JWT的原理及其相对优缺点

最新推荐文章于 2024-02-29 08:50:37 发布
最新推荐文章于 2024-02-29 08:50:37 发布
阅读量1.3w 收藏 10
点赞数 4
分类专栏: Java 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44969643/article/details/107626702
版权

一,Token

token特点
Token 临时且唯一 保证不能够重复 (缓存有效期机制),智能门锁、临时密码 具有有效期2小时
token生成
Token如何生成:uuid作为token。
比如:生成token(uuid生成),作为Rediskey放入redis中,Redis的key作为有效期。

实际项目中,token和sessionid非常相似

session缺陷
传统项目使用session存在缺陷:放入到服务端,
session 类似redis存放缓存内容,
session中的sessionid类似于token,
session共享效率低
大的项目都是基于token替代session,Redis中。

token的使用
每次请求的时候在请求头中传递该token,服务器端接收到
Token,从Redis查找对应key对应的value userid。
再根据userid查询用户信息返回给客户端。
使用token的情况下依赖:必须依赖服务器端redis。
Token:
1)临时且唯一。
2)能够隐藏参数的真实性。

二,JWT

jwt和token的设计思想基本一致。
JWT:json web token
Json:数据交换格式 轻量级、跨语言、减少带宽、可读性高

加密算法

  • 单向加密(不可逆加密,不能反解):MD5、SHA
    在这里插入图片描述
    在这里插入图片描述
    优点:性能好,加密或解密只需要遍历一次

  • 双向加密(可逆加密,需要的时候可以反解为明文) :对称加密(对称加密过程和解密过程使用的同一个密钥) aes des 非对称加密(使用公钥进行加密,使用私钥进行解密。) rsa
    在这里插入图片描述

    根据一个数学原理会生成一对密钥,一个叫公钥、一个叫私钥,同一份文档用公钥加密了就只能用私钥解密。
    缺点:有点复杂,所以机密解密性能不好
    主要两个应用场景:
    1)加密传输:公钥加密,拥有私钥的可以解密。
    2)身份验证:使用私钥进行加密,因为公钥是公开的,理论上所有人都知道,他们通过此来对这个人进行身份验证

JWT主要分成 三个部分组成
第一部分:header头部 ,标记使用什么算法 HS256,RSA256.
第二部分:PayLoad(载荷),jwt存放的数据,注意不能够存放敏感数据(userid、号码)
第三部分:sign,PayLoad采用MD5加密之后的签名值

Jwt生成:
Base64.ENcode(header).Base64.ENcode(PayLoad).签名值

手写JWT

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.72</version>
</dependency>

<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-lang3</artifactId>
</dependency>

<dependency>
    <groupId>commons-codec</groupId>
    <artifactId>commons-codec</artifactId>
</dependency>

package com.shuang;

import com.alibaba.fastjson.JSONObject;
import org.apache.commons.codec.digest.DigestUtils;

import java.util.Base64;


public class test1 {
    private static String SIGN_KEY="shuang";

    public static void main(String[] args) {
        //head
        JSONObject header =new JSONObject();
        header.put("alg","HS256");
        //payload
        JSONObject payload=new JSONObject();
        payload.put("phone","12345678901");
        //sign
        String sign= DigestUtils.md5Hex(payload+SIGN_KEY);
        String jwt= Base64.getEncoder().encodeToString(header.toJSONString().getBytes())
                +"."+Base64.getEncoder().encodeToString(payload.toJSONString().getBytes())
                +"."+sign;
        System.out.println(jwt);

        //解密
        String[] split=jwt.split("\\.");
        String payLoad=new String(Base64.getDecoder().decode(split[1].getBytes()));

        System.out.println(DigestUtils.md5Hex(payLoad+SIGN_KEY).equals(sign));
        System.out.println(payLoad);
    }
}

在这里插入图片描述

Base64不属于对称加密属于编码器。

Jwt与token的区别
1)token对应的内容存放在Redis中
2)Jwt对应的playload数据存放在客户端

Jwt优点
1),减轻服务端压力。
2),查询效率比token高。
3),不容易被客户端篡改数据。
缺点
1)如果一旦生成好一个jwt之后,后期是否可以销毁
2)Jwt playload数据多,占据服务器端带宽资源
jwt不是很安全,playload中不能存放敏感的信息,必要须加密
jwt注销
无法做真正意义上的注销
1)用户注销时,直接将cookie缓存清除。
2)最好将jwt过期时间定义不要太长。
3)每个用户对应的盐值不一样,用户注销的时候直接将该盐值发生变化。

希境
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Node.JS如何实现JWT原理
10-14
jwt是json web token的简称,本文介绍它的原理,最后后端用nodejs自己实现如何为客户端生成令牌token和校验token
jwt 原理
weixin_48334703的博客
10-05 1852
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
JWT介绍及基本使用
最新发布
weixin_60872974的博客
02-29 1475
通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。
JWT原理详解
前端那些事@时光
09-27 3236
JWT原理详解 随着前后端分离的发展,以及数据中心的建立,越来越多的公司会创建一个中心服务器,服务于各种产品线。 而这些产品线上的产品,它们可能有着各种终端设备,包括但不仅限于浏览器、桌面应用、移动端应用、平板应用、甚至智能家居 实际上,不同的产品线通常有自己的服务器,产品内部的数据一般和自己的服务器交互。 但中心服务器仍然有必要存在,因为同一家公司的产品总是会存在共享的数据,比如用户数据 这些设备与中心服务器之间会进行http通信 一般来说,中心服务器至少承担着认证和授权的功能,例如登录:各种设备发
jwt认证原理
weixin_52596593的博客
10-12 859
有时候我们可能需要自己定义用户表这时候再直接用dif-jwt快速方法就不行了,我们需要自己写token第一步再models中定义user表并数据迁移第二步在视图中自己写登陆接口try:# 获取username、password# 使用用户存在再使用djagnorestframework-jwt模块提供的签发token的函数,生成tokenreturn Response({'code':100,'msg':'登录成功','token':token})# 获取不到用户抛异常。
JWT 弊端解决思路(主动过期\权限更新)
编程大白菜
08-26 2585
JWT 弊端解决思路(主动过期\权限更新)
COOKIE使用以及sessions使用和优缺点
weixin_51118163的博客
10-05 296
COOKIE使用以及sessions使用和优缺点 https://www.cnblogs.com/xiaonq/p/11094480.html 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信
jwt原理
m0_51946387的博客
11-02 171
JWT原理 JWT是Auth0提出的通过对JSON进行加密签名来实现授权验证的方案,编码之后的JWT看起来是这样的一串字符: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9. TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 分为三段,通过解码可以得到 1. 头部(Header) // 包
系统登录认证流程对比(cookie方式与jwt)
iygxv
11-01 1279
系统登录认证流程对比(cookie方式与jwt) 一个正在努力爱好运动的程序猿座右铭:越努力越幸运,越运动越健康,热爱编程,热爱运动。 文章目录系统登录认证流程对比(cookie方式与jwt)一、cookie方式登录认证二、JWT(Json Web Token)方式登录认 一、cookie方式登录认证 步骤: 1.用户向服务器发送用户名和密码。 2.服务器验证后,相关数据(如用户角色等)将保存在当前会话(session)中。 3.服务器向用户返回sessionId会写入到用户的Cookie。 4
JWT认证原理、流程整合springboot实战应用
01-18
JWT认证原理、流程整合springboot实战应用
JWT身份认证优缺点分析以及常见问题解决方案.docx
10-26
JWT身份认证优缺点分析以及常见问题解决方案.docx
浅谈ASP.NET Core 中jwt授权认证的流程原理
10-15
主要介绍了浅谈ASP.NET Core 中jwt授权认证的流程原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
jwt优缺点 如何使用jwt
j9922816的博客
05-06 2730
在生成JWT令牌时,我们使用了一个密钥来签名令牌,并设置了令牌的过期时间为1小时。在验证JWT令牌时,我们使用相同的密钥来验证令牌的真实性,并获取令牌中的信息。而JWT是无状态的,不需要在服务器上存储任何信息,因此可以减轻服务器的负担。1. 令牌过期问题:JWT的令牌过期时间是固定的,无法在令牌生成后更改。2. 令牌大小问题:JWT令牌的大小通常比Session令牌大,因为它包含了更多的信息。本文将介绍JWT优缺点以及为什么使用JWT而不是Session,并提供使用JWT的示例代码。
一文带你搞懂 JWT 常见概念 & 优缺点
程序员小明1024
07-13 2593
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
JWT优缺点及应用介绍
码农的日常收集
06-06 1551
JWT,全称是JSON Web Token,是一种规范化的 token,能解决分布式部署会话问题。 JWT是一个很长的字符串,字符之间通过"."分隔符分为三个子串:JWT头,有效载荷,签名。 默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。有效载荷这个JSON对象也使用Base64 URL算法转换为字符串保存。...
jwt原理&现象及使用
m0_60375943的博客
11-17 2691
一:jwt原理 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 例:jwt就相当于学校的出入证,只有持有出入证的人才能进行出入 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 以session来举例,session是储存在服务器的,如果是按服务器来储存数据的话,那么服务器会占用很大的一个内存,而存储在客户端就解决了这个问题 3. JWT的工作原理 传统开发对资源的访问限制利用session完成图解 jwt
jwt和csrf token的关系和优缺点
06-12
JWT(JSON Web Token)和 CSRF token(Cross-Site Request Forgery token)都是常见的安全机制,但它们的作用有所不同。 - JWT 主要用于认证和授权,它是一种基于 JSON 的开放标准,用于在客户端和服务器之间传递安全声明。JWT 通常包含用户身份信息、访问权限等信息,用于验证用户身份和控制用户权限,从而保证数据的安全性和完整性。 - CSRF token 主要用于防止跨站点请求伪造攻击,它是一种随机生成的 token,用于验证用户提交的请求是否合法。CSRF token 通常存储在用户的会话中,当用户提交表单或发出请求时,服务器会将 token 作为隐藏表单字段或请求头信息返回给客户端,客户端再将其作为表单提交或请求头信息一起发送到服务器端进行验证。 它们的优缺点如下: - JWT 的优点是可以在多个应用程序之间共享,由于 JWT 包含了用户身份信息和访问权限等信息,因此可以减少对服务器的重复查询和验证,提高应用程序的性能。但是,如果 JWT 被劫持或篡改,那么攻击者就可以冒充用户进行访问,造成安全风险。 - CSRF token 的优点是可以有效防止跨站点请求伪造攻击,保证用户提交的请求都是合法的,从而保护用户的安全。但是,CSRF token 需要将 token 存储在用户的会话中,如果会话被劫持或泄露,那么攻击者就可以使用该 token 进行攻击,造成安全风险。 综上所述,JWT 和 CSRF token 都是常见的安全机制,应用场景不同,具有各自的优缺点。在实际开发中,应根据具体场景选择合适的安全机制,以保证应用程序的安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

希境

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值