跨域身份验证及JWT项目练习

最新推荐文章于 2024-08-18 16:01:24 发布
最新推荐文章于 2024-08-18 16:01:24 发布
阅读量691 收藏
点赞数
文章标签: JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/avalise/article/details/88683622
版权
本文详述了跨域身份验证的背景和问题,重点介绍了JWT的工作原理、数据结构,包括JWT头、有效载荷、签名哈希和Base64URL算法。此外,还讨论了JWT的使用方法和潜在问题,并提供了JWT项目练习,包括创建解决方案、添加数据模型、控制器和页面。
摘要由CSDN通过智能技术生成

本博文主要讲述三方面内容:跨域身份验证、JWT相关理论、JWT项目实战

一、跨域身份验证

JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。今天给大家介绍JWT的原理和用法。


跨域身份验证

Internet服务无法与用户身份验证分开。一般过程如下。
1.用户向服务器发送用户名和密码。
2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。
3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。
4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。
5.服务器收到session_id并对比之前保存的数据,确认用户的身份。

这种模式最大的问题是,没有分布式架构,无法支持横向扩展。如果使用一个服务器,该模式完全没有问题。但是,如果它是服务器群集或面向服务的跨域体系结构的话,则需要一个统一的session数据库库来保存会话数据实现共享,这样负载均衡下的每个服务器才可以正确的验证用户身份。

例如虫虫举一个实际中常见的单点登陆的需求:站点A和站点B提供同一公司的相关服务。现在要求用户只需要登录其中一个网站,然后它就会自动登录到另一个网站。怎么做?

一种解决方案是听过持久化session数据,写入数据库或文件持久层等。收到请求后,验证服务从持久层请求数据。该解决方案的优点在于架构清晰,而缺点是架构修改比较费劲,整个服务的验证逻辑层都需要重写,工作量相对较大。而且由于依赖于持久层的数据库或者问题系统,会有单点风险,如果持久层失败,整个认证体系都会挂掉。

本文介绍另外一种灵活的解决方案,通过客户端保存数据,而服务器根本不保存会话数据,每个请求都被发送回服务器。 JWT是这种解决方案的代表。

二、JWT原理

1、JWT的原则

JWT的原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,如下所示。
{
"UserName": "Chongchong",
"Role": "Admin",
"Expire": "2018-08-08 20:15:56"
}
之后,当用户与服务器通信时,客户在请求中发回JSON对象。服务器仅依赖于这个JSON对象来标识用户。为了防止用户篡改数据,服务器将在生成对象时添加签名(有关详细信息,请参阅下文)。
服务器不保存任何会话数据,即服务器变为无状态,使其更容易扩展。


2、JWT的数据结构

典型的,一个JWT看起来如下图。
改对象为一个很长的字符串,字符之间通过"."分隔符分为三个子串。注意JWT对象为一个长字串,各字串之间也没有换行符,此处为了演示需要,我们特意分行并用不同颜色表示了。每一个子串表示了一个功能块,总共有以下三个部分:
JWT的三个部分如下。JWT头、有效载荷和签名,将它们写成一行如下。

我们将在下面介绍这三个部分。

2.1 JWT头

JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。
{
"alg": "HS256",
"typ": "JWT"
}
在上面的代码中,alg属性表示签名使用的算法,默认为HMAC

最低0.47元/天 解锁文章
艾蓉
关注
jwt学习笔记】--demo练习
十年磨一剑,沉淀……
11-11 772
第一步、导入maven坐标 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0&
JSON Web Token(JWT)原理和用法介绍
weixin_33913332的博客
12-26 1531
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。今天给大家介绍一下JWT的原理和用法。 官网地址:https://jwt.io/ 一、跨域身份验证 Internet服务无法与用户身份验证分开。一般过程如下。 1. 用户向服务器发送用户名和密码。 2. 验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3. 服务器向用户返回session_id,sess...
如何使用 JWT(JSON Web Tokens)进行身份验证
最新发布
有我更精彩的博客
08-18 328
JWT,即 JSON Web Token,是一种基于 JSON 格式的开放标准(RFC 7519),用于在网络应用环境中安全地传输信息。JWT 的结构由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部:一般由两部分组成,表示令牌的类型(JWT)和所使用的签名算法(如 HMAC SHA256 或 RSA)。载荷:包含声明(Claims)。声明是关于实体(通常是用户)及其他数据的声明。根据不同的需求,载荷可以自定义一般信息,如用户 ID、角色等。签名。
谷粒学院-单点登录(sso)
qq_42208662的博客
08-02 454
单点登录
Django中的JWT(Json Web Token认证机制)
热门推荐
python_nice的博客
08-07 1万+
session:用户经过应用认证后会在服务端保存,以便于下次请求鉴别。第一点session是储存在服务器上面的,会占用少量内存,如果网站用户非常多的话,会影响服务器的性能; 第二点拓展性:如果网站比较大,需要搭建有多个服务器,但是session是保存在当前服务器的,其他服务器调用不到。第三点::session是基于cookie进行识别的,容易被CSRF跨站请求伪造拦截。 基于token的鉴...
谷粒学院-单点登录
qq_24991197的博客
04-30 535
单点登录 实现方式 和 JWT工具类 在 common 公共模块引入 JWT 依赖和工具类,工具类定义如下几个方法 传入用户id和昵称生成token字符串的方法,token中包含用户信息 判断token是否存在与有效,不符合规则返回false 根据token字符串获取会员id,有了会员id就可以用来查询用户的相关信息了,通过HttpServletRequest 得到 定义如下两个常量 过期时间 秘钥,用它来进行加密,用随便生成的字符串就可以,在公司中有自己的规则 阿里云短信服务 建立 servi
Web 开发 身份验证2 | SpringBoot 整合 JWT | 前后端分离策略 | 跨域问题的出现与解决
希望每天都能进步一点点
07-24 363
基于上次SpringBoot 整合 JWT,在前后端不分离的情况下使用 JWT 是比较麻烦的,如果配置拦截器,那么拦截器里需考虑页面跳转到问题,本次学习中我们实现在前后端分离情况下前后端的 JWT 认证,其中设计到了跨域问题,从零开始了解跨域,并介绍后端三种解决跨域不同的方式,实现CORS方式的跨域。通过本篇文章,能提升对前后端交互方式的理解,前端目前只采用简短的 JQuery,未涉及路由的概念,下次学习我将使用 Vue2来实现 JWT认证,到时候可以用到路由,这样一来,前后端交互的逻辑就更加清晰了。...
Spring Boot+Vue前后端分离项目练习02之网盘项目利用token进行登陆验证
03-02
4. 使用Spring Security进行安全控制,特别是基于token的身份验证。 5. JWT的生成与验证,用于实现无状态的会话管理。 通过这个项目,开发者不仅可以掌握Spring Boot和Vue.js的结合使用,还能深入理解前后端分离...
jwt手写SSO单点登录框架zip
07-02
SSO(Single Sign-On)单点登录是一种身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,而无需再次进行身份验证JWT(JSON Web Token)则是一种轻量级的身份验证和授权机制,它通过自包含的方式,将...
JAVA安全-JWT安全及预编译CASE注入
weixin_44532761的博客
07-25 487
小迪 https://www.bilibili.com/video/BV1JZ4y1c7ro?p=39 通过前期WEB漏洞学习,掌握了大部分安全漏洞的原理及利用,但是在各种脚本语言开发环境下,会存在新的安全问题,其中脚本语言类型PHP,Java,Python等主流开发框架会有所差异。 sql注入攻击-预编译机制绕过 Java的jwt令牌原理 Javaweb身份验证攻击-JWT修改伪造攻击 Javaweb身份验证攻击 jwt密钥爆破攻击 Javaweb身份验证攻击 jwt修改伪造冒充 Javaweb-
常见的JWT到底有什么用?
码农桃子的博客
07-10 2462
什么是jwt JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的,使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。此特性便于可伸缩性, 同时保证应用程序的安全。 在身份验证过程中, 当用户使用其...
JWT是什么?它有什么用?
努力
12-23 1086
JWT是 JSON Web Token 的缩写,通过数字签名的方式,以JSON对象为载体,在不同的服务器终端之间安全传输的信息。
JWT的介绍和使用
weixin_43790613的博客
02-13 3343
文章目录JWT数据结构headerpayloadsignature 作用:用户身份验证和数据信息交换 JWT数据结构 JWT的数据结构是:A.B.C,有英文字符点.来分割三部分数据 A - header 头信息 B -payload 有效荷载 C- signature 签名 header 数据结构:{“alg”:“加密算法名称”,“typ”:“JWT”} alg是加密算法名称,如HMACSHA256、RSA typ是token类型,这里固定为JWT payload 在payload数据块中一般记录实体(
关于JWT 的介绍和使用
rat_house的博客
02-18 740
Json Web Token 最近公司项目在用jwt,感觉以后会再用得到,先写下自己理解的jwt用途范围,方便以后查找。 包、库的引入 用途1:Build a dedicated JWT endpoint for the Support SDK in implementing Zendesk Service 在对接Zendesk 客户服务的时候,Zendesk第三方接口会调用我方接口,获取到JWT...
JWT详解及使用
qq_59395271的博客
01-26 1403
JWT通常用于在身份验证和信息交换方面进行安全的传输,例如在用户登录后生成一个JWT作为身份验证凭证,在客户端和服务器之间进行安全的信息交换。access token: 用于验证用户在系统中的身份和权限,并且在用户进行请求时,服务器会使用access token来验证用户的身份和权限,从而决定是否允许用户的请求。总之,JWT作为一种安全的传输方式,可以在各方之间传递信息并验证信息的真实性和完整性,因此在身份验证、授权和信息交换方面得到广泛应用。(主题):用于标识JWT的主体,即JWT所面向的用户。
JWT简介及使用
weixin_43994244的博客
09-07 3467
JWT认证使用
JWT原理 使用(入门篇)
一枝花算不算浪漫的专栏
09-03 840
1、JWT简介 JWT:JsonWebToken,是基于Json的一个公开规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息,他的两大使用场景是:认证和数据交换 使用起来就是,由服务端根据规范生成一个令牌(token),并且发放给客户端。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 作用:类似session保...
1.什么是jwtjwt的作用是什么?2.jwt的三个部分是什么?三者之间的关系如何?3.JWT运行的流程是什么
TangMonk的博客
09-21 990
JWT(JSON Web Token)是一种用于在不同系统或组件之间传输信息的紧凑且安全的标准。它的作用主要有两个方面:JWT通常用于验证用户的身份。当用户登录时,服务器会生成一个JWT,并将其发送给客户端。客户端随后在每个请求中包含JWT,服务器使用它来验证用户的身份,以便允许或拒绝对受保护资源的访问。JWT还可以包含有关用户的授权信息,例如用户在系统中的角色或权限。这使得服务器可以根据JWT中的信息来控制用户对资源的访问权限。
ASP.NET JWT Web API 身份验证跨域调用示例
ASP.NET基于JWT的Web API身份验证跨域调用实践是一篇关于如何在ASP.NET Web API项目中集成JSON Web Tokens (JWT) 进行身份验证和处理跨域请求的文章。JWT被广泛用于现代Web应用,因为它能够解决传统Cookie依赖的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值