什么是JWT Json web token (JWT),它的起源与应用一文解读!

最新推荐文章于 2024-08-24 11:33:16 发布
最新推荐文章于 2024-08-24 11:33:16 发布
阅读量773 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Return_Li/article/details/105102182
版权

JWT

JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。

什么是JWT Json web token (JWT),

是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准 (RFC 7519)

该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。

JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

起源

说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。

传统的session认证 我们知道,http协议本身是一种无状态的协议,

而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,
因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

但是这种基于session的认证使应用本身很难得到扩展,随着不同客户端用户的增加,独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来.

基于session认证所显露的问题 Session:

每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。

扩展性:

用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。

CSRF: 因为是基于cookie来进行用户识别的,

cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

基于token的鉴权机制

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。 流程上是这样的:

• 用户使用用户名密码来请求服务器

• 服务器进行验证用户的信息

• 服务器通过验证发送给用户一个token

• 客户端存储token,并在每次请求时附送上这个token值

• 服务端验证token值,并返回数据

这个token必须要在每次请求时传递给服务端,它应该保存在请求头里, 另外,服务端要支持CORS(跨来源资源共享)策略,一般我们在服务端这么做就可以了Access-Control-Allow-Origin: *。 那么我们现在回到JWT的主题上。

JWT长什么样?

JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。就像这样:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JWT的构成 第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature).

header

jwt的头部承载两部分信息:

• 声明类型,这里是jwt

• 声明加密的算法 通常直接使用 HMAC SHA256

完整的头部就像下面这样的JSON: { ‘typ’: ‘JWT’, ‘alg’: ‘HS256’ }

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

playload

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分 • 标准中注册的声明

• 公共的声明

• 私有的声明

标准中注册的声明(建议但不强制使用) :

• iss: jwt签发者

• sub: jwt所面向的用户

• aud: 接收jwt的一方

• exp: jwt的过期时间,这个过期时间必须要大于签发时间

• nbf: 定义在什么时间之前,该jwt都是不可用的.

• iat: jwt的签发时间

• jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明: 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明: 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload: { “sub”: “1234567890”, “name”: “John Doe”, “admin”: true }

然后将其进行base64加密,得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

• header (base64后的)

• payload (base64后的)

• secret

这个部分需要base64加密后的header和base64加密后的payload使用[.]点连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

// javascript var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, 'secret'); //

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
注意:

secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

如何应用

一般是在请求头里加入Authorization,并加上Bearer标注: fetch(‘api/user/1’, { headers: { ‘Authorization’: 'Bearer ’ + token } })

服务端会验证token,如果验证通过就会返回相应的资源。整个流程就是这样的:

总结

优点

• 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。

• 因为有了payload部分,所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。

• 便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。

• 它不需要在服务端保存会话信息, 所以它易于应用的扩展

安全相关

• 不应该在jwt的payload部分存放敏感信息,因为该部分是客户端可解密的部分。

• 保护好secret私钥,该私钥非常重要。

• 如果可以,请使用https协议

这里是基于django框架的简单配置和使用:

pip install djangorestframework-jwt
‘rest_framework',

在INSTALLED_APPS中加入’rest_framework.authtoken’,

REST_FRAMEWORK = {
    
    # 身份认证
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication',
    ),
}



import datetime

JWT_AUTH = {
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
    
}
AUTH_USER_MODEL='shopadmin.User'


修改models.py中user表
from django.contrib.auth.models import AbstractUser  
#用户表
class User(BaseModel,AbstractUser):
username加unique=True

数据库迁移

注册中加入
from rest_framework_jwt.settings import api_settings

class UserSerializer(serializers.Serializer):
    username = serializers.CharField()
    password = serializers.CharField()
    token = serializers.CharField(read_only=True)

    def create(self,data):
        user = User.objects.create(**data)
        user.set_password(data.get('password'))
        user.save()
        # 补充生成记录登录状态的token
        jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
        jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER
        payload = jwt_payload_handler(user)
        token = jwt_encode_handler(payload)
        user.token = token
        
        return user


登录1
from rest_framework_jwt.views import obtain_jwt_token

re_path(r'auths/', obtain_jwt_token, name='auths'),

登录2
from rest_framework_jwt.settings import api_settings
from rest_framework.response import Response
from django.contrib.auth.hashers import check_password,make_password
class Login(APIView):
    def get(self,request):
        name = 'zs'
        passwd = '123'
        user = User.objects.filter(username=name).first()
        if user:
            if  check_password(passwd,user.password):
                jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
                jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER
                payload = jwt_payload_handler(user)
                token = jwt_encode_handler(payload)
                user.token = token
                from .serializer import UserModelSerializer
                u = UserModelSerializer(user)
                return Response(u.data)


前台js存取
sessionStorage.token = res.token;
sessionStorage.user_id = res.user_id;
sessionStorage.username = res.username;

var token =sessionStorage.token
var user_id = sessionStorage.user_id
var username = sessionStorage.username

$.ajax({
            url:'/v1/index',
            type:'post',
            dataType:'json',
            headers: {
                'Authorization': 'JWT ' + token
            },
            data:{'username':'admin1'},
            success:function(res){
                console.log(res)
                
            }
        })

接口中加权限

from rest_framework.permissions import IsAuthenticated
from rest_framework_jwt.authentication import JSONWebTokenAuthentication


class Index(APIView):
    permission_classes = [IsAuthenticated]
    authentication_classes = [JSONWebTokenAuthentication]
    def get(self,request):
        return 'ok'
    def post(self,request):
        return Response("okdeee")

自定义返回数据

JWT_AUTH = {
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
    'JWT_RESPONSE_PAYLOAD_HANDLER': 'user.utils.jwt_response_payload_handler',
}

在子应用下面新建一个utils.py文件

from shopadmin.models import User

from django.contrib.auth.backends import ModelBackend

def jwt_response_payload_handler(token, user=None, request=None):
    """
    自定义jwt认证成功返回数据
    """
    return {
        'token': token,
        'user_id': user.id,
        'username': user.username
    }

好了今天的分享就到这里!

Lonelypatients°
关注
一文详解jwt token以及sprig boot如何整合实现 jwt token操作
念兮为美
09-26 1759
一文详解jwt token以及sprig boot如何整合实现 jwt token操作。
登陆验证发展史(cookie认证->session认证->token认证->JWT,单系统登陆->多系统单点登陆)
白白胖胖充满希望
01-27 1390
登陆验证发展史有两条主线。在服务部署方式层面,早期的Web服务系统简单一般都是单系统,登陆的话就登陆这一个系统就好了,随着系统复杂性越来越高,一个大的系统往往由很多子系统组成,用户使用这个大系统时不可能一个一个地单独去登陆每个小系统,理想的是只要登陆上了这个大系统或者其中的一个小系统,其它所有小系统都不需要再输密码什么的登陆了,直接访问,所以登陆验证就从单系统登陆演进为多系统的单点登陆。而在验证方式层面,经历了cookie认证->session认证->token认证->JWT的发展史。
Jwt诞生
m0_50574545的博客
10-12 186
跨域身份验证 jwt就是为了解决服务器分布式架构(多态服务器)身份验证问题。 之前使用servlet身份验证需要做的事 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。 5.服务器收到session_id并对比之前保存的数据,确认用户的身份。 这种模式最大的问题是,没有分布式
JWTJSON WEB TOKEN)详解
最新发布
yjp1240201821的博客
08-24 1596
JWTJSON WEB TOKEN),本文主要详细讲解了jwt,从其定义、token的理解、结构、使用等等帮助深刻理解jwt
JWT的由来
weixin_62360776的博客
07-17 87
JWT的前世今生
django实现jwt身份认证
a961634066的博客
08-12 2854
文章中使用版本信息:python3.8,django2.2闲暇之余研究了下jwt,没想到过程中遇到各种各样问题,记录一下,希望以后用到或对大家有帮助,个人理解,可能看到冰山一角,只是能用起来,可互相探讨。下面来说两种实现1. pyjwt。............
Zhong__JWT简介及方案
Zhong的博客
10-08 229
时间: 环境: 目的: 说明: 作者:Zhong QQ交流群:121160124 欢迎加入!
一文搞懂Cookie+Session,Redis+TokenJWT三者的区别
Fatter$hday的博客
05-24 3462
一文搞懂Cookie+Session,Redis+TokenJWT三者的区别
jwttoken解码_JWT Token实现方法及步骤详解
weixin_34220029的博客
12-24 2733
1. 前言Json Web Token (JWT) 近几年是前后端分离常用的 Token 技术,是目前最流行的跨域身份验证解决方案。你可以通过文章 一文了解web无状态会话token技术JWT 来了解 JWT。今天我们来手一个通用的 JWT 服务。DEMO 获取方式在文末,实现在 jwt 相关包下2. spring-security-jwtspring-security-jwt 是 Spring...
SpringBoot整合Json Web Token(JWT)
Jiangtagong的博客
04-05 1163
一文搞懂JWT整合操作
cookie、session和Token的区别?JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~
LYJbao的博客
11-06 442
JWTJSON WEB TOKEN的缩,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任和安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到不同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。
深入理解JWT:历史、原理与实践应用
Narutolxy的博客
05-09 648
jwt python
JWT VS OAuth2, 如何设计一个安全的API接口?(1),聊聊网络安全开发的现状和思考
2401_83739434的博客
04-15 740
也就是常见的,去认证服务商(比如facebook)那里注册你的应用,然后设置需要访问的用户信息,比如电子邮箱、姓名等。用户点击以后被重定向到对应的认证服务商网站,获得用户的授权后就可以访问到需要的信息,然后重定向回来。服务端可以通过内嵌的声明信息,很容易地获取用户的会话信息,而不需要去访问用户或会话的数据库。这里有一个重要的实现细节。安全地传输用户提供的私密信息,在任何一个安全的系统里都是必要的。如果设计的API要被不同的App使用,并且每个App使用的方式也不一样,使用OAuth2是个不错的选择。
Jwt简介
苍穹尘的博客
05-24 2382
JSON Web Token(缩 JWT)是目前最流行的跨域认证解决方案,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 一、跨域认证的问题  HTTP协议是无状态的,也就是说,如果我们已经认证了一个用户,那么他下一次请求的时候,服务器不知道我是谁,我们必须再次认证。  互联网服务...
JWT 简介
weixin_34221276的博客
03-29 98
JWT 代替传统Token JSON Web Token (JWT)是由Auth0所提构出的一个新Token想法,这并不是一套软件、也不是一个技术,如果你在做网站时有用Token验证使用者身份的习惯,那么这个方法你应该很快就能上手。我们先来讲一讲为什么JWT会比传统Token要好。 在传统网站中我们会以Session 来判定使用者是否有登入,由于Session 只会被服务端知道,所以我们...
jwt原理
m0_51946387的博客
11-02 186
JWT原理 JWT是Auth0提出的通过对JSON进行加密签名来实现授权验证的方案,编码之后的JWT看起来是这样的一串字符: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9. TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 分为三段,通过解码可以得到 1. 头部(Header) // 包
django使用JWT保存用户登录信息
菜鸟教程
12-30 1482
更多编程教程请到:菜鸟教程 https://www.piaodoo.com/ 友情链接: 高州阳光论坛https://www.hnthzk.com/ 人人影视http://www.sfkyty.com/ 在使用前必须弄明白JWT的相关知识,可以看我的另一篇博文:https://www.jb51.net/article/166843.htm 什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON
JWT验证机制
weixin_30361753的博客
07-19 522
一、JWT: 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。1.什么是JWT: Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录...
Django REST framework JWT
python_web全栈
03-06 4122
1. 安装 pip3 install djangorestframework-jwt -i https://mirrors.aliyun.com/pypi/simple/ 2. 使用 2.1 重认证 from rest_framework.authentication import BaseAuthentication from rest_framework.exceptions import AuthenticationFailed from rest_framework_jwt.authe
理解与应用JSON Web Tokens(JWT
JWTJSON Web Token)是一种轻量级的身份验证协议,用于在各方之间安全地传输信息。该文档提供了JWT的基本概念、实际应用场景以及详细的技术实现。 1. **JWT简介** - JSON Web Token是一种开放标准(RFC 7519),...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lonelypatients°

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值