Token认证模式以及JWT介绍

最新推荐文章于 2024-02-20 01:41:07 发布
最新推荐文章于 2024-02-20 01:41:07 发布
阅读量204 收藏
点赞数 1
文章标签: 服务器 golang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69631269/article/details/133778093
版权

Token 认证模式

        鉴于基于 Session 的会话管理⽅式存在上述多个缺点,基于 Token 的⽆状态会话管理⽅式诞⽣了,所谓⽆状态,就是服务端可以不再存储信息,甚⾄是不再存储 Session ,逻辑如下。
  • 客户端使⽤⽤户名、密码进⾏认证
  • 服务端验证⽤户名、密码正确后⽣成 Token 返回给客户端
  • 客户端保存 Token,访问需要认证的接⼝时在 URL 参数或 HTTP Header 中加⼊ Token
  • 服务端通过解码 Token 进⾏鉴权,返回给客户端需要的数据

 

        基于 Token 的会话管理⽅式有效解决了基于 Session 的会话管理⽅式带来的问题。
  • 服务端不需要存储和⽤户鉴权有关的信息,鉴权信息会被加密到 Token 中,服务端只需要读取 Token 中包含的鉴权信息即可
  • 避免了共享 Session 导致的不易扩展问题
  • 不需要依赖 Cookie,有效避免 Cookie 带来的 CSRF 攻击问题
  • 使⽤ CORS 可以快速解决跨域问题

 

JWT介绍

        JWT 是 JSON Web Token 的缩写,是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于 JSON 的开放标准( (RFC 7519 ) JWT 本身没有定义任何技术实现,它只是定义了⼀种基于 Token 的会话管理的规则,涵盖 Token 需要包含的标准内容和 Token 的⽣成过程,特别适⽤于分布式站点的单点登录( SSO) 场景。
        ⼀个 JWT Token 就像这样:   
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoyODAxODcyNzQ4ODMyMzU4NSwiZ
XhwIjoxNTk0NTQwMjkxLCJpc3MiOiJibHVlYmVsbCJ9.lk_ZrAtYGCeZhK3iupHxP1kgjBJzQTVTtX
0iZYFx9wU
     
它是由 . 分隔的三部分组成,这三部分依次是:
  • 头部(Header
  • 负载(Payload
  • 签名(Signature
头部和负载以 JSON 形式存在,这就是 JWT 中的 JSON ,三部分的内容都分别单独经过了 Base64 编码,以 . 拼接成⼀个 JWT Token

Header
JWT Header 中存储了所使⽤的加密算法和 Token 类型 
{
 "alg": "HS256",
 "typ": "JWT"
}
Payload
Payload 表示负载,也是⼀个 JSON 对象, JWT 规定了 7 个官⽅字段供选⽤, 
iss (issuer):签发⼈
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):⽣效时间
iat (Issued At):签发时间
jti (JWT ID):编号
除了官⽅字段,开发者也可以⾃⼰指定字段和内容,例如下⾯的内容。 
{
 "sub": "1234567890",
 "name": "John Doe",
 "admin": true
}
注意, JWT 默认是不加密的,任何⼈都可以读到,所以不要把秘密信息放在这个部分。这个 JSON 对象 也要使⽤ Base64URL 算法转成字符串。
Signature
Signature 部分是对前两部分的签名,防⽌数据篡改。
⾸先,需要指定⼀个密钥( secret )。这个密钥只有服务器才知道,不能泄露给⽤户。然后,使⽤
Header ⾥⾯指定的签名算法(默认是 HMAC SHA256 ),按照下⾯的公式产⽣签名。 
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret)

 

JWT 优缺点
        JWT 拥有基于 Token 的会话管理⽅式所拥有的⼀切优势,不依赖 Cookie ,使得其可以防⽌ CSRF 攻击,也能在禁⽤ Cookie 的浏览器环境中正常运⾏。
        ⽽ JWT 的最⼤优势是服务端不再需要存储 Session ,使得服务端认证鉴权业务可以⽅便扩展,避免存储 Session 所需要引⼊的 Redis 等组件,降低了系统架构复杂度。但这也是 JWT 最⼤的劣势,由于有效期 存储在 Token 中, JWT Token ⼀旦签发,就会在有效期内⼀直可⽤,⽆法在服务端废⽌,当⽤户进⾏登出操作,只能依赖客户端删除掉本地存储的 JWT Token ,如果需要禁⽤⽤户,单纯使⽤ JWT 就⽆法做到了。

基于 jwt 实现认证实践
        前⾯讲的 Token ,都是 Access Token ,也就是访问资源接⼝时所需要的 Token ,还有另外⼀种 Token, Refresh Token ,通常情况下, Refresh Token 的有效期会⽐较⻓,⽽ Access Token 的有效期⽐较短,当 Access Token 由于过期⽽失效时,使⽤ Refresh Token 就可以获取到新的 Access Token ,如果 Refresh Token 也失效了,⽤户就只能重新登录了。
        在 JWT 的实践中,引⼊ Refresh Token ,将会话管理流程改进如下。
  • 客户端使⽤⽤户名密码进⾏认证
  • 服务端⽣成有效时间较短的 Access Token(例如 10 分钟),和有效时间较⻓的 Refresh
  • Token(例如 7 天)
  • 客户端访问需要认证的接⼝时,携带 Access Token
  • 如果 Access Token 没有过期,服务端鉴权后返回给客户端需要的数据
  • 如果携带 Access Token 访问需要认证的接⼝时鉴权失败(例如返回 401 错误),则客户端使⽤
  • Refresh Token 向刷新接⼝申请新的 Access Token
  • 如果 Refresh Token 没有过期,服务端向客户端下发新的 Access Token
  • 客户端使⽤新的 Access Token 访问需要认证的接⼝

后端需要对外提供⼀个刷新 Token 的接⼝,前端需要实现⼀个当 Access Token 过期时⾃动请求刷新
Token 接⼝获取新 Access Token 的拦截器。

gin 框架使⽤ jwt

在gin框架中使用JWT | 李文周的博客 (liwenzhou.com)

鉴权中间件开发 
const (
 ContextUserIDKey = "userID"
)
var (
 ErrorUserNotLogin = errors.New("当前⽤户未登录")
)
⽣成access token和refresh token
// JWTAuthMiddleware 基于JWT的认证中间件
func JWTAuthMiddleware() func(c *gin.Context) {
 return func(c *gin.Context) {
 // 客户端携带Token有三种⽅式 1.放在请求头 2.放在请求体 3.放在URI
 // 这⾥假设Token放在Header的中
 // 这⾥的具体实现⽅式要依据你的实际业务情况决定
 authHeader := c.Request.Header.Get("Auth")
 if authHeader == "" {
 ResponseErrorWithMsg(c, CodeInvalidToken, "请求头缺少Auth Token")
 c.Abort()
 return
 }
 mc, err := utils.ParseToken(authHeader)
 if err != nil {
 ResponseError(c, CodeInvalidToken)
 c.Abort()
 return
 }
 // 将当前请求的username信息保存到请求的上下⽂c上
 c.Set(ContextUserIDKey, mc.UserID)
 c.Next() // 后续的处理函数可以⽤过c.Get("userID")来获取当前请求的⽤户信息
 }
}
⽣成 access token refresh token 
// GenToken ⽣成access token 和 refresh token
func GenToken(userID int64) (aToken, rToken string, err error) {
 // 创建⼀个我们⾃⼰的声明
 c := MyClaims{
 userID, // ⾃定义字段
 jwt.StandardClaims{
 ExpiresAt: time.Now().Add(TokenExpireDuration).Unix(), // 过期时间
 Issuer: "bluebell", // 签发⼈
 },
 }
 // 加密并获得完整的编码后的字符串token
 aToken, err = jwt.NewWithClaims(jwt.SigningMethodHS256,
c).SignedString(mySecret)
 // refresh token 不需要存任何⾃定义数据
 rToken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.StandardClaims{
 ExpiresAt: time.Now().Add(time.Second * 30).Unix(), // 过期时间
 Issuer: "bluebell", // 签发⼈
 }).SignedString(mySecret)
 // 使⽤指定的secret签名并获得完整的编码后的字符串token
 return
}
解析 access token 
// ParseToken 解析JWT
func ParseToken(tokenString string) (claims *MyClaims, err error) {
 // 解析token
 var token *jwt.Token
 claims = new(MyClaims)
 token, err = jwt.ParseWithClaims(tokenString, claims, keyFunc)
 if err != nil {
 return
 }
 if !token.Valid { // 校验token
 err = errors.New("invalid token")
 }
 return
}
refresh token 
// RefreshToken 刷新AccessToken
func RefreshToken(aToken, rToken string) (newAToken, newRToken string, err
error) {
 // refresh token⽆效直接返回
 if _, err = jwt.Parse(rToken, keyFunc); err != nil {
 return
 }
 // 从旧access token中解析出claims数据
 var claims MyClaims
 _, err = jwt.ParseWithClaims(aToken, &claims, keyFunc)
 v, _ := err.(*jwt.ValidationError)
 // 当access token是过期错误 并且 refresh token没有过期时就创建⼀个新的access token
 if v.Errors == jwt.ValidationErrorExpired {
 return GenToken(claims.UserID)
 }
 return
}
今日晴空万里
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈ASP.NET Core 中jwt授权认证的流程原理
12-20
1,快速实现授权验证 什么是 JWT ?为什么要用 JWTJWT 的组成? 这些百度可以直接找到,这里不再赘述。 实际上,只需要知道 JWT 认证模式是使用一段 Token 作为认证依据的手段。 我们看一下 Postman 设置 Token 的位置。 那么,如何使用 C# 的 HttpClient 访问一个 JWT 认证的 WebAPI 呢? 下面来创建一个 ASP.NET Core 项目,尝试添加 JWT 验证功能。 1.1 添加 JWT 服务配置 在 Startup.cs 的 ConfigureServices 方法中,添加一个服务 // 设置验证方式为 Bearer Tok
Token认证模式详解
qq_47664976的博客
01-27 4349
1. 为什么要用Token? HTTP是一个无状态的协议,一次请求结束后,下次在发送服 务器就不知道这个请求是谁发来的了(同一个IP不代表同一个用户),在Web应用中,用户的认证和鉴权又是非常重要的一环。 在Web应用发展的初期,大部分采用基于Cookie-Session的会话管理方式,但是基于Session的方法又存在这很多的问题: 服务端需要存储Session,并且由于Session需要经常快速查找,通常存储在内存或内存数据库中,同时在线用户较多时需要占用大量的服务器资源。 当需要扩展时,创建Se
十分钟,带你看懂JWT(Json Web Token
最新发布
cul1n的博客
02-20 1274
在挖掘 SRC 的时候,面对一些 SSO 的场景,经常会看到一些奇奇怪怪的数据,这些数据多以三段式加密方式呈现,在后续的学习过程中,明白了此类令牌名为Token,在之前的学习过程中简单了解了下 JWT 的呈现方式,但是对其更深入的内容浅尝辄止,本篇文章从一个全面的方向了解,什么是 JWTJWT 如何利用和攻击,旨在帮助安全从业人员更好的了解网络安全的令牌工作机制。本文配套靶场地址为WebGoat靶场身份验证及失败部分。
jwt 原理
weixin_48334703的博客
10-05 1853
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
java 解析cookie_Java接口测试Cookie与token原理解析
weixin_39914107的博客
02-13 312
一、Cookie与token机制测试Cookie与Sessiontoken机制cookie/session机制需要在服务端保存大量的session信息,造成严重负担,而token机制则避免记录大量信息,采用服务器签发的token完成验证。1、客户端使用用户名跟密码请求登录2、服务端收到请求,去验证用户名与密码3、验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端4、客户端...
No4.搭建基本的授权码模式请求token(一):实现授权服务端的授权码模式操作
键上艺术家
10-08 2533
我们要做的是:一个第三方登录端,一个前后端分离的客户端;第三方登录端就相当于提供授权的开放平台,客户端就相当于使用开放平台的第三方应用; (只做前后端分离的后端部分) 前几篇文章我们只是使用OAuth2的密码模式,实现了一个微服务环境(还不算真正的微服务,就是实现不同服务之间的调用而已)下的sso单点登录,现在是要将这个sso单点登录系统作为一个开放平台,去开放授权码认证模式,让其他第三方应用可以通过它授权使用。
tokenJWT详细介绍
热门推荐
lixianhe的博客
06-28 4万+
tokenJWT详细介绍
基于jwttoken验证、原理及流程
z_ssyy的博客
05-31 5263
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
JwtToken详解
星辰的动态博客
09-16 2万+
​ 简单来说,token就是一种身份验证方法,和cookie有相似作用;它被很多人翻译过来后生动的称为“令牌”,它的扩展性,安全性更高,非常适合用在Web应用和移动开发应用上。 1.1token验证流程 ​ 使用token身份验证,服务器端就不会存储用户的登录记录。 (1)客户端使用用户名跟密码请求登录; (2)服务端收到请求,去验证用户名与密码; (3)验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端; (4)客户端收到 Token 以后可以把它存储起来,比如放在 Cookie
JwtToken介绍与使用 超详细保姆级教程 内附详细示例代码
burgerh的博客
11-25 8496
文章目录一、什么是JWT认证二、JWT认证的特点优点:缺点:三、JWT的组成四、JWT代码展示 一、什么是JWT认证 Json web token (JWT),根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可
session与token
Uzizi的博客
07-30 428
基于session认证所显露的问题 Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。 扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的...
jwt简单的介绍和了解
10-27
JWT不是这样的,只需要服务端生成token,客户端保存这个token,每次请求携带这个token,服务端认证解析就可。 1、因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都...
cas jwt shiro pac4j springboot认证中心sso完整项目
05-05
前后端分离模式下的cas + shiro + pac4j,cas作为认证中心,子应用采用shiro鉴权,通过pac4j与cas交互,返回jwt token,完整项目,基于springboot框架
asp.net Core 3.0 集成JWT Demo
03-09
Demo.Jwt Jwt的使用Demo 包含内容 - asp.net core集成jwt权限验证 - token的强制失效 - 对api接口进行基于策略模式的权限验证
详解JSON Web Token 入门教程
12-04
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理和用法。 一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证...
token服务器端保存客户信息,Token的常用实现方式
weixin_36464343的博客
08-11 4981
简述通常的Token服务器端的实现方式有这几个:用SessionID实现Token的功能生成Token存在数据库(关系型数据库)生成Token存在Redis(非关系型数据库)使用Json Web Token (JWT)下面分析一下各个存储方式的优缺点Session对于每个会话,服务器会生成Session保存在服务器上,而对应的SessionID自动通过HTTP头中的Set-Cookie返回保存在...
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 6177
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
jwt生成token
爪哇人的博客
11-21 1万+
1 基于传统的session认证 http本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还再一次进行用户认证。因为根据http协议,我们不知道是哪个用户发出的请求,所以为了能让我们应用识别是哪一个用户发出的请求,我们只能在服务器端存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器。告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的用户就能识别是哪一个用户了,这就是传统的基于session认证。 当...
接口调用token校验
05-20
一种常见的 token 校验方式是使用 JWT(JSON Web Token)机制。JWT 由三部分组成:头部、载荷和签名。其中头部包含算法和类型信息,载荷包含用户的相关信息,签名则是对头部和载荷进行加密得到的。在客户端发送请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值