JWT_Token

最新推荐文章于 2024-04-28 21:42:19 发布
最新推荐文章于 2024-04-28 21:42:19 发布
阅读量441 收藏 1
点赞数
分类专栏: java登陆相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27295923/article/details/100671880
版权

Token

(一)token概念
1.传统身份认证
HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下。
解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie 里,下次这个用户再向服务端发送请求的时候,可以带着这个 Cookie ,这样服务端会验证一个这个 Cookie 里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端。
上面说的就是 Session,我们需要在服务端存储为登录的用户生成的 Session ,这些 Session 可能会存储在内存,磁盘,或者数据库里。我们可能需要在服务端定期的去清理过期的 Session 。
这种认证中出现的问题是:
Session:每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时,内存的开销也会不断增加。
可扩展性:在服务端的内存中使用Session存储登录信息,伴随而来的是可扩展性问题。
CORS(跨域资源共享):当我们需要让数据跨多台移动设备上使用时,跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另一个域的资源,就可以会出现禁止请求的情况。
CSRF(跨站请求伪造):用户在访问银行网站时,他们很容易受到跨站请求伪造的攻击,并且能够被利用其访问其他的网站。
在这些问题中,可扩展性是最突出的。因此我们有必要去寻求一种更有行之有效的方法。
2.Token身份认证
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:
客户端使用用户名、密码请求登录
服务端收到请求,去验证用户名、密码
验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 、Session Storage里
客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

使用Token验证的优势:
无状态、可扩展
在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。
安全性
请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)。即使在客户端使用cookie存储token,cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中,让我们少了对session操作。

3.Token的来源
HTTP请求都是以无状态的形式对接。即HTTP服务器不知道本次请求和上一次请求是否有关联。所以就有了Session的引入,即服务端和客户端都保存一段文本,客户端每次发起请求都带着,这样服务器就知道客户端是否发起过请求。

这样,就导致客户端频繁向服务端发出请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否。而Session的存储是需要空间的,频繁的查询数据库给服务器造成很大的压力。

在这种情况下,Token应用而生。

Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌。当客户端第一次访问服务端,服务端会根据传过来的唯一标识userId,运用一些算法,并加上密钥,生成一个Token,然后通过BASE64编码一下之后将这个Token返回给客户端,客户端将Token保存起来(可以通过数据库或文件形式保存本地)。下次请求时,客户端只需要带上Token,服务器收到请求后,会用相同的算法和密钥去验证Token。

最简单的Token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由Token的前几位+盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接Token请求服务器)。

4.Token的工作流程
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:

客户端使用用户名跟密码请求登录

服务端收到请求,去验证用户名与密码

验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端

客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者数据库里

客户端每次向服务端请求资源的时候需要带着服务端签发的 Token

服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

APP登录的时候发送加密的用户名和密码到服务器,服务器验证用户名和密码,如果成功,以某种方式比如随机生成32位的字符串作为Token,存储到服务器中,并返回Token到APP,以后APP请求时,凡是需要验证的地方都要带上该Token,然后服务器端验证Token,成功返回所需要的结果,失败返回错误信息,让他重新登录。

对于同一个APP同一个手机当前只有一个Token;手机APP会存储一个当前有效的Token。其中服务器上Token设置一个有效期,每次APP请求的时候都验证Token和有效期。

5.使用Token的目的

最低0.47元/天 解锁文章
qq_1003669233
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入浅出JWT(JSON Web Token )
Mantou的博客
05-05 930
1. JWT 介绍 JSON Web TokenJWT)是一个开放式标准(RFC 7519),它定义了一种紧凑(Compact)且自包含(Self-contained)的方式,用于在各方之间以JSON对象安全传输信息。 这些信息可以通过数字签名进行验证和信任。 可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进行签名。 虽然JWT可以加密以提供各方之间的保密性,但我...
基于JWTToken认证机制(一)
热门推荐
睁眼看世界
11-14 1万+
简介           JSON Web TokenJWT)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对其进行签名。 JWT的组成      
JWT(JSON Web Token)的基本原理
最新发布
2401_84435192的博客
04-28 659
其实前端开发的知识点就那么多,面试问来问去还是那么点东西。所以面试没有其他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。这里再分享一个复习的路线:(以下体系的复习资料是我从各路大佬收集整理好的)《前端开发四大模块核心知识笔记》最后,说个题外话,我在一线互联网企业工作十余年里,指导过不少同行后辈。帮助很多人得到了学习和成长。开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】
php 身份认证 claim,基于Token的身份验证之JWT基础教程
weixin_35910783的博客
03-20 610
前言初次了解JWT,很基础,高手勿喷。基于Token的身份验证用来替代传统的cookie+session身份验证方法中的session。token应用流程为:1、初次登录:用户初次登录,输入用户名密码。2、密码验证:服务器从数据库取出用户名和密码进行验证。3、生成JWT:服务器端验证通过,根据从数据库返回的信息,以及预设规则,生成JWT。4、返还JWT:服务器的HTTP RESPONSE中将JWT...
jwt获取token_谈谈JWT
weixin_39856709的博客
11-21 593
是什么?JWT(JSON Web Token)什么用?为了识别无状态的http协议对应的客户端身份。简单来说:就是服务端用来确定接收到的请求是来自哪个客户端的。为什么?怎么用?jwt关注的是底层的加密实现,所以对于他而言,关键方法就两个,分别是计算加密字符串token和校验解密字符串token。底层实现很复杂,感激前辈们的努力,我们直接使用auth0提供的方法即可。生成token代码如下: //过...
JWT 生成Token及验证
weixin_45313055的博客
11-22 397
** JWT 简介 ** JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为 一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以 Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使 用HMAC算法或者是RSA的公私秘钥对进行签名。简洁(Compact): 可以通过URL,POST参 数或者在HTTP header发送,因为数据量小,传输速度也很快 自包含(Self-contained): 负载中包含了所有用
jwt_token_test.zip
05-21
总之,Java通过jwt_token_test.zip中的代码示例,展示了如何使用JWT实现移动端API接口的token认证。这种方式既减少了服务器存储负担,又提供了跨域身份验证的能力,是现代Web应用中常见的身份验证解决方案。
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
WebAPI与JWT(JSON Web Tokens)身份验证是一种常见的安全机制,用于保护WebAPI接口免受未经授权的访问。JWT令牌提供了一种轻量级的方式来进行身份验证和授权,它允许服务器在客户端之间安全地传递信息,而无需存储...
JWT_TOKEN_Application_DOTNET
03-27
JWT_TOKEN_Application_DOTNET 是一个基于C#开发的项目,主要关注于JSON Web TokenJWT)在.NET环境中的应用。JWT是一种轻量级的身份验证和授权机制,广泛用于Web应用程序,尤其是API接口的安全认证。这个项目可能...
drf_jwt_token_demo.zip
08-03
使用django-rest-framework-jwt在django中创建和认证token,用于在移动端来认证和用户,本文通过自己编写模型来实现根据用户来生成token,在请求头中添加Authentication来进行认证,保持登录状态。可以直接使用,...
api_aspnetcore_jwt_token:.NET中带有JWT身份验证的Api的一个小示例
02-17
JWT(JSON Web Token)是安全领域广泛使用的轻量级身份验证机制。本项目"api_aspnetcore_jwt_token"旨在展示如何在ASP.NET Core中集成JWT身份验证,以创建一个安全的API服务。 JWT令牌用于在客户端和服务器之间传递...
JWT
m0_67596612的博客
05-16 1527
目录 1. JWT是什么 1.1:JWT的定义: 1.2:JWT特点: 2. 为什么使用JWT 3. JWT的工作原理 4. JWT组成 4.1 Header 4.2 Payload(负荷) 根据JWT的标准,这些claims可以分为以下三种类型: 4.3 signature 5. JWT的验证过程 此处有三个注意事项: 6. JWT令牌刷新思路 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 ...
详解JWT
snail
05-24 585
一.什么是JWT? jwt 全称 json web token ,是一种为了在网络之间认证权限的基于JSON的开放标准,它的本质是一个 token 字符串。下面我用 php 来生成一个 token。 <?php $secret = 'fjFDAdXLAhRfnDf_d=a'; $header = [ 'alg' => 'HS256', 'typ' => 'j...
JWT令牌的校验
简单随风的博客
04-27 1050
之前写了《Auto0生成JWT令牌》,这篇是对令牌进行校验。 /** * @param token 令牌 * @return 令牌校验结果 * 使用Optional对返回结果进行一场处理 */ public static Optional<Map<String, Claim>> getClaims(String token) ...
JWT(JSON Web Token) 学习笔记(整合Spring Boot)
yxc852814721的博客
02-10 1004
JWT(JSON Web Token) 学习笔记(整合Spring Boot)1、了解 JWT1.1、什么是 JWT ?1.2、什么时候使用 JWT ?1.3、JWT 的结构?1.3.1、Header1.3.2、PayLoad1.3.3、Signature1.3.4、完整的 JWT1.4、JSON Web 令牌如何工作?1.5、为什么要使用 JWT ?1.5.1、基于传统的 Session 认证2、JWT 的第一个程序(Spring Boot)2.1、引入依赖2.2、创建Token并对其进行签名2.3、根据
Spring Authorization Server入门 (六) 自定义JWT中包含的内容与资源服务jwt解析器
云逸的博客
06-07 3622
最后经过两个简单的配置实现了自定义的token内容与解析器,这也正是框架灵活与支持高度自定义的体现,实际上这些操作的代码部分都比较少,多的是理论部分,结合文档与源码能够更好的理解框架,文档中对于某些类的应用一般会有详细的说明与示例存在。
java JWT api
吕小小布的博客
02-21 8349
(只可以做权限时使用,敏感数据不要使用) Java JWT 安装Maven <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.7.0</version> <...
生成用户token的工具类
weixin_42733631的博客
12-07 1306
import cn.hutool.core.date.DateUtil; import cn.hutool.core.util.StrUtil; import com.tongfun.module.yanwu.stream.entity.UserDetails; import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.slf4j.Logg
JWT开发,springboot整合jwt验证
小星博博的博客
02-12 110
1、jwt依赖 <!-- jwt依赖--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.12.1</version> </dependency> 2、生成token public void contextloads() { /
public static final long JWT_TOKEN_VALIDITY = 5 * 60 * 60;是什么意思
06-09
这是一个常量,它表示 JWT 令牌的有效期。在这个例子中,常量值为 5 * 60 * 60,表示 JWT 令牌的有效期为 5 小时。具体来说,这个常量值是通过将 5 小时转换为秒数来计算得到的,因为 JWT 令牌通常使用秒数作为有效...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值