对JWT的理解

最新推荐文章于 2024-07-12 15:53:09 发布
最新推荐文章于 2024-07-12 15:53:09 发布
阅读量2.1k 收藏
点赞数 1
文章标签: jwt 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56314265/article/details/122183621
版权

个人理解如有错误请指正。 

什么是JWT?

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

可以理解成为它就是一个身份证,有了身份证,门卫看到了就能按权限放行,你就可以搞事情!

JWT长什么样?

其实就是一个JSON,里面有三个部分,分别是header、payload和signature。三个部分用"."隔开。具体形式就是header.payload.signature

JWT如何发挥作用?

header中蕴含了声明类型,加密方式的信息。通过Base64对称加密变成人看不懂的一串东西,但是计算机是可以解析的。他主要是为告诉计算机如何进行解密signature中的内容。

payload里面是我们携带的内容,有registered, public 和 private三种类型。里面可以存放我们自定义的键值对信息。我通常使用pulic的信息,这部分信息对外可以解密,但是无法更改,因为signature中包含了我们的加密信息,如果更改,则加密信息无法正确解析。

signature是验证的内容。根据header中的加密解密算法来看是否能够正确解析。某个JWT其实是通过某一个私钥上了锁的,只有通过这个私钥才能正确解密。

Web项目中如何使用JWT?

  1. 后台创建一个私钥,比如是: helloECNU123。
  2. 用户传递账号密码给后台,验证成功则将我们需要的信息放在payload里,通过helloECNU123上锁生成JWT返回给前端,比如id,role以及usename以及JWT的有效时间等等。
  3. 前端拿到JWT并存储在sessionStorage中,在每次提交请求的头部放入JWT。
  4. 后端会看前端的请求的header里的JWT是否正确,如果用helloECNU123解锁产生错误信息则拦截请求,如果正确就通过helloECNU123解锁JWT里的内容开放访问权限。

为什么要JWT

其实不用也可以,只要每次用户传递用户名密码去验证自己的身份就可以了,使用JWT可以减少数据库的访问量,提高效率。

我和小明的约定

使用JWT就相当于我去小明家吃饭,但是小明脑袋不好使,他必须要我的身份证才和我说话。我每次和他说一句话之前都要向他展示我的身份证。我觉得这样很麻烦,就和他约定,如果我们已经说过话了,你就给我一朵小红花,以后你只要一看到我带上小红花了,就知道是我了,不用每次都拿身份证和他说话了。不过这朵小红花通常过一天就消失了,我需要再次拿身份证和小明说一次话以便得到新的一朵小红花。

这里的身份证就是我们的账号密码,这里的小红花就是我们的JWT

二本GPT
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT初步了解
早上真起不来的博客
06-20 173
JWT 文章目录JWTJwt 底层组成部分:1、头部2、Payload 装载的数据3、验证签名JWT优缺点 1、Session 存放服务器端— Session ID 2、Token + Redis Session 缺点集群无法共享 — redis 中 Token 类似于 Session ID Token 依赖于 Redis 真实 token 存放 value 值 使用 Token 缺点:每次都需要根据 token查询真实的内容,对服务器端压力就非常大。 jwt 先学习 json、token (加密算法
JWT知识点
Cat_Jay_Fish的博客
11-17 469
学习目标: ①、jwt出现的原因及工作原理 ②、jwt工具类介绍,三种场景 ③、jwt与vuex配合在SPA项目中的应用 一、jwt出现的原因及工作原理 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 ①. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongc...
谈谈对 JWT 理解
Coder Xu
11-28 2350
文章目录1、什么是 JWT2、JWT 能做什么3、Session认证 和 JWT认证 对比4、JWT 结构 1、什么是 JWT JWT简称JSON Web Token,也就是通过JSON格式作为Web中的令牌,用于在各方之间安全的将信息以JSON格式传输,在传输过程中可以进行数据加密、签名等操作 JWT最重要的作用:生成加密 Token 2、JWT 能做什么 授权登录 这是最常用的方法。一旦用户登录,每个请求都会包括JWT,允许用户访问该Token允许的路由、服务、资源。单点登录是当今广泛使用JWT
我对JWT理解
q4717529的博客
06-03 124
我对JWT理解 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间 以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的 ,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。 一句话就是,jwt就是一个有格式定义的字符串,久而久之形成的一个规范。 浏览器接收到服务器发过来的jwt后,可以存储在Cookie或localStorage中。 之后,浏览
JWT Token生成及验证
07-16
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑...综上所述,JWT Token在C#中的实现涉及对标准的理解、使用特定库以及理解安全最佳实践。正确使用JWT能为应用程序提供高效且安全的身份验证机制。
JWT 实战教程_jwt_
10-01
JWT(JSON Web Token)是一种轻量级的身份验证标准,用于在网络应用之间安全地传输信息。...理解JWT的工作原理和Spring Security的机制是成功集成的关键。通过这种方式,你可以创建一个安全且易于扩展的身份验证系统。
jwt composer包
05-05
JSON Web Tokens(JWT)是一种开放的标准(RFC 7519),它定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为 JSON ...正确理解和使用JWT,可以为PHP开发者构建更健壮、更安全的Web应用提供有力的支持。
SpringBoot整合Shiro+JWT
05-15
同时,对敏感操作进行API限流和异常处理。 8. **SQL文件**:项目中包含的SQL文件可能是用于初始化用户和角色的数据,以便于测试和演示。运行这些脚本以填充数据库。 以上就是SpringBoot整合Shiro和JWT实现用户认证...
移动互联安全扩展要求测评项
hakksjss的博客
07-10 1045
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
警钟!电池储能安全事故频发!物联网技术如何加强储能安全排查?
olzorange的博客
07-08 430
物联网技术的应用为储能安全排查提供了从源头预防到快速响应的全链条解决方案。
车载视频监控管理方案:无人驾驶出租车安全出行的保障
最新发布
TSINGSEE青犀视频官方技术博客
07-12 349
为了确保数据的安全性和可靠性,本方案采用云存储技术,将车辆视频数据和相关信息存储在云端。
网络设备安全
weixin_48579910的博客
07-11 836
交换机作为网络核心设备,其安全性直接影响到整个网络的稳定和安全。通过实施身份验证和访问控制、设备配置安全、VLAN安全、ARP欺骗防护、MAC地址安全、DHCP欺骗防护、STP安全、拒绝服务防护以及固件和软件更新等措施,可以有效防范各种安全威胁。结合使用适当的安全工具和技术,组织可以大幅提高其交换机的安全防护能力,保护网络基础设施和数据的安全。定期进行安全审计和更新,确保交换机和网络始终处于最佳安全状态。确保路由器的安全是保护整个网络基础设施和数据传输安全的关键。
[终端安全]-5 移动终端之操作系统安全
wendywm0496的博客
07-08 1015
每个应用程序运行在一个独立的进程中,通过操作系统的内存管理单元(MMU)实现自己独立的虚拟地址空间,通常从0开始到某个最大值(例如,32位系统上为4GB),这个空间是进程私有的,MMU负责将虚拟地址转换为物理地址。当操作系统在不同进程之间切换时,会切换当前的页表,通过改变MMU中存储的页表基地址(通常存储在寄存器中)来实现,这样进程A和进程B即使使用相同的虚拟地址,也会映射到不同的物理地址。当用户启动应用A时,操作系统会为其创建一个新的进程,该进程由应用A的UID 10001运行;
用XDR的思路保护API安全
AKAMAI_CHINA的博客
07-08 981
云计算飞速发展的今天,越来越多应用程序已经转为选择云原生架构,这就少不了Serverless、微服务、API等技术的协助。但同时也有越来越多的企业认识到,一定程度的“API安全”在整体安全与合规态势中发挥着至关重要的作用。然而,对很多企业来说,可能并不太明确API安全技术投资在其更广泛安全栈中的位置。
使用Python实现深度学习模型:模型安全与防御
Echo_Wish的博客
07-12 394
通过以上步骤,我们实现了一个简单的深度学习模型的安全与防御。我们使用CleverHans库生成对抗性样本,并通过对抗性训练提高模型的防御能力。对抗性样本是通过对原始输入进行微小扰动生成的,目的是欺骗模型。我们将使用CleverHans库生成对抗性样本。为了提高模型的防御能力,我们可以使用对抗性训练的方法。对抗性训练是将对抗性样本加入到训练集中进行训练。我们将使用MNIST数据集训练一个简单的卷积神经网络(CNN)模型。我们可以通过对抗性样本评估防御后的模型效果。首先,我们需要安装所需的Python库。
等保测评新趋势:应对数字化转型中的安全挑战
A526847的博客
07-09 619
通过建立健全等保测评体系、加强技术研究和培训、构建安全生态系统、强化合规性管理以及加强数据安全和隐私保护等措施,企业可以更有效地应对数字化转型中的安全挑战,确保信息系统的安全性和合规性,为企业的业务创新和发展提供坚实的保障。针对数字化转型的特点,制定专门的等保测评标准和流程,加强对数据生命周期管理、数据脱敏、隐私保护等方面的要求。引入先进的安全技术和工具,提升等保测评的自动化和智能化水平。大数据、人工智能、机器学习等技术的引入,将极大地提升等保测评的自动化和智能化水平。一、等保测评的新趋势。
如何通过文件分发系统,实现能源电力企业文件的安全分发流转?
文件数据安全交换
07-09 810
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。大文件虚拟分块、海量文件虚拟拼接技术,保障大文件、海量文件的可靠传输;针对不同的⽂件类型(如业务数据、运维⽂件等)、分⽀机构、⼈员⻆⾊、及⽂件交换⽅向,可灵活配置不同的管控策略,进⽽控制⽂件流转的内容和范围,实现精细管控。
护佑未来!引领儿童安全新时代的AI大模型
qq_42538588的博客
07-10 984
随着人工智能技术的飞速发展,人们开始意识到AI在儿童安全方面具有巨大的潜在作用。传统的儿童安全教育通常需要大量的人力物力投入,而且存在一定的局限性,例如传统的教育方法可能无法覆盖到每个儿童,也难以做到实时监控和预防潜在的安全风险。而AI技术恰恰可以弥补这些不足,为儿童安全提供更加全面、精准的保障。
JWT介绍和实践,带demo
03-03
JWT介绍和实践,带demo。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值