JWT的工作原理

最新推荐文章于 2023-07-24 11:38:04 发布
最新推荐文章于 2023-07-24 11:38:04 发布
阅读量347 收藏
点赞数
分类专栏: 性能测试相关笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24381917/article/details/106255222
版权

JWT的工作原理

参考地址:

https://www.cnblogs.com/cjsblog/p/9277677.html

https://jwt.io

https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc

什么是JWT

JWT: JSON Web token 用于json对象在各方之间安全的传输信息,它是安全可被信任的,因为它是数字签名的。JWT是目前最流行的跨域身份验证解决方案

JWT应用场景

  1. Authorization(授权):用户登录后,以后的每个请求中都包含JWT,允许用户访问该令牌允许的路由,资源和服务。单点登录是目前广泛使用的JWT的一个特性,因为它开销很小,而且可以轻松跨域使用

    PS:单点登录:(Single Sign On),简称为 SSO,SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

  2. Informatica Exchange(信息交换):由于JWT可以是数字签名,且可以验证内容是否被篡改,因此对于在各方之间安全传输信息而言,是一种很好的方式

JWT结构

  1. Header

    header典型的由2个部分组成:token的类型(jwt)和算法名称(如SHA256,RSA等)
    例如:

     {
     "alg":"HS256",
     "typ":"JWT"
 }

    然后用base64对这个json编码就得到JWT的第一个部分

  2. payload

    payload是JWT的主体部分,包含了需要传递的数据。JWT指定7个默认字段供选择

    • iss:发行人
    • exp:到期时间
    • sub:主题
    • aud:用户
    • nbf:在此之前不可用
    • iat:发布时间
    • jti:JWT ID用于标识该JWT

    除了上述默认字段,还可以定义私有字段,例如:

     {
     "sub": "1234567890",
     "name": "chongchong",
     "admin": true
 }

    对payload进行base64编码就得到JWT的第二个部分

    PS:默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要在header和payload
    构建隐私信息字段,存放保密信息,以防止信息泄露。

  3. Signature

    Signatu是指签名部分,它是由编码过的header,编码过的payload,一个密钥,签名算法是header中指定的那一个,例如:

     HMACSHA256(base64UrlEncode(header) + "."+ base64UrlEncode(payload), secret)

签名是用于验证消息在传递过程中有没有被更改,并且,对于使用私钥签名的token,它还可以验证JWT的发送方是否为它所称的发送方。

JWT如何进行工作

当用户使用他们的凭证登录成功后,一个JWT就会被返回,此后,这个返回的token就是用户凭证。无论何时用户想要访问受保护的路由或者资源的时候,用户代理(浏览器)都应该带上JWT。保存JWT的时间不应该超过你所需要的时间,否则可能会出现安全问题。通常JWT放在Authorization header中

header看起来应该是这样:

    Authorization: Bearer <token>

服务器上受保护的路由会检查Authorization header中的JWT是否有效,如果有效,则用户可以访问受保护的资源

JWT工作:

  1. 应用或客户端向授权服务器请求授权
  2. 当授权被许可后,授权服务器返回一个access token给应用
  3. 客户端存储token,并且在随后的每一次请求中都带着它
  4. 服务器校验token并返回数据
qq_24381917
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT认证原理、流程整合springboot实战应用
01-18
**JWT认证原理** JWT由三个部分组成:Header、Payload和Signature。它们通过`.`分隔,形成一个完整的Token。 1. **Header**:通常包含JWT类型(`typ`)和加密算法(`alg`),如`HS256`,表示使用HMAC SHA-256算法...
jwt 原理
weixin_48334703的博客
10-05 1896
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
JWT原理
子冉冰清的博客
09-26 6965
JWT原理 jwt原理和使用 JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。 一、JWT原理: 参考文章:https://www.jianshu.com/p/180a870a308a 1、传统的登录方式: 浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每
JWT原理
COMEKING的博客
07-23 3311
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。 这种模式的问题在于,扩展性(scaling)不好。单机当
jwt认证原理
weixin_52596593的博客
10-12 923
有时候我们可能需要自己定义用户表这时候再直接用dif-jwt快速方法就不行了,我们需要自己写token第一步再models中定义user表并数据迁移第二步在视图中自己写登陆接口try:# 获取username、password# 使用用户存在再使用djagnorestframework-jwt模块提供的签发token的函数,生成tokenreturn Response({'code':100,'msg':'登录成功','token':token})# 获取不到用户抛异常。
JWT(简介)
qq_65345936的博客
09-18 2099
JWT工具类/*** JWT验证过滤器:配置顺序 CorsFilte->JwtUtilsr-->StrutsPrepareAndExecuteFilter**//*** JWT_WEB_TTL:WEBAPP应用中token的有效时间,默认30分钟*//*** 将jwt令牌保存到header中的key*/// 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。// JWT密匙// 使用JWT密匙生成的加密key。
Node.JS如何实现JWT原理
10-14
4. **JWT原理** JWT由三部分组成:Header、Payload和Signature。Header包含了算法和JWT类型,Payload包含声明(如用户ID、过期时间等),Signature是通过Header和Payload的Base64URL编码值以及一个秘密(secret)...
jwt-decode.js
06-16
在这个库中,我们将深入探讨JWT工作原理jwt-decode.js库的功能以及如何在实际项目中使用它。 JWT由三部分组成:Header(头部)、Payload(负载)和Signature(签名)。头部和负载都是JSON对象,它们被Base64URL...
JWT 实战教程_jwt_
10-01
JWT(JSON Web Token)是一种轻量级的身份验证标准,用于在网络应用之间安全地传输信息。...理解JWT工作原理和Spring Security的机制是成功集成的关键。通过这种方式,你可以创建一个安全且易于扩展的身份验证系统。
浅谈ASP.NET Core 中jwt授权认证的流程原理
12-20
在ASP.NET Core中,JWT(JSON Web Token)被广泛用于授权认证,因为它提供了一种安全、轻量级的身份验证机制。JWT本质上是一个包含用户信息的加密数据字符串,它由三部分组成:Header(头部)、Payload(载荷)和...
jwt原理&现象及使用
m0_60375943的博客
11-17 2999
一:jwt原理 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 例:jwt就相当于学校的出入证,只有持有出入证的人才能进行出入 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 以session来举例,session是储存在服务器的,如果是按服务器来储存数据的话,那么服务器会占用很大的一个内存,而存储在客户端就解决了这个问题 3. JWT工作原理 传统开发对资源的访问限制利用session完成图解 jwt
JWT原理详解
前端那些事@时光
09-27 3284
JWT原理详解 随着前后端分离的发展,以及数据中心的建立,越来越多的公司会创建一个中心服务器,服务于各种产品线。 而这些产品线上的产品,它们可能有着各种终端设备,包括但不仅限于浏览器、桌面应用、移动端应用、平板应用、甚至智能家居 实际上,不同的产品线通常有自己的服务器,产品内部的数据一般和自己的服务器交互。 但中心服务器仍然有必要存在,因为同一家公司的产品总是会存在共享的数据,比如用户数据 这些设备与中心服务器之间会进行http通信 一般来说,中心服务器至少承担着认证和授权的功能,例如登录:各种设备发
JWT认证原理及使用
Jaylon Wang的专栏
02-20 1520
JWT认证原理及使用 一、JWT原理:   参考文章:https://www.jianshu.com/p/180a870a308a   1、传统的登录方式:     浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每次请求都会带上cookie,服务端根据c...
JWT原理解析与实现
weixin_46120888的博客
12-26 4428
1.Token与Session优缺点概述 1.1 Session的由来 在登录一个网站进行访问时由于HTTP协议是无状态的就是说一次HTTP请求后他就会被销毁,比如我在www.a.com/login里面登录了,然后你就要访问别的了比如要访问www.a.com/index但是你访问这个网站你就得再发一次HTTP请求,至于说之前的请求跟现在没关,不会有任何记忆,这次访问会失败,因为无法验证你的身份。所以你登录完之后每次在请求上都得带上账号密码等验证身份的信息,但是你天天这么带,那太麻烦了。那还可以这样,把我第一
JWT鉴权-JWT原理
weixin_47906106的博客
07-24 1112
先抛开JWT,回顾一下我们传统的网页,是通过Cookie的方式实现鉴权的,在用户登陆完成后,返回能识别该用户的信息到浏览器的Cookie中,下一次浏览器请求相同域名的时候,会自动把上次从服务器获取的Cookie提交上去,从而实现用户鉴权。关于flask-jwt-extended的讲解就在这里,学会这些,您在前后端分离项目中的鉴权,将没有任何问题。当然,也可以把jwt设置到cookie中,Body中,甚至是请求URL的参数中,但设置在请求头中实际上是最方便的,只要在请求方法中封装好,调用起来非常方便。
jwt原理
m0_51946387的博客
11-02 181
JWT原理 JWT是Auth0提出的通过对JSON进行加密签名来实现授权验证的方案,编码之后的JWT看起来是这样的一串字符: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9. TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 分为三段,通过解码可以得到 1. 头部(Header) // 包
简述JWT工作原理
MakChiKin
12-06 2917
客户端通过Web表单将正确的用户名和密码发送到服务端的接口。这一过程一般是POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。 服务端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成的JWT就是一个形同lll.zzz.xxx的字符串,并设置有效时间。 服务端...
JWT
xieminglu的博客
09-07 475
知识点: 1、服务端如何利用jwt生成token令牌 2、客户端如何接收jwt生成的令牌 3、与传统的session机制差异在哪 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发...
一篇文章告诉你JWT的实现原理
xmt1139057136的专栏
04-02 1799
编辑:业余草来源:https://www.xttblog.com/?p=4940写篇文章不容易,昨天晚上深夜写完忘记保存了。联想一下那个画面,真的是泪目啊!哎,过去的就让他过去吧,今天...
JWT工作原理流程图
最新发布
08-26
但是,我可以为你提供一个文字描述的JWT工作原理流程。 JWT(JSON Web Token)的工作原理主要包含三个步骤: 1. 认证:用户在登录时,使用用户名和密码向服务器发送身份验证请求。服务器验证用户的凭据,并生成一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值