JWT认证记录笔记

已于 2023-11-12 15:21:19 修改
阅读量186 收藏
点赞数
分类专栏: django项目 文章标签: django
于 2023-11-12 15:20:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39926166/article/details/134361028
版权

JWT认证记录笔记

  • jwt构成
    jwt由三段文本信息用 . 拼接成 jwt token 字符串, 如下方格式
eyJ0eXAiOiAiand0IiwgImFsZyI6ICJIUzI1NiJ9.eyJzdWIiOiAicm9vdCIsICJleHAiOiAxNjk5Nzc2Mzk4LCAiaWF0IjogMTY5OTc3Mjc5OCwgIm5hbWUiOiAid2FuZ3hpYW9taW5nIiwgImF2YXRhciI6ICIxLnBuZyIsICJ1c2VyX2lkIjogMSwgImFkbWluIjogdHJ1ZSwgImFjY19wd2QiOiAiUWlMQ0poYkdjaU9pSklVekkxTmlKOVFpTENKaGJHY2lPaUpJVXpJMU5pSjlRaUxDSmhiR2NpT2lKSVV6STFOaUo5In0=.405b472590234fb1babc4daffcb149d4b8855f03aaac2fa0b15672ebc36cc8b5

第一个部分为头部(header), 第二部分为载体(payload), 第三部分是签证(signature)

header

jwt的头部承载两部分信息:

  • typ: 声明token类型,这里是jwt ,typ的值也可以是:Bear
  • alg: 声明签证的加密的算法 通常直接使用 HMAC SHA256
{
	'typ':"JWT",
	'alg':'HS256'
}

python代码

import base64, json
header_data = {
	"typ": "jwt", 
	"alg": "HS256"
}
header = base64.b64encode(json.dumps(header_data).encode()).decode()
print(header) # eyJ0eXAiOiAiand0IiwgImFsZyI6ICJIUzI1NiJ9

payload

载荷就是存放有效信息的地方。有效信息包含三个部分:

  • 标准声明
  • 公共声明
  • 私有声明

标准声明指定jwt实现规范中要求的属性。 (官方建议但不强制使用) :

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之后,该jwt才可以使用
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token, 从而回避重放攻击。

公共声明 : 公共的声明可以添加任何的公开信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可直接读取.

私有声明 : 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,里面存放的是一些可以在服务端或者客户端通过秘钥进行加密和解密的加密信息。往往采用的RSA非对称加密算法。

python代码:

iat = int(time.time())
payload_data = {
        "sub": "root",
        "exp": iat + 3600,  # 假设一小时过期
        "iat": iat,
        "name": "wangxiaoming",
        "avatar": "1.png",
        "user_id": 1,
        "admin": True,
        "acc_pwd": "QiLCJhbGciOiJIUzI1NiJ9QiLCJhbGciOiJIUzI1NiJ9QiLCJhbGciOiJIUzI1NiJ9",
 }
 # 将其进行base64编码,得到JWT的第二部分。
 payload = base64.b64encode(json.dumps(payload_data).encode()).decode()
 print(payload)
 # eyJzdWIiOiAicm9vdCIsICJleHAiOiAxNjk5Nzc2Mzk4LCAiaWF0IjogMTY5OTc3Mjc5OCwgIm5hbWUiOiAid2FuZ3hpYW9taW5nIiwgImF2YXRhciI6ICIxLnBuZyIsICJ1c2VyX2lkIjogMSwgImFkbWluIjogdHJ1ZSwgImFjY19wd2QiOiAiUWlMQ0poYkdjaU9pSklVekkxTmlKOVFpTENKaGJHY2lPaUpJVXpJMU5pSjlRaUxDSmhiR2NpT2lKSVV6STFOaUo5In0=405b472590234fb1babc4daffcb149d4b8855f03aaac2fa0b15672ebc36cc8b5

signature

JWT的第三部分是一个签证信息,用于辨真伪,防篡改。这个签证信息由三部分组成:

  • header (base64后的头部)
  • payload (base64后的载荷)
  • secret(保存在服务端的秘钥字符串,不会提供给客户端的,这样可以保证客户端没有签发token的能力)

python

# signature
secret = 'django-insecure-hbcv-y9ux0&8qhtkgmh1skvw#v7ru%t(z-#chw#9g5x1r3z=$p' # secret  在 django 项目中settings配置文件中获取
data = header + payload + secret  # 秘钥绝对不能提供给客户端。
HS256 = hashlib.sha256()
HS256.update(data.encode('utf-8'))
signature = HS256.hexdigest()
print(signature)  # 815ce0e4e15fff813c5c9b66cfc3791c35745349f68530bc862f7f63c9553f4b

# jwt token 最终的生成
token = f"{header}.{payload}.{signature}"
print(token)
# eyJ0eXAiOiAiand0IiwgImFsZyI6ICJIUzI1NiJ9.eyJzdWIiOiAicm9vdCIsICJleHAiOiAxNjk5Nzc2Mzk4LCAiaWF0IjogMTY5OTc3Mjc5OCwgIm5hbWUiOiAid2FuZ3hpYW9taW5nIiwgImF2YXRhciI6ICIxLnBuZyIsICJ1c2VyX2lkIjogMSwgImFkbWluIjogdHJ1ZSwgImFjY19wd2QiOiAiUWlMQ0poYkdjaU9pSklVekkxTmlKOVFpTENKaGJHY2lPaUpJVXpJMU5pSjlRaUxDSmhiR2NpT2lKSVV6STFOaUo5In0=.405b472590234fb1babc4daffcb149d4b8855f03aaac2fa0b15672ebc36cc8b5
黑夜里的月亮
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.Net Core 3.1 中使用JWT认证笔记
Kilven
05-01 4667
一、JWT原理: 1、传统的登录方式:浏览器输入用户名密码,服务器端检验通过后,根据用户信息生成一个token,将token和userID存到数据库或者session中,并将token返回给前端存入cookie。之后客户端访问时会带上cookie中的信息,服务端根据客户端提供的信息对比来验证登录的客户有效性。 存在弊端:问题1:如果出现XSS(Cross-Site Scripting)跨站请求...
懒人笔记 源码
03-17
7. **用户认证与授权**:为了保护用户数据的安全,懒人笔记可能会实现OAuth2、JWT(JSON Web Tokens)或其他身份验证机制,确保只有经过验证的用户才能访问和修改他们的笔记。 8. **版本控制**:Voice2Note-master...
JWT笔记
weixin_53607107的博客
03-20 334
http协议本身是一种无状态协议,这就意味着如果用户向我们的应用提供了用户名的密码来进行用户认证认证通过后http协议并不会记录认证后的状态,那么下一次请求时,还要再进行一次认证。为了能够让我们的应用能识别出是哪个用户发出的请求,只能在用户首次登录成功后,在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,)这样应用就能识别出请求来自哪个用户。首先 用户输入账号和密码进行登录,后端根据数据库验证用户,验证通过 生成token。
SpringBoot整合JWT的学习笔记
weixin_43138692的博客
10-30 344
1.什么是JWT JWT全称 Json·Web·Token,通俗地讲,也就是通过JSON形式作为Web应用中的令牌,用于在各⽅之间安全地将信息作为JSON对象传输,在数据传输地过程中还可以完成数据加密、签名等相关处理,是目前最流⾏的跨域身份解决⽅案。 2.JWT能做什么 1.授权(使用JWT最常见的方案) 一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由、服务和资源。单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。(即JWT能过够实现跨域) 2.
JWT令牌 --学习笔记
m0_71386740的博客
04-28 1272
令牌就是用户身份的标识,其本质就是一个字符串。令牌的形式有很多,JWT就是功能强大的一种令牌JWT令牌定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的简洁:是指jwt就是一个简单的字符串。可以在请求参数或者是请求头当中直接传递。自包含:指的是jwt令牌,看似是一个随机的字符串,但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。如:可以直接在jwt令牌中存储用户的相关信息。
Jwt学习笔记
热爱编写程序的药学在读书
09-27 414
笔记来源:文章 作者:Dearmadman 链接:https://www.jianshu.com/p/576dbf44b2ae 来源:简书 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 一 jwt介绍 1、jwt是什么 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认
JWT(学习笔记)
w7486的博客
07-04 144
1.什么是JWT 全称:JSON WEB TOKEN 2.JWT能做什么 1.用于安全验证 2.用于信息交换 3.传统的session认证 1.认证流程 我们知道,http协议本身是一中无状态协议。 而用户想要认证时 就会把用户信息存储在服务器的利用session上 这个session存放着用户信息以及sessionid,即使是这样我们也并不知道是哪个用户发起了请求。所以服务器就会将Jsessionid以cookie的方式存储在客户端(浏览器)。 也就是说当用户第一次请求时会创建一个ses
JWT整合笔记认证原理、流程整合springboot实战应用,前后端分离认证
wwwkm123的博客
05-14 225
1.什么是JWT? JsonWebToken 是一个开放标准,它定义了一种紧凑,自包含的方式,用于各方面之间以json格式传送信息,此信息可以验证和信任,因为他是数字签名。jwt可以秘密(使用HMAC算法)或ECDSA的公钥/私钥进行签名。 通过JSON格式作为web中的令牌,用于在各方之间安全地将信息作为json对象传输,在数据传输过程中完成数据加密,签名等相关处理。 2.JWT能做什么? java web安全验证 授权,一旦用户登录,每个后续请求包含JWT,从而允许用户问该令牌允许的路由,服.
JWT 笔记
weixin_41884632的博客
08-04 141
JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景...
传统session认证JWT认证有什么区别?
MonkeyBrothers的博客
01-18 1020
    欢迎大家搜索“小猴子的技术笔记”关注我的公众号,有问题可以及时和我交流。     我们知道http是无状态短连接的通信方式,也就是你请求了服务器,服务器响应给你了数据之后连接通信就断开了。这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行。     传统的session认证:因为http的无状态我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求。我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应
java云笔记代码与文档
09-19
7. **安全机制**:为了保护用户的笔记数据,项目可能使用HTTPS协议进行加密传输,同时在服务器端实现用户认证和授权,比如JWT(JSON Web Tokens)。 8. **云服务集成**:云笔记可能利用Amazon S3或Google Cloud ...
乐优商城《项目笔记
04-24
5. **权限管理**:电商平台通常需要实现用户注册、登录、权限验证等功能,这涉及到JWT(JSON Web Tokens)的使用,以及OAuth2等认证协议的理解。 6. **支付接口集成**:电商平台需要集成第三方支付平台,如支付宝或...
笔记.zip
03-19
10. **安全与隐私**:网络安全威胁(DDoS攻击、SQL注入、XSS跨站脚本等)、加密算法(对称加密、非对称加密)、OAuth、JWT认证授权机制。 以上内容仅是IT领域广泛知识的一部分,实际的“笔记”文件可能聚焦于某一...
笔记
02-18
这个项目可能是一个轻量级的笔记管理软件,旨在提供简单、快捷的方式来记录、组织和检索个人的想法和信息。由于没有具体的描述,我们将基于一般性的开源笔记应用来探讨可能涉及的技术知识点。 1. **编程语言与框架*...
Django smtp发送邮件
最新发布
一名正在努力的全栈工程师
07-22 245
EMAIL_HOST_PASSWORD= False #是否开启TLS安全协议。EMAIL_HOST = 'smtp.163.com' #SMTP 服务器域。recipient_list=[''],#发送的邮箱参数是一个列表。EMAIL_HOST_USER = '' #发件人邮箱。EMAIL_HOST_PASSWORD= '' #发件人的授权码。from_email='', #发送信息的邮箱。message='123456', #内容。subject='测试邮件', #标题。
Django REST Framework(十二)视图集-GenericViewSet
yjjpp2301的专栏
07-22 503
Django REST Framework 中的一个类,它结合了和的功能。它的主要目的是简化视图代码,通过将独特的代码作为类属性进行抽象,使代码更加可复用。
Django transaction.atomic()事务处理
人生苦短,何妨一试
07-21 580
Django中,transaction.atomic()是一个上下文管理器,它会自动开始一个事务,并在代码块执行完毕后提交事务。如果在代码块中抛出异常,事务将被自动回滚,确保数据库的一致性和完整性。在实际应用中,你可能需要根据具体的业务逻辑来决定何时抛出异常,以触发事务回滚。例如,如果某个操作依赖于另一个操作的成功,那么在第一个操作失败时,你可能需要抛出异常,以防止后续操作被执行,从而保持数据的一致性。
Django—admin后台管理
m0_74957207的博客
07-22 637
Book.objects.create(title=:'HTML5',pub='清华大学出版社',price=90,market_price=105): Django admin提供了许多自定义选项,比如自定义列表显示、搜索功能、过滤器等。你可以通过覆盖admin类来实现这些自定义。默认端口为8000,也可以指定端口,python manage.py runserver 端口号。: 在Django项目中,应用是执行特定功能的模块。,使用你创建的超级用户账户登录。: 在你的应用目录下,编辑。
ruoyi jwt认证
08-23
- *1* *3* [若依管理系统自学笔记二:JWT](https://blog.csdn.net/HDUCheater/article/details/119141978)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值