JWT原理分析——JWT

于 2023-11-07 17:11:12 发布
阅读量268 收藏 2
点赞数
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31129841/article/details/134271611
版权

了解为什么会有JWT的出现?

首先不得不提到一个知识叫做跨域身份验证,JWT的出现就是为了更好的解决这个问题,但是在没有JWT的时候,我们一般怎么做呢?一般使用Cookie和Session,流程大体如下所示:

  1. 用户向服务端发送用户名和密码进行验证
  2. 服务端验证之后,相关数据(如用户角色、登录时间等信息)会保存在当前的Session中
  3. 服务端向用户返回一个唯一的session_id,同时在响应请求中设置cookie,属性名为jessionid
  4. 客户端收到之后会保存jessionid,再次请求的时候,会在header中设置,服务端可以从请求头中获取
  5. 服务端验证获取到的sessionid是否存在,即可验证是否是同一用户

使用Cookie和Session这种模式最大的问题之一就是它不支持横向扩展,也就是不支持分布式架构,如果当前只有一台服务器,那就没什么问题,但是在当下的时代,一台服务器往往是不够的,现在绝大多数都是服务器集群。如果是服务器集群,那么在负载均衡的时候就不能保证每次都发送到同一台服务器上,这样的话也就不能验证用户的身份了,但是这对用户是不友好的,用户是感知不到自己的请求发送到了别的服务器上的。

所以这个时候就提出来了让session落库,当一个请求发过来之后,验证服务从数据库去验证用户身份,这样就能让各个服务器正确的验证用户身份信息,但是这样做,依赖性太强,如果这个session数据库挂了,那么整个认证系统都会崩溃。

JWT的面世

因为Cookie和Session的局限性,所以有人提出只让客户端存储数据,服务端不保存任何会话数据,每个请求都被发送回服务器,JWT出现了。

WT官网的一张图,描述的是JWT的认证过程,可以先看看这张图,有个印象:

JWT的概念: 

JWT是Json Web Token的缩写,它将用户信息加密到Token中,服务器不保存任何的用户信息。服务器通过使用保存的密钥验证Token的正确性,只要正确就通过验证。

上面可能很难理解,把它日常化一下就是在没有网络的年代,部门A要申请部门B的某个机器使用权,部门A肯定要先老大打报告,写申请,最后老大签字同意,部门A再拿着这个带有老大签字的这个申请报告去找部门B,部门B才能同意部门A使用,这就是JWT的流程。

JWT的数据结构

JWT总共包含了三个部分:Header头部、Payload负载、Signature签名。这三部分共同生成Token,三部分之间用“.”做分割

JWT 头部

JWT的头部是一个描述JWT元数据的JSON对象,如下所示:

{
  "alg": "HS256",
  "typ": "JWT"
}

其中的alg:表示的是签名使用的算法,默认为HMAC SHA256(写为HS256),typ:表示的是令牌的类型,JWT的令牌统一写为JWT。

这样的一个Json数据,还需要使用Base64 URL算法将其转为字符串保存。

JWT 负载

负载部分就是JWT的主体内容,同样的也是一个Json对象,它包含了需要传递的数据,但是不能传递敏感数据,因为这部分数据别人也是可以拿到并且解密的。

JWT指定有七个默认字段供选择:

  1. iss:发行人
  2. exp:到期时间
  3. sub:主题
  4. aud:用户
  5. nbf:在此之前不可用
  6. iat:发布时间
  7. jti:JWT ID 用于标识该 JWT

除了默认字段外,我们还可以自定义字段,如下所示:

同样,这部分数据依然是使用Base 64 URL算法转换为字符串加密。

JWT 签名

签名部分是对上面两部分的数据签名,通过指定的算法(在JWT头部指定的算法)生成哈希来确保数据不会被篡改。

一般流程如下:

  1. 在服务器中保存了一个密码(secret),这个密码仅仅保存在服务器中,不对用户开放。
  2. 使用JWT头部指定的签名算法以及服务器中保存的密码(secret)来生成对应的签名
  3. 在计算出签名之后,JWT头、负载、签名,三部分组成一个字符串,每个部分以“.”进行分割,构成JWT对象

JWT的认证流程

  1. 客户端发送信息给服务端,让其进行验证
  2. 服务端验证成功后,返回给客户端一个JWT
  3. 客户端将JWT保存在Cookie或放入HTTP请求的Header Authorization字段中(推荐放在这)
  4. 此后客户端请求的时候都带着JWT去请求服务端,服务端对JWT再进行验证。

 

JWT的缺陷

  1. JWT最大的缺陷就是服务器不会保存会话状态,所以使用期间不能取消令牌或者更改令牌的权限,一旦JWT签发,在有效期内将会一直有效。
  2. 由于JWT不加密,所以JWT不能用来传递敏感数据
  3. 它有着更大的空间占用
  4. 很难应对过期的数据,由于无法废除掉已经颁布的令牌,在令牌过期之前,只能忍受过期的数据

总结

  • 在Web应用中,不能把JWT当作Session使用,绝大多数情况下,传统的cookie-session机制工作得更好
  • JWT适合一次性的命令认证,颁发一个有效期极短的JWT,即使暴露了危险也很小,由于每次操作都会生成新的JWT,因此也没必要保存JWT,真正实现无状态。

 

java_gp
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Node.JS如何实现JWT原理
10-14
jwt是json web token的简称,本文介绍它的原理,最后后端用nodejs自己实现如何为客户端生成令牌token和校验token
jwt 原理
weixin_48334703的博客
10-05 1865
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
JWT原理
子冉冰清的博客
09-26 6083
JWT原理 jwt原理和使用 JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。 一、JWT原理: 参考文章:https://www.jianshu.com/p/180a870a308a 1、传统的登录方式: 浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每
JWT原理
COMEKING的博客
07-23 3235
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。 这种模式的问题在于,扩展性(scaling)不好。单机当
jwt认证原理
weixin_52596593的博客
10-12 884
有时候我们可能需要自己定义用户表这时候再直接用dif-jwt快速方法就不行了,我们需要自己写token第一步再models中定义user表并数据迁移第二步在视图中自己写登陆接口try:# 获取username、password# 使用用户存在再使用djagnorestframework-jwt模块提供的签发token的函数,生成tokenreturn Response({'code':100,'msg':'登录成功','token':token})# 获取不到用户抛异常。
jwt原理&现象及使用
m0_60375943的博客
11-17 2728
一:jwt原理 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 例:jwt就相当于学校的出入证,只有持有出入证的人才能进行出入 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 以session来举例,session是储存在服务器的,如果是按服务器来储存数据的话,那么服务器会占用很大的一个内存,而存储在客户端就解决了这个问题 3. JWT的工作原理 传统开发对资源的访问限制利用session完成图解 jwt
JWT爆破篡改工具-离线
最新发布
04-03
从爆破到篡改,完美闭环
JWT认证原理、流程整合springboot实战应用
01-18
JWT认证原理、流程整合springboot实战应用
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
JWT(简介)
qq_65345936的博客
09-18 2056
JWT工具类/*** JWT验证过滤器:配置顺序 CorsFilte->JwtUtilsr-->StrutsPrepareAndExecuteFilter**//*** JWT_WEB_TTL:WEBAPP应用中token的有效时间,默认30分钟*//*** 将jwt令牌保存到header中的key*/// 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。// JWT密匙// 使用JWT密匙生成的加密key。
JWT原理详解
前端那些事@时光
09-27 3258
JWT原理详解 随着前后端分离的发展,以及数据中心的建立,越来越多的公司会创建一个中心服务器,服务于各种产品线。 而这些产品线上的产品,它们可能有着各种终端设备,包括但不仅限于浏览器、桌面应用、移动端应用、平板应用、甚至智能家居 实际上,不同的产品线通常有自己的服务器,产品内部的数据一般和自己的服务器交互。 但中心服务器仍然有必要存在,因为同一家公司的产品总是会存在共享的数据,比如用户数据 这些设备与中心服务器之间会进行http通信 一般来说,中心服务器至少承担着认证和授权的功能,例如登录:各种设备发
JWT认证原理及使用
Jaylon Wang的专栏
02-20 1483
JWT认证原理及使用 一、JWT原理:   参考文章:https://www.jianshu.com/p/180a870a308a   1、传统的登录方式:     浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每次请求都会带上cookie,服务端根据c...
JWT原理解析与实现
weixin_46120888的博客
12-26 4407
1.Token与Session优缺点概述 1.1 Session的由来 在登录一个网站进行访问时由于HTTP协议是无状态的就是说一次HTTP请求后他就会被销毁,比如我在www.a.com/login里面登录了,然后你就要访问别的了比如要访问www.a.com/index但是你访问这个网站你就得再发一次HTTP请求,至于说之前的请求跟现在没关,不会有任何记忆,这次访问会失败,因为无法验证你的身份。所以你登录完之后每次在请求上都得带上账号密码等验证身份的信息,但是你天天这么带,那太麻烦了。那还可以这样,把我第一
JWT的工作原理
qq_24381917的博客
05-21 340
JWT的工作原理 参考地址: https://www.cnblogs.com/cjsblog/p/9277677.html https://jwt.io https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc 什么是JWT JWT: JSON Web token 用于json对象在各方之间安全的传输信息,它是安全可被信任的,因为它是数字签名的。JWT是目前最流行的跨域身份验证解决方案 JWT应用场景
JWT鉴权-JWT原理
weixin_47906106的博客
07-24 877
先抛开JWT,回顾一下我们传统的网页,是通过Cookie的方式实现鉴权的,在用户登陆完成后,返回能识别该用户的信息到浏览器的Cookie中,下一次浏览器请求相同域名的时候,会自动把上次从服务器获取的Cookie提交上去,从而实现用户鉴权。关于flask-jwt-extended的讲解就在这里,学会这些,您在前后端分离项目中的鉴权,将没有任何问题。当然,也可以把jwt设置到cookie中,Body中,甚至是请求URL的参数中,但设置在请求头中实际上是最方便的,只要在请求方法中封装好,调用起来非常方便。
jwt原理
m0_51946387的博客
11-02 173
JWT原理 JWT是Auth0提出的通过对JSON进行加密签名来实现授权验证的方案,编码之后的JWT看起来是这样的一串字符: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9. TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 分为三段,通过解码可以得到 1. 头部(Header) // 包
简述JWT的工作原理
MakChiKin
12-06 2907
客户端通过Web表单将正确的用户名和密码发送到服务端的接口。这一过程一般是POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。 服务端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成的JWT就是一个形同lll.zzz.xxx的字符串,并设置有效时间。 服务端...
JWT
xieminglu的博客
09-07 469
知识点: 1、服务端如何利用jwt生成token令牌 2、客户端如何接收jwt生成的令牌 3、与传统的session机制差异在哪 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发...
springboot集成jwt原理
05-20
Spring Boot集成JWT(JSON Web Token)的主要原理是: 1. 创建一个Spring Boot应用程序并添加所需的依赖项,例如Spring Security和JJWT。 2. 创建一个JWT工具类,它将负责创建和验证JWT令牌。在这个类中,你需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值