JWT 加密

最新推荐文章于 2023-09-08 23:42:50 发布
最新推荐文章于 2023-09-08 23:42:50 发布
阅读量529 收藏 1
点赞数
文章标签: json
原文链接:http://www.cnblogs.com/Niuxingyu/p/10776662.html
版权

什么是JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

 

起源

说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。

 

传统的session认证

我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

 

但是这种基于session的认证使应用本身很难得到扩展,随着不同客户端用户的增加,独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来.

 

基于session认证所显露的问题

Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。

 

扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。

 

CSRF: 因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

 

基于token的鉴权机制

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。

 

流程上是这样的:

 

用户使用用户名密码来请求服务器

服务器进行验证用户的信息

服务器通过验证发送给用户一个token

客户端存储token,并在每次请求时附送上这个token值

服务端验证token值,并返回数据

这个token必须要在每次请求时传递给服务端,它应该保存在请求头里, 另外,服务端要支持CORS(跨来源资源共享)策略,一般我们在服务端这么做就可以了Access-Control-Allow-Origin: *。

 

那么我们现在回到JWT的主题上。

 

JWT长什么样?

JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。就像这样:

 

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JWT的构成

第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature).

 

 

加密

import jwt

#只能对pyhton字典类型进行加密  第一个参数为需要加密的数据 第二个参数为密钥 第三个参数为加密算法
encoded_jwt = jwt.encode({'name':'你好'},'secret_key',algorithm='HS256')

print(encoded_jwt)
#加密后是一个二进制的数据
#结果>b'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiXHU0ZjYwXHU1OTdkIn0.V3flV6UF3Hz0bCqzRTEs_1G46OAOuEM-ku22F14RJL4'

解密

import jwt

# 解密 第一个参数为需要解密的数据 第二个参数为密钥(密钥输入错误会报错) 第三个参数为所用的加密算法
de_code = jwt.decode(encoded_jwt,'secret_key',algorithms=['HS256'])

print(de_code)
#结果> {'name':'你好'}

 

 

 

 

 

 

接口实例

#定义验证接口
def auth_required():
    def decorator(view_func):
        def _wrapped_view(self,request, *args, **kwargs):


            import jwt


            encoded_jwt = jwt.encode({'username':'adimn'},'secret_key',algorithm='HS256')


            try:
                de_code = jwt.decode(encoded_jwt,'secret_key',algorithms=['HS256'])
            except Exception as e:
                return HttpResponse('没权限')


            return view_func(self,request, *args, **kwargs)

            # mystr = 0

            # if mystr:
            #     return view_func(self,request, *args, **kwargs)
            # else:
            #     return HttpResponse('没权限')

        return _wrapped_view

    return decorator


class MyTest(View):
    @auth_required()
    def get(self,request):

        return HttpResponse('123')

 

转载于:https://www.cnblogs.com/Niuxingyu/p/10776662.html

T525174893
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt的原理&现象及使用
m0_60375943的博客
11-17 2691
一:jwt原理 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 例:jwt就相当于学校的出入证,只有持有出入证的人才能进行出入 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 以session来举例,session是储存在服务器的,如果是按服务器来储存数据的话,那么服务器会占用很大的一个内存,而存储在客户端就解决了这个问题 3. JWT的工作原理 传统开发对资源的访问限制利用session完成图解 jwt
jwt 原理
weixin_48334703的博客
10-05 1852
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
JAVA开发(JWTUtil工具类实现token源码赏析)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-13 3117
那么如何处理token: 1、解决安全问题,就需要加密,和有效期 2、解决信任问题,就要生产包含用户账号,密码相关的信息 3、解决唯一性问题,就要用到签名 4、解决体验问题,就要使用到自动刷新。
安全认证中的CSRF
梁老师教你编程序
10-26 2049
正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从事先得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。而,跨域转发,是没有这个过程的。这个图说明,在浏览器向服务端请求页面时,服务端将自己生成的token,返回给了浏览器,然后在发送post的时候,浏览器就带有了token。如果是,第三方网站跳转过去,就是直接操作的界面,就算是有了cookie,认证通过了,但是因为没有这个请求字段,所以操作是无法成功的。
Token
kuyuguoheqi的博客
08-17 1328
而HTTP是无状态的协议。token的意思是“令牌”,是用户身份的验证方式,最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接token请求服务器)。· 数据存储大小不同:单个Cookie 保存的数据不能超过4K,一个站点最多保存20个Cookie ,Session对象没有对存储的数据量的限制,其中可以保存更为复杂的数据类型,根据服务器大小来定。...
base64.js jwt加密使用到的文件
07-06
base64.js jwt加密使用到的文件
JWT 网关TOKEN 加密
05-15
JWT 网关TOKEN 加解密方案,对系统无侵入
JWT所需的jar包
10-18
JWT所需的jar包
jwt在线解密网站,可用于jwt的解码
03-10
正在测试JWT鉴权或者学习JWT的,需要解码token的可以看看。
lua-resty-jwtJWT为伟大的Openresty
02-03
lua-resty-jwtJWT为伟大的Openresty
axios请求,token,后端解决跨域
你还有我
04-06 2022
什么是Axios Axios 是一个基于 promise 的 HTTP 库,可以用在浏览器和 node.js 中。 官网 http://www.axios-js.com/zh-cn/docs/ Axios的优点 1支持发送ajax异步 2 支持在NodeJs中发送ajax请求 3 支持Promise 4 支持拦截器请求和响应 5 支持对请求和响应数据的转换 安装在服务端命令 npm install axios --save 案例:执行get请求 // 为给定 ID 的 user 创建请求 axi
Java简单快速入门JWT(token生成与验证)
greatming666的博客
09-08 6539
java jwt简单了解并快速上手
Java-JWT Utils
fengzhenhai_的博客
10-19 689
依赖: <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.18.2</version> </dependency> 工具类 public class JwtUtils { public String createToken(Map
jwt,token,cookie-session总结,JwtUtil.java编写,jwt应用
qq445829096的博客
06-18 1024
之前开发web网站都是使用的cookie-session技术。目前的浏览器也都支持cookie-session技术, 我认为jwt和cookie-session技术的区别 1:cookie-session技术需要浏览器支持,response返回set-cookie属性后。http请求request 会自动携带cookie 而,jwt每次请求需要手动写入request header中才能携带 2.cookie-session技术在web应用方便, 每次都要手动携带为什...
JWT介绍及用JAVA使用JWT生成token
longxianhua的博客
04-29 2718
应用场景 通常,在APP开发过程中会碰到一些场景,接口需要登录或者需要授权才能访问,一般的做法是登录成功之后服务器返回生成的token给客户端,客户端访问接口的时候带上token,用以验证登录.我们的方案是使用JWT来创建token,然后客户端带上,服务端再做解析。 JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一...
Web安全—CSRF(Token)
weixin_44431280的博客
02-14 3703
CSRF之Token Token:令牌,和Session,Cookie一样,都是身份标识,Token通常存在于URL和Cookie中 Token作用: 1,防止表单重复提交 服务端收到客户端发送的Token后,如果和Session中的值相同,此时客户端中session中的Token会更新 2,防止CSRF(跨站请求攻击) 举例: 构造的CSRF,因为Token的原因,所以攻击失败 Token产生过程: 当客户端请求服务端页面时,服务端会生成一个随机数Token存放在Session中,同时也会将sessio
JwtUtils工具类
weixin_52236586的博客
05-13 447
【代码】JwtUtils工具类。
jwt工具类
myli92的博客
06-10 949
、Payload(数据体)、验证签名(Verify Signature)组成。其中,Header中的内容为加密信息以及Token的类别,Payload为用户数据、Verify Signature为校验数据。,是一种令牌生成算法。使用JWT能够保证Token的安全性,且能够进行Token时效性的检验。JWT共由三部分组成,分别是数据头(新建JwtUtil的工具类。
Java使用JWT 介绍和工具类
ZM_Crazy的专栏
02-02 895
JWT一、简介1、JWTJWT为 Json Web Token,是一种令牌生成算法。使用JWT能够保证Token的安全性,且能够进行Token时效性的检验。2、JWT结构JWT共由三部分组成,分别是数据头(Header)、Payload(数据体)、验证签名(Verify Signature)组成。其中,Header中的内容为加密信息以及Token的类别,Payload为用户数据、Verify Signature为校验数据。
js jwt 加密解密
最新发布
09-17
JWT(JSON Web Token)是一种用于在网络通信中安全传输信息的加密和解密技术。JWT使用密钥对信息进行加密和解密,以确保数据在传输过程中的机密性和完整性。 在JavaScript中,可以使用第三方库jsonwebtoken来实现JWT加密和解密功能。下面是一个使用jsonwebtoken库进行JWT加密和解密的示例代码: ```javascript const jwt = require('jsonwebtoken'); // 加密 const payload = { username: 'example' }; const secretKey = 'your-secret-key'; const token = jwt.sign(payload, secretKey); // 解密 const decoded = jwt.verify(token, secretKey); console.log('加密后的Token:', token); console.log('解密后的数据:', decoded); ``` 上述代码中,`jwt.sign`用于将payload加密生成一个JWT token,`jwt.verify`用于解密JWT token并返回原始数据。在加密和解密时,需要提供一个密钥(secretKey),这个密钥在加密和解密过程中都需要一致。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值