JWT结果功能用处简单介绍

最新推荐文章于 2024-06-07 17:17:02 发布
最新推荐文章于 2024-06-07 17:17:02 发布
阅读量979 收藏 4
点赞数 1
分类专栏: # 框架 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43781399/article/details/120371140
版权

JWT

Json Web Token

1、JWT长什么样?

JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。就像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

2、JWT的构成

第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature).

1.header

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt
  • 声明加密的算法 通常直接使用 HMAC SHA256

完整的头部就像下面这样的JSON:

{
  'typ': 'JWT',
  'alg': 'HS256'
}

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

2.playload

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

标准中注册的声明 (建议但不强制使用) :

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后将其进行base64加密,得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

3.signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)
  • payload (base64后的)
  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

// javascript
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

  eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

3、使用流程

image-20210817211323122

流程说明: 1,浏览器发起请求登陆,携带用户名和密码; 2,服务端验证身份,根据算法,将用户标识符打包生成 token, 3,服务器返回JWT信息给浏览器,JWT不包含敏感信息; 4,浏览器发起请求获取用户资料,把刚刚拿到的 token一起发送给服务器; 5,服务器发现数据中有 token,验明正身; 6,服务器返回该用户的用户资料;

4、JWT的6个优缺点

1、JWT默认不加密,但可以加密。生成原始令牌后,可以使用改令牌再次对其进行加密。

2、当JWT未加密方法是,一些私密数据无法通过JWT传输。

3、JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。

4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。

5、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。

6、为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。

参考:

什么是 JWT – JSON WEB TOKEN - 简书 (jianshu.com)

卷、就硬卷
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nodejs-简单登录案例入门初学
07-24
随着对 Node.js 和 Express 的深入学习,你可以了解更多的中间件、路由、模板引擎以及与数据库的集成,从而构建更复杂的登录系统和其他功能丰富的 Web 应用。 在实际项目中,不要将用户密码明文存储,而是应使用...
简单PHP做API接口写注册登录-易语言
06-12
常见的做法是使用令牌(如JWT,JSON Web Tokens)进行认证,每个请求都包含这个令牌来表明用户身份。 以上是构建一个简单的PHP API接口,实现注册和登录功能所涉及的关键知识点。通过这些技术,开发者能够创建出...
JWT基础(一)
Kiddyup的博客
04-16 3190
1、JWT作用 什么是JWT jwt 简称 JSON Web Token ,也就是以Json的形式作为web中的令牌。在数据传输过程中还可以完成数据加密、签名等操作。 主要的作用: 授权 这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。 2.信息交换 JSON Web Token是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名
四、【Django】基于Jwt的token认证(登录接口)
Ataoker的博客
07-18 4219
django 使用jwt token的东西来进行认证
什么是JWT(Json-Web-Token)?JWT的用途和优势是什么?
最新发布
Rverdoser的博客
06-07 369
简单来说,JWT就像一个加密的“通行证”,可以在不同的服务终端之间安全地传递信息。JWT就像一个加密的“通行证”,可以帮助我们在不同的服务之间安全地传递信息。2. 可扩展性:JWT支持自定义的声明(Claim),可以根据需要包含更多的用户信息或其他业务逻辑所需的信息。4. 安全性:JWT使用数字签名对Token进行验证,确保了数据的完整性和真实性,防止被篡改或伪造。5. 跨域支持:由于Token的传输和验证都是在HTTP头部进行的,因此JWT支持跨域请求。Token,具有较小的数据体积,便于传输和存储。
django rest framework jwt 不使用django user来生成和认证token的方法
feng3615的博客
06-15 8915
简单介绍一下jwt Json Web Token(JWTJWT 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具备两个特点: 简洁(Compact) 可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小...
JWT是什么?它有什么用?
努力
12-23 920
JWT是 JSON Web Token 的缩写,通过数字签名的方式,以JSON对象为载体,在不同的服务器终端之间安全传输的信息。
为什么要学jwt,能解决什么问题
rambler_designer
04-16 1766
一句话: 前后端交互过程中使用的token就是通过jwt生成的 一、JWT能做什么 授权 这是jwt最常用的一个功能, 也就是用户登录成功以后给用户颁发一个token(令牌),使用这个token令牌可以访问后台的接口,【单点登录广泛使用了jwt】 加密 通过jwt可以对参数进行签名, 后端可以通过设置拦截器验证参数的签名, 如果验证通过才真正进入后台进行处理 二、为什么选择jwt,sess...
安卓的论坛(很简单的那种)应付作业用,有设计报告
02-03
7. **用户认证**:可能包括登录和注册功能,涉及到了用户身份验证,可能通过JSON Web Tokens (JWT) 或服务器端session进行实现。 8. **事件监听**:按钮点击、滚动事件等都需要监听并处理,通过OnClickListener、...
blogapp:这是一个简单的博客应用程序。 链接在下面
04-11
在这种情况下,JavaScript作为后端语言(通过Node.js),可以与前端通过JSON Web Tokens (JWT) 进行通信,以确保安全的身份验证。 文件名"blogapp-main"可能是指项目的主文件夹,通常包含项目的源代码、样式表(CSS...
Python-API-开发-基础知识:使用Python和Flask开发全栈式Web应用程序
02-05
Python API开发基础Python是一种灵活的语言,不仅可以用于脚本开发,还可以用于更多用途。 通过了解Python RESTful API的工作原理,您可以使用Python为Web应用程序和移动应用程序构建强大的后端。 您将通过构建简单...
什么是JWT?JWT能做什么?JWT怎么使用?
lidasha_521的博客
04-14 1206
什么是JWT?JWT能做什么?JWT怎么使用?
Django JWT验证
LoadingCreate的博客
05-27 942
JSON Web Token,简称JWT,是一种开放标准(RFC 7519),用于在网络上传输信息,特别是在身份验证和授权方面。JWT是一串编码后的JSON格式字符串,它由三个部分组成:头部(Header)、负载(Payload)和签名(Signature)。Django JWT验证是一种安全的身份验证方法,通过使用库,我们可以轻松地实现JWT的创建、验证和刷新。
【Django】基于JWT的token认证
无邪的博客
03-28 1776
很多对外开放的API需要识别请求者的身份,并据此判断所请求的资源是否可以返回给请求者。token就是一种用于身份验证的机制,基于这种机制,应用不需要在服务端保留用户的认证信息或者会话信息,可实现无状态、分布式的Web应用授权,为应用的扩展提供了便利。Json Web Toke(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准RFC7519。
JWT介绍以及使用
lanlan112233的博客
03-25 500
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
JWT 组成 各部分作用
qq_33348135的博客
09-21 2389
1.Header(头) 作用:记录令牌类型、签名算法等 例如:{“alg":"HS256","type","JWT} 2.Payload(有效载荷)作用:携带一些用户信息 例如{"userId":"1","username":"mingzi"} 3.Signature(签名)作用:防止Token被篡改、确保安全性 例如 计算出来的签名,一个字符串 ...
一文搞懂JWT
kuokay的博客
10-31 1737
Django REST framework JWT一、JWT简介二、JWT 组成headerpayloadsignature三.使用手动生成jwt前端保存jwt 一、JWT简介 JWT(Json Web Token) 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具备两个特点: 简洁(Compact) 可以通过URL, POST 参数或者在 HTTP hea
Django之JWT库与SimpleJWT库的使用
积跬步,至千里。
08-03 1787
使用Django框架时,可以选择jwt或simplejwt来增强其功能。这两个扩展提供了与JWT认证相关的功能,可以帮助实现安全而高效的用户认证和授权机制。通过使用它们,可以轻松地将JWT集成到Django应用程序中,并提供可靠的用户身份验证和权限管理功能
Django中如何使用jwt登录验证
weixin_44380466的博客
09-06 229
'rest_framework_jwt.authentication.JSONWebTkenAuthenticaion', # 在DRF中配置JWT认证。'rest_framework.permissions.IsAuthenticated', # 全局配置只有认证的用户才可以访问接口。1.在settings中配置 rest_framework.auhtoken corsheaders。# 3.刷新token 允许使用旧的token刷新新的token 接口对接需要设置为true。
jwt生成token,介绍一下jwt
05-17
JWT(JSON Web Token)是一种用于在网络上传递声明的开放标准。JWT通常由三部分组成,分别是头部、载荷和签名。其中头部和载荷都是由JSON对象组成的,而签名则是对头部和载荷进行加密后生成的字符串,用于验证JWT的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值