HTTP API 认证技术详解(三):JWT Authentication

最新推荐文章于 2024-05-29 08:30:00 发布
最新推荐文章于 2024-05-29 08:30:00 发布
阅读量1.2k 收藏 16
点赞数 19
分类专栏: 后端系列知识讲解 身份认证与授权 文章标签: http 网络协议 网络 后端 golang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luduoyuan/article/details/135612121
版权
本文详细介绍了JWTAuthentication的构成、工作流程,展示了如何在Golang中实现,并讨论了其安全注意事项、优缺点,为开发者选择合适的API认证技术提供参考。
摘要由CSDN通过智能技术生成

目录

什么是 JWT Authentication 认证

JWT 的组成部分

JWT 的工作流程

使用 Golang 实现 JWT  Authentication 认证

安全注意事项

JWT Authentication 认证的优缺点

小结

HTTP API 认证技术主要用于验证客户端身份,并确保只有经过授权的实体才能访问受保护的资源。随着安全需求的日益增长,API 认证技术也在不断发展和演进。本文将详细讲解 Digest Access Authentication 认证技术。

什么是 JWT Authentication 认证

JWT(JSON Web Tokens)是一种开放标准(RFC 7519),定义了一种紧凑的、自包含的格式,用于实现网络应用程序中的身份验证和授权机制。

JWT 的组成部分

一个 JWT 通常由三部分组成,分别是头部(Header)、负载(Payload)和签名(Signature)。

  • 头部 (Header):这部分包含了 JWT 的元数据,如类型(通常是JWT)和所使用的签名算法(如 AES256 或 RSA)。
  • 负载 (Payload): 包含了实际需要传递的数据,通常包括用户的身份信息(如用户 ID)以及一些元数据(如令牌的有效期)。
  • 签名 (Signature):对前两部分进行签名以确保数据的完整性和真实性。服务端生成签名时会使用一个密钥,客户端使用这个密钥(或者公钥)来验证签名的有效性。

JWT 的工作流程

  1. 用户在客户端使用登录凭证(如用户名和密码)登录系统。
  2. 系统验证登录凭证的有效性,如果验证通过的话生成一个 JWT 并返回给客户端。
  3. 客户端存储 JWT,并在随后的请求中将其作为认证凭证发送给服务端。
  4. 服务端验证 JWT 的签名,并从中提取用户信息以完成认证过程。

使用 Golang 实现 JWT  Authentication 认证

  1. 实现生成 JWT 令牌的函数,首先需要一个处理 JWT 的库。github.com/dgrijalva/jwt-go 是 Go 中一个比较流行的 JWT 库,接下来会使用这个库来实现。简单示例代码如下:
package main

import (
    "fmt"
    "github.com/dgrijalva/jwt-go"
    "time"
)

var jwtKey = []byte("my_secret_key")

type Claims struct {
    Username string `json:"username"`
    jwt.StandardClaims
}

func GenerateJWT(username string) (string, error) {
    expirationTime := time.Now().Add(5 * time.Minute)
    claims := &Claims{
       Username: username,
       StandardClaims: jwt.StandardClaims{
          ExpiresAt: expirationTime.Unix(),
       },
    }

    token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
    tokenString, err := token.SignedString(jwtKey)
    if err != nil {
       return "", err
    }
    return tokenString, nil
}

func main() {
    tokenString, err := GenerateJWT("user1")
    if err != nil {
       fmt.Println("Error generating token:", err)
       return
    }
    fmt.Println("Generated Token:", tokenString)
}

定义了一个 Claims 结构体,包含用户的用户名和标准 JWT 声明,使用了一个简单的密钥来签名令牌,并设置了5分钟的过期时间。

  1. 实现验证 JWT 令牌的函数,用户每次请求时,服务端需要验证 JWT 令牌。解析和验证JWT的示例代码如下:
func ValidateJWT(tokenString string) (*Claims, error) {
    claims := &Claims{}
    token, err := jwt.ParseWithClaims(tokenString, claims, func(token *jwt.Token) (interface{}, error) {
       return jwtKey, nil
    })
    if err != nil {
       return nil, err
    }
    if !token.Valid {
       return nil, fmt.Errorf("invalid token")
    }
    return claims, nil
}
  1. 创建一个 HTTP 服务,完整代码如下:
package main

import (
    "encoding/json"
    "fmt"
    "github.com/dgrijalva/jwt-go"
    "net/http"
    "time"
)

var jwtKey = []byte("my_secret_key")

type Claims struct {
    Username string `json:"username"`
    jwt.StandardClaims
}

func GenerateJWT(username string) (string, error) {
    expirationTime := time.Now().Add(5 * time.Minute)
    claims := &Claims{
       Username: username,
       StandardClaims: jwt.StandardClaims{
          ExpiresAt: expirationTime.Unix(),
       },
    }

    token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
    tokenString, err := token.SignedString(jwtKey)
    if err != nil {
       return "", err
    }
    return tokenString, nil
}

func ValidateJWT(tokenString string) (*Claims, error) {
    claims := &Claims{}
    token, err := jwt.ParseWithClaims(tokenString, claims, func(token *jwt.Token) (interface{}, error) {
       return jwtKey, nil
    })
    if err != nil {
       return nil, err
    }
    if !token.Valid {
       return nil, fmt.Errorf("invalid token")
    }
    return claims, nil
}

func Login(w http.ResponseWriter, r *http.Request) {
    // 假设我们从请求中获取用户名和密码
    username := r.FormValue("username")
    // password = r.FormValue("password")
    // 这里应该验证用户名和密码的正确性
    // 为了示例,我们假设任何用户名密码组合都是有效的
    tokenString, err := GenerateJWT(username)
    if err != nil {
       w.WriteHeader(http.StatusInternalServerError)
       return
    }
    w.Write([]byte(tokenString))
}

func Home(w http.ResponseWriter, r *http.Request) {
    tokenString := r.Header.Get("Authorization")
    claims, err := ValidateJWT(tokenString)
    if err != nil {
       w.WriteHeader(http.StatusUnauthorized)
       return
    }
    json.NewEncoder(w).Encode(claims)
}

func main() {
    http.HandleFunc("/login", Login)
    http.HandleFunc("/home", Home)
    http.ListenAndServe(":8080", nil)
}

有两个路由处理函数,Login 函数生成 JWT 并返回给用户。Home 函数则需要用户将 JWT作为 Authorization(也可以使用其他字段) 头部发送,以验证用户的请求。

安全注意事项

  • 应该使用满足复杂度要求的密钥,密钥不能硬编码在代码中。在生产环境中,应该使用配置中心或密钥管理系统来安全地存储密钥。
  • 尽量使用 HTTPS 协议通信,防止中间人攻击。
  • 应该给 JWT 设置一个合理的过期时间,减少令牌被盗用的风险。

JWT Authentication 认证的优缺点

JWT 的优点如下:

  • JWT 所有必要的信息都储存在令牌本身,不需要在服务器存储。这一特性非常适合分布式系统和微服务架构。
  • JWT 包含验证所需的所有信息,减少了查询数据库或存储系统的次数。
  • JWT 是基于 JSON 的,可以在不同的编程语言和平台之间轻松传输和处理。
  • 由于无需查询数据库验证用户的每个请求,可以提高应用程序的响应速度和性能。
  • JWT 可以通过 URL、POST 参数或在 HTTP 头中传输,使用起来非常灵活。
  • JWT 是一个开放标准(RFC 7519),有良好的社区支持和大量的库可以使用。
  • JWT 支持多种签名算法,如 AES256 和 RSA 等,可以确保令牌在传输过程中不被篡改。

JWT 的缺点如下:

  • JWT 一旦被颁发,在过期之前很难被吊销,除非在服务器端引入额外的逻辑来控制。
  • 由于 JWT 是自包含的,大小通常比其他的会话信息要大,可能会增加传输数据的负担。
  • 生成 JWT 使用的签名算法不够强大或者使用的密钥被泄露,那么 JWT 的信息就可能被解码。
  • JWT 的有效性依赖于时间戳,因此需要确保服务器和客户端之间的时间同步。
  • 对于需要细粒度控制用户会话的应用程序,使用 JWT 可能会增加实现的复杂性,因为需要在服务器端实现额外的逻辑来处理令牌的失效和刷新。

小结

JWT 是一种非常灵活的认证方式,可以用于多种场景,例如用户认证、服务间 API 调用认证等。但是 JWT 也存在固有的缺点,需要根据自己的使用场景做出最合适的选择。

路多辛
关注
  • 19
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security并结合JWT实现用户认证(Authentication) 和用户授权(Authorization)
08-09 5947
引言 在Web应用开发中,安全一直是非常重要的一个方面。Spring Security基于Spring 框架,提供了一套Web应用安全性的完整解决方案。 JwT (JSON Web Token) 是当前比较主源的Token令牌生成方案,非常适合作为登录和授权认证的凭证。 这里我们就使用 Spring Security并结合JWT实现用户认证(Authentication) 和用户授权(Authorization) 两个主要部分的安全内容。 一、JWT与Aoth2的区别 在此之前,只是停留在用的阶段,对二者的
http认证JWT
weixin_45346239的博客
07-04 926
http认证JWT
关于Authentication认证)和Authorization(授权)及Session、Cookie、Token、JWT的一点总结
weixin_42583145的博客
07-06 2995
1.认证 (Authentication) 和授权 (Authorization)的区别 Authentication(认证) 是验证身份的凭据,如用户名/密码等 Authorization(授权) 在Authentication之后,主要用来授权,特定的人才能访问特定的资源,如有些资源的删除、更新操作只对管理员开放。 一般在系统中结合两者使用,保证系统的安全性。 2.什么是Cookie? Cookies是某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。简单来说: Cookie 存
JWT-Authentication:实现了JWT身份验证的API
03-28
JWT认证 用TypeScript编写的API,已实现JWT身份验证。 所用技术 打字稿 表达 蒙多数据库 猫鼬 设置 数据库URL和客户端URL等的配置位于app.json 。 已安装并正在运行mongoDB服务器,或者具有可以连接到的URL。 npm i touch secrets.json secrets.json { " jwtSecret " : " DOGS SHOULD VOTE! " } npm run dev
Springboot 开发 -- 集成 JWT 构建安全的API接口服务
最新发布
dazhong2012的专栏
05-29 2718
通过上述步骤,我们成功地在SpringBoot项目中集成了JWT,实现了API接口服务的身份验证。JWT提供了一种安全、高效的方式来处理身份验证和信息交换,特别适合于微服务和分布式系统。然而,需要注意的是,JWT不适用于需要高度安全的场景,如支付系统,因为JWT一旦发出,就无法撤销,除非等到它自然过期。此外,由于JWT通常存储在客户端,因此它们容易受到跨站脚本攻击(XSS)的影响。
java jwt实战,Spring Boot Security Jwt Authentication详解实战
weixin_35895485的博客
03-11 536
引言在这篇文章中,我们将通过JWT(JSOn Web Token)认证来保护我们的REST API 。我们将使用基于spring boot maven的配置来开发并保护我们的API,并提供单独的API用于注册并生成令牌。我们将扩展OncePerRequestFilter类,以使用JWT定义我们的自定义认证机制。认证机制可以应用于URL和方法。最后,我们将使用谷歌高级REST客户端测试实现。项目结构...
HTTP---会话机制JWT( JSON Web Token)
qq591009234的博客
04-22 460
3.会话机制JWT( JSON Web Token)会话机制(翻译:令牌) 3.1.JWT是一个非常轻巧的规范 3.2.这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息 3.3.是服务端生成的一串字符串,作为客户端进行请求的一个标识,由部分组成,它们之间用圆点(.)连接。 3.4.一个典型的JWT看起来是这个样子的:xxxxx.yyyyy.zzzzz 1.头部(Header):用...
详解Django配置JWT认证方式
09-16
在本文中,我们将深入探讨如何在Django框架中配置JSON Web Token(JWT认证JWT是一种轻量级的身份验证机制,允许服务器通过一个令牌(token)来确认客户端的身份,而无需在每次请求时发送用户名和密码。Django ...
Django JWT Token RestfulAPI用户认证详解
01-21
一般情况下我们Django默认的用户系统是满足不了我们的需求的,那么我们会对他做一定的扩展 创建用户项目 python manage.py startapp users ...# 全局认证from rest_framework.authentication import Token
.NET core 3.0如何使用Jwt保护api详解
01-01
本文演示如何向有效用户提供jwt,以及如何在webapi中使用该token通过JwtBearerMiddleware中间件对用户进行身份认证认证和授权区别? 首先我们要弄清楚认证Authentication)和授权(Authorization)的区别,以免...
.Net WebAPi JWT身份验证
11-07
**.NET WebAPI JWT身份验证详解** 在现代Web应用程序中,安全性和权限管理是至关重要的。JSON Web Token(JWT)是一种轻量级的身份验证和授权机制,被广泛应用于API访问控制。本文将深入探讨如何在.NET Framework ...
PHP HTTP 认证实例详解
12-19
- **位置与输出**:HTTP认证相关的代码应放在PHP脚本的开头,确保在输出任何内容之前执行,因为一旦有内容输出,就不能再发送HTTP头部。 - **运行环境**:PHP的HTTP认证功能仅在以Apache模块方式运行时有效,CGI或...
Django rest framework jwt的使用方法详解
09-18
Django Rest Framework JWT 是一种基于 JSON Web Token (JWT) 的认证和授权机制,适用于构建 RESTful APIJWT 是一种安全的、无状态的、令牌化的身份验证方式,它允许服务提供商在客户端和服务器之间传递经过签名的...
angular-6-jwt-authentication-example:Angular 6 JWT身份验证示例
05-17
**Angular 6 JWT身份验证详解** Angular 6是一款由Google维护的前端开发框架,用于构建高性能、可维护的单页应用程序。JWT(JSON Web Token)则是一种轻量级的身份验证机制,广泛应用于现代Web应用中,它允许安全地...
angular-7-jwt-authentication-example:Angular 7 JWT身份验证示例
05-14
**Angular 7 JWT身份验证详解** Angular 7是一款流行的前端框架,用于构建高效、可维护的单页应用程序(SPA)。JWT(JSON Web Token)是一种轻量级的身份验证机制,常用于安全地在客户端和服务器之间传输信息。在这个...
spring-security-jwt-auth:JWT的Spring Security培训资源-S2IT孵化器
05-19
**Spring Security-JWT身份验证详解** 在现代Web应用程序中,安全性是至关重要的。Spring Security作为Java平台上的一个强大且高度可定制的安全框架,为开发者提供了丰富的功能,用于保护应用程序免受各种安全威胁...
API鉴权及JWT详细分析
chengkegou8534的博客
06-19 1358
Web API常见的鉴权方法,即WebAPI中保障请求合法性的常见方法: (1)、API Key + API Secret (2)、cookie-session认证 这是比较老牌的鉴权方式了,这种鉴权方式有一下特点: A、为了使后台应用能识别是那个用户发出的请求,只能在后台服务器存储一...
http——http基础知识——JWT详解——背诵总结
小白龙白龙马的博客
12-26 99
webapi JWT 认证
weixin_30347335的博客
04-23 221
第一步 使用ng安装JWT组件 第二步 编写登录和生成token代码 byte[] key = Encoding.UTF8.GetBytes("123456789aaaaaaa"); IJwtAlgorithm algorithm = new HMACSHA256Algorithm();//加密方式 IJsonSe...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路多辛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值