LoRaServer 笔记 2.4.1 JSON web-tokens 的使用

最新推荐文章于 2023-08-23 23:16:45 发布
最新推荐文章于 2023-08-23 23:16:45 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: 联 - LoRa 文章标签: lora jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iotisan/article/details/102553899
版权

文章目录

前言

随着分布式 web 应用的普及,通过 session 管理用户登录状态成本越来越高,JWT 这个 JSON 安全传输方案,被越来越多人用来进行用户身份认证。

LoRa Server 项目中正是使用了 JWT 认证方案。

小能手最近在学习 LoRa Server 项目,应该是最有影响力的 LoRaWAN 服务器开源项目。它组件丰富,代码可读性强,是个很好的学习资料。更多学习笔记,可点此查看

1 JWT 基础

JWT 的基础资料,可以查看 jwt.io,或者查看阮一峰 JSON Web Token 入门教程

1.1 原理

JWT 的原理是,服务器认证以后,生成一个包含用户信息的 JSON 对象,发回给用户。

以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名(详见后文)。

服务器就不保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展。

1.2 数据结构

JWT 是一个很长的字符串,xxxxx.yyyyy.zzzzz,中间用点(.)分隔成三个部分,依次为:Header(头部)、Payload(负载)、Signature(签名)

Header

Header 描述 JWT 的元数据,包含两部分:"alg"表示签名算法,"typ"表示token的类型。

{
  "alg": "HS256",
  "typ": "JWT"
}
Payload

Payload 包含典型的声明,用来存放实际需要传递的数据。JWT 规定了7个官方字段供选用。

声明名称说明
iss (issuer)签发人
exp (expiration time)过期时间
sub (subject)主题
aud (audience)受众
nbf (Not Before)生效时间
iat (Issued At)签发时间
jti (JWT ID)编号
Signature

Signature 部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

1.3 使用

客户端每次与服务器通信,都要带上这个 JWT。放在 HTTP 请求的头信息Authorization字段里面。

Authorization: Bearer

2 进一步的认识 jwt

https://jwt.io/ 中包含了一个 JWT 的调试器,可以编码、校验、解码 JWT。

默认的 payload + 默认的密钥 your-256-bit-secret

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  your-256-bit-secret
)

这样得到的 JWT 是:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

修改密钥为空

这样得到的 JWT 是:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.he0ErCNloe4J7Id0Ry2SEDg09lKkZkfsRiGsdX_vgEg

可以发现只有 Signature 部分发生了变化。

修改 Payload

{
  "sub": "1234567890",
  "name": "User",
  "iat": 1516239022
}

这样得到的 JWT 是:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IlVzZXIiLCJpYXQiOjE1MTYyMzkwMjJ9.v3ZSJLUS07wLr-6gFimTSiZ9rNbFrs4XeSPkNKmfdK4

发现 Payload 和 Signature 都发生了变化。

3 LoRa Server 中的 JWT 使用

3.1 REST API 请求的头

LoRa Server 中,每次 REST 请求需要使用 Grpc-Metadata-Authorization 头部来设置 JWT token。

3.2 实例拆解

我抓了一个 REST API 请求的 Grpc-Metadata-Authorization 头部,使用 JWT Debugger 来解码下。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJsb3JhLWFwcC1zZXJ2ZXIiLCJhdWQiOiJsb3JhLWFwcC1zZXJ2ZXIiLCJuYmYiOjE1NzEwNDg1NjMsImV4cCI6MTU3MTEzNDk2Miwic3ViIjoidXNlciIsInVzZXJuYW1lIjoiYWRtaW4ifQ.NVPnDBnhxn2_yWmZNAHpS7fPJ3rGrJIxAYyyq-pPG3g

粘贴到 JWT Debugger,便可得到解码后的 JSON 串:

{
  "iss": "lora-app-server",
  "aud": "lora-app-server",
  "nbf": 1571048563,
  "exp": 1571134962,
  "sub": "user",
  "username": "admin"
}

捕获这个包的人,可以知道这个包的内容,但如果他不知道密钥的话,那就无法篡改数据。

END

iotisan
关注
专栏目录
5.第二章 Linux基础入门和帮助 -- Linux 基础和帮助(三)
Raymond的博客
12-07 305
1.8 字符集和编码 许多场合下,字符集与编码这两个概念常被混为一谈,但两者是有差别的。字符集与字符集编码是两个不同层面的概念 charset是character set的简写,即字符集,即二进制和字符的对应关系,不关注最终的存储形式encoding是charset encoding的简写,即字符集编码,简称编码,实现如何将字符转化为实际的二进制进行存储或相反,编码决定了空间的使用的大小 1.8.1 ASCII码 计算机内部,所有信息最终都是一个二进制值。上个世纪60年代,美国制定了一套字符编码,对英语字
【AI大模型应用开发】【RAG优化 / 前沿】0. 综述:盘点当前传统RAG流程中存在的问题及优化方法、研究前沿
最新发布
同学小张的博客
03-07 3662
10个痛点问题,20+优化方法,8个前沿RAG研究。本文我们从RAG的流水线开始,全面梳理了当前传统RAG存在的问题,同时针对每个问题,总结了优化方法。并且,整理了当前前沿的RAG研究。
LoRaServer 笔记 2.4 使用 RESTful JSON API
IoT小能手
05-22 3081
文章目录前言1 认证1.1 生成 JWT token1.2 填入 JWT token2 API 测试3 使用 API 进行数据下发3.1 API 准备3.2 节点操作END 前言 LoRa App Server 提供了两类 API 接口,其中 RESTful JSON API 提供了一个 API console,在AS地址的基础上使用 /api 即可访问,罗列了 API 端点和文档介绍,测试起来非...
RESTful类型API调用
arrisking的博客
12-18 276
RESTful类型API调用 Representational State Transfer(表征状态转移) AngularJS提供$resource服务可以同支持RESTful服务器端数据源进行交互。 使用$resource步骤 1、引入angular-resource.js 2、添加依赖’ngResource’ 3、获取资源实例:$resource(‘data/:nam...
JWT身份认证
xiaoping__的博客
11-01 495
文章目录利用`token`进行用户身份验证的流程JWT的认证流程JWT认证的优势JWT结构1.Header2.Payload3.SignatureJWT每部分的作用JWT依赖JWT工具类 Json Web Token JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输 目前无论单体应用还是分布式应用,都更加推荐用JWT toke
手写jwt验证,实现java和node无缝切换
爱无止
11-14 344
前言搜小说 https://biqi.org/ 前端时间和我朋友写了一个简易用户管理后台,功能其实很简单,涉及到的技术栈有:vue+elementUI,java+spring MVC以及node+egg,数据库用的mysql,简单方便。 一开始是我是只负责前端,但是前端开发的的速度太快,老是没事,加上他小子并没有接触过实战的项目,又怕他出乱子,所以考虑我也写一个后端, 开始考虑的是用py...
JWT-Token
杀神lwz的博客
08-23 498
前端请求时,通常使用 query-string, header、cookie 的方式进行存储传递。建议使用header的方式,因为没有跨域的问题。,将特定数据的JSON编码后,通过签名,base64编码,形成特定的字符串,称为 JWTtokenJWT,就是典型的token设计方案,被大多数的HTTP后端所采用。的机制下,记录下(标识)出来是不是连续(逻辑上的连续)的请求。型数据,则认为是逻辑上连续的。这个标识,就称为tokenJWT,由三个部分构成,编码后,使用。数据采用base64编码,不是加密。
BERT学习笔记:run_classifier.py
Dong Hsueh
06-11 6464
BERT 源码初探之 run_classifier.py 本文源码来源于 Github上的BERT 项目中的 run_classifier.py 文件。阅读本文需要对Attention Is All You Need以及BERT: Pre-training of Deep Bidirectional Transformers for Language Understanding两篇论文有所了解,...
Hbase最全面入门指南
路边摊阿达西的博客
11-22 733
1.1.介绍 Section1.2, “快速开始”会介绍如何运行一个单机版的HBase.他运行在本地磁盘上。Section2, “配置”会介绍如何运行一个分布式的HBase。他运行在HDFS上 1.2.快速开始 本指南介绍了在单机安装HBase的方法。会引导你通过shell创建一个表,插入一行,然后删除它,最后停止HBase。只要10分钟就可以完成以下的操作。 1.2.1.下...
Java 11 – ChaCha20加密示例
一名可爱的技术搬运工
05-28 2426
在本文中,我们将向您展示如何使用RFC 7539中定义的ChaCha20流密码对消息进行加密和解密。 PS ChaCha20流密码可从Java 11获得,请参阅JEP 329 。 注意 您可能对此ChaCha20-Poly1305加密示例感兴趣 1.如何运作? 1.1 ChaCha20加密和解密的输入: 256位密钥(32字节) 96位随机数(12个字节) 32位...
认证授权之TokenJWT
gtxy_2015的博客
09-08 1073
JSONWebToken,是使用JSON格式表示多项数据的Token.它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证JWTToken的正确性,只要正确即通过验证。在使用JWT之前,需要在项目中添加相关的依赖,用于生成JWT和解析JWT
JWT全面解读、使用步骤
热门推荐
陈袁的博客
06-27 8万+
JWT全面解读 JWT全面解读 前言 JWT基本使用 在pom.xml引入java-jwt 示例如下 概念介绍 JWT消息构成 头部 playload 标准中注册的声明 (建议但不强制使用) 自定义数据 签名signature JJWT 引入 使用方法 生成token 解析token 前言 JWTjson web token缩写。它将用户信息加密到toke...
Spring Boot手把手教学(15):RESTful api接口如何开启登录鉴权拦截和放行
非著名程序猿
02-26 4083
1 前言 在常规的业务开发中,切记不可把接口服务暴露给任何人都可以访问,不然别人可以任意查看或者修改你的数据,这是很严重的事情。除了常规从网段IP方面限制固定客户端IP的范围,接口本身也要增加安全验证,这里我们使用基于JWTToken登录认证; 问题是我们如果自定义控制,哪些接口是需要经过验证,哪些接口是不需要通过验证的呢?有人可能会说,直接全部验证不就可以了,何苦纠结。但是在真实的业务中,有些接口是不能强制校验的,比如一些用户分享到微信的那种接口,是不能增加验证,否则分享的页面无法正常显示 这个时候我们
Spring Boot 鉴权之—— JWT 鉴权
weixin_34208283的博客
09-10 384
第一:什么是JWT鉴权 1. JWTJSON Web Tokens,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),他可以用来安全的传递信息,因为传递的信息是经过加密算法加密过得。 2.JWT常用的加密算法有:HMAC算法或者是RSA的公私秘钥对进行签名,也可以使用公钥/私钥的非对称算法 3.JWT使用场景...
jwt如何加盐_JWT原理和使用
weixin_39586683的博客
01-17 2137
jwt原理和使用JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。1.jwt认证流程在项目开发中,一般回按照上图所示的过程进行认证,即:用户登陆成功之后,服务端给用户浏览器返回一个token,以后用户浏览器要携带token再去向服务端发送请求,服务端校验token的合法性,合法则给用户...
AES加密/解密算法 128bit、192bit256bit秘钥 支持CBC 可直接在MCU上运行
qq_33140565的博客
06-19 5227
全为C语言编写,可直接在MCU上运行,已测试正常,资源已尽力做到最小 一、C文件 /* AES 加密 解密 数据块 固定为16字节 秘钥有 128bit(16字节) 192bit(24字节) 256bit(32字节) */ #include "aes.h" //轮秘钥缓存 原始秘钥 + 多个子秘钥 static unsigned char Round
markdown神器 -Typora使用教程笔记
Coix的专栏
07-12 7万+
基本语法 生成目录 列表 有序列表 无序列表 表格 图片 URL链接 数学符号 几个有用的特性 代码块样式(code block) 数学表达式块(math block) 绘制图表 其他特性 文件转换 markdown和word的转换 安利一下很好用的markdown编辑器Typora。它功能很强大,具有简洁,跨平台,所见即所得的特点,支持Mar...
jeecms-2.4.1-beta.zip
09-07
使用jeecms-2.4.1-beta.zip安装Jeecms的过程比较简单。首先,我们需要将安装包解压到服务器上的目标文件夹。然后,我们需要创建一个数据库,并将数据库信息配置到Jeecms的配置文件中。接下来,我们使用浏览器访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值