状态(有些策略甚至能看出连JWT的基本规范都没学扎实)。所以不才在吸收了一圈网上各位达人分享的策略后加上一些个人的思考,提出一套名叫“长短令牌三验证”的解决策略,自信比较周全,拿出来与大家探讨,希望能为互联网开发生态的完善做出一点自己微薄的贡献。 令牌使用策略概述 顾名思义,本机制下所使用的令牌分为长短两种:长令牌即过期时间较长的refresh_token,专
SpringBoot 2.1.1 + SpringSecurity+jwt 去掉Token验证
程序人生
09-24 6377
SpringBoot 2.1.1+ SpringSecurity+jwt 实现无Token验证 记录一下使用springSecurity实现jwt的授权,并对去掉鉴权认证 工程创建流程 SecurityConfig AuthenticationEntryPointImpl 和 JwtAuthenticationEntryPoint JwtAuthenticationTokenFilter 配置 Security信息 启动类的信息 环境 springBoot 2.1.1 s.
token要加编码decode吗_Authlib jwt token decode在函数内部不工作
weixin_39769767的博客
12-22 393
我使用authlib库来解码JWT令牌。在当我按原样运行时,这个代码运行得很好。在from authlib.specs.rfc7519 import jwtencoded_jwt = '''eyJ0eXAiOiJKV1Qi.....'''secret = b'''-----BEGIN PUBLIC KEY-----.....-----END PUBLIC KEY-----'''claims = j...
119、JWT禁用问题
limengshi138392的博客
07-01 1093
需求 token颁发给用户后,在有效期内服务端都会认可,但是如果在token的有效期内需要让token失效,该怎么办? 此问题的应用场景: 用户修改密码,需要颁发新的token,禁用还在有效期内的老token 后台封禁用户 解决方案 在redis中使用set类型保存新生成的token key = 'user:{}:token'.format(user_id) pl = redis_c...
JWT禁用问题
极地星辰
07-15 409
JWT禁用问题前言需求 前言 需求 token颁发给用户后,在有效期内服务端都会认可,但是如果在token的有效期内需要让token失效,该怎么办? 此问题的应用场景: 用户修改密码,需要颁发新的token,禁用还在有效期内的老token 后台封禁用户 解决方案 在redis中使用set类型保存新生成的token key = 'user:{}:token'.format(user_id) pl = redis_client.pipeline() pl.sadd(key, new_token) pl
使用JWT替换默认令牌token
whaleluo的博客
05-23 6643
文章目录JSON Web Token (JWT)自包含token的创建总结密签可扩展替换默认tokenTokenStoreConfigWhaleAuthenticationServiceConfigOAuth2Properties测试 jwtjwt token加额外信息实现TokenEnhancerTokenStoreConfig 配置 TokenEnhancer beanWhaleAuthent...
JWT token心得与使用实例
God Liao On The Way
06-20 6万+
本文你能学到什么?token的组成 token串的生成流程。 token在客户端与服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码JWT token的组成头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符
Django配置JWT认证详解:块图标与PCS7标准库
在PCS7中,配置JWT认证可能涉及创建和验证令牌,设置认证策略,以及保护特定API和资源的安全访问。 理解并正确配置这些属性对于有效管理PCS7系统和确保其安全运行是至关重要的。操作人员应当遵循手册中的指导,尤其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值