前端也有必要了解JWT吗?

最新推荐文章于 2024-03-20 10:56:36 发布
最新推荐文章于 2024-03-20 10:56:36 发布
阅读量1.1k 收藏 4
点赞数 1
分类专栏: 猿生小知识 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyi1009365545/article/details/115724464
版权

什么是JWT

JWT全称是JSON WEB TOKEN,是一种基于JSON的开放标准(RFC 7519),主要用于用户与服务器之间安全地传输信息。简单的说,JWT就是一种认证机制。

推荐

文章将率先在公众号「Code满满」与个人博客「李益的小站」上发布,如果本文对你有帮助,就关注一下公众号吧!

什么是认证

HTTP协议本身是一种无状态的协议,在应用程序中,用户需要输入用户名和密码来进行用户认证,获取属于用户自己的信息。但是如果每次都要用户输入用户名和密码,就太过于繁琐了;于是就有了Session认证Token认证

传统的Session认证

Session是一种记录客户端和服务器端会话状态的机制,是基于Cookie实现的,其认证流程如下:

  1. 客户端第一次请求服务器,服务器根据客户端提交的信息,创建对应的Session
  2. 服务器一般将Session保存在内存中,然后将SessionID返回给客户端
  3. 客户端收到SessionID后,会将SessionID保存在Cookie中,并记录此SessionID属于哪个域名
  4. 客户端第二次请求时,会将此域名下的Cookie信息发送给服务器,服务器获取Cookie信息后,会从中提取出SessionID并去查找自己保存的对应的Session;如果找到,则说明认证成功,否则认证失败

Session有如下缺陷:

  • 因为Session一般保存在服务器的内存中,随着用户增多,服务器的开销会越来越大
  • 因为Session是存在内存中,会带来一些扩展性问题
  • 因为是基于Cookie来进行用户识别的, Cookie如果被截获,用户就会很容易受到CSRF攻击(跨站请求伪造攻击)

传统的Token认证

传统的Token认证流程如下:

  1. 客户端输入用户名和密码来请求服务器,服务器会根据客户端提交的信息,创建一个Token
  2. 服务器会将Token存储在数据库中或者缓存起来,然后将Token返回给客户端
  3. 客户端收到Token后会保存在本地,并在每次请求时带上Token,一般会放在请求的Header中
  4. 服务器会从请求信息中获取Token,并去查库验证Token是否有效

这种基于Token的认证是无状态的,能有效的防止CSRF攻击,但是这种认证方式不是没有缺陷,比如:每次服务器验证Token是否有效时都要去查库,这也是一种消耗;另外,客户端退出登录时也必须调用接口来通知服务器删除Token,比较繁琐。

JWT认证

JWT是目前主流的认证方式,其认证流程如下:

  1. 客户端输入用户名和密码来请求服务器,服务器根据客户端提交的信息,会创建一个Token,并返回给客户端,自己不会保存这个Token
  2. 客户端获取Token后会保存在本地,每次请求时都带上Token,一般会放在请求的Header中
  3. 服务器获取请求信息中的Token后,会直接解析这个Token,从中获取用户的相关信息,不用去查库;如果解析成功,则代表认证成功,否则代表Token无效,认证失败

JWT认证与传统的Token认证不同的地方在于:JWT认证的Token是交由客户端保管的,服务器端一般不存储Token;服务器验证Token是否有效是通过能否直接解析Token来判断的,如果能解析,则表示有效,否则无效。这样做的好处,就是服务器不用存储Token,不用查库,减少开销;在分布式或者多服务器的应用中,每个服务器都可以直接判断Token是否有效并解析,而不必去单独访问一个专门存储Token的服务器,扩展性得到很大提升。

从上述内容中可以明显看出,JWT认证的强大之处在于可以从Token中解析出有用的数据,而不像传统的Token,仅仅是一个身份标识。下面我们就看一下,JWT是怎样构成的。

构成

JWT共有三部分构成:

  • Header(头部)
  • Payload(负载)
  • Signature(签名 )

Header(头部)

头部一般会记录两种信息:

  • 声明Token的类型,一般声明为JWT
  • 声明加密算法名称,一般声明为HMAC、**SHA256 **等

完整案例如下:

{
	"typ": "JWT",
	"alg": "HS256"
}

然后将头部信息使用Base64编码,构成Token的第一部分。

Payload(负载)

负载是存放有效信息的地方,包含三种声明:Registered claims(注册声明), Public claims(公共声明) 以及Private claims(私有声明)

  • 注册声明:一组预定义的声明,不强制,但推荐

    • iss (issuer):jwt签发者
    • sub (subject):jwt所面向的用户
    • aud (audience):接收jwt的一方
    • iat (issued at):jwt的签发时间
    • exp (expiration):jwt的过期时间,这个过期时间必须要大于签发时间
    • nbf (not before):声明jwt在指定的时间后有效
    • jti (JWT ID):jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击(如果JWT标识存在,那么发出者不能复用同一JWT标识,如果一JWT的jti声明与另一JWT完全相同,则被视为重放攻击)

  • 公共的声明:可以添加任何的信息,一般添加用户的相关信息或其它业务需要的信息,但不建议添加敏感信息

  • 私有的声明:一般是签发者和接收者所共同定义的声明,不建议存放敏感信息

完整案例如下:

{
	"iss": "www.liyisite.com"
	"sub": "1234567890",
	"exp": 1618400868
	"user_id": "1",
	"username": "liyi",
}

对Payload进行Base64编码就得到JWT的第二部分。

Signature(签名 )

JWT的第三部分是一个签名信息,它是用Header中指定的那个签名算法对编码过的Header、编码过的Payload以及一个秘钥进行签名,从而生成的。

签名是用于验证消息在传递过程中有没有被更改;并且,对于使用私钥签名的token,它还可以验证JWT的发行者是否为它所指定的发行者。

缺陷

JWT虽然有种种好处,但是也有缺陷。因为JWT是一经签发,在未到期前都是有效的,加上token是存放在客户端,所以服务器无法废弃token。这意味着如果token被他人获取,即使签发新token,只要旧token未到失效时间,就依然有效,他人依然可以使用,这是非常危险的。

此时,后端一般会使用Redis等工具来缓存签发的jwt,设立黑名单,当签发新的jwt后,就会把旧jwt放入黑名单,直至旧jwt失效后,从缓存中移除。不过如此一来,就有点违背JWT的原则了。

码途有道
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端大厂最新面试题-jwt.docx
06-06
前端大厂最新面试题-jwt.docx
解析JWT token
CodingStudying的博客
01-09 1439
前端解析 token 的过程通常涉及到验证 token 的有效性以及提取 token 中包含的信息。Token 通常用于身份验证和授权,例如 JWT(JSON Web Tokens)。)来解析 JWT token。JWT token 通常由三部分组成:头部(header)、载荷(payload)和签名(signature),它们之间由点(首先,你需要从存储中获取 token。是可用的,但在某些 Node.js 环境中可能不可用。)中获取,或者是从服务器响应中获取。函数在当前环境中不可用。
vue前端解析jwt
最新发布
qq_61950936的博客
03-20 530
我们可以用在线解析解析的结果:https://www.lddgo.net/encrypt/jwt-decrypt。但是如果在前端需要解析token,拿到其中的权限信息,可以这样解决。
JWT入门详解
weixin_57504000的博客
05-16 3745
目录 一、JWT简介 1.什么是JWT? 2.为什么要使用JWT? 二、JWT的工作原理 三、JWT的组成 1.Header(头部) 2.Payload(载荷) Reserved claims(保留) Public claims(公有) Private claims(私有) 3.signature 四、JWT的验证过程 五、JWT令牌刷新思路 1.首先前后端跨域配置 2.JWT配置 3.配置JWT验证过滤器 4.登陆方法成功后,将生成的JWT令牌通过响应头返回给客户端 .
什么是Jwt
qq_45593068的博客
07-16 274
什么是Jwt 什么是Jwt:Json Web Token也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。 https://jwt.io/ 传统的session认证: 1.认证方式 我们知道, http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请
前后端的身份认证②(JWT认证机制)
十八岁讨厌编程的博客
04-23 3007
文章目录JWT 认证机制Session 认证的局限性什么是JWTJWT 的组成部分JWT 的使用方式在 Express 中使用 JWT安装 JWT 相关的包定义 secret 密钥在登录成功后生成 JWT 字符串JWT与token的关系将 JWT 字符串还原为 JSON 对象使用 req.user 获取用户信息捕获解析 JWT 失败后产生的错误整体代码实现 JWT 认证机制 Session 认证的局限性 Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问,所以,
【2023】前端JWT详解
接着奏乐接着舞的博客
04-13 2928
jwt本质上是一种令牌格式。它和终端设备无关,同样和服务器无关,甚至与如何传输无关,它只是规范了令牌的格式而已jwt由三部分组成:header、payload、signature。主体信息在payloadjwt难以被篡改和伪造。这是因为有第三部分的签名存在。
前端JS的jwt的token解码方式:
weixin_48706421的博客
02-17 5915
jwt的token解码方式: //首先拿到token码然后以点为分隔符转为数组 let token=localStorage.getItem(‘token’).split("."); console.log(token); //然后拿到第二段token也就是负载的那段 进行window.atob方法的 base64的结算,然后再用decodeURIComponent字符串解码方法 解析出字符串 然后再转成JSON对象 let user=JSON.parse(decodeURIComponent(window
前端JWT的使用
weixin_53271997的博客
06-18 976
主要介绍前端部分JWT的使用
前台解析jwt token 前后端分离 ant design pro
wuxiao_wei的博客
11-13 4304
前言 在如今得环境下,越来越多得项目采用微服务,前后端分离项目。优点在于同时开发,分开部署。缺点在于需要约定的太多,导致前后端联调产生分歧。就标题而言,解决前端antd 接收后台返回的jwt token字符串 进行解析做记录。 关于jwt 三部分组成(其他的不做过多介绍,又不是本文的主题 ha ha ha ~~~) 第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature). 例如: eyJhbGciOiJS
JWT(JSON Web Token )详解及实例
深圳市多克创新科技有限公司
10-31 4625
JSON Web Token (JWT)详解
jwt简单的介绍和了解
10-27
2、JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。 3、便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。它不需要在服务端保存会话信息, 所以它易于应用的扩展 JWT(json web ...
前端开源库-passport-jwt
08-29
前端开源库-passport-jwtPassport JWT,使用JSON Web令牌的Passport身份验证策略
深入了解java-jwt生成与校验
10-16
主要介绍了深入了解java-jwt生成与校验,Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)...
jwthelper:JWT令牌生成器
02-24
该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如任务,错误或功能)可用于测试,并且可以随时删除。 ...
SpringCloud+Vue在线教育项目——前台登录注册功能完善(后端)(整合JWT和阿里云短信服务)
m0_46275020的博客
06-01 1434
SpringCloud+Vue在线教育项目——前台登录注册功能完善(后端)(整合JWT和阿里云短信服务)![在这里插入图片描述](https://img-blog.csdnimg.cn/2020060114555531.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2Mjc1MDIw,size_16,color_FFFFFF,t_70#p
JWT简介& JWT结构& JWT示例& 前端添加JWT令牌功能& 后端程序
qq_73126462的博客
11-07 4941
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。
【转载】JWT原理
t194978的博客
03-01 709
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录服务端收到请求,验证用户名和密码验证成功后,服务端会签发一个token,再...
【全栈前端了解JWT
weixin_42132860的博客
09-22 374
服务器认证后,生成一个JSON对象,后续通过JSON进行通信。数据组成结构:Header.Payload.Signature。JWT是一种跨域认证的解决方案,可以来做单点登录。
wab前端中如何实现保存JWT令牌?
05-25
前端中,可以使用浏览器提供的 `localStorage` 或 `sessionStorage` 对象来保存JWT令牌。以下是一个使用 `localStorage` 对象保存JWT令牌的示例: ```javascript // 将JWT令牌保存到本地存储中 localStorage....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值