什么是JWT Json web token (JWT),它的起源与应用一文解读!

最新推荐文章于 2024-08-29 07:38:03 发布
最新推荐文章于 2024-08-29 07:38:03 发布
阅读量765 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Return_Li/article/details/105102182
版权

JWT

JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。

什么是JWT Json web token (JWT),

是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准 (RFC 7519)

该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。

JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

起源

说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。

传统的session认证 我们知道,http协议本身是一种无状态的协议,

而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,
因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

但是这种基于session的认证使应用本身很难得到扩展,随着不同客户端用户的增加,独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来.

基于session认证所显露的问题 Session:

每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。

扩展性:

用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。

CSRF: 因为是基于cookie来进行用户识别的,

cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

基于token的鉴权机制

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。 流程上是这样的:

• 用户使用用户名密码来请求服务器

• 服务器进行验证用户的信息

• 服务器通过验证发送给用户一个token

• 客户端存储token,并在每次请求时附送上这个token值

• 服务端验证token值,并返回数据

这个token必须要在每次请求时传递给服务端,它应该保存在请求头里, 另外,服务端要支持CORS(跨来源资源共享)策略,一般我们在服务端这么做就可以了Access-Control-Allow-Origin: *。 那么我们现在回到JWT的主题上。

JWT长什么样?

JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。就像这样:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JWT的构成 第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature).

header

jwt的头部承载两部分信息:

• 声明类型,这里是jwt

• 声明加密的算法 通常直接使用 HMAC SHA256

完整的头部就像下面这样的JSON: { ‘typ’: ‘JWT’, ‘alg’: ‘HS256’ }

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

playload

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分 • 标准中注册的声明

• 公共的声明

• 私有的声明

标准中注册的声明(建议但不强制使用) :

• iss: jwt签发者

• sub: jwt所面向的用户

• aud: 接收jwt的一方

• exp: jwt的过期时间,这个过期时间必须要大于签发时间

• nbf: 定义在什么时间之前,该jwt都是不可用的.

• iat: jwt的签发时间

• jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明: 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明: 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload: { “sub”: “1234567890”, “name”: “John Doe”, “admin”: true }

然后将其进行base64加密,得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

• header (base64后的)

• payload (base64后的)

• secret

这个部分需要base64加密后的header和base64加密后的payload使用[.]点连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

// javascript var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, 'secret'); //

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
注意:

secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

如何应用

一般是在请求头里加入Authorization,并加上Bearer标注: fetch(‘api/user/1’, { headers: { ‘Authorization’: 'Bearer ’ + token } })

服务端会验证token,如果验证通过就会返回相应的资源。整个流程就是这样的:

总结

优点

• 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。

• 因为有了payload部分,所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。

• 便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。

• 它不需要在服务端保存会话信息, 所以它易于应用的扩展

安全相关

• 不应该在jwt的payload部分存放敏感信息,因为该部分是客户端可解密的部分。

• 保护好secret私钥,该私钥非常重要。

• 如果可以,请使用https协议

这里是基于django框架的简单配置和使用:

pip install djangorestframework-jwt
‘rest_framework',

在INSTALLED_APPS中加入’rest_framework.authtoken’,

REST_FRAMEWORK = {
    
    # 身份认证
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication',
    ),
}



import datetime

JWT_AUTH = {
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
    
}
AUTH_USER_MODEL='shopadmin.User'


修改models.py中user表
from django.contrib.auth.models import AbstractUser  
#用户表
class User(BaseModel,AbstractUser):
username加unique=True

数据库迁移

注册中加入
from rest_framework_jwt.settings import api_settings

class UserSerializer(serializers.Serializer):
    username = serializers.CharField()
    password = serializers.CharField()
    token = serializers.CharField(read_only=True)

    def create(self,data):
        user = User.objects.create(**data)
        user.set_password(data.get('password'))
        user.save()
        # 补充生成记录登录状态的token
        jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
        jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER
        payload = jwt_payload_handler(user)
        token = jwt_encode_handler(payload)
        user.token = token
        
        return user


登录1
from rest_framework_jwt.views import obtain_jwt_token

re_path(r'auths/', obtain_jwt_token, name='auths'),

登录2
from rest_framework_jwt.settings import api_settings
from rest_framework.response import Response
from django.contrib.auth.hashers import check_password,make_password
class Login(APIView):
    def get(self,request):
        name = 'zs'
        passwd = '123'
        user = User.objects.filter(username=name).first()
        if user:
            if  check_password(passwd,user.password):
                jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
                jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER
                payload = jwt_payload_handler(user)
                token = jwt_encode_handler(payload)
                user.token = token
                from .serializer import UserModelSerializer
                u = UserModelSerializer(user)
                return Response(u.data)


前台js存取
sessionStorage.token = res.token;
sessionStorage.user_id = res.user_id;
sessionStorage.username = res.username;

var token =sessionStorage.token
var user_id = sessionStorage.user_id
var username = sessionStorage.username

$.ajax({
            url:'/v1/index',
            type:'post',
            dataType:'json',
            headers: {
                'Authorization': 'JWT ' + token
            },
            data:{'username':'admin1'},
            success:function(res){
                console.log(res)
                
            }
        })

接口中加权限

from rest_framework.permissions import IsAuthenticated
from rest_framework_jwt.authentication import JSONWebTokenAuthentication


class Index(APIView):
    permission_classes = [IsAuthenticated]
    authentication_classes = [JSONWebTokenAuthentication]
    def get(self,request):
        return 'ok'
    def post(self,request):
        return Response("okdeee")

自定义返回数据

JWT_AUTH = {
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
    'JWT_RESPONSE_PAYLOAD_HANDLER': 'user.utils.jwt_response_payload_handler',
}

在子应用下面新建一个utils.py文件

from shopadmin.models import User

from django.contrib.auth.backends import ModelBackend

def jwt_response_payload_handler(token, user=None, request=None):
    """
    自定义jwt认证成功返回数据
    """
    return {
        'token': token,
        'user_id': user.id,
        'username': user.username
    }

好了今天的分享就到这里!

Lonelypatients°
关注
一文详解jwt token以及sprig boot如何整合实现 jwt token操作
念兮为美
09-26 1755
一文详解jwt token以及sprig boot如何整合实现 jwt token操作。
登陆验证发展史(cookie认证->session认证->token认证->JWT,单系统登陆->多系统单点登陆)
白白胖胖充满希望
01-27 1383
登陆验证发展史有两条主线。在服务部署方式层面,早期的Web服务系统简单一般都是单系统,登陆的话就登陆这一个系统就好了,随着系统复杂性越来越高,一个大的系统往往由很多子系统组成,用户使用这个大系统时不可能一个一个地单独去登陆每个小系统,理想的是只要登陆上了这个大系统或者其中的一个小系统,其它所有小系统都不需要再输密码什么的登陆了,直接访问,所以登陆验证就从单系统登陆演进为多系统的单点登陆。而在验证方式层面,经历了cookie认证->session认证->token认证->JWT的发展史。
Jwt诞生
m0_50574545的博客
10-12 186
跨域身份验证 jwt就是为了解决服务器分布式架构(多态服务器)身份验证问题。 之前使用servlet身份验证需要做的事 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。 5.服务器收到session_id并对比之前保存的数据,确认用户的身份。 这种模式最大的问题是,没有分布式
JSON Web Token (JWT): 理解与应用
yuanchun的知识整理
08-16 1231
JSON Web Token (JWT)
深入理解JWT:历史、原理与实践应用
Narutolxy的博客
05-09 640
jwt python
Jwt简介
苍穹尘的博客
05-24 2378
JSON Web Token(缩 JWT)是目前最流行的跨域认证解决方案,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 一、跨域认证的问题  HTTP协议是无状态的,也就是说,如果我们已经认证了一个用户,那么他下一次请求的时候,服务器不知道我是谁,我们必须再次认证。  互联网服务...
jsonwebtokens-Rust的Json Web令牌实现-Rust开发
05-27
Json Web令牌安装的Rust实现jsonwebtokens =“ 1” serde_json =“ 1”然后,在您的代码中:使用serde_json :: json; 使用serde_json ::: Json Web令牌安装的Rust实现jsonwebtokens =“ 1” serde_json =“ 1”然后,在您的代码中:使用serde_json :: json; 使用serde_json :: value :: Value; 使用jsonwebtokens作为jwt; 使用jwt :: {Algorithm,AlgorithmID,Verifier}; 用法主要的两种类型是“算法”和“验证程序”。 给定算法,算法会封装用于签名或验证令牌的加密功能,验证程序会处理检查令牌的签名和声明。 单独创建算法
一文搞懂Cookie+Session,Redis+TokenJWT三者的区别
Fatter$hday的博客
05-24 3454
一文搞懂Cookie+Session,Redis+TokenJWT三者的区别
jwttoken解码_JWT Token实现方法及步骤详解
weixin_34220029的博客
12-24 2726
1. 前言Json Web Token (JWT) 近几年是前后端分离常用的 Token 技术,是目前最流行的跨域身份验证解决方案。你可以通过文章 一文了解web无状态会话token技术JWT 来了解 JWT。今天我们来手一个通用的 JWT 服务。DEMO 获取方式在文末,实现在 jwt 相关包下2. spring-security-jwtspring-security-jwt 是 Spring...
SpringBoot整合Json Web Token(JWT)
Jiangtagong的博客
04-05 1159
一文搞懂JWT整合操作
cookie、session和Token的区别?JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~
LYJbao的博客
11-06 423
JWTJSON WEB TOKEN的缩,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任和安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到不同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。
快速获取JSON值-Rust的JSON解析器-Rust开发
05-27
GJSON是一个Rust板条箱,它提供了一种快速,简单的方法来从json文档中获取值。 它具有诸如单行检索,点符号路径,迭代和解析json行之类的功能。 快速获取JSON值GJSON是Rust板条箱,它提供了一种快速,简单的方法来从json文档中获取值。 它具有诸如单行检索,点符号路径,迭代和解析json行之类的功能。 该库使用与Go版本相同的路径语法。 入门用法将其放在Cargo.toml中:[dependencies] gjson =“ 0.7”获取值获取搜索json以查找指定的路径。 路径采用点语法,例如“ name.last”或“ age”。 当值是
110、Rust编程:JWT与OAuth2.0认证授权实践
silenceallat的博客
04-24 1185
本文主要介绍了在Rust编程语言中实现基于JWT和OAuth2.0的认证与授权的实践方法。首先讲解了JWT的基本原理和如何在Rust中生成、验证JWT token。接着,详细阐述了OAuth2.0的授权码流程,并给出了一个Rust web应用程序的示例,展示了如何获取授权码、交换访问令牌,并使用访问令牌访问受保护的资源。本文旨在帮助读者掌握在Rust中实现安全认证与授权的基本技能。
史上最全面的基于JWT token登陆验证
SuperBins的博客
07-18 3544
介绍JWT 1、什么是JWTJWTJson web token), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。 2、JWT的组成: jwt由header(头部),playload(载荷)、signature(签名三部分组成) 头部部分header { “alg”: “HS256”, “typ”: “JWT” } alg描述的是签名算法。默认值是HS...
【Rust Web Rokcet 系列 3】 使用 JWT
恐咖兵糖的博客
02-16 917
JWT即使用的包是jsonwebtoken。是使用token进行验证的一种方式。基于`token`的认证方式相比传统的`session`认证方式相比节约服务器资源。 JWT 官网 https://jwt.io/ 。
Vue-jwt
秃头俱乐部
08-17 3843
目标:学会正确使用jwt1. JWT是什么?2. 为什么使用JWT3. JWT的工作原理4.JWT的验证过程5. JWT令牌刷新思路6.JWT组成HeaderPayload(负荷)signature 1. JWT是什么? JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JW...
JWT
weixin_30575309的博客
08-18 178
JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 JWT的工作原理 1.是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "2018-08-08 20:...
探索JWT的极致实践 —— Rust-JWT库深度解读
最新发布
gitblog_00741的博客
08-29 469
探索JWT的极致实践 —— Rust-JWT库深度解读 rust-jwtJSON Web Token library for Rust项目地址:https://gitcode.com/gh_mirrors/ru/rust-jwt 在这个数字化时代,安全验证是每个应用不可或缺的一环。JSON Web Tokens(JWT)作为验证和授权的标准,以其高效、轻量的特点受到广泛欢迎。今天,我们要探讨的是...
【每周一库】- JWT的Rust实现
Rust语言学习交流
08-14 1435
jsonwebtokenRust实现的JSON Web Token库,用于安全身份验证。安装将以下内容加入 Cargo.toml:jsonwebtoken = "7" s...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lonelypatients°

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值