用户登录和权限认证之 —— JWT

最新推荐文章于 2024-08-08 21:13:18 发布
最新推荐文章于 2024-08-08 21:13:18 发布
阅读量3.4k 收藏 49
点赞数 6
分类专栏: 前端进阶 文章标签: 前端 jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45770253/article/details/121494183
版权
本文介绍了用户登录和权限认证的两种方法,重点讲解了JWT(Json Web Token)的工作流程、优缺点以及如何存储和校验JWT。讨论了JWT在解决Cookie+Session扩展性问题上的优势,并通过实例解析了JWT的构成和内容。
摘要由CSDN通过智能技术生成

这里我会讲解 web 前端常用的用户登录和权限认证的方法 —— JWT,有错误希望指正

文章目录

1、Cookie + Session

       在讲解 JWT 之前,我先介绍一下最简单的用户登录和权限认证方式:Cookie + Session

① 概述

       HTTP 是一种无状态的协议,客户端每次发送请求时,首先要和服务器端建立一个连接,在请求完成后又会断开这个连接。这种方式可以节省传输时占用的连接资源,但同时也存在一个问题:每次请求都是独立的,服务器端无法判断本次请求和上一次请求是否来自同一个用户,进而也就无法判断用户的登录状态。

注意:上面提到 HTTP,是无状态的,但是 HTTP2 也并不能说是有状态的。 因为 HTTP 是无状态的,所以需要 cookie 来记录一些状态。HTTP2 只是对于复用单一 TCP 连接,但是从服务器角度而言依然需要 cookie 来记录一些状态,因此并不能说 HTTP2 是有状态的。

② 流程图

在这里插入图片描述

③ 校验步骤

  1. 第一步,用户登录账号,客户端发送 POST 请求,将用户名和密码发送到服务器。
  2. 第二步,服务器会保存用户对应的 session 数据,并且保存在自己的数据库中(当然也可以保存在客户端的内存中)。
  3. 第三步,服务器返回给客户端 HTTP 200 状态码,这个时候在请求头 header 中,保存了一个 Set-Cookie: sessionid 的数据,给用户登录的 cookie设置了一个 session 的 id 值。
  4. 第四步,当客户端要获取用户信息的时候,发送 GET 请求,这个时候会自动携带上 cookie 信息,里面保存的就是 session 的 id 值。
  5. 第五步,当服务器接收到请求的时候,会查看客户端发送的请求中的 cookie 字段,并且查看服务器中是否存在该 session 的数据。
  6. 第六步
最低0.47元/天 解锁文章
凉爽爽爽爽爽爽爽爽爽
关注
专栏目录
JWT认证
Yietong的博客
10-12 1811
上面我们都是基于auth_user表去做签发认证的,但是我们日常基本程序都是自定义的表来做认证,所以我们来试试自定义user表models.pyviews.py# # 登录后才能访问,加一个认证类,# # 使用jwt提供的认证类必须要配合权限类使用## 自定义的用户签发tokentry:# 根据user签发token【三部分,头,荷载,签名】# 使用jwt模块签发token的函数,生成token。
Server端的认证神器——JWT(一)
JaneRoad
11-06 251
什么是JWT JSON Web Token(以下简称 JWT)是一套开放的标准,它定义了一套简洁且 URL 安全的方案,以安全地在客户端和服务器之间传输 JSON 格...
JWT权限验证
weixin_53216033的博客
06-29 1063
JWT,全称JSON Web Tokens,是一种开放标准(RFC 7519)定义的方式,用于在双方之间安全地传输信息。这些信息可以包括用户的身份信息、角色、权限等。JWT通过编码、签名等方式保证传输的信息的安全性和可验证性。JWT不是一种只能做权限验证的工具,而是一种标准化的数据传输规范,所以只要是在系统之间进行简短而又需要一定安全保护的数据传输都可以使用JWT规范来传输。而规范是不受平台限制的,所以JWT是可以跨平台使用的。在JWT中,Claim(生称)的用途主要是存储和传递用户身份信息和其他相关数据。
权限验证-JWT
最新发布
m0_51607909的博客
08-08 514
第二部分是负载,内容也是一个json对象,它是存放有效信息的地方,它可以存放jwt提供的现成字段,比如:iss(签发者),exp(过期时间戳), sub(面向的用户)等,也可自定义字段。使用JWT的思路是,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。JWT令牌由三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz。
权限验证-JWT认证
Hello_super的博客
06-11 1230
JSON Web Token,通过数字签名的方式,以JSON对象为载体,在不同的服务终端之间安全的传输信息;
springBoot 的jwt实现权限认证
qq_45515347的博客
08-27 3285
jwt原理以及使用springboot实现一个简单实例
小程序登录(二)——通过JWT实现权限认证
spring_dog的博客
07-08 2194
JWT 是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名 简单来说,就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息 实现流程: 将用户信息加密生成token,响应给前端前端将token存储在localstorage中,之...
认证授权示例——JWT及Shiro
qqxhb 资源共享
08-12 2952
1、常见的认证机制 1.1 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的usernamepassword,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量...
一个轻量级 Java 权限认证框架让鉴权变得简单优雅-登录认证权限认证分布式Session会话微服务网关鉴权
04-14
—— 登录认证权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0。Sa-Token 目前主要五大功能模块:登录认证权限认证、单点登录、OAuth2.0、微服务鉴权。登录认证 —— 单端登录、多端登录、同...
用户登录权限校验 JWT【详解】
朝阳39的博客
10-26 1868
JWT (json web token)是当前最流行的用户登录权限校验(用户认证鉴权)方案。
Jwt(Json web token)——使用token的权限验证方法 & 用户+角色
2401_84267735的博客
04-17 1136
PrivsCheck.java文件/*** 定义注解*/
Jwt(Json web token)——使用token的权限验证方法 & 用户+角色+权限表设计 & SpringBoot项目应用
Arya的博客,专注后端领域
08-08 2020
1.认证鉴权服务,注册中心,认证中心,鉴权中心; 2.用户,角色,权限表设计,数据库视图的使用; 3.项目中的应用,使用自定义注解+拦截器; 4.枚举类型的json化, @JsonFormat(shape = JsonFormat.Shape.OBJECT) @Getter
JWT 登录认证
国内某知名游戏公司小菜鸡工程师
07-04 5183
分布式跨域认证的解决新方案
JWT(token) 认证
selints的博客
02-25 859
例如:你刚搬进一个小区,在第一次近小区时,你得去物业(客户端)登记一下(即:注册登陆的过程),然后物业给你一个门禁卡(里面记录你的一些简单信息信息,即jwt),在之后每次进入小区都等使用门禁卡验证身份。(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限JWT 的原理是,服务器认证以后,生成一个 JSON 对象(即:生成tocken),发回给用户,就像下面这样。(1)JWT 默认是不加密,但也是可以加密的。
ASP.NET Core WebAPI中使用JWT Bearer认证和授权
dotNET跨平台
12-15 3434
为什么是 JWT BearerASP.NET Core 在 Microsoft.AspNetCore.Authentication 下实现了一系列认证, 包含 Cooki...
Spring Security Oauth2学习(二)
收破烂的小熊猫
11-25 303
Spring Security Oauth2(二) 认识JWT令牌 在介绍JWT之前先看一下传统校验令牌的方法,如下图: 问题: 传统授权方法的问题是用户每次访问资源服务,资源服务都须携带令牌去认证服务中心请求验证令牌合法性,并根据令牌获取用户相关信息,性能低下。 这个时候的令牌只是作为唯一标识,并没有其他用途。 解决: 使用JWT的思路,用户认证通过会得到一个JWT令牌,JWT令牌中已经包含了...
jwt登录
huing的博客
09-02 357
这部分是对前两部分进行base64编码在进行加密,这个加密的方式使用的是jwt的头部声明中的加密方式,在加上一个密码(secret)组成的,secret 通常是一个随机的字符串,这个 secret是服务器特有的,不能够让其他人知道。是由用户以用户名、密码登录,服务端验证后,会生成一个 token,返回给客户端,客户端在下次访问的过程中携带这个 token,服务端责每次验证这个token。这一部分是jwt的主体部分,这一部分也是json对象,可以包含需要传递的数据。
.Net Core使用JWT进行身份认证
baidu_38845827的博客
12-01 1223
参照下面的博客一点问题没有 https://www.cnblogs.com/tommao2618/archive/2020/06/19/13127625.html 我自己在测试的时候 生成jwt的token报错:PII is hidden. For more details 参照下面的博客知道了原因是由于设置的key过短 https://blog.csdn.net/gnsyhxg/article/details/96181383 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

凉爽爽爽爽爽爽爽爽爽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值