基于JWT的Token认证

最新推荐文章于 2024-12-05 01:31:50 发布
最新推荐文章于 2024-12-05 01:31:50 发布
阅读量2.2k 收藏 5
点赞数 1
分类专栏: License 文章标签: jwt session token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29914837/article/details/114273631
版权

1、什么是JWT

JSON Web Tokens,是一种开发的行业标准规范RFC 7519。广泛的用在系统的认证和数据交换方面。

2、JWT结构

JWT 由三个部分依次组成

  • Header(头部)
  • Payload(载荷)
  • Signature(签名)

2.1、Header

Header 部分是一个 JSON 对象,描述 JWT 的元数据,包含算法和token类型。
需要对json进行base64url加密

{
 "alg": "HS256",
 "typ": "JWT"
}

2.2、Payload

用来存放实际需要传递的数据。
需要json进行base64url加密

里面的前五个字段都是由JWT的标准所定义的,并且也支持自定义字段

iss: 该JWT的签发者 
sub: 该JWT所面向的用户 
aud: 接收该JWT的一方 
exp(expires): 什么时候过期,这里是一个Unix时间戳 
iat(issued at): 在什么时候签发的

#自定义字段
name:hello

2.3、Signature

把前两段的base密文通过·拼接起来,使用HS256加密

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

例如

eyJhbGciOiJIUzUxMiJ9.eyJleHAiOjE2MTQ2Puk_fv6cyfk0B1j7vbIqw_Q

3、JWT认证流程

  • 客户端发送(用户名、密码)身份信息至服务器端;
  • 服务器端对客户端发送身份信息进行校验,校验通过后,生成token字符串;
  • 服务器端将生成的token字符串发送给客户端(服务器端不保存token);
  • 客户端接收到token后,将token保存到cookie或者localstorage;
  • 客户端每次向服务器端发送请求,携带token(通过header、cookie等方式);
  • 服务器端收到请求,首先验证token是否合法过期(可通过拦截器方式),返回对应信息;

4、JWT认证和传统session认证区别

4.1、基于session的认证

http协议是一种无状态的协议,本身是无法对访问的客户端进行识别。
采用session机制,客户端在服务端登陆成功之后,服务端会生成一个sessionID,返回给客户端,客户端将sessionID保存到cookie中,再次发起请求的时候,携带cookie中的sessionID到服务端,服务端会缓存该session(会话),当客户端请求到来的时候,服务端就知道是哪个用户的请求,并将处理的结果返回给客户端。

存在问题:

  • session保存在服务端,当客户访问量增加时,服务端就需要存储大量的session会话,对内存压力增大
  • 分布式集群环境存在session共享问题
  • CSRF攻击: 基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

4.2、基于token的鉴权机制

基于token的鉴权机制类似于http协议也是无状态的,服务端不需要保存认证信息或者会话信息

5、JWT特点

跨域访问:基于Token的访问策略可以

最低0.47元/天 解锁文章
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
java实现基于JWTtoken认证
淮右布衣的博客
03-14 2032
java实现基于JWTtoken认证1.引入依赖2.创建JWT工具类3.创建JWT注解类4.创建用于JWT验证的拦截器5.在SpringMVC.xml中配置拦截器7. 1.引入依赖 <!--引入JWT依赖,由于是基于Java,所以需要的是java-jwt--> <dependency> <groupId>io.jsonwebtoken&lt...
JWT实现登陆认证Token自动续期
Zyw907155124的博客
01-05 1601
更新用户密码时需要重新生成新的token,并将新的token返回给前端,由前端更新保存在local storage中的token,同时更新存储在redis中的token,这样实现可以避免用户重新登陆,用户体验感不至于太差。一样的道理,要改变JWT的有效时间,就要签发新的JWT。在实际项目中,用户分为普通用户和管理员用户,只有管理员用户拥有删除用户的权限,这一块功能也是涉及token操作的,但是我太懒了,demo工程就不写了。JWT的payload使用的是base64编码的,因此在JWT中不能存储敏感数据。
基于jwttoken验证
weixin_34266504的博客
06-06 1120
一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该t...
JWT实现token登录验证
最新发布
m0_73641772的博客
12-05 1840
Jwt是一种用于在各方之间安全地传输信息的开放标准(RFC 7519)。它可以被用于身份验证和信息交换,常见于Web应用中,以支持单点登录(SSO)或API身份验证。JWT 的内容可以通过数字签名保护,以确保信息的完整性和真实性。
基于jwttoken验证、原理及流程
程序员闪充宝
09-18 1389
来源:www.cnblogs.com/better-farther-world2099一、什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种...
基于jwtToken 认证
qq_45190427的博客
03-23 263
不多说,上代码 Token工具类 import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.interfaces.DecodedJWT; import com.auth0.jwt.interfaces.JWTVerifier; import org.springframework.beans.factory.annotation.Value; import javax.servlet.
JWT 实现 token 认证
javaTalk
06-15 6621
目录 一 什么是 JWTJWT 适用场景 2.1 认证 2.2 信息交换 三 几种认证方式 3.1 session 认证 3.2 token 认证JWT 的数据结构 4.1 header 4.2 playload 4.3 signature 4.4 总结 五 JWT 的使用方式 六 JWT的优点 七 JWT的使用注意 八 JWT 等待解决的问题 九 参...
使用Gin框架集成JWT,源码、详解、面试问题
乐观的阿锡的博客
08-23 1799
使用Gin框架集成JWT,源码、详解、面试问题 一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 二、JWT的组成 1、JWT
接口使用jwt返回token_基于JWTtoken认证
weixin_31237295的博客
01-12 1955
阿里云API网关在Json Web Toke(JWT)这种结构化令牌的基础上实现了一套基于用户体系对用户的API进行授权访问的机制,满足用户个性化安全设置的需求。一、基于token认证1.1 简介很多对外开放的API需要识别请求者的身份,并据此判断所请求的资源是否可以返回给请求者。token就是一种用于身份验证的机制,基于这种机制,应用不需要在服务端保留用户的认证信息或者会话信息,可实现无状态、...
jwttoken解码_基于JWT前后端token认证
weixin_33437929的博客
01-14 1225
WT简介JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。基于session的登录认证在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个session,当然会给客户...
基于jwt token验证
m0_71472890的博客
11-30 1249
JWT全称是JSON WEB TOKEN,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于在多方之间安全地传输JSON格式的信息。JWT主要由三部分组成:头部(Header)、负载(Payload)、签名(Signature),每部分之间以点(.)分隔。头部(Header):这部分包含令牌类型和所使用的算法。载荷(Payload):这部分包含用户信息和其他元数据。签名(Signature):这部分是对头部和载荷进行加密签名以验证其完整性和真实性的部分。
基于Token的身份验证之JWT基础教程
10-18
JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。下面这篇文章主要给大家介绍了关于基于Token的身份验证之JWT的基础相关资料,文中通过示例代码的非常详细,需要的朋友可以参考下
基于JWTtoken验证
lkl2017的博客
02-20 534
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
基于JWTtoken认证 - API 网关 - 阿里云
cxzhq2002的杂记
11-04 1559
阿里云API网关在Json Web TokenJWT)这种结构化令牌的基础上实现了一套基于用户体系对用户的API进行授权访问的机制,满足用户个性化安全设置的需求。 阿里云API网关在Json Web TokenJWT)这种结构化令牌的基础上实现了一套基于用户体系对用户的API进行授权访问的机制,满足用户个性化安全设置的需求。 一、基于token认证 1.1 简介 很多对外开放的API需要识别请求者的身份,并据此判断所请求的资源是否可以返回给请求者。token就是一种用于身份验证..
JWT 实现token验证
weixin_41446608的博客
10-21 1569
1. 什么是JWT JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用 户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以 被表示成一个JSON对象。 {"typ":"JWT","alg":"HS256"} 在头部指明了签名算法是HS256算法。 我们进行BASE64编 码http://base64.xpcha.c
Token验证--JWT
qingxiao1999的博客
09-06 3497
Token的本质是将有意义的数据进行加密处理后的结果,各服务器都只需要具有解析这个加密数据的功能即可获取到其中的信息含义,理论上**不占用内存资源,更适合用于集群和分布式系统,但是,存在一定的被解密的风险(概率极低)。
Java JWT token认证详解及实战示例
Java实现基于token认证是一种现代的、安全性更高的用户身份验证机制,尤其适合分布式和微服务架构。相比于传统的用户名密码和基于cookie的session认证,基于token认证具有以下优势: 1. **跨域支持**:token通常...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值