JWT(令牌)

已于 2022-08-01 22:38:08 修改
阅读量199 收藏
点赞数
分类专栏: JWT学习 文章标签: json
于 2022-08-01 22:31:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dfghjkkjjj/article/details/125332321
版权

目录

一.什么JWT?

1.JWT官网解释翻译

2.通俗解释

3.JWT能做什么?

4.传统的session认证

 二.JWT结构

三.JWT实战

相关面试题

一.什么JWT?

官网地址:JSON Web Token Introduction - jwt.io

1.JWT官网解释翻译

jsonwebtoken(JWT)是一个开放标准,定义了一个紧凑,自包含方式,用于在各方之间以json对象安全的传输信息(是数字签名的,可以验证信任)。

2.通俗解释

JWT是在各方安全信息传递的好方法。可以对JWT进行签名,可以确保发件人是我们所认为的人,保证内容不被篡改。

3.JWT能做什么?

  • 授权认证,当用户登录会得到JWT,后续请求都携带JWT,可以访问允许的资源。
  • 安全的信息传递,可以检验信息是否被篡改。

4.传统的session认证

流程

 暴露问题

  • 每个用户认证之后(登录验证用户名密码,权限),生成对应的session,用户增多,增加服务端的压力
  • 在一台服务器上认证,在其他其他服务器上是无法获取对应的session,在分布式应用上就限制了负载均衡器能力
  • cookie被截获容易遭受跨站请求伪造的攻击(其实token也有泄露的可能)。

基于JWT认证流程

针对JWT登录相关操作(token就是JWTJWT 是Json Web Token简写

  1. 认证成功,将用户id放在负载里,生成token返回前端,前端存储(一般有效期为14天)
  2. 退出登录,在前端删除token,然后将登录的个人信息刷新为空。
  3. 每次请求将JWT放在 http header里,解决XSSXSRF

 二.JWT结构

JWT令牌的组成

Header.Payload.Signature(Base64进行编码,可解码)
  • Header,表头由令牌类型和所使用的签名算法{ "alg" : "HS256", "typ" : "jwt" }
  • Payload,有效负载,携带信息,不要放敏感信息如用户名密码
  • Signature,使用base64编码后的Header,Payload和自定义的密钥,以及签名算法(Header里声明了)生成签名,是不可逆的,通过签名判断(验签过程)信息是否被篡改

三.JWT实战

作者正在加紧写。。。。

相关面试题

  • 什么是 JWT?为什么要用 JWT?
  • JWT优势?
  1. 是一个字符串,体积小,传输速度快。
  2. 跨语言,支持任何形式的web
  3. 将用户信息放在负载里,不用请求查询数据库
  4. 特别适合分布式系统
  5. 保存在前端,不会对后端造成压力
  • JWT 由哪些部分组成?
  • 如何基于 JWT 进行身份验证?
  • JWT 如何防止 Token 被篡改?
  • 如何加强 JWT 的安全性?
  • 如何让 Token 失效?

King Rat
关注
专栏目录
.NET Core 生成JWT令牌源码
04-27
单点登录(SSO):用户在登录一个应用程序后,可以通过JWT令牌在其他应用程序中进行身份验证,实现单点登录的效果。 在.NET Core中,可以使用Microsoft.IdentityModel.Tokens库来处理JWT。该库提供了一些类和方法...
JWT令牌技术(详解)
m0_63144319的博客
06-23 899
JWT令牌技术
安全令牌JWT
程序员阿飘 的博客
03-04 114
JWT是通信双方之间以 JSON对象的形式安全传递信息的方法。其实可以理解为使用非对称算法来进行前后端校验。JWT 由三部分组成。
SpringBoot之JWT令牌
qq_62254095的博客
04-19 1720
定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。简洁:是指jwt就是一个简单的字符串。可以在请求参数或者是请求头当中直接传递。自包含:指的是jwt令牌,看似是一个随机的字符串,但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。如:可以直接在jwt令牌中存储用户的相关信息。简单来讲,jwt就是将原始的json数据格式进行了安全的封装,这样就可以直接基于jwt在通信双方安全的进行信息传输了。
尚融宝18-JWT令牌和测试
m0_62946761的博客
04-12 2882
做尚融宝项目过程中学习JWT令牌
JWT令牌工具类代码
2302_76413783的博客
05-16 231
signWith(signatureAlgorithm, secretKey) //使用HS256对称加密算法签名, 第二个参数为秘钥。// 60 * 60 *1000 一个小时。.setSubject(subject) // 主题 可以是JSON数据。.setId(id) //唯一的ID。.setIssuer("admin") // 签发者。.setIssuedAt(now) // 签发时间。* 生成加密后的秘钥 secretKey。
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
jwt-decode, 解码JWT令牌;适用于浏览器应用程序.zip
10-10
jwt-decode, 解码JWT令牌;适用于浏览器应用程序 jwt解码是一个小型浏览器库,可以帮助解码Base64Url编码的JWTs标记。注意:这个库没有验证令牌,任何格式良好的JWT都可以解码。 应该使用 express JWT 。koa JWT 。 ...
jwt-decode:解码JWT令牌; 对浏览器应用程序有用
05-10
jwt-decode是一个小型浏览器库,有助于解码通过Base64Url编码的JWT令牌。 重要信息:该库不会验证令牌,任何格式正确的JWT都可以解码。 您应该使用 , , 等在服务器端逻辑中验证令牌。 警告:从版本2升级到版本3 ,...
Spring Boot Security OAuth2 实现支持JWT令牌的授权服务器源码.zip
03-25
3. **实现JWT令牌生成**:引入如`jjwt`库,用于生成和验证JWT令牌。在OAuth2的令牌颁发过程中,当用户成功认证后,服务器将生成一个JWT并返回给客户端。 4. **配置安全拦截器**:设置Spring Security的HTTP安全配置...
登录验证Jwt令牌,过滤器,拦截器
qx020814的博客
04-22 652
jwt令牌有三个部分,第一部分是令牌名,然后数据名,最后加密数据。前两个使用了64个字母代替加密,第三个用算法对前两个就行加密,只有jwt解密算法才能解。后端用一个拦截器,login放过,直接去验证登录,其他的路径就验证jwt令牌,没有或者不合法全部拦截下来,返回前端错误提示。登录成功后返回一个加密jwt,前端保存到本地,每次使用add,del,sel时,将数据放在请求头中传到后端。如果客户没登陆的情况下访问非login页面,就会强行跳转到登录页面。拦截器:(拦截器会有一个跨域问题,得设置一下)
11-SpringSecurityOauth2研究-JWT研究-JWT介绍
minihuabei的博客
08-06 283
3.6 JWT研究 3.6.1 JWT介绍 在介绍JWT之前先看一下传统校验令牌的方法,如下图: 问题: 传统授权方法的问题是用户每次请求资源服务,资源服务都需要携带令牌访问认证服务去校验令牌的合法性,并根 据令牌获取用户的相关信息,性能低下。 解决: 使用JWT的思路是,用户认证通过会得到一个JWT令牌JWT令牌中已经包括了用户相关的信息,客户端只需要携带 JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。 JWT令牌授权过程如下图: 什么是JWT? J
JWT--Token(令牌验证
热门推荐
jiangsheer的博客
03-13 1万+
什么是Token? 在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般我们所说的的token大多是指用于身份验证的token 为什么使用token? 我们需要每次都知道当前请求的人是谁,但是又不想每次都让他提交用户名和密码,这时就需要有一个等同于用户名密码也能够标识用户身份的东西,即—token. 基于Token的身份验证方法 客户端使用用户名和密码请求登录 服务端收到请求,...
三、JWTJSON Web Tokens)令牌(token)
HiDaJing
03-18 3846
一、什么是JWT 根据维基百科定义,JWT(读作 [/dʒɒt/]),即JSON Web Tokens,是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。它是一种用于双方之间传递安全信息的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的、自包含的方法,从而使通信双方实现以JSON对象的形式安全的传递信息。 二、在appsettings.json中配置j
在 VS Code 中规范化 Git 提交消息并自动生成 CHANGELOG.md
最新发布
浊世独行侠
11-02 253
在 VS Code 中规范化 Git 提交消息并自动生成 CHANGELOG.md
Day21包和模块
weixin_50199478的博客
10-30 604
一个.py文件就是一个模块。模块是含有一系列数据、函数、类等的程序。包是将模块以文件夹的组织形式进行分组管理的方法,以便更好地组织和管理相关模块。包是一个包含一个特殊的__init__.py文件的目录。
JAVA 插入 JSON 对象到 PostgreSQL
qq_52143611的博客
10-30 862
在现代软件开发中,由于 JSON 数据的轻量和通用性,处理 JSON 数据已经变得无处不在。PostgreSQL凭借其对 JSON 的强大支持,为存储和查询 JSON 数据提供了出色的平台。为了将JSON数据保存到PostgreSQL数据库中,我们可以将JSON数据转换为PostgreSQL的JSONB类型数据,然后将其存储在数据库中。在Java中,我们可以使用JDBC或者基于ORM框架的方式来实现这一功能。
快速创建一个微信小程序,详细步骤以及示范程序代码
elirlove1的博客
10-25 3403
创建一个微信小程序涉及前端和后端的搭建与联调。以下是一个快速创建微信小程序的详细步骤以及示范程序代码
Redis中储存含LocalDateTime属性对象的序列化实现
Charles_Clark的博客
10-29 682
上面代码中配置 RedisTemplate 的序列化机制,以便能够序列化和反序列化包含 LocalDateTime 等 Java 8 时间类型的对象。•作用ObjectMapper 是 Jackson 库的核心类,用来将 Java 对象转换为 JSON 字符串,或者将 JSON 字符串解析为 Java 对象。Jackson 是一个非常流行的 JSON 序列化和反序列化库,ObjectMapper 是它的主要接口,用于处理复杂的对象和数据结构。•作用。
OAuth和jwt令牌
04-24
OAuth(开放授权)是一种用于授权访问第三方应用程序的放标准。它允许用户通过授权服务器授权第三方应用程序访问其受保护的资源,而无需将其凭据直接提供给第三方应用程序。OAuth的工作流程通常涉及三个主要角色:资源所有者(用户)、客户端应用程序(第三方应用程序)和授权服务器。 JWTJSON Web Token)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。JWT通常用作身份验证和授权的令牌。它由三个部分组成:头部、载荷和签名。头部包含描述令牌类型和签名算法的元数据,载荷包含有关主题(用户)和其他声明的信息,签名用于验证令牌的完整性。 OAuth和JWT令牌在身份验证和授权方面有所不同。OAuth主要用于授权访问第三方应用程序,而JWT令牌则用于在各方之间传输信息并进行身份验证。OAuth通过授权服务器颁发访问令牌,而JWT令牌则是由发行者签名并可被验证令牌
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值