JWT原理构成与使用(带案例简单易懂)

最新推荐文章于 2024-05-13 14:53:10 发布
最新推荐文章于 2024-05-13 14:53:10 发布
阅读量1.5k 收藏 3
点赞数 1
文章标签: JWT原理和构成
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WangTaoTao_/article/details/101378616
版权

JWT原理构成与使用

项目架构

开发模式:前后端分离

前端框架:VUE

后端框架:Django REST framework

功能部分:管理员登录,数据统计,用户管理,商品管理,订单管理,权限管理

主要技术 : JWT用户认证 ,CORS跨域

跨域CORS

我们的前端和后端分别是两个不同的端口

位置域名
前端服务www.xxx.cn:8080
后端服务www.xxx.cn:8000

现在,前端与后端分处不同的域名,这就涉及到跨域访问数据的问题,因为浏览器的同源策略,默认是不支持两个不同域间相互访问数据,而我们需要在两个域名间相互传递数据,这时我们就要为后端添加跨域访问的支持。

我们使用CORS来解决后端对跨域访问的支持。

安装
pip install django-cors-headers
添加应用
INSTALLED_APPS = (
    ...
    'corsheaders',
    ...
)
中间层设置
MIDDLEWARE = [
    'corsheaders.middleware.CorsMiddleware',
    ...
]
添加白名单
# CORS
CORS_ORIGIN_WHITELIST = (
    'http://127.0.0.1:8080',
    'http://localhost:8080',
    'http://www.meiduo.site:8080',
    'http://www.meiduo.site:8000'
)
CORS_ALLOW_CREDENTIALS = True  # 允许携带cookie
  • 凡是出现在白名单中的域名,都可以访问后端接口
  • CORS_ALLOW_CREDENTIALS 指明在跨域访问中,后端是否支持对cookie的操作。

JWT的原理和构成

在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。

JWT介绍

Json web token(JWT),是为了在网络应用环境之间传递声明而执行的一种基于JSON的开放标准(RFC7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者之间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其他业务逻辑所必须声明信息,该token也可以直接被用于认证,也可被加密。

起源

说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。

传统的session认证

我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

基于session认证所显露的问题

Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。

扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。

CSRF: 因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

基于token的鉴权机制

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务区端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。

流程:

  • 服务器使用用户名和密码来请求服务器
  • 服务器验证用户信息
  • 服务器通过验证发送给用户一个token
  • 客户端存储token,并在每次请求时附送上这个token值
  • 客户端验证token,并返回数据

这个token必须在每次请求的时候传递给服务器,它应该保存在请求头里,另外,服务端要支持CORS(跨来源资源共享)策略,一般我们在服务器这么做就可以了 Access-Control-Allow-Origin:*。

JWT的样子

JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。就像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
JWT的构成

第一部分我们称为头部(header),第二部分我们称为载荷(payload),第三部分是签证(signature)

header

jwt的头部有两部分信息构成:

  • 声明类型,这里是jwt
  • 声明加密算法,通常直接使用HMAC SHA256

完整的头部应该是下面这种的JSON:

{
    'typ':'JWT''alg':'HS256'
    
}

然后将头部信息进行base64加密,构成了第一部分

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
payload

载荷就是用来存放有效信息的地方。包含三个部分:

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

标准中注册的声明(建议但不强制使用) :

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明: 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明: 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后将其进行base64加密,得到JWT的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
signture

JWT的第三部分是一个签证信息,包含三个部分:

  • header(base64加密后的)
  • payload(base64加密后的)
  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

// javascript
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意:secret是保存在服务端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以它就是你服务器的私钥,在任何场景都不应该外露。一旦客户得知这个secret就以为这客户端可以自我签发jwt了。

如何应用:

一般是在请求头里加上Authorzation,并且加上Bearer标注:

fetch('api/user/1', {
  headers: {
    'Authorization': 'Bearer ' + token
  }
})

服务端会验证token,如果验证通过就会返回相应的资源。整个流程就是这样的:

[外链图片转存失败(img-0I2VA5uu-1569406223570)(file:///C:/Users/%E6%B8%85%E9%A3%8E/Desktop/%E7%BE%8E%E5%A4%9A%E5%95%86%E5%9F%8EMIS%E7%B3%BB%E7%BB%9F/assets/jwt.png)]

总结

优点

  • 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。
  • 因为有了payload部分,所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。
  • 便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。
  • 它不需要在服务端保存会话信息, 所以它易于应用的扩展

安全相关

  • 不应该在jwt的payload部分存放敏感信息,因为该部分是客户端可解密的部分。
  • 保护好secret私钥,该私钥非常重要。
  • 如果可以,请使用https协议

Django REST framework JWT

我们在验证完用户的身份后(校验用户名和密码),需要向用户签发JWT,在需要用到用户身份信息的时候,还需要校验用户的JWT。

关于签发和校验JWT,我们可以使用Django REST framework JWT扩展来完成。

安装配置

安装

pip install djangorestframework-jwt

配置

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication',
    ),
}
import datetime
JWT_AUTH = {
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
}
  • JWT_EXPIRATION_DELTA 指明token的有效期

举例:账号登陆

1. 业务说明

验证用户名和密码,验证成功后,为用户签发JWT,前端将签发的JWT保存下来。

2. 后端接口设计

请求方式: POSTmeiduo_admin/authorizations/

请求参数: JSON 或 表单

参数名类型是否必须说明
usernamestr用户名
passwordstr密码

返回数据: JSON

{
    "username": "python",
    "user_id": 1,
    "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjo5LCJ1c2VybmFtZSI6InB5dGhvbjgiLCJleHAiOjE1MjgxODI2MzQsImVtYWlsIjoiIn0.ejjVvEWxrBvbp18QIjQbL1TFE0c0ejQgizui_AROlAU"
}
返回值类型是否必须说明
usernamestr用户名
idint用户id
tokenstr身份认证凭据

3. 后端实现

Django REST framework JWT提供了登录签发JWT的视图,可以直接使用

from django.conf.urls import url
from rest_framework_jwt.views import obtain_jwt_token

urlpatterns = [
    url(r'^authorizations/$', obtain_jwt_token),
]

但是默认的返回值仅有token,我们还需在返回值中增加username和user_id。

通过修改该视图的返回值可以完成我们的需求。

def jwt_response_payload_handler(token, user=None, request=None):
    """
    自定义jwt认证成功返回数据
    """
    return {
        'token': token,
        'id': user.id,
        'username': user.username
    }

修改配置文件

# JWT配置
JWT_AUTH = {
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
    'JWT_RESPONSE_PAYLOAD_HANDLER': 'utils.jwt_response.jwt_response_payload_handler',
}

增加支持管理员用户登录账号

JWT扩展的登录视图,在收到用户名与密码时,也是调用Django的认证系统中提供的**authenticate()**来检查用户名与密码是否正确。

我们可以通过修改Django认证系统的认证后端(主要是authenticate方法)来支持登录账号既可以是用户名也可以是手机号。

修改原有的登录验证方法,添加request参数

from django.contrib.auth import authenticate
user = authenticate(request,username=username,password=password)

修改Django认证系统的认证后端需要继承django.contrib.auth.backends.ModelBackend,并重写authenticate方法。

authenticate(self, request, username=None, password=None, **kwargs)方法的参数说明:

  • request 本次认证的请求对象
  • username 本次认证提供的用户账号
  • password 本次认证提供的密码

我们想要让管理员用户才能登录我们的admin后台,这时我们就要修改django原有的用户验证方法。

重写authenticate方法的思路:

  1. 根据username参数查找用户User对象,在查询条件中在加上is_staff=True的条件
  2. 若查找到User对象,调用User对象的check_password方法检查密码是否正确

在utils/authenticate.py中编写:

from django.contrib.auth.backends import ModelBackend 
import re
from user.models import User

class UserModelBakcend(ModelBackend):
    
    def authenticate(self,request,username=None,password=None,**kwargs):
        # 判断用户发出的请求是后端还是前端
        if request is None:
            # 说明是后端请求
            try:
            	user = User.objects.get(username=username,is_staff=True)
            except:
                try:
                    user = User.objects.get(mobile=username,is_staff=True)
                except:
                	return None
            # 校验用户名和密码
            if user.check_password(password):
                return user
            return None
        else:
            # 说明是前端请求
            try:
                user = User.objects.get(username=username)
            except:
                try:
                	user = User.objects.get(mobile=username)
                except:
					return None
            # 校验用户名和密码
            if user.checkt_password(password):
                return user
            return None

在配置文件中告知Django使用我们自定义的认证后端

#认证后端
AUTHENTICATION_BACKENDS = ['utils.UsernameMobileModelBackend'] # 文件路径

此时需要前端保存token

我们可以将JWT保存在cookie中,也可以保存在浏览器的本地存储里,我们保存在浏览器本地存储中

浏览器的本地存储提供了sessionStorage 和 localStorage 两种:

  • sessionStorage浏览器关闭即失效
  • localStorage长期有效

使用方法

sessionStorage.变量名 = 变量值   // 保存数据
sessionStorage.变量名  // 读取数据
sessionStorage.clear()  // 清除所有sessionStorage保存的数据

localStorage.变量名 = 变量值   // 保存数据
localStorage.变量名  // 读取数据
localStorage.clear()  // 清除所有localStorage保存的数据
var vm = new Vue({
    ...
    methods: {
        ...
        on_submit: function(){
            axios.post(...)
                .then(response => {
                    // 记录用户的登录状态
                    sessionStorage.clear();
                    localStorage.clear();
                    localStorage.token = response.data.token;
                    localStorage.username = response.data.username;
                    localStorage.user_id = response.data.id;
                    location.href = '/index.html';
                })
                .catch(...)
        }
    }
})
王涛涛.
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT禁用问题
极地星辰
07-15 352
JWT禁用问题前言需求 前言 需求 token颁发给用户后,在有效期内服务端都会认可,但是如果在token的有效期内需要让token失效,该怎么办? 此问题的应用场景: 用户修改密码,需要颁发新的token,禁用还在有效期内的老token 后台封禁用户 解决方案 在redis中使用set类型保存新生成的token key = 'user:{}:token'.format(user_id) pl = redis_client.pipeline() pl.sadd(key, new_token) pl
JSON Web Token(JWT
你若盛开,清风自来
12-19 427
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session...
JwtToken介绍与使用 超详细保姆级教程 内附详细示例代码
burgerh的博客
11-25 9226
文章目录一、什么是JWT认证二、JWT认证的特点优点:缺点:三、JWT的组成四、JWT代码展示 一、什么是JWT认证 Json web token (JWT),根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可
2024年前端最新JWT(JSON Web Token)的基本原理,2024年最新开发面试流程
最新发布
2401_84447362的博客
05-13 770
总的来说,面试官要是考察思路就会从你实际做过的项目入手,考察你实际编码能力,就会让你在电脑敲代码,看你用什么编辑器、插件、编码习惯等。所以我们在回答面试官问题时,有一个清晰的逻辑思路,清楚知道自己在和面试官说项目说技术时的话就好了开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】四、HeaderHeader 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。
SpringBoot+Shiro+JWT实现权限管理
segegefe的博客
04-08 2313
1.为什么使用JWT 1.简洁(Compact):可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快。 2.自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库。 3.安全(security): 与简单的JSON相比,XML和XML数字签名会引入复杂的安全漏洞。 2.认证原理 1.用户登陆之后,使用密码对账号进行签名生成并返回token并设置过期时间; 2.将token保存到本地,并且每次发送请求时都在header上携tok
详解JWT token心得与使用实例
10-16
- 服务器通过重新计算签名来验证JWT的合法性,使用相同的算法和密钥,对比生成的新签名与JWT中的签名是否一致。 5. **Token 的安全性考虑**: - 因为签名是基于密钥生成的,只有服务器知道这个密钥,所以其他人...
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于...
JWT+Log4net配置与使用详解
10-18
主要介绍了JWT+Log4net配置与使用详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Node.JS如何实现JWT原理
10-14
jwt是json web token的简称,本文介绍它的原理,最后后端用nodejs自己实现如何为客户端生成令牌token和校验token
jwt是什么
月守护的博客
01-09 460
简介 JSON Web Tokens,是一种开发的行业标准 RFC 7519 ,用于安全的表示双方之间的声明。目前,jwt广泛应用在系统的用户认证方面,特别是在前后端分离项目中。 附加链接:为什么要有认证及其实现方式 1. jwt认证流程 在项目开发中,一般会按照上图所示的过程进行认证,即:用户登录成功之后,服务端给用户浏览器返回一个token,以后用户浏览器要携token再去向服务端发送请求...
Django学习笔记——内置用户类AbstractUser与内置认证校验系统
hyq的博客
12-25 3296
我们在之前讲过了View视图的作用和父类的作用,这次介绍的内置用户类Abstract.User就是Django内置的一个关于用户操作的类,我们只要使用这个类,节省很多代码。 ...
Django项目中使用JWT
weixin_42935779的博客
11-03 793
1.requiremwnts: Django版本:2.2 python版本:3.6 djangorestframework版本:3.1 djangorestframework-jwt版本:1.11 MySQL版本:5.7 注意:使用Django 2.1以上的版本,MySQL数据库必须在5.5以上的版本。 2.新建项目 1)使用pycharm新建一个Django项目,我的项目名称叫:django_j...
Django下JWT使用
weixin_30741653的博客
07-08 118
前言   JWT 是 json web token 的缩写, token的作用你应该已经了解,用于识别用户身份避免每次请求都需要验证     用来解决前后端分离时的用户身份验证   在传统的web项目中 我们会在form表单中设置隐藏字段来提交token信息   但是在前后端分离时,我们就无法像网页一样直接放在表单里,   需要前后端的配合才能完成token的验证 简单使用: 下面是...
jwt 例子 java_JWT的入门案例
weixin_35666711的博客
02-17 513
1.什么是JWTJWT全称JSON Web Token。是为了在网络应用环境键传递声明而执行的一种基于JSON的开放标准。2.JWT使用场景?授权:一旦用户登录,每个后续请求将包括JWT,允许用户访问该令牌允许的路由,服务和资源。单点登录是一种在广泛使用JWT的功能,因为它的开销很小,并且能够在不同的域中轻松使用。信息交换:JSON Web令牌是在各方之间安全传输信息的好方法。因为JWT可以签...
JWT RSA无状态鉴权基本原理使用(token入门)
itwxming的博客
09-17 1088
前后端交互时不能只将用户信息封装进JWT中,否则token被人截获可以冒用。应该将所有的动态参数也封装进token里去,使之变成动态token,并解析比对token里的参数和获取到的参数的一致性。防止token有效,但参数被篡改!!! (相对彻底解决token被劫持,一个比较简单的解决思路:关于测试报告中第一个垂直越权漏洞,并不是完全像测试报告说的那样。首先,1、api/passwordchec...
jwt 实例
sunhaijingxiaohai的专栏
08-21 112
function urlsafeB64Encode($data) { return rtrim(strtr(base64_encode($data), '+/', '-_'), '='); } public static function encode(array $payload, string $key, string $alg = 'SHA256'){ $key = md5($key); $jwt = self::urlsafe...
JWT 的结构
m0_51976820的博客
04-08 1800
JWT 的结构
JWT介绍和实践,demo
03-03
"JWT介绍和实践,demo" JWT(Json Web Token)是一种基于JSON的开放标准(RFC7519),主要用于在网络应用环境中安全地传递声明。JWT的设计目标是紧凑且安全,特别适合分布式站点的单点登录(SSO)场景。它允许...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值