jwt,accesstoken、refresh token详解

最新推荐文章于 2024-08-07 08:30:00 发布
最新推荐文章于 2024-08-07 08:30:00 发布
阅读量4.6k 收藏 8
点赞数 3
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37704442/article/details/129210122
版权

jwt,accesstoken、refresh token详解

JWT(json web token)

概念

JWT定义了一种紧凑的,自包含的形式,被用作在网络中安全的传输信息
格式
例如:xxxx.yyyyyyy.zzz
根据.分割,可以得到三部分,header,payload,signature。每部分可以使用Base64解码,就是一个JSON对象。
payload中会包含当前jwt的颁发者信息,JWT有效期,用户的凭证,权限信息,和用户自定义的信息等等。由于JWT是明文信息,所以不适合将一些敏感信息保存在JWT中

流程

客户端发起请求登陆,携带用户名和密码;
服务端验证身份,根据算法,将用户标识符打包生成token
服务器返回JWT信息给游览器,JWT不包含敏感信息;
客户端发起请求获取用户资料,把刚刚拿到的token一起发送给服务器;
服务器发现数据中有token,验明正身;
服务器返回该用户的用户资料;

JWT的6个缺点

1、JWT默认不加密,但可以加密。生成原始令牌后,可以使用改令牌再次对其进行加密。
2、当JWT未加密方法是,一些私密数据无法通过JWT传输。
3、JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。
5、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。
6、为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。

安全在哪体现

JWT的安全性,说的是自身信息是防篡改,体现在它的签名部分signature。我们可以在生成JWT的时候,使用数字证书进行签名,采用非对称加密,可以很大程度的保证JWT的安全性。JWT默认是非加密的。
但是,JWT一经颁发,将无法回收,如果发生泄漏,将无法组织,这也是众所周知的JWT最大的问题。
JWT也是客服端-服务器在用户身份信息认证使用token形式的一种体现。jwt将用户身份信息认证保存在客户端,服务端也就不用维护用户状态,大大减轻了服务器的压力。客户端每次请求中,只需要携带这个JWT信息,
服务器根据JWT信息进行身份认证即可。

OAuth2(认证)

由上述可知,JWT存在颁发不可回收问题。如果JWT信息发生泄漏,就可以凭借此信息一直访问服务器信息,
只有等到JWT自动过期,用户的信息才会失效。
那么我们怎么维护用户身份信息呢?
我们可能最先想到,使用Redis(数据库)保存JWT信息,将信息维护服务器。
如果我们真的使用这种方式,那不就又回到了最初的使用服务端保存token的方式了吗?那这个JWT还有存在的必要吗?
第二种方式,我们尽可能短的设置JWT的有效时间,那么,就算用户的JWT信息泄漏了,对系统的访问时间也就尽可能的短了。
而在OAuth2中提出了access_token和refresh_token这两个概念
access_token
用于在客户端的一般请求中,使用此JWT信息验证用户身份。它的有效期通常设置的很短。
refresh_token
用于在access_token失效时,交换新的access_token。

基本流程

客户端向从资源所有者请求授权。
客户端收到授权许可,资源所有者给客户端颁发授权许可(比如授权码code)
客户端与授权服务器进行身份认证并出示授权许可(比如授权码code)请求访问令牌。
授权服务器验证客户端身份并验证授权许可,若有效则颁发访问令牌(accept token)。
客户端从资源服务器请求受保护资源并出示访问令牌(accept token)进行身份验证。
资源服务器验证访问令牌(accept token),若有效则满足该请求。

图解

在这里插入图片描述

曾胖神父
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
django jwt token认证中rest_framework_jwtrefresh token有效期
hhhhh11的博客
09-11 3402
导读 jwt在业界已经广泛使用,但这篇文章不是用来介绍jwt的,也不是用来介绍rest_framework_jwt的,而是跟各位掰扯掰扯rest_framework_jwt中的refresh token功能,因为它很可能不是你想象中的refresh token哦 。 场景再现 在jwt鉴权过程中往往会使用accesstokenrefreshtoken,顾名思义,refreshtoken是用来更新后的token,如果项目中配置了refreshtoken过期时间一般就是指refreshtoken的有效期,
SpringBoot项目实战(009)Spring Security(三)JWT+Redis+RefreshToken
IT老吴的博客
07-17 1614
本章打算: 使用redis作为缓存。 使用refreshtoken刷新accesstoken 缓存角色信息到redis
springSecurity-jwt:JWT access_tokenrefresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessTokenRefreshToken) version1太复杂,无法优化。 accessToken refreshToken流 安全登录处理流程 详细说明转到博客文章 JWT异常处理 安全异常处理(AuthenticationEntryPoint,AccessDeniedHandler) 仅使用AccessToken时 如果将AccessToken的有效时间设置得较长,则很方便,因为用户不需要频繁登录,但是只要有效时间长,恶意用户就可以窃取AccessToken,从而降低了安全性。 相反,如果将AccessToken的有效时间设置为较短时间,则安全性将提高,但由于用户频繁登录,其便利性将降低。 您可能会认为使JWT无效将不起作用,但是JWT只能在设置的到期时间过去之后才到期。 我不能强迫它在那之前过期。 同时使用
关于JWTaccess_tokenrefresh_token的思考
qq_36077836的博客
01-08 558
为和要有access tokenrefresh token?我终于想通了
accessTokenrefreshToken区别
C18298182575的博客
06-07 1091
accessTokenrefreshToken都是用于身份认证和授权的令牌,它们的区别和关联如下:accessTokenaccessToken是一个短期的令牌,只有在一定时间内有效。一般情况下,accessToken会在用户登录授权后通过OAuth 2.0授权流程获取,用于访问已授权的资源API。它是服务器端向客户端(如浏览器)发放的令牌,可以通过在请求头中添加Authorization字段来传递。
access_token VS refresh_token
RayPick的博客
11-29 6363
众所周知, 在 OAuth 2.0 授权协议中, 有两个令牌 token , 分别是 access_tokenrefresh_token, 为什么已经有了 access_token, 还需要 refresh_token 呢? 我们先看下面两者的介绍 access_token 访问令牌, 它是一个用来访问受保护资源的凭证 refresh_token 刷新令牌, 它是一个用来获取access token的凭证 下面是 OAuth 2.0 中的 token 工作流程图 回归主题, 这两个令牌的主要区别如下
JWT Token、ID TokenAccess TokenRefresh Token
乌龟的专栏
02-22 7418
JWT Token、ID TokenAccess TokenRefresh Token
Token设计:Access TokenRefresh Token
最新发布
常备不懈
08-07 743
在现代Web应用中,身份验证和授权是确保安全性的关键部分。Access TokenRefresh Token是用于这一过程的重要组件。
Access TokenRefresh Token
daobuxinzi的博客
02-09 3116
  access token 是在 Oauth2.0 协议中,客户端访问资源服务器的令牌(其实就是一段全局唯一的随机字符串)。拥有这个令牌代表着得到用户的授权。它里面包含哪些信息呢?答案是:   哪个用户 在什么时候 授权给哪个客户端 去做什么事情   对于 Oauth2.0 不了解的读者,请看我的另一篇文章:简单介绍 Oauth2.0 原理   这个授权是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个...
JWTtoken机制与双token详解
热门推荐
qq_41634455的博客
01-13 1万+
token机制 何为tokentoken即为令牌,是服务器生成的一串字符串,作为客户端向服务器进行请求的“通行证”。在客户端进行初次登陆后由服务器返回,之后的每次请求只需要携带token进行请求即可,而无需携带密码等敏感信息 为何token token可以减少敏感信息在网络间的传递 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用 JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息 便于传输,jwt的构成非常简单
auth-api:OAuth2方法中的JWT实现(acccessTokenrefreshToken
04-08
身份验证API 在OAuth2方法(acccessTokenrefreshToken)中实现JWT 开发环境 Spring启动2.4.4 Spring安全 JWT库-> io.jsonwebtoken JPA H2服务器模式 项目流程 运行服务器时的默认用户插入处理(测试数据) 呼叫/ authenticate->检查ID /密码信息并返回令牌信息(accessToken,refresToken) 使用发出的accessToken请求API调用 当accessToken过期时,通过调用/ re / authenticate重新设置accessTokenrefreshToken(设置先前在调用API时在标头中发布的refreshToken) 设定值 jwt: access-token-refresh-url: /re/authenticate access-token
基于acess_tokenrefresh_token实现token续签
03-19
基于令牌(Token)的身份验证机制,特别是JSON Web TokenJWT),已经成为一种流行的选择。在这个场景下,“基于acess_tokenrefresh_token实现token续签”是一个关键的过程,它涉及到用户登录、权限管理以及令牌...
java jwt刷新_SpringSecurity Jwt Token 自动刷新的实现
weixin_36236774的博客
02-27 1762
功能需求最近项目中有这么一个功能,用户登录系统后,需要给 用户 颁发一个 token ,后续访问系统的请求都需要带上这个 token ,如果请求没有带上这个 token 或者 token 过期了,那么禁止访问系统。如果用户一直访问系统,那么还需要自动延长 token 的过期时间。功能分析1、token 的生成使用现在比较流行的 jwt 来生成。2、token 的自动延长要实现 token 的自动延...
访问令牌(AccessToken)与刷新令牌(RefreshToken
昨夜丶雨疏风骤的博客
05-15 1万+
源码点我 闲着无聊的我又来了,今天介绍一下访问令牌(AccessToken)与刷新令牌(RefreshToken)。 最近公司来了几个Java,然后空气顿时充满了学术的氛围,每天都弥漫着垃圾回收,内存分配,堆栈等等各种技术问题的讨论,竖起了我的小耳朵,我偶然间听到了这个Token过期的问题,今天来说一说。 众所周知,JWT是我们常用的Token类型之一,但是JWT是无状态的,所有的信息,包括超时时间都会编码在JWT中。如果Token设置的超时时间过长会显得有些不安全,如果设置的过短则必须频繁的登录。 在Id
`AccessToken`和`RefreshToken`安全令牌
qq_31532979的博客
06-04 1257
`AccessToken`和`RefreshToken`安全令牌
Web开发茶话会_accessTokenrefreshToken
wuxeek的博客
02-10 451
《Web开发茶话会》系列文章的专注于Web开发过程中的重点难点,采取:应用示例+分析+小试牛刀的模式,让读者先有个感性认知,再分析解释知识点,最后抛出一个两个问题,加深理解。此系列文既谈技术,也谈“风月”,请读者备好茶水。
(4)go web开发之 JWT-Token认证机制Access TokenRefresh Tokenjwt-go 库介绍及在项目中使用
pythonstrat的博客
12-12 3336
介绍 jwt-go: 官方介绍:A go (or ‘golang’ for search engine friendliness) implementation of JSON Web Tokens 意思是 go 语言实现的 json web token。 github地址:https://github.com/dgrijalva/jwt-go 可以查看这篇讲解:https://www.bilibili.com/video/BV14p4y1x7kF?from=search&seid=269440
使用Simple JWT提供认证服务(详细介绍access_tokenrefresh_token的使用)
寅月十八的博客
10-21 471
access_tokenrefresh_token的时效就需要设置不一致,当短的access_token 时效过了之后,发送时效长的 refresh_token 重新获取一个短时效access_token。我们每次请求需要携带access_token,但是我们不能每次请求前通过接口获取access_token,我们可以将首次获取的access_token存储,定期通过refresh_token刷新。但是Token有效期不是永久的,当过期之后用户便无法通过认证,我们需要获取新的Token
JWT refreshtoken
07-28
JWT中的refresh_token是用于在access_token失效时,交换新的access_token的一种机制。当access_token过期后,客户端可以使用refresh_token服务器请求新的access_token,而无需重新进行用户身份认证。这样可以减少频繁地向服务器请求新的access_token,提高了系统的性能和效率。refresh_token通常具有较长的有效期,以确保在access_token过期之前能够使用它来获取新的access_token。\[2\]这种方式可以解决JWT存在的颁发不可回收问题,同时也减少了服务器的压力。然而,需要注意的是,refresh_token的安全性也非常重要,因为如果refresh_token泄漏,攻击者可能会使用它来获取新的access_token并访问服务器的信息。因此,在使用refresh_token时,需要采取相应的安全措施,如使用HTTPS协议进行传输,限制refresh_token的访问范围等。\[3\] #### 引用[.reference_title] - *1* *2* *3* [jwtaccesstokenrefresh token详解](https://blog.csdn.net/qq_37704442/article/details/129210122)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值