状态保持-JWT

已于 2023-08-15 12:26:35 修改
阅读量634 收藏 1
点赞数 1
分类专栏: Web 文章标签: django python 后端
于 2022-11-20 00:09:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxd_max/article/details/127944300
版权

 Web的状态保持技术 -JWT(Json Web Token)

    在分布式微服务技术流行的今天,大型网站对JWT的使用愈加频繁,相比较于传统的session cookie。

    HTTP 是一个无状态的协议,何为无状态呢?就是说这本次请求和上次请求是没有任何关系的。那么WEB在哪里会频繁应用它?登录某个网站的时候是不是就需要一直保持这一个对应登录用户的状态。显然HTTP不是实现它,传统的解决方法是cookie-Session,而目前流行还有JWT,主要就是一个可靠的认证授权处理。(cookie是session和JWT都需要使用的)

    绝大多数的网站都需要注册登录,常见的登录页面后端使用技术如:

springsecurity+JWT、Django+JWT等等。

JWT大致引介

    JWT由三部分构成:header、payload、signature。

    一个JWT的token长什么样子,如下表,根据“.”巧好分别分成三部分,也就是header、payload、signature。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjo4LCJ1c2VybmFtZSI6IjEyMzQ1IiwiZXhwIjoxNjY4ODcyNDAzLCJlbWFpbCI6IiJ9.Jdxf4gaD_dpMpYqnuoNtirLemnBm9f8Wz2hRlNGWaOA

    header:声明类型和加密算法;

    payload:(也称JWT载荷)存放有效信息的位置,包含三部分:标准中注册的声明、公有的声明、私有的声明;

    signature:JWT签证信息(base64加密后的header和payload连接组成的字符串,通过header中的加密方式进行加盐secret组合加密构成)

        一般思路是这样的,当用户登录成功,服务端生成jwt token,然后响应给客户端存起来。下一次发请求必须登录用户才能访问的话,客户端就需要将JWT通过请求头的方式发给后端(jwt凭证是存在客户端),后端拿到JWT token,对前两段利用密钥加密(因此得保护好这个密钥-secret私钥),如果得到的结果与前端传输过来的jwt传输结果相同(服务器就是生成token和校验的),说明没问题,请求将成功打入。

   

Django JWT

    这里针对是Django较新的版本2.x及之后,因为djangorestframework-jwt已经不支持Django1.x之后的版本(不维持版本更新了)。取而代之的是djangorestframework-simplejwt。

    进入DRF官网(django-rest-framework.org), Search jwt, 点djangorestframework-simplejwt。

    

    点击Simple JWT — Simple JWT 5.2.2.post1+gcc96fd6 documentation,点击django-rest-framework-jwt

   

    这里就可以看到指定版本:

    自行做demo测试:

(1)安装(pip或编译器)

pip install djangorestframework-simplejwt

(2)settings.py或dev.py配置jwt框架与Simple JWT

INSTALLED_APPS = [
    ...
    'rest_framework_simplejwt',  # jwt
]
​
REST_FRAMEWORK = {
    ...
    'DEFAULT_AUTHENTICATION_CLASSES': (
        # jwt配置
        'rest_framework_simplejwt.authentication.JWTAuthentication',
    ),
}
​
SIMPLE_JWT = {
    'ACCESS_TOKEN_LIFETIME': timedelta(minutes=10),  # JWT有效期这里假定为10min
}

(3)app下的urls.py

urlpatterns = [
  ...
  url(r'^api/token/$', TokenObtainPairView.as_view(), name='token_obtain_pair'),     # JWT登录(内部认证代码还是Django,登录成功生成JWT)
  url(r'^api/token/refresh/$', TokenRefreshView.as_view(), name='token_refresh'),
  url(r'^api/token/verify/$', TokenVerifyView.as_view(), name='token_verify'),
]

​【注:只是看到token的话最后两个url可以不写】

(4)访问localhost:8000/api/token(或者自行配置的域名和端口号)

一路向东_
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tomcat-jwt-security:基于JWT令牌实现安全阀
05-10
tomcat-jwt-security 该项目旨在将JWT令牌身份验证功能引入Tomcat 8 ,从而将身份验证过滤器实现为Tomcat Valve。 JWT操作基于项目。 对于Tomcat 7,请使用或克隆。 基于Valve的身份验证应该可以与放置在web.xml...
JWT保存状态
The的博客
06-30 656
登录 1、JWT保持状态 JWT的组成 jwt的设置分为三部分:头部、载荷、以及签证 头部 jwt的头部固定为两个值部分typ和alg,这里的头部数据就是一个json串,两个字段是必须的,不能多也不能少,alg字段指定了签证生成的算法,默认值是HS256,type字段指明类型 { “typ”: “JWT”, “alg”: “HS256” } 载荷 载荷是一个json数据,是表明用户身份的数据,也可自行指定字段很灵活,也有固定字段表示特定含义 如果是自定义的字段,一般是一些用户名,用户id等相关不
egg-JWT的使用(服务端和客户端保存登录状态
lihui61357457的博客
09-27 535
配置客户端网络文件api/network.ts。
登录 | 生成JWT | 保持状态
weixin_60670275的博客
08-03 194
登录 | 生成JWT | 保持状态
Jwt 状态管理工具
yk_ddm的博客
03-19 70
Jwt 状态管理工具 Jwt 状态管理工具
JWT状态登陆与无状态登陆
程序员小明1024
11-23 1942
单点登录JWT JWT全称:Json Web Token 。作用:JWT 的作用是用户授权(Authorization),而不是用户的身份认证(Authentication)。用户认证指的是使用用户名、密码来验证当前用户的身份,即用户登录。用户授权指用户登录成功后,当前用户有足够的权限访问特定的资源。 传统的Session登录: 用户登录后,服务器会保存登录的Sess...
okta-jwt-verifier-golang:okta-jwt-verifier-golang
05-10
版本地位0.x :warning: Beta版本(已淘汰) 1.x :check_mark: 释放安装go get -u github.com/okta/okta-jwt-verifier-golang用法建立该库是为了将配置保持在最低限度。 为了使其以最基本的形式运行,您需要提供的是...
python-jwt-react-login-flow:具有Flask后端和React前端的基于令牌的身份验证示例
02-05
Python + React代码库,包含使用JSON Web令牌... 无状态-您不再需要与后端保持任何会话信息。 只需将该令牌存储在localStorage并完成即可。 令牌包含与无效会话等有关的所有信息。 分离-我们生活在SPA协会中,将前端和
nextjs-jwt-authentication:用于演示 Next.js 应用程序与 JWT 身份验证的概念验证应用程序
08-04
使服务器和客户端的状态保持同步、在客户端和服务器上路由、在服务器渲染之前加载数据等是使我们的应用程序更加复杂的一些事情。 这就是为什么存在诸如 Next.js 之类的框架来解决大多数这些问题的原因。 但是,诸如...
machinepack-jwtauth:处理来自请求标头的 JSON Web 令牌
06-04
machinepack-jwtauth 处理 JSON Web 令牌... 此模块中包含的机器(以及 Node.js 的所有其他 NPM 托管机器)的文档页面会自动生成并在公共注册表上保持最新。 了解更多信息 http://node-machine.org/implementing/FAQ
实现登录状态保持的方法:cookie session token jwt
路漫漫其修远兮,吾将上下而求索。
03-12 3537
实现登录状态保持的方法 方法一:cookie和session配合使用 首先,用户登录输入用户名和密码,浏览器发送post请求,服务器后台获取用户信息,查询数据库验证用户信息是否正确。如果验证通过,就会创建session来存储相关信息,并且生成一个cookie字符串,把sessionID放在cookie里面。然后返回给浏览器。 当用户下一次发起请求时,浏览器会自动携带cookie去请求服务器,服务器...
SpringBoot+JWT实现注册、登录状态续签【登录保持
什么都干的派森
06-01 2313
文章目录一、实现流程简述1.注册2.登录 一、实现流程简述 1.注册 2.登录 Created with Raphaël 2.3.0开始Vue:post 传入 User(username, password)Java:password 非对称加密 RSA(password)查询数据库中是否有此用户 User(username, RSA(password))Java:根据 username 生成 token TOKEN(username)Java:用户权限 TOKEN(username) 存入 redis
JWT状态保持以及Token cookie + sesson 状态保持
qq_47214490的博客
09-23 312
JWT的构成 由三段信息构成的,分别是: 头部:声明自己的类型和加密方式 载荷:存放数据(存放有效信息的)标准中注册的声明 公共的声明 私有的声明 签证:验证 header(base64后的) payload(base64后的) secret JWT的加密方式:头部的加密方式 + 载荷的加密方式 + 随机字符串 JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串 如何状态保持 JWT的原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户之后,当用..
亲测有效!SpringBoot项目采用JWT登录认证与保持,并解决跨域问题
weixin_45928161的博客
04-12 1286
在使用JWT实现认证时,需要将生成的token存储到前端,并在每次向后端发送请求时将token放入请求header中,这样后端才能识别该用户是否已登录以及是否有权限访问该接口。这段代码会在每次请求前检查localstorage中是否存在token,并将其添加到请求的header中。注意:为了避免XSS攻击,不要直接将token存储在localstorage中,可以考虑使用sessionStorage或者cookie等更加安全的存储方式。一步步跟着做就可以了。
深入理解有状态和无状态以及JWT和Session
JustKian的博客
06-28 3813
1.概念 参考链接:https://blog.csdn.net/Jmilk/article/details/50461577 基于状态的Web服务 在基于状态的Web服务中,Client与Server交互的信息(如:用户登录状态)会保存在Server的Session中。再这样的前提下,Client中的用户请求只能被保存有此用户相关状态信息的服务器所接受和理解,这也就意味着在基于状态的Web系统...
jwt token 过期刷新_替换JWT,移动APP保持用户登录的改进方案
weixin_40004081的博客
12-03 3451
一 面临问题当前移动app最常见的保持登录的方案就是:持续刷新的JWT(json web token)方案。即用户登录后,客户端获得JWT,此后不断刷新或是过期后刷新token。这个方案使用得十分广泛,几乎成了事实标准。但并不安全,有以下几个问题:1,JWT 密钥管理问题JWT 的安全的基石是保证秘钥(secret key)的安全,因为一旦秘钥泄露,拥有秘钥的人可以伪造所有用户。这给管理带来了麻烦...
SpringBoot学习笔记(17)-使用JWT记录用户实时在线数
程序员不鸣的博客
01-22 5359
文章目录一、使用JWT做用户实时在线数判断的原理1.1、什么是JWT1.2、使用JWT做用户在线数统计的原理二、具体的代码实现 最近再做一个小程序项目,在这个项目中需要有一个管理员用户在线数实时刷新的功能,一开始用的是网上广为流传的做法,即创建一个session监听器,在用户登录时即创建一个session,监听器记录下来并且把count加一,当用户点击注销时把session给remove掉,c...
SpringBoot中使用JWT验证登录状态
sinat_41935698的博客
11-13 510
SpringBoot中使用JWT验证登录状态
jwt状态保持的优缺点及解决方案
黑马程序员广州中心的专栏
12-25 662
什么是JWT JWT是Json Web Token的全称,它是由三部分组成: header payload signature header中通常来说由token的生成算法和类型组成。如: [Python]纯文本查看复制代码 ? 1 2 3 4 { "alg":"HS256", "...
oauth2-jwt-server
最新发布
04-30
OAuth2-JWT-Server是一个基于OAuth2.0和JSON Web Tokens(JWTs)的认证和授权解决方案。它提供了一种可扩展的方式来管理和保护API,允许定义用于访问API的权限范围和角色。OAuth2-JWT-Server授权服务器允许应用程序通过使用JWTs从授权服务器获取访问令牌,以便在API端点上执行授权操作。 JWTs是一种带有签名的JSON格式的令牌,用于身份验证和授权目的。JWT允许使用者验证其身份并获取访问令牌,无需引入cookies或其他状态JWTs使应用程序和服务之间的授权过程更为安全,而且不需要存储和管理长期的访问令牌。 OAuth2-JWT-Server不仅提供了强大的认证授权机制,还提供了易于使用的API端点来管理应用程序和用户的访问权限。此外,它为用户登录提供了多个身份验证策略,例如基于用户名和密码的身份验证,以及支持OAuth 2.0的授权码流程。 总之,OAuth2-JWT-Server提供了一种安全,高效的解决方案,通过它,开发人员可以轻松地保护API,并授予访问权限,在保护API的同时,保持简单的配置和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值