JWT的使用

最新推荐文章于 2024-06-23 00:00:25 发布
最新推荐文章于 2024-06-23 00:00:25 发布
阅读量514 收藏 1
点赞数
分类专栏: Node.js 文章标签: java 中间件 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JankoY/article/details/115308432
版权

登录验证

用户登录和鉴权的重要性不言而喻
由于HTTP请求无状态的特性,为了节省运算资源,有必要(?)提供一套登录机制,在验证通过后、一段时间内对需要登录的操作放行
常用的方法有:Session机制,JWT机制和OAuth机制 cookie-session

Session

Session,会话。在用户登录后,服务器存储用户会话的相关信息,并为客户端指定一个访问凭证,如果有客户端凭此凭证发出请求,则在服务端存储的信息中取出用户相关登录信息并使用
服务端返回的凭证常存储于Cookie中。此时Cookie与SessionStorage和LocalStorgae并无太多不同,是一种存储的载体,本质上来说,存在Cookie中的内容也可以存在别处

基于Session和其他服务器存储凭证的鉴权机制有一个问题,对分布式系统比较不友好
如果用户的请求会到达两台服务器上,那么如果其中一台没有登录过,鉴权就会失败
解决这个有数种方法:
一是存储的数据库是分布式的,访问任意一台机器时,实际上都会从分布式的数据库(数据中心)调取凭证
二是通过流量分发,保证同一SessionId的用户,每次请求都会到同一台服务器(数据库)上

JWT

JWT是一种无状态的鉴权机制。将用户登录后的一些信息(比如用户Id)和过期时间等信息存储在一个加密过的字符串中,当服务器收到请求的时候,进行解密并直接使用信息
JWT的组成:使用base64编码描述jwt的头部、使用base64编码的payload,以及加密签名
我们将使用jsonwebtoken模块管理JWT
缺点,服务器无法像session一样方便地管理用户登录状态

Cookie-Session

Express的一个中间件,与JWT类似,使用签名+明文的方法在cookie当中存储session,使用sha256算法进行加密

登录

明文存储用户密码是一件很不机智的事情,包括CSDN在内的一系列组织都出现过大量用户账号密码泄露的事故,如果明文存储密码,画美不看
我们使用Node.js自带的crypto模块中的pbkdf2算法,加密用户的密码,在登录时取出密码进行比对
使用时要注意:1.不能使用pbkdf2Sync方法;2.由于该算法耗时较长,要进行异步处理,可以学习utilities或者bluebird中的promisify方法

什么是JWT
JWT, 全称是JSON Web Token,
是一种易于使用、无状态的鉴权(Authorization)方式。
简单的来说,就是

Server端把JSON数据经过加密做成token,以授权给Client端。

当Client端登录完成以后,
Server端要返回一个7天有效的token,
那么对应的Python的样例代码会是这样的:
(使用了PyJWT包:pip install pyjwt)

import time

import jwt

exp = int(time.time()) + 86400 * 7  // 失效时间
user = 'liriansu'  // 用户表示
key = 'hunter2'  // 密钥
payload = {'exp': exp, 'user': user}  // JSON 数据
token = jwt.encode(payload, key)

print(token)
// token可能会长这样子
// eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.e30.EoKoMCjq_zGqUg5HDfqw4EN7EiG6gMjkUZle0uGJDGU

关于hunter2也有个梗:弱密码hunter2

然后Client端每次在authorization header或者是query string里带上token。
Server端收到请求的时候,

用payload = jwt.decode(token, key)验证权限就行了。

验证通过以后,payload中就是整个JSON数据。
理论上你可以往token payload里塞任何_非敏感_数据。

所以综合来说,
假如使用JWT作为鉴权方式,
有以下几个特性:

Client端不用管任何加密/解密,只用存token,在请求里面带上就行了。
Server端可以实现不依赖外部存储鉴权,所有的数据都丢在token里。
也就是说鉴权这一步不需要File/MySQL/Redis之类的数据库,也能知道用户身份。
因为token带失效时间,所以需要在失效前/后再刷新token。

关于JWT的更多说明,实质上就是用个JSON数据当token,
这破token真的安全吗?能伪造吗?这个问题很尖锐,难以正面回答。

首先token/key泄漏了, 后果基本是跟其它鉴权方式一样严重。 其次JWT可以选择合适的加密方式, 加上合适的key是基本伪造不了的。
还有就是在JWT之外, 一定要用HTTPS! 不用JWT相当于没有门禁, 不用HTTPS基本是不穿内裤了。。。

简单的来说,JWT是由以下三部分组成的:

第一部分指定了加密算法(alg)和token类型(typ)。
第二部分就是我们定义的payload。
第三部分是由加密算法产生的签名。

我去,那token里的信息就是明文的啊?
是的。
所以token里不要带任何敏感信息。

文档上把payload里带的信息叫Claim,
有这么几个可选的Claim:

iss: Issuer, 签发方。
比如这个token是微信签发的,
那么可以是{'iss': 'wechat'}
aud: Audience, 接收方。
比如王者荣耀想用微信登录,
那么可以是{'aud': 'king-of-glory'}
exp: Expiration Time, 失效时间。
使用的是整形Unix时间戳,
关于时间戳可以看看《互联网上的日期和时间》
RFC7519里面还有一点很好玩,
就是上面每一个Claim最后都加了一句Use of this claim is OPTIONALRFC2119还定义过啥叫OPTIONAL

也就是说我们可以往payload里丢任何东西。
只要符合这种加密/解密/鉴权的方式,
我们都可以说“我们用了JWT”。

那token会不会很大?
有可能会。

所以payload里的东西能少则少,

还有就是传输JWT的时候,
相较于放query string里,
更推荐放在Request Headers里面。

下面就用个简单的表格来对比一下_我了解的_几种鉴权方式吧:

JWT, OAuth, Session, Hawk

在这里插入图片描述

JWT全称叫JSON Web Token,

小心别写了类似jwt_token这样的变量名了(语义重复)。
RFC7519还定义了JWT读起来是类似于jot的发音。
然而实际中交流都会说JWT(怕听不懂)。
JWT说是说用同一个key就行了,
不过我们在项目实际中还是根据不一样的user用了不一样的key。
(同时也用了数据库)
假如payload里带了失效时间,
理论上JWT签发后是不会失效的,
也就是Server端管理不了这些token。
(所以可以加个数据库来管)
用JWT想做“记住登录状态”这个功能的话,
可以设定token失效期比如是7天,
然后用户每天登录的时候刷一次token。
这样除非用户一周内都没登录,
才会请求重新登录。

Supernova_gu
关注
专栏目录
JWT使用
海里鱼的技术博客
09-14 1276
Json Web Token(JWT) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 什么场景使用JWTPermalink 在前后端分离情况下前端的每一次请求都会携带指定url地址和参数, 从而很可能被不法分子根据指定的url来仿照前端直接请求后端,造成性能与数据的流失 , 只需更换一些参数
jwt使用
qq_44039494的博客
04-02 390
jwt
JWT介绍及其基本使用
一名编程小白的Java学习日志
06-23 742
JWT介绍及其基本使用
Python项目-Day26-数据加密-hash加盐加密-token-jwt
qq_37892223的博客
08-15 1169
Python项目-Day26-数据加密-hash加盐加密-token-jwt 数据加密 import hashlib pwd='a123456' #sha1的参数必须是二进制 temp=hashlib.sha1(pwd.encode()) print(temp.hexdigest()) hash加盐加密 导入加密函数 from werkzeug.security import ge...
php jwt使用案例,PHP JWT基础知识及其简单示例
weixin_39793189的博客
03-10 690
PHP JWT初识及示例一直没有好好看过jwt,直到前两天要做web验证,朋友给我推荐了jwt。才发现jwt已经被大家广泛的应用了。看来我有点out了。哈哈,趁着这个世界来好好看看这个。JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token,这种token是用JSON格式进行format的。它是一个开源标准(RFC 7519),定义了一个紧凑的自包含的方式在不同实体之...
jwt使用详细讲解
weixin_42075258的博客
06-06 710
-JWT 实战教程 1.什么是jwt JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitall
SpringSecurity+JWT使用
qq_42218187的博客
03-20 1541
maven依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependen
JWT的简单使用
Sky~的博客
02-13 2369
依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.18.2</version> </dependency> 使用 package com.sky; import com.auth0.jwt
JWT的基本使用
热门推荐
weixin_45081813的博客
03-04 1万+
什么是JWT
JWT的简单使用-HelloWorld!
铁蛋的博客
03-11 845
配置2个接口,一个获取Token(不拦截)。一个验证Token(拦截) 第一步 引入pom.xml依赖 <!--JWT(Json Web Token)登录支持 --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </depe
JWT--使用/教程/实例
IT利刃出鞘的博客
10-17 2846
原文网址: 简介 说明 JWT是常用的TOKEN工具,本文介绍JWT知识。包括:什么是JWTJWT的消息组成、JWT实战。 官网 官网:JSON Web Tokens - jwt.io (可生成/解析 Token) 简介 JWT简介 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。JWT将用户信息加密到token里,服务器不保存任何用户信息。服务器通...
JWT
weixin_43654482的博客
10-11 286
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 3.1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "...
JWt使用
weixin_62595121的博客
03-13 414
public class JwtUtil { private JwtUtil(){} //创建jwt public static String createJwt(Object subject){ long exp = System.currentTimeMillis() + (1 * 60 * 60 * 1000); JwtBuilder builder = Jwts.builder(); .
hertz jwt使用
最新发布
07-24
Hertz JWT 使用通常涉及到在 API 开发中对访问控制、身份验证和授权的管理。JWT (JSON Web Token) 是一种开放标准,用于安全地传输数据作为令牌,并可以在客户端和服务端之间进行验证。当结合 Hertz 框架使用时,可以有效提升 RESTful API 的安全性。 ### Hertz 中 JWT 的应用 1. **身份验证**:通过 JWT 提供了一个自包含的身份认证机制,允许客户端一次性携带身份信息,在请求过程中不需要再次提供凭证。 2. **权限控制**:JWT 可以携带用户角色或其他授权信息,服务端可以根据这些信息做出相应的访问决策。 3. **状态无状态性**:由于 JWT 是自包含的,它消除了对会话存储的需求,使得应用程序更易于分布式部署。 4. **加密与签名**:使用哈希算法如 HMAC 或 RSA 进行签名,保证了数据的完整性和来源的可信度。 ### 实现步骤 #### 客户端生成 JWT 1. 发起一次认证请求给服务器,例如登录请求,返回包含用户名等信息的响应。 ```http POST /login HTTP/1.1 Host: example.com username=example_user&password=example_password ``` 2. 服务器验证凭据并生成 JWT,通常包括 token、过期时间等字段,并将其返回给客户端。 ```json { "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c", "exp": 1682797600, // 其他信息... } ``` #### 服务端验证 JWT 1. 接收到请求,从请求头(通常是 `Authorization` 字段)提取 JWT。 ```http GET /protected-resource HTTP/1.1 Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c ``` 2. 使用相同的密钥解码 JWT,并验证其完整性及有效性。 3. 根据 JWT 中的信息进行授权处理,如检查用户角色、过期时间等。 ### 相关问题: 1. **如何确保 JWT 在传输过程中的安全性?** 使用 HTTPS 协议保护数据传输的安全,防止中间人攻击。同时,可以采用 AES 加密或其他更高级别的加密技术来进一步增强安全性。 2. **如何在 Hertz 框架中集成 JWT 验证机制?** 可以使用第三方库(如 gjwt)简化 JWT 验证的过程,或者自定义实现验证逻辑。这通常涉及拦截 HTTP 请求,读取 JWT使用预设的密钥进行解码和验证。 3. **JWT 的生命周期管理有哪些注意事项?** - 确保设置合理的过期时间,避免长时间有效性的 JWT 被滥用。 - 定期清理无效或已撤销的 JWT,减少资源消耗和潜在的风险。 - 对敏感操作如账户更改密码等,考虑使用短生命周期的刷新令牌而非原始的访问令牌。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Supernova_gu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值