jwt

最新推荐文章于 2024-09-07 15:40:33 发布
最新推荐文章于 2024-09-07 15:40:33 发布
阅读量194 收藏
点赞数
文章标签: 分布式 java 数据库 python jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kingUROOT/article/details/121900305
版权

jwt

json web token, -般用于用户认证前后端分离/微信小程序/app开发) .

img

Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。

{

"alg": "HS256",

"typ": "JWT"}

上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。

img

一个jwt实际上就是一个字符串,它由三部分组成,****头部****、****载荷**签名****,这三个部分都是json格式。

*JWT和OAuth2比较?*

要比较JWT和OAuth2?首先要明白一点就是,这两个根本没有可比性,是两个完全不同的东西。

*JWT是一种认证协议* JWT提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。 令牌(Token)本身包含了一系列声明,应用程序可以根据这些声明限制用户对资源的访问。

*OAuth2是一种授权框架* 另一方面,OAuth2是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。既然JWT和OAuth2没有可比性,为什么还要把这两个放在一起说呢?实际中确实会有很多人拿JWT和OAuth2作比较。标题里把这两个放在一起,确实有误导的意思。很多情况下,在讨论OAuth2的实现时,会把JSON Web Token作为一种认证机制使用。这也是为什么他们会经常一起出现。

JWT是一种安全标准。基本思路就是用户提供用户名和密码给认证服务器,服务器验证用户提交信息信息的合法性;如果验证成功,会产生并返回一个Token(令牌),用户可以使用这个token访问服务器上受保护的资源。

OAuth2不是一个标准协议,而是一个安全的授权框架。它详细描述了系统中不同角色、用户、服务前端应用(比如API),以及客户端(比如网站或移动App)之间怎么实现相互认证。

参考链接:https://www.jianshu.com/p/1f2d6e5126cb

*jwt的缺点:*

  1. 安全性

由于jwt的payload是使用base64编码的,并没有加密,因此jwt中不能存储敏感数据。而session的信息是存在服务端的,相对来说更安全。

  1. 性能

jwt太长。由于是无状态使用JWT,所有的数据都被放到JWT里,如果还要进行一些数据交换,那载荷会更大,经过编码之后导致jwt非常长,cookie的限制大小一般是4k,cookie很可能放不下,所以jwt一般放在local storage里面。并且用户在系统中的每一次http请求都会把jwt携带在Header里面,http请求的Header可能比Body还要大。而sessionId只是很短的一个字符串,因此使用jwt的http请求比使用session的开销大得多。

  1. 一次性

无状态是jwt的特点,但也导致了这个问题,jwt是一次性的。想修改里面的内容,就必须签发一个新的jwt。

(1)无法废弃

通过上面jwt的验证机制可以看出来,一旦签发一个jwt,在到期之前就会始终有效,无法中途废弃。例如你在payload中存储了一些信息,当信息需要更新时,则重新签发一个jwt,但是由于旧的jwt还没过期,拿着这个旧的jwt依旧可以登录,那登录后服务端从jwt中拿到的信息就是过时的。为了解决这个问题,我们就需要在服务端部署额外的逻辑,例如设置一个黑名单,一旦签发了新的jwt,那么旧的就加入黑名单(比如存到redis里面),避免被再次使用。

(2)续签

如果你使用jwt做会话管理,传统的cookie续签方案一般都是框架自带的,session有效期30分钟,30分钟内如果有访问,有效期被刷新至30分钟。一样的道理,要改变jwt的有效时间,就要签发新的jwt。最简单的一种方式是每次请求刷新jwt,即每个http请求都返回一个新的jwt。这个方法不仅暴力不优雅,而且每次请求都要做jwt的加密解密,会带来性能问题。另一种方法是在redis中单独为每个jwt设置过期时间,每次访问时刷新jwt的过期时间。

可以看出想要破解jwt一次性的特性,就需要在服务端存储jwt的状态。但是引入 redis 之后,就把无状态的jwt硬生生变成了有状态了,违背了jwt的初衷。而且这个方案和session都差不多了。

*jwt的优点:*

  1. 可扩展性好

应用程序分布式部署的情况下,session需要做多机数据共享,通常可以存在数据库或者redis里面。而jwt不需要。

  1. 无状态

jwt不在服务端存储任何状态。RESTful API的原则之一是无状态,发出请求时,总会返回带有参数的响应,不会产生附加影响。用户的认证状态引入这种附加影响,这破坏了这一原则。另外jwt的载荷中可以存储一些常用信息,用于交换信息,有效地使用 JWT,可以降低服务器查询数据库的次数。

img

img

img

注意:本文归作者所有,未经作者允许,不得转载

流浪者0123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
JWT 的简单了解
minion_banana的博客
04-25 1126
JWT:JSON Web Token 最近看一个项目,用到了JWT做身份验证,在此做一些笔记以及记录,以防止将来忘记,如有错误请指正。 一、JWT原理 JWT的原理是,服务器认证以后生成一个JSON对象,发回给用户,像下面: { "姓名": "张三", "角色": "管理员", "到期时间": "2019年7月1日0点0分" } 以后用户和服务端通信时,...
JWT 详解
兴趣是最好的老师,勤能补拙
05-25 2759
JWT(JSON Web Token)是一种基于JSON格式的轻量级的、用于身份认证的开放标准。它通过在用户和服务器之间传递一个安全的、可靠的、独立的JSON对象来进行身份验证和授权。它如今被广泛应用在RESTful API中,因为RESTful API通常不会维持任何状态信息。
JWT概述
bydaerwen的博客
12-15 543
1. 摘要 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理,用法和详细的数据结构。 2. JWT的定义 Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明...
JWT的详解
m0_65037354的博客
05-17 1031
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用间安全地传递信息。它是一种紧凑的、自包含的方式,用于在用户和服务之间以 JSON 对象的形式安全地传输信息。JWT 主要由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。包含了关于令牌类型和签名算法的元数据,通常包含两部分信息,令牌的类型(即 "JWT")和所使用的哈希算法(例如 HMAC SHA256 或 RSA)。包含了要传输的信息,以及其他元数据。
JWT分析
Arthas的博客
10-09 847
本篇文章不讨论 Laravel 中 JWT 这个怎么使用,要这方面内容的可以看我另一篇文章 JWT 完整使用详解 。 在此我要从一个更深的层次来探讨 JWT 在实际运用中的使用以及其优缺点,以及 JWT 和 Oauth 2.0 这两者到底有什么差别和联系。 首先我们从 Token 入手,再联系到 JWT,然后分析 JWT 的优缺点和使用场景,最后再联系到 Oauth2.0。 一、Token ...
JWT
qq_26282869的博客
08-04 377
jwt 1、下载jwt包 composer require tymon/jwt-auth:”1.0.0-rc.1” 2、注册jwt服务到app项目中: 打开app/Providers/AppServiceProvider.php服务文件,在register()方法中,注册需要的jwt服务: $this->app->register(\Tymon\JWTAuth\Provide...
jwt在线解密网站,可用于jwt的解码
03-10
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT被广泛用于身份验证和授权...
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
asp.net中用到的JWT身份验证 JWT.dll 下载
08-07
ASP.NET中的JWT(JSON Web Tokens)身份验证是一种广泛采用的安全机制,用于在Web应用程序中实现无状态的身份验证。JWT是一个开放标准(RFC 7519),定义了一种紧凑、自包含的方式来安全地在各方之间传输信息作为...
thinkphp+jwt实现前后端分离
03-15
本项目是基于Thinkphp6框架和JWT(Json Web Token)技术实现的前后端分离示例,旨在帮助开发者理解如何在实际项目中运用这两种技术。 **Thinkphp6** 是一个轻量级、高性能的PHP框架,具有良好的模块化设计,支持MVC...
JSON WEB TOKEN
weixin_34273481的博客
03-19 743
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token...
深入理解JWT的使用场景和优劣
热门推荐
爱琴孩的博客
05-06 3万+
前言 前面简单介绍了JWT的基础只是和简单的小Demo,但是对于JWT的应用场景和优缺点掌握的还够,这些东西只有自己实践过才能搞清楚其中的细节。在网上看到一个大佬对这块讲的比较好,就转载过来一起学习下。 原文链接 编码,签名,加密 这些基础知识简单地介绍下,千万别搞混了三个概念。在 jwt 中恰好同时涉及了这三个概念,笔者用大白话来做下通俗的讲解(非严谨定义,供个人理解) 编码(en...
系统登录认证流程对比(cookie方式与jwt)
iygxv
11-01 1574
系统登录认证流程对比(cookie方式与jwt) 一个正在努力爱好运动的程序猿座右铭:越努力越幸运,越运动越健康,热爱编程,热爱运动。 文章目录系统登录认证流程对比(cookie方式与jwt)一、cookie方式登录认证二、JWT(Json Web Token)方式登录认 一、cookie方式登录认证 步骤: 1.用户向服务器发送用户名和密码。 2.服务器验证后,相关数据(如用户角色等)将保存在当前会话(session)中。 3.服务器向用户返回sessionId会写入到用户的Cookie。 4
JWT(JSON Web Token)原理
zhangsan_716的博客
12-02 3086
JWT(JSON Web Token)原理 JWT是目前流行的跨域身份验证解决方案。 这里给大家介绍JWT的原理和用法。 跨域身份验证 Internet服务无法与用户身份验证分开。 传统模式过程如下: 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话(session)中。 3.服务器向用户返回session_id,session信息都会写入...
Redis分布式
最新发布
Flying_Fish_roe的博客
09-07 440
Redis 的分布式架构包括主从复制、哨兵模式以及 Redis Cluster,分别适用于不同的应用场景。从简单的高可用性需求到复杂的水平扩展要求,Redis 提供了灵活的解决方案。在实现 Redis 分布式系统时,需要根据具体的应用场景进行合理的选择和配置,确保系统在性能、一致性和高可用性之间达到最佳平衡。
深入解析Java中的分布式事件流处理:从Kafka Streams到Apache Flink
weixin_53840353的博客
09-04 1028
事件流处理是一种处理实时数据流的技术,旨在处理从各种数据源(如传感器、社交媒体、交易系统等)不断生成的事件。事件流处理的关键目标是能实时地处理和响应数据流中的事件,而不是像传统批处理那样在固定时间间隔内处理数据。Kafka Streams是一个轻量级的Java流处理库,专为Apache Kafka设计。它允许开发者构建和部署分布式、容错和可扩展的实时流处理应用。Apache Flink是一个开源的流处理框架,支持批处理和流处理两种模式。
ElasticSearch分布式搜索引擎入门
2301_76207358的博客
09-04 640
Elasticsearch是一个基于 Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java语言开发的,并作为Apache许可条款下的开放源码发布, 是一种流行的企业级搜索引擎。Elasticsearch用于云计算中,能够达到实时搜索,稳定,可靠,快速, 安装使用方便。官方客户端在Java、.NET(C#)、PHP、Python、Apache Groovy、Ruby和许多其他语言中都是可用的。
微服务网关与JWT鉴权实践
"本文主要探讨了微服务架构中网关与JWT令牌的使用,旨在让读者理解JWT鉴权机制,并掌握如何在网关中实施JWT校验用户登录。" JWT(JSON Web Token)是一种轻量级的身份认证和授权机制,广泛应用于现代Web应用和API...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值