JWT基本使用

最新推荐文章于 2024-07-12 15:33:10 发布
最新推荐文章于 2024-07-12 15:33:10 发布
阅读量250 收藏 1
点赞数 1
文章标签: JWT 后端 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41579276/article/details/95466513
版权

JWT的使用可以让两个组织之间传递可靠的信息(可以代替session认证机制),这是目前比较流行的跨域身份认证解决方案。
使用场景举例(对比session的好处):

普通网站基于session认证有弊端

  1. 因为session是存储在服务端的,需要一定的开销,在用户量很大的时候色session认证会降低服务器的性能,
  2. 再者,搭建分布式服务器情况下,用户访问时候,分配到的服务器不一定就是之前用户登录的那一台,这样的话获取session也比较麻烦
  3. 因为session是基于cookie来认证用户身份的,cookie被接获的话很容易造成跨域请求伪造的攻击(csrf)

这时候可以使用JWT来代替session从而解决这个弊端。

JWT的组成

Header: 描述JWT的基本信息,例如类型以及签名所用的算法,加密方式等。JSON内容经过Base64编码生成字符串成为Header

{
    'typ''JWT',    # 声明类型
    'alg': 'HS256',     # 加密方式
}

然后使用Base64加密,形成字符串eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

PayLoad: 存放有效信息的地方,包含三部分

  • 标准中注册声明:是由JWT标准定义的,建议是这么使用的
  1. iss:JWT的签发者
  2. sub:JWT所面向的用户
  3. aud:接受这个JWT的一方
  4. exp:JWT的过期时间(还有刷新时间)
  5. iat(issued at):签发时间
  • 公共的声明 : 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息。但不建议添加敏感信息,因为该部分在客户端可解密。
  • 私有的声明 : 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
    可以按照下面的定义:
{
    'username': 'your_name',
    'mobile': '134xxxxxxxx'
    'email': 'xxx@xx.com'
    'exp': '<有效时间>'
}

然后也用Base64加密得到第二部分eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

后面还有信息可以按照需求补充,JSON也是要经过Base64编码生成字符串成为PayLoad

signature:签名信息,防止JWT被伪造

1. 签名生成过程?
答:服务器在生成jwt token时,会将header和payload字符串进行拼接,用.隔开,然后使用一个只有服务
器知道的密钥对拼接后的内容进行加密,加密之后生成的字符串就是signature内容。

2. 签名验证过程?
答:当客户端将jwt token传递给服务器之后,服务器首先需要进行签名验证:
  1)将客户端传递的jwt token中的header和payload字符串进行拼接,用.隔开
  2)使用服务器自己的密钥对拼接之后的字符串进行加密
  3)将加密之后的内容和将客户端传递的jwt token中signature进行对比,如果不一致,就说明
  jwt token是被伪造的

基于JWT认证的工作流程

  1. 用户登陆到服务器
  2. 服务器验证用户信息
  3. 服务器验证通过后给用户生成一个token
  4. 用户端存储token,在下次访问的时候带上这个token
  5. 服务器验证token

JWT实际应用

在DRF框架中使用
pip install djangorestframework-jwt安装好jwt包

配置项中加入jwt的配置信息

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        # 引入JWT认证机制,当客户端将jwt token传递给服务器之后
        # 此认证机制会自动校验jwt token的有效性,无效会直接返回401(未认证错误)
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication',
    ),
}

# JWT扩展配置
JWT_AUTH = {
    # 设置生成jwt token的有效时间
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
}

手动生成token

from rest_framework_jwt.settings import api_settings

jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER

payload = jwt_payload_handler(user)
token = jwt_encode_handler(payload)

也可以使用python的库中的jwt包生成token

使用pip install pyjwt安装
具体的生成方法再去看看说明文档怎么使用

薯饼炒粉
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT基本使用
jkj2460228393的博客
05-13 3873
前言 主要介绍JWT基本使用。 一、JWT的样子 示例:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。 二、JWT的构成 第一部分我们称它为头部(header),第二部分我们称其为
JWT的简单使用
JackyTong66的博客
07-26 388
JWT一般使用在授权认证的过程中,一旦用户登录,后端返回一个token给前端,相当于后端给了前端返回了一个授权码,之后前端向后端发送的每一个请求都需要包含这个token,后端在执行方法前会校验这个token(安全校验),校验通过才执行具体的业务逻辑。...
面试官:谈谈JWT鉴权的应用场景及使用建议?
架构师小秘圈
04-20 3957
作者:mantou叔叔 || 编辑:搜云库技术团队出处:https://dwz.cn/7bikj3yk1. JWT 介绍JSON Web Token(JWT)是一个开放式...
JWT基础
trouble is a friend
10-13 534
参考:JWT——概念、认证流程、结构、使用JWT_Guizy-CSDN博客 一、什么是JWT JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。 二、JWT能做什么? 1、授权 这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不.
web 开发中jwt使用
一路奔跑94的博客
04-28 2832
摘要: 在Web应用中,使用JWT替代session并不是个好主意 适合JWT使用场景 抱歉,当了回标题党。我并不否认JWT的价值,只是它经常被误用。 网友看法: jwt最致命的问题,就是将用户标识明文(base64等同明文)的放在客户端,而且单一依赖同一个secret。一旦secret被泄露,那攻击者就可以毫不费力的冒充所有用户。而不幸的是,secret的保护并不足够:1. 一般作为配...
JWT
weixin_43654482的博客
10-11 274
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 3.1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "...
普通令牌token和jwt令牌token区别以及使用场景
西京刀客
08-26 8502
文章目录token分类普通令牌JWT令牌 token分类 SpringSecurityOauth2令牌 参考URL: https://www.yuque.com/gaoxi-dj1fr/fxgaxe/ivvpqc 1.普通令牌的作用:唯一标识存贮在数据库或内存中的用户信息,在认证时,SpringSecurity拿着普通令牌去数据库中查询用户信息使用 2.jwt令牌的作用:jwt令牌中本身存储着用户信息,在认证时,SpringSecurity从jwt令牌中解析出用户信息即可,不需要借助数据库等进行存储 普通令
JWT.的基本使用和注意事项
09-15
简单上手 无脑操作对着文档就可以 完后
netCore3.1 WebApi 使用JWT 授权认证使用实例
01-21
在.NET Core 3.1中开发Web API时,JWT(JSON Web ...以上就是.NET Core 3.1 Web API使用JWT授权认证基本步骤。通过这种方式,我们可以确保API的安全性,并且与Swagger的集成使得API的测试和文档管理变得更加便捷。
.net core使用Jwt授权验证
10-30
首先,我们需要理解 JWT基本概念。JWT 是由三部分组成的:头部(Header),载荷(Payload)和签名(Signature)。头部和载荷都是经过 Base64 编码的 JSON 对象,而签名则是通过头部、载荷以及一个秘密(Secret)...
了解、初学和基本使用JWT
07-06
哔站楠哥速学JWT讲课! 整理的初学JWT笔记(Java)
JWT Token生成及验证
07-16
### JWT Token的基本构成 JWT由三部分组成,每部分由点(.)分隔: 1. **头部(Header)**:通常包含令牌的类型(JWT)和使用的签名算法(如HS256或RS256)。 2. **载荷(Payload)**:包含声明(claims)。声明是...
系统登录认证流程对比(cookie方式与jwt)
iygxv
11-01 1345
系统登录认证流程对比(cookie方式与jwt) 一个正在努力爱好运动的程序猿座右铭:越努力越幸运,越运动越健康,热爱编程,热爱运动。 文章目录系统登录认证流程对比(cookie方式与jwt)一、cookie方式登录认证二、JWT(Json Web Token)方式登录认 一、cookie方式登录认证 步骤: 1.用户向服务器发送用户名和密码。 2.服务器验证后,相关数据(如用户角色等)将保存在当前会话(session)中。 3.服务器向用户返回sessionId会写入到用户的Cookie。 4
JWT常用的几种应用场景
Lin_Bolun的博客
01-17 1202
正常的JWT是不涉及服务端存储的,完全靠算法校验token是否有效 当然想要实现某些进阶的控制或校验,就需要搭配一些其他的技术栈实现 比如用户退出登录,要作废某个token,像这样的场景就需要在服务端保存一个token的黑名单 把作废的token保存到黑名单里,后续每一次请求进来,先去黑名单里找一下,如果在黑名单里就拒绝此次请求。 至于保存的黑名单是使用redis还是其他的存储都是可以的 实现异地登录退出就是要结合请求的IP或设备识别号一起生成token,然后保存userid 和 token..
理解JWT使用场景和优劣
程序猿DD
04-24 4067
作者:徐靖峰 原文:https://www.cnkirito.moe/2018/04/20/jwt-learn-3/经过前面两篇文章《JSON Web Token - 在...
OAuth 2和JWT - 如何设计安全的API?
热门推荐
MoaKap的专栏
11-09 3万+
OAuth 2和JWT - 如何设计安全的API?Moakap译,原文 OAuth 2 VS JSON Web Tokens: How to secure an API 本文会详细描述两种通用的保证API安全性的方法:OAuth2和JSON Web Token (JWT)假设: 你已经或者正在实现API; 你正在考虑选择一个合适的方法保证API的安全性; JWT和OAuth2比较?要比较JWT和OA
JWT使用场景和优劣
peanut的博客
08-24 441
一、JWT应用场景 一次性验证 比如用户注册后需要发一封邮件让其激活账户,通常邮件中需要有一个链接,这个链接需要具备以下的特性:能够标识用户,该链接具有时效性(通常只允许几小时之内激活),不能被篡改以激活其他可能的账户…这种场景就和 jwt 的特性非常贴近,jwt 的 payload 中固定的参数:iss 签发者和 exp 过期时间正是为其做准备的。 restful api 的无状态认证 使用 jwt 来做 restful api 的身份认证也是值得推崇的一种使用方案。客户端和服务端共享 secret;过
使用Nginx实现高效负载均衡
最新发布
@云安全小杜
07-12 696
Nginx是一款高性能的HTTP和反向代理服务器,广泛用于Web服务的负载均衡。它能有效分发流量至多个后端服务器,提高网站的可用性和响应速度,同时增强系统的可扩展性和安全性。本文将介绍如何配置Nginx进行负载均衡,并提供具体的配置示例。Nginx提供了强大而灵活的负载均衡功能,通过合理配置,可以显著提升Web服务的性能和稳定性。无论是小型项目还是大型集群,Nginx都能提供有效的解决方案。以上配置示例为基本的负载均衡设置,实际场景中可能需要根据具体需求进行更详细的定制。
gin jwt 使用
03-03
在Gin框架中使用JWT(JSON Web Token)可以实现份验证和...以上代码演示了在Gin框架中使用JWT进行身份验证和授权的基本流程。用户可以通过发送登录请求获取JWT,然后在需要身份验证的路由中将JWT放入请求头中进行验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值