JWT认证使用

最新推荐文章于 2024-05-29 07:30:00 发布
最新推荐文章于 2024-05-29 07:30:00 发布
阅读量216 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meridian002/article/details/119861411
版权

1. 前景介绍

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

1.1 基于session认证暴露问题

Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。

扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。

CSRF: 因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

1.2 基于token认证机制(JWT)

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。

流程上是这样的:

  • 用户使用用户名密码来请求服务器
  • 服务器进行验证用户的信息
  • 服务器通过验证发送给用户一个token
  • 客户端存储token,并在每次请求时附送上这个token值
  • 服务端验证token值,并返回数据

这个token必须要在每次请求时传递给服务端,它应该保存在请求头里, 另外,服务端要支持CORS(跨来源资源共享)策略,一般我们在服务端这么做就可以了Access-Control-Allow-Origin: *

1.3 JWT什么样?

JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoxLCJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNjI5NjgyNzEzLCJlbWFpbCI6ImFkbWluQGFkbWluLmNvbSJ9.3GMtn99H6wqnA7r3zFjI7up7HUBigipJtxJy95EkqbM

1.4 JWT 构成

第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature)

1.5 优点

  • 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。
  • 因为有了payload部分,所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。
  • 便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。
  • 它不需要在服务端保存会话信息, 所以它易于应用的扩展

2. 使用

安装

pip install djangorestframework-jwt

配置

# 指定认证形式JWT
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
    ),
}
# 对JWT指定有效期
JWT_AUTH = {
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
}

URL配置

from rest_framework_jwt.views import obtain_jwt_token

urlpatterns = [
    # 登录路由
    path('login/', obtain_jwt_token),
]

image-20210822100328099

2.1 重写返回数据

再返回数据时,不只是返回一个token,还应该返回user,user_id

# 对JWT指定有效期
JWT_AUTH = {
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
    # 指定response返回数据
    'JWT_RESPONSE_PAYLOAD_HANDLER':
        'apps.utils.jwt_response.jwt_response_payload_handler',
}

# utils/jwt_response.py

# 重写jwt返回结果方法
def jwt_response_payload_handler(token, user=None, request=None):
    return {
        'id': user.id,
        'username': user.username,
        'token': token,
    }

image-20210822100623726

 子午
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT认证
Yietong的博客
10-12 1604
上面我们都是基于auth_user表去做签发认证的,但是我们日常基本程序都是自定义的表来做认证,所以我们来试试自定义user表models.pyviews.py# # 登录后才能访问,加一个认证类,# # 使用jwt提供的认证类必须要配合权限类使用## 自定义的用户签发tokentry:# 根据user签发token【三部分,头,荷载,签名】# 使用jwt模块签发token的函数,生成token。
JWT 认证介绍与使用
weixin_45278293的博客
03-17 811
JWT 认证 文章目录JWT 认证一、JWT 介绍1. 什么是JWT2. JWT 能做什么3. 为什么选择JWT4. JWT的结构是什么二、JWT 使用 一、JWT 介绍 JWT 官网 1. 什么是JWT JWT简称 JSON Web Token ,也就是通过 JSON 形式作为 Web 应用中的令牌,用于各方之间安全地将信息作为 JSON 对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。 2. JWT 能做什么 授权:这是使用 JWT 的最常见的方案。一旦用户登录,每个后续请求将包括 JW
一文读懂JWT认证使用教程
最新发布
八戒的博客
05-29 1186
***///自定义密钥/*** 生成 Token* @param map 自定义的载荷数据* @return 返回 Token*///1.设置过期时间(默认 1 天过期)//2.创建 jwt builder,添加自定义的载荷数据//3.生成 TokenString token = builder.withExpiresAt(instance.getTime()) //过期时间// sign/*** 验证 Token 合法性*/try {
使用JWT身份认证
weixin_38335432的博客
10-25 326
Jwt
jwt 认证
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-13 8488
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。1. 基于token的认证当用户成功登录系统并成功验证有效之后,服务器会利用某种机制产生一个token字符串,这个token中可以包含很多信息,例如来源IP,过期时间,用户信息等, 把这个字符串下发给客户端,客户端在之后的每次请求中都携带着这个token,携带方式其实很自由,无论是cookie方式...
Jwt认证
weixin_44727617的博客
03-05 931
jwt认证、拦截器、token过期时间
详解Django配置JWT认证方式
09-16
接下来,我们需要在`settings.py`中配置Django REST framework以支持JWT认证。在`REST_FRAMEWORK`配置项中,将`JWTAuthentication`添加到`DEFAULT_AUTHENTICATION_CLASSES`列表中: ```python REST_FRAMEWORK = { ...
解析SpringSecurity+JWT认证流程实现
08-18
首先,我们需要配置SpringSecurity来使用JWT认证方式,然后在认证流程中,我们使用JWT token来验证用户的身份。在认证完成后,我们将生成一个JWT token,并将其传递给客户端,以便客户端在每次请求时都可以带上这个...
netCore3.1 WebApi 使用JWT 授权认证使用实例
01-21
2. **配置JWT**:在`Startup.cs`的`ConfigureServices`方法中,使用`AddAuthentication`和`AddJwtBearer`方法来配置JWT认证。需要设置密钥(`IssuerSigningKey`)、令牌过期时间(`TokenValidationParameters`的`...
java jwt 统一认证
11-08
Java JWT(JSON Web Token)统一认证是一种常见的身份验证机制,广泛应用于现代Web应用程序和服务中。JWT是一种轻量级的身份...无论是初学者还是经验丰富的开发者,都能从中受益,快速地将JWT认证集成到自己的应用中。
Asp.net Core 3.1 JWT 认证Demo
12-27
这个Demo展示了如何在Asp.NET Core 3.1环境中实现JWT认证。 首先,JWT的基本概念是至关重要的。JWT是一个自包含的、安全的身份验证令牌,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部...
不会吧,不会吧,不会还有人看了这篇文章还不精通JWT
XiaoLin
10-07 2706
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
JWT(JSON Web Token)认证
缘友一世的博客
02-27 920
JSON Web Token官网JSON Web 令牌 (JWT) 是一种开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。此信息可以验证和信任,因为它是经过数字签名的。JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。通俗理解:JWT简称JSONWebToken,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。
JWT(token) 认证
selints的博客
02-25 825
例如:你刚搬进一个小区,在第一次近小区时,你得去物业(客户端)登记一下(即:注册登陆的过程),然后物业给你一个门禁卡(里面记录你的一些简单信息信息,即jwt),在之后每次进入小区都等使用门禁卡验证身份。(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。JWT 的原理是,服务器认证以后,生成一个 JSON 对象(即:生成tocken),发回给用户,就像下面这样。(1)JWT 默认是不加密,但也是可以加密的。
emqx jwt认证
09-06
使用 JWT 认证,可以通过在 MQTT 客户端连接时提供有效的 JWT 来进行身份验证。以下是使用 EMQ X 进行 JWT 认证的基本步骤: 1. 生成 JWT 密钥对:首先,你需要生成一个密钥对,其中包括公钥和私钥。通常,你可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值