JWT详解(组成,工作原理,优缺点,续签问题,删除但有效问题)

已于 2024-04-25 19:50:34 修改
阅读量1.6k 收藏 18
点赞数 35
文章标签: 中间件 安全 json authing 前端 后端 网络
于 2023-11-26 14:32:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62201229/article/details/134620676
版权

JWT详解

JWT官网

avatar

什么是JWT

JWT的全称是Json Web Token。是基于RFC 7519开放标准的,它定义了一种紧凑且独立的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。此信息可以用作验证和相互信任,因为它是经过数字签名的。JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。

JWT由三部分组成:Header(标头),Payload(有效载荷),Signature(签名),中间用点分开,即

Header.Payload.signature

我们可以使用jwt.io.Debugger去解码,验证和生成JWT令牌.

avatar

Header(标头)

Header通常由两部分组成:令牌的类型(JWT)和所使用的签名算法(如HMAC SHA256或RSA)。

{
  "alg": "HS256",
  "typ": "JWT"
}

然后,这个JSON被Base64Url编码,形成JWT的第一部分。

Payload(有效载荷)

Payload包含声明。声明是关于实体(通常是用户)和附加数据的声明(claims),一般存放一些不敏感的信息,比如用户名、权限、角色等

声明(claims)也分为三种:Registered claim,Public claims和Private claims.

  • Registered claim(已注册声明):其中包含了一组官方定义好的推荐的声明(共7个),有

    1. iss (issuer):签发人
    2. exp (expiration time):过期时间
    3. sub (subject):主题
    4. aud (audience):受众
    5. nbf (Not Before):生效时间
    6. iat (Issued At):签发时间
    7. jti (JWT ID):编号

  • Public claims(公开声明):声明名称可以由使用JWT的人员随意定义.然而,为了防止冲突,任何新的声明名称都应该要么在IANA“JSON Web令牌声明”注册中心注册,要么得包含防撞(冲突)名称.

  • Private claims(私有声明):JWT的生产者和消费者一致同意使用的不是已注册声明和公开声明的声明.私有声明可能会发生冲突,应该小心使用.

例如:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后,这个JSON被Base64Url编码,形成JWT的第二部分。

应当注意的是,对于已签名的令牌,这些信息虽然受到保护,不会被篡改,但任何人都可以读取。除非经过加密,否则不要将机密信息放入JWT的有效载荷或标头元素中。

Signature(签名)

要创建签名部分,您必须获取编码的标头、编码的有效载荷、秘钥、标头中指定的算法,并对其进行签名。

例如,如果要使用HMAC SHA256算法,则将以以下方式创建签名:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

签名用于验证消息在发送过程中没有更改,在使用私钥签名的令牌的情况下,它还可以验证JWT的发送者是否就是它所说的那个人。

JWT是如何工作的?

在认证的时候,当用户用他们的凭证成功登录以后,一个JWT将会被返回。此后,token 就是用户凭证了,你必须非常小心以防止出现安全问题。一般而言,你保存令牌的时候不应该超过你所需要它的时间。

无论何时用户想要访问受保护的路由或者资源的时候,用户代理(通常是浏览器)都应该带上 JWT,典型的,通常放在 Authorization header 中,用 Bearer schema。

header 应该看起来是这样的:

Authorization: Bearer JWT

服务器上的受保护的路由将会检查 Authorization header 中的 JWT 是否有效,如果有效,则用户可以访问受保护的资源。如果 JWT 包含足够多的必需的数据,那么就可以减少对某些操作的数据库查询的需要,尽管可能并不总是如此。

如果 token 是在授权头(Authorization header)中发送的,那么跨源资源共享 (CORS) 将不会成为问题,因为它不使用 cookie。

JWT认证流程如下:

avatar

  1. 用户登录账号,客户端发送 POST 请求,将用户名和密码发送到服务器。
  2. 服务器会验证用户的登录信息(用户名、密码),校验成功的时候会使用 JWT 算法,生成一个 token (已签名的 token)。
  3. 服务器返回给客户端 HTTP 200 状态码,并且会将生成的 token 放在请求头中(header),并不能放在请求体(body)中。客户端一般会将接收到的 token 存储在浏览器的 localstorage,cookie 或者 sessionstorage 。
  4. 当客户端之后再向服务器发送请求的时候,都会携带上 token (当然也可以将 token 放在 cookie 中自动发送,但是这样不能跨域发送)。最好的做法是将 token 放在 http 的头信息中的 Authorization 字段中(这是官方文档建议的做法)。
  5. 当服务器接收到请求的时候,接收到了 token 信息,这时候 JWT 进行反向验证,验证对应的 token 是否正确。
  6. 当服务器交验完毕后,会产生两种情况:第一种情况就是校验成功,返回给客户端 HTTP 200 状态码和客户端所需要的数据;第二种情况就是校验失败,这个时候会返回给客户端 HTTP 401 状态码,Not authorized。
JWT的优缺点

  • 无状态:JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。

  • 单点登录友好:使用 Session 进行身份认证的话,实现单点登录,需要我们把用户的 Session 信息保存在一台电脑上,并且还会遇到常见的 Cookie 跨域的问题。但是,使用 JWT 进行认证的话, JWT 被保存在客户端,不会存在这些问题。

  • 有效避免了 CSRF 攻击:CSRF 攻击需要依赖 Cookie ,Session 认证中 Cookie 中的 SessionID 是由浏览器发送到服务端的,只要发出请求,Cookie 就会被携带。借助这个特性,即使黑客无法获取你的 SessionID,只要让你误点攻击链接,就可以达到攻击效果.JWT一般会选择存放在 localStorage 中。前端的每一个请求后续都会附带上这个 JWT,整个过程压根不会涉及到 Cookie。

  • 不可控:我们想要在JWT有效期内废弃一个JWT或者更改它的权限的话,并不会立即生效,通常需要等到有效期过后才可以。

JWT身份认证常见问题及解决办法
注销登录等场景下JWT还有效

  1. 将JWT存入内存数据库
    将 JWT存入数据库中,Redis 内存数据库在这里是不错的选择。如果需要让某个 JWT 失效就直接从 Redis 中删除这个 JWT 即可。但是,这样会导致每次使用 JWT 发送请求都要先从 DB 中查询 JWT 是否存在的步骤,而且违背了 JWT 的无状态原则。

  2. 黑名单机制
    使用内存数据库比如 Redis 维护一个黑名单,如果想让某个 JWT 失效的话就直接将这个 JWT 加入到 黑名单 即可。然后,每次使用 JWT 进行请求的话都会先判断这个 JWT 是否存在于黑名单中。缺点和第一种方案相同。

  3. 修改密钥(Secret)
    我们为每个用户都创建一个专属密钥,如果我们想让某个 JWT 失效,我们直接修改对应用户的密钥即可。但是,这样相比于前两种引入内存数据库带来了危害更大:

    • 如果服务是分布式的,则每次发出新的 JWT 时都必须在多台机器同步密钥。为此,你需要将密钥存储在数据库或其他外部服务中,这样和 Session 认证就没太大区别了。

    • 如果用户同时在两个浏览器打开系统,或者在手机端也打开了系统,如果它从一个地方将账号退出,那么其他地方都要重新进行登录,这是不可取的

  4. 保持令牌的有效期限短并经常轮换
    很简单的一种方式。但是,会导致用户登录状态不会被持久记录,而且需要用户经常登录。

JWT的续签问题

  1. 类似于Session认证中的做法
    假设服务端给的 JWT 有效期设置为 30 分钟,服务端每次进行校验时,如果发现 JWT 的有效期马上快过期了,服务端就重新生成 JWT 给客户端。客户端每次请求都检查新旧 JWT,如果不一致,则更新本地的 JWT。这种做法的问题是仅仅在快过期的时候请求才会更新 JWT ,对客户端不是很友好。

  2. 每次请求都返回新JWT
    这种方案的的思路很简单,但是,开销会比较大

  3. JWT有效期设置到半夜
    这种方案是一种折中的方案,保证了大部分用户白天可以正常登录,适用于对安全性要求不高的系统。

  4. 用户登录返回两个JWT

    第一个是 accessJWT ,它的过期时间为JWT本身的过期时间比如半个小时,另外一个是refreshJWT它的过期时间更长一点比如为 1 天。客户端登录后,将 accessJWT 和 refreshJWT 保存在本地,每次访问将 accessJWT 传给服务端。服务端校验 accessJWT 的有效性,如果过期的话,就将 refreshJWT 传给服务端。如果有效,服务端就生成新的 accessJWT 给客户端。否则,客户端就重新登录即可。

    这种方案的不足是:

    • 需要客户端来配合;
    • 用户注销的时候需要同时保证两个 JWT 都无效;
    • 重新请求获取 JWT 的过程中会有短暂 JWT 不可用的情况(可以通过在客户端设置定时器,当 accessJWT 快过期的时候,提前去通过 refreshJWT 获取新的 accessJWT)。
References

  1. JWT官方文档:本文开头有

  2. JavaGuide

  3. JSON Web Token 入门教程

欢迎访问我的个人博客网站Levitate Gu

levitgu
关注
  • 35
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringBoot使用Jwt处理跨域认证问题的教程详解
08-19
主要介绍了SpringBoot使用Jwt处理跨域认证问题,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
JWT机制原理及实战指南
yan_dk的专栏
05-02 968
介绍 JWTJSON Web Token,开放的、行业标准(RFC 7519),用于网络应用环境间安全传递声明。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所须的声明信息。 特点: 跨语言:支持主流语言 自包含:包含必要的所有信息,如用户信息和签名等 易传递:很方便通过HTTP头部传递 具体来说: JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次 JWT 不加密的情况下,不能
JWT token调试工具,JWT Debugger
a704397849的博客
08-07 2358
https://jwt.io/#debugger 官方提供了调试工具,我们可以很方便的看到JWT token各个组成部分解码后的信息,以及是否能验证成功 下面是我自己生成的token放上去看到信息如下: 由于我采用的加密算法是 RS256,所以 还需要手动添加公钥 私钥不然校验token失败,如下: token 内容 eyJhbGciOiJSUzI1NiIsImtpZCI6ImZhNjc3ZDU...
如何实现JWT Token的自动续期
最新发布
m0_54187478的博客
03-23 989
访问令牌通常有较短的有效期,而刷新令牌有较长的有效期。当访问令牌接近过期时,可以使用刷新令牌来获取一个新的访问令牌,而不需要用户重新登录。
【SSO单点登录07】JWT续签问题
m0_63546281的博客
04-21 657
在服务器端可以校验即将过期的token,比如将token存在于redis中,可以用token的TTL去获取token的过期时间,如果时间比较短,就可以顺便返回一个新的token,这种方式对于前后端都不友好,客户端和服务端都需要去判断逻辑,会带来很大的性能损耗。这种场景比较适用于小程序,可以在用户每次进入小程序时就去返回一个新的token,只要token的有效时间合适,是一个不错的选择方案,但在单点登录的web端,这种方式不太合适,毕竟web端不像小程序端可以直接返回用户的一些用户标识。
jwt优缺点 如何使用jwt
j9922816的博客
05-06 2822
在生成JWT令牌时,我们使用了一个密钥来签名令牌,并设置了令牌的过期时间为1小时。在验证JWT令牌时,我们使用相同的密钥来验证令牌的真实性,并获取令牌中的信息。而JWT是无状态的,不需要在服务器上存储任何信息,因此可以减轻服务器的负担。1. 令牌过期问题JWT的令牌过期时间是固定的,无法在令牌生成后更改。2. 令牌大小问题JWT令牌的大小通常比Session令牌大,因为它包含了更多的信息。本文将介绍JWT优缺点以及为什么使用JWT而不是Session,并提供使用JWT的示例代码。
【SSO单点登录】JWT续签问题 && OAuth2.0 中的refreshToken刷新机制
老男孩的架构路
10-14 2173
但假如这个时候用户正在提交重要信息,填了一大堆信息,按下按钮时,后台拦截器发现token过期,告知前端前端直接退回登录页,那这次提交就相当于无效了,还得登录后重新填一遍【当然前端也能做缓存,这里就不考虑那么多了,只是个栗子】当然,更安全的方式是,客户端需要绑定一个client_id和secret,服务端会验证这个refreshToken是否是改客户端发起的,防止被盗用【这个是后话了,我们后续基于token的SSO单点登录,,绑定在token里边了,若登录后,管理员修改了角色的权限,而服务端此时还拿。
JWT身份认证优缺点分析以及常见问题解决方案.docx
10-26
JWT身份认证优缺点分析以及常见问题解决方案.docx
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
主要介绍了详解SpringBoot+SpringSecurity+jwt整合及初体验,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Node.JS如何实现JWT原理
10-14
jwtjson web token的简称,本文介绍它的原理,最后后端用nodejs自己实现如何为客户端生成令牌token和校验token
详解JWT token心得与使用实例
10-16
主要介绍了详解JWT token心得与使用实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT入门指南
白豆五的博客
06-20 1837
JWT(全称:JSON Web Token),通过数字签名的方式,以JSON对象作为载体,在不同的服务终端之间安全的传输信息。JWT 是实现Token无状态会话认证技术的一种标准。 JWT作用:通常用于web应用程序的 身份验证 和 鉴权 。 JWT令牌由Header、Payload、Signature三部分组成,每部分字符串中间用`.` 拼接。JWT令牌的最终格式是这样的: Header.Payload.Signature。
JWT续期方案
weixin_41914013的博客
06-01 1045
在使用JWT方案的过程中也是遇到了其他的问题,一一解决后,对jwt理解更清晰了。网上给到的方案也挺多的,我没有一一尝试,大家可以根据具体情况选择合适的方案使用。在项目中不考虑性能情况下,我只想简单实现,能颁发token,能续期,能正常过期,能退出登录就可以了。这个方案是遇到了问题,后来就演变成这个方案了。- 后端返回给前端一个生成的Token,前端存在本地Localstorage中,每次请求API放在Header中。Token的续期方案有很多,根据前后端自由搭配,自主设计只要没有bug,都没有问题
JWT技术
二十多岁想退休
03-25 1198
服务端不保存任何客户端请求者信息客户端的每次请求必须具备自描述信息,通过这些信息识别客户端身份带来的好处是什么呢?客户端请求不依赖服务端的信息,任何多次请求不需要必须访问到同一台服务服务端的集群和状态对客户端透明服务端可以任意的迁移和伸缩减小服务端存储压力JWT全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:https://jwt.ioJWT包含三部分数据:声明类型,这里是JWT 自描述信息。
畅购商城:微服务网关和JWT令牌(下)
夏野和弦的博客
02-24 683
畅购商城文章系列 畅购商城:分布式文件系统FastDFS 畅购商城:商品的SPU和SKU概念 畅购商城:Lua、OpenResty、Canal实现广告缓存 畅购商城:微服务网关和JWT令牌(上) 畅购商城:微服务网关和JWT令牌(下) 目录畅购商城文章系列目标 目标 了解加密算法 了解JWT鉴权的介绍 掌握JWT的鉴权的使用 掌握网关使用JWT进行校验 ...
JWT续期问题,ChatGPT解决方案
weixin_64051447的博客
04-04 1397
如果令牌有效,方法将使用getUserIdFromRefreshToken方法获取与令牌关联的用户信息,然后使用generateAccessToken方法生成一个新的JWT访问令牌,并将其返回。如果令牌无效,则抛出异常。无状态JWT不需要在服务端存储任何状态信息,因此可以避免因为更新JWT访问令牌而导致后续请求使用旧的JWT访问令牌的问题。在每个请求处理程序中使用同步机制(例如,Java的synchronized关键字),以确保在更新JWT访问令牌期间没有其他请求正在使用旧的JWT访问令牌。
JWT详解
m0_61943950的博客
08-03 202
JWT简称JSON Web Token ,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。基于传统的Session认证。
OIDC定义、原理、特点、面临问题优缺点、应对策略
06-03
OIDC(OpenID Connect)是一个建立在OAuth2.0协议之上、用于身份认证的开放标准。它的原理是通过OAuth2.0协议中的授权码模式,在用户授权的情况下,将用户身份信息返回给客户端应用程序。OIDC使用JSON Web Token(JWT)对用户信息进行编码并进行传输。 OIDC的特点包括: 1. 安全性高:使用JWT进行身份认证,保证了数据的安全性; 2. 实现简单:基于OAuth2.0协议,易于实现; 3. 适用范围广:适用于各种不同的应用程序和设备。 OIDC面临的问题包括: 1. 安全问题:由于OIDC使用JWT进行身份认证,如果JWT被篡改,可能会导致用户信息泄露; 2. 可扩展性问题:OIDC的标准在不断更新,但是现有的实现可能无法与新标准兼容; 3. 用户体验问题:用户需要在每个客户端应用程序中进行身份认证,可能会降低用户体验。 OIDC的优点包括: 1. 安全性高:使用JWT进行身份认证,保证了数据的安全性; 2. 实现简单:基于OAuth2.0协议,易于实现; 3. 适用范围广:适用于各种不同的应用程序和设备; 4. 可以提高用户体验:用户只需要进行一次身份认证即可在多个应用程序中使用。 OIDC的缺点包括: 1. 安全问题:由于OIDC使用JWT进行身份认证,如果JWT被篡改,可能会导致用户信息泄露; 2. 可扩展性问题:OIDC的标准在不断更新,但是现有的实现可能无法与新标准兼容; 3. 用户体验问题:用户需要在每个客户端应用程序中进行身份认证,可能会降低用户体验。 应对OIDC面临的问题,可以采取以下策略: 1. 加强安全措施:加强JWT的加密和签名,防止JWT被篡改; 2. 及时更新标准:及时更新OIDC标准,确保现有实现与新标准兼容; 3. 提高用户体验:采用单点登录(SSO)技术,让用户只需要进行一次身份认证即可在多个应用程序中使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值