基于Token的身份验证——JWT

最新推荐文章于 2021-03-10 13:03:05 发布
最新推荐文章于 2021-03-10 13:03:05 发布
阅读量212 收藏
点赞数
分类专栏: 后端 文章标签: token认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39552993/article/details/92015903
版权

初次了解JWT,高手勿喷。

什么是JWTJson web token (JWT)?
是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

个人见解是基于Token的身份验证用来替代传统的cookie+session身份验证方法中的session。

为什么session不好呢?
是因为每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。还有当服务器为集群多机的情况下,需要复制sessionid,在多台集群机器之间共享。

为什么cookie不好呢?
是因为如果我们的页面出现了 XSS 漏洞,由于 cookie 可以被 JavaScript 读取,XSS 漏洞会导致cookie泄露,而作为后端识别用户的标识,cookie 的泄露意味着用户信息不再安全。

既然传统的方法不安全那就看看jwt吧
JWT 组成
一个jwt实际上就是一个字符串,它由三部分组成,头部、载荷与签名,这三个部分都是json格式。前面两部分都是使用 Base64 进行编码的,而Signature 需要使用编码后的 header 和 payload 以及我们提供的一个密钥,然后使用 header 中指定的签名算法(HS256)进行签名。签名的作用是保证 JWT 没有被篡改过。
然后拼接起来,中间用 . 分隔。
首先是Header 头部

{
  "alg": "HS256",
  "typ": "JWT"
}

alg:是采用的加密算法
typ:其类型
这个头部表明这是一个JWT,并且我们所用的签名算法是HS256算法。
Base64 编码后:ewogICJhbGciOiAiSFMyNTYiLAogICJ0eXAiOiAiSldUIgp9

然后是Payload 负载又称有效荷载
JWT 规定了7个官方字段,供选用。
iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号
而我就用了5个(注意:由于base64编码是可逆的,请不要把重要信息放在里面,可以放下些userId等主键信息)

{
    "iss": "test-jwt",
    "iat": 1560521498,
    "exp": 1560523298,
    "aud": "www.example.com",
    "sub": "test@qq.com"
}

Base64 编码后:ewogICAgImlzcyI6ICJ0ZXN0LWp3dCIsCiAgICAiaWF0IjogMTU2MDUyMTQ5OCwKICAgICJleHAiOiAxNTYwNTIzMjk4LAogICAgImF1ZCI6ICJ3d3cuZXhhbXBsZS5jb20iLAogICAgInN1YiI6ICJ0ZXN0QHFxLmNvbSIKfQ==

最后是Signature(签名)
header和payload是需要base编码后拼接在通过密钥secret通过哈希加密HMACSHA256生成签名
var signature=HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload), secret)
HMACSHA256编码后:5ad864059af3e589f0d1ae4081c685550158bbb2653e3f0f574de44432ef4cf2

这样完整的token就是ewogICJhbGciOiAiSFMyNTYiLAogICJ0eXAiOiAiSldUIgp9.ewogICAgImlzcyI6ICJ0ZXN0LWp3dCIsCiAgICAiaWF0IjogMTU2MDUyMTQ5OCwKICAgICJleHAiOiAxNTYwNTIzMjk4LAogICAgImF1ZCI6ICJ3d3cuZXhhbXBsZS5jb20iLAogICAgInN1YiI6ICJ0ZXN0QHFxLmNvbSIKfQ==.5ad864059af3e589f0d1ae4081c685550158bbb2653e3f0f574de44432ef4cf2

客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程
是这样的:
客户端使用用户名、密码请求登录
服务端收到请求,去验证用户名、密码
验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户
端返回请求的数据

这里有java代码写的jwt代码仅供参考:https://download.csdn.net/download/qq_39552993/11239870
考虑到要有些人积分不够,也可以看看这位大佬的demo:https://www.cnblogs.com/jimisun/p/9482439.html (其实跟我的上传的代码差不多的)

我是真的菜(ㄒoㄒ)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于 Token身份验证和安全问题
CG国斌的博客
02-13 2万+
1 前言最近了解下基于 Token身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。2 基于 Token身份验证方法使用基于
JWT 实现 token 认证
javaTalk
06-15 6423
目录 一 什么是 JWTJWT 适用场景 2.1 认证 2.2 信息交换 三 几种认证方式 3.1 session 认证 3.2 token 认证JWT 的数据结构 4.1 header 4.2 playload 4.3 signature 4.4 总结 五 JWT 的使用方式 六 JWT的优点 七 JWT的使用注意 八 JWT 等待解决的问题 九 参...
token验证_基于Token身份验证
weixin_39888180的博客
12-10 834
一 基于Token身份验证JWT初次了解JWT,很基础,高手勿喷。基于Token身份验证用来替代传统的cookie+session身份验证方法中的session。JWT就是一个字符串,经过加密处理与校验处理的字符串,形式为:"A.B.C",A由JWT头部信息header加密得到B由JWT用到的身份验证信息json数据加密得到C由A和B加密得到,是校验部分二 怎样生成A例如Header格式为:{...
JAVA基于JWTtoken身份认证方案
Sunhighlight的博客
05-09 5623
一、使用JSON Web Token的好处 1.性能问题。 JWT方式将用户状态分散到了客户端中,相比于session,可以明显减轻服务端的内存压力。 Session方式存储用户id的最大弊病在于Session是存储在服务器端的,所以需要占用大量服务器内存, 对于较大型应用而言可能还要保存许多的状态,一般还需借助nosql和缓存机制来实现session的存储,如果是分布式应用还需session共...
Spring安全框架——jwt的集成(服务器端)
12-21
在本文中,我们将深入探讨如何将JWT(JSON Web Token)集成到Spring安全框架中,以构建一个基于服务器端的身份验证系统。首先,我们先来看如何建立用户表并进行数据库操作。 1. **创建用户表(users)** - 在...
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
最新发布
02-24
本示例项目——"基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo",旨在为新手提供一个易于理解的学习平台,来掌握如何在Spring Boot应用中实现用户认证与授权。下面将详细介绍这个项目所...
sails-hook-jwtauth:Sails.js 应用程序的身份验证助手
06-01
`sails-hook-jwtauth` 是一个专门为Sails.js设计的插件,它为应用程序提供了基于JSON Web Token (JWT)的身份验证机制。 **JSON Web Token (JWT)** JWT 是一种轻量级的身份认证和授权机制,广泛应用于现代Web服务中...
JwtDemo.rar
05-26
JWT(JSON Web Tokens)是一种轻量级的身份验证和授权机制,广泛应用于Web应用和API的安全。在本示例"JwtDemo.rar"中,我们将探讨如何使用非对称的RS256签名算法来生成和验证JWT ID Token。RS256(RSA Signature ...
Sa-Token:这可能是史上功能最全的Java权限认证框架!目前已集成——登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0、踢人下线、Redis集成、前后台分离、记住我模式、模拟他人账号、临时身份切换、账号封禁、多账号认证体系、注解式鉴权、路由拦截式鉴权、花式token生成、自动续签、同端互斥登录、会话治理、密码加密、jwt集成、Spring集成、WebFlux集成..
07-23
Token,你将以一种极其简单的方式实现系统的权限认证部分登录认证 —— 单端登录、多端登录、同端互斥登录、七天内免登录权限认证 —— 权限认证、角色认证、会话二级认证Session会话 —— 全端共享Session、单端独...
基于Token身份验证的原理
热门推荐
一土宁的博客
05-06 4万+
目录 1 发展史 2 Cookie 3 Session 3.1cookie和session的区别 4 Token 4.1 传统方式——基于服务器的验证 4.2 基于服务器验证方式暴露的一些问题 4.3 基于Token的验证原理 4.5 Tokens的优势 参考文献 1 发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某...
基于token身份验证JWT
weixin_30279671的博客
06-19 711
一、概念:   JWT:Json Web TokenJWT 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权。是基于token的一种授权认证方式。就是一个字符串,经过加密处理与校验处理的字符串。JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也...
使用JWT进行用户身份校验(基于token)
liao0801_123的博客
08-22 5794
jwt的其他资料: https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc https://www.jianshu.com/p/8f7009456abc cors解决跨域:https://blog.csdn.net/csdn265/article/details/80258928 无状态协...
什么是JWT? Token? 如何基于Token进行身份验证
HZ___ZH的博客
03-10 1132
JWT (JSON Web Token) Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT 本质上就一段签名的 JSON 格式的数据。由于
接口鉴权实践-代码
qq1164014750
07-10 1518
文章目录目标接口设计认证鉴权服务代码实践声明鉴权注解鉴权注解的具体实现鉴权服务被鉴权注解修饰的公共接口加密解密代码其他 目标 接口鉴权的代码实践 参考:HandlerMethodArgumentResolver用于统一获取当前登录用户 springboot自定义参数解析HandlerMethodArgumentResolver WebMvcConfigurer.addArgumentResolvers自定义参数处理器不生效的原理与解决方案 百度api-鉴权认证机制 鉴权认证机制 字节数组与16进制字符串
使用JWT 进行基于 Token身份验证方法
weixin_33940102的博客
05-08 1603
一般weby应用服务都使用有状态的session来存储用户状态以便认证有权限的用户进行的操作。但服务器在做横向扩展时,这种有状态的session解决方案就受到了限制。所以在一些通常的大型web应用场景越来越多在采用没有状态的token来进行用户签权处理。 需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时access_token进行资源访问。这里我...
基于JWT前后端token认证
java小酱油
03-10 3万+
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个sessi
关于JWT的理解
Ybbb的博客
06-28 1884
转自https://www.cnblogs.com/java-jun-world2099/p/9146143.html 基于jwttoken验证 一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被...
后端框架基于token身份验证方式
05-28
基于 token身份验证方式是一种常见的后端框架身份验证方式,其主要思想是将用户的身份信息存储在 ...常见的基于 token身份验证方式有 JWT(JSON Web Token)和 OAuth2.0。在使用时需要根据具体情况进行选择。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值