前后端分离学习笔记——JWT(JSON Web Token)开放标准

最新推荐文章于 2024-04-07 16:56:35 发布
最新推荐文章于 2024-04-07 16:56:35 发布
阅读量174 收藏
点赞数
文章标签: 学习 json 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51808540/article/details/128688587
版权

1、JWT简介

在这里插入图片描述

Internet服务无法与用户身份验证分开。一般过程如下:

  1. 用户向服务器发送用户名和密码。
  2. 验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。
  3. 服务器向用户返回session_id,session信息都会写入到用户的Cookie。
  4. 用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。
  5. . 服务器收到session_id并对比之前保存的数据,确认用户的身份。

这种模式最大的问题是,没有分布式架构,无法支持横向扩展

2、解决方案 1. session广播 2. 将透明令牌存入cookie,将用户身份信息存入redis。

2.jwt的组成

2.1、JWT头

  • JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。
{
"alg": "HS256",
"typ": "JWT"
}
  • 在上面的代码中,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);
  • typ属性表示令 牌的类型,JWT令牌统一写为JWT。
  • 最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。

2.2、有效载荷

  • 有效载荷部分,是JWT的主体内容部分
  • 也是一个JSON对象,包含需要传递的数据。
  • JWT指定七个默认 字段供选择。
iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT
  • 除以上默认字段外,我们还可以自定义私有字段,如下例:
{
"sub": "1234567890",
"name": "Helen",
"admin": true
}

  • 请注意,默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密 信息,以防止信息泄露。

  • JSON对象也使用Base64 URL算法转换为字符串保存

2.3、签名哈希

  • 签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。
  • 首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。
  • 然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(claims), secret)

在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔, 就构成整个JWT对象

2.3.1、Base64URL算法

  • 如前所述,JWT头和有效载荷序列化的算法都用到了Base64URL。该算法和常见Base64算法类似,稍有 差别

  • 作为令牌的JWT可以放在URL中(例如api.example/?token=xxx)。

  • Base64中用的三个字符 是"+“,”/“和”=“,由于在URL中有特殊含义,因此Base64URL中对他们做了替换:”=“去掉,”+“用”-“替 换,”/“用”_"替换,这就是Base64URL算法

3、JWT的原则

  • JWT的原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,如下所示。
{
"sub": "1234567890",
"name": "Helen",
"admin": true
}
  • 之后,当用户与服务器通信时,客户在请求中发回JSON对象。服
  • 务器仅依赖于这个JSON对象来标识用 户。
  • 为了防止用户篡改数据,服务器将在生成对象时添加签名。
  • 服务器不保存任何会话数据,即服务器变为无状态,使其更容易扩展

4、JWT的用法

  • 客户端接收服务器返回的JWT,将其存储在Cookie或localStorage中。
  • 此后,客户端将在与服务器交互中都会带JWT。
  • 如果将它存储在Cookie中,就可以自动发送,但是不会 跨域
  • 因此一般是将它放入HTTP请求的Header Authorization字段中。
  • 当跨域时,也可以将JWT被放置 于POST请求的数据主体中。

5、JWT问题和趋势

  • JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
  • 生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库
  • 存储在客户端,不占用服务端的内存资源
  • JWT默认不加密,但可以加密。生成原始令牌后,可以再次对其进行加密。
  • 当JWT未加密时,一些私密数据无法通过JWT传输。
  • JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。
  • 也就是说,一旦JWT签发,在有效期内将会一直有效。
  • JWT本身包含认证信息,token是经过base64编码,所以可以解码,因此token加密前的对象不应该 包含敏感信息,一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不 宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。
  • 为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传 输。
憨憨爱学习zz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前后端分离开发—JWT令牌生成
qq_50804645的博客
11-27 715
如果按照上一篇文章的规则生成token: 按照 Base64 加密和解密 存在问题: 简易的token生成规则安全性较差,如果要生成安全性很高的token,要对加密算法有一定的要求。 时效性较差,因为token一直存在cookie中,要有登录过期的校验; 所以使用JWT算法来实现 一 .什么是JWTJWT : JSON Web Token 是一个专门用于生成令牌的一种算法,是一种规则。 官网:https://jwt.io JWT 生成token的结构:三种颜色,三部分组成, 分别是头信息、包含
php实现JWT(json web token)鉴权实例详解
01-03
JWT是什么 JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。 JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header部分: { alg: HS256, typ: JWT } 对应base64UrlEncode编码为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 说明:该字段为jso
token的使用流程以及 JWT构成和构建
最新发布
m0_75280563的博客
04-07 342
前端校招精编面试解析大全点击这里获取完整版pdf查看由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!如果你觉得这些内容对你有帮助,可以扫码获取!!(备注:前端前端校招精编面试解析大全点击这里获取完整版pdf查看。
thinkphp+jwt实现前后端分离
03-15
使用Thinkphp6+jwt 简单实现前后端分离
vue3+golang-jwt前后端分离实现token验证
weixin_51507240的博客
03-31 2509
今天练习token登录认证,发现网上查的资料大多都看不懂,然后自己琢磨了半天勉强实现了这个功能,记录一下,博主是小白,大伙勿喷…… 首先我们的前端发送一个http请求给后端,一般登录验证为POST请求,这里使用fetch方法来发起请求,具体fetch的用法可以自行上网查,原理跟axios相差不大: const handleLogin = () => { let url='api/user/login'; fetch(url,{ ...
简单前后端分离token验证流程
weixin_51751186的博客
04-15 1万+
文章目录前言一、后端流程0 实体类user和DTO类UserDTO1 引入jwt依赖2 编写jwt工具类3 前后端token验证流程1 后端登陆接口和数据处理,返给前端token1controlle层2 service层次(这里的getone函数是mybatis-plus service层函数,因为结合使用了mybatis-plus所以dao层函数不用定义了)2 后端自定义jwt拦截器 并注册拦截器1 自定义jwt拦截器2 注册jwt拦截器(记得放行登陆接口)一.五 设定统一返回类后后端返给前端的信息数
SpringSecurity实现前后端分离登录token认证详解
热门推荐
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
前后端分离认证实践指南:Spring Security和JWT详解
七一
04-09 2857
简介 Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可 以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理! Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)。 认证: 验证当前访问系统的是不是本系统用户,并且要确认具体是哪个用户。 授权:也就是用户是否有权限进行某个操作 快速入门
.Net Core 3.1 WebApi +Autofac+Jwt 实现前后端分离 ,通过token授权实现文件上传下载
qq_15632461的博客
09-24 2373
Asp.Net Core 3.1 WebApi 实现前后端分离 文件上传 架构设计:ASP.Net Core 3.1 +Swagger+Jwt+Autofac+Redis+SqlSugar。需求痛点:因为最近在做前后端分离项目,用到了文件上传下载功能,找了很多类似的案例,基本上都是相互转载,很少有原创的,最后没有达到我想要的预期效果,故写此篇文章。 需求背景:以前在做文件上传下载,都是基于FrameWork项目或者Core Web项目实现的文件上传或下载,基于web的文件下载及权限比较好实现的。但是现在很多
JWT定义、生成规则及认证
ZHH_Love123的博客
08-04 2132
Web后端
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
json web token for C# dll文件,亲测可用,直接添加引用即可
Django框架前后端分离开发之JWT Token详解及djangorestframework-jwt超详细使用demo
lienze.tech
02-07 2291
前言 这几年一直在it行业里摸爬滚打,一路走来,不少总结了一些python行业里的高频面试,看到大部分初入行的新鲜血液,还在为各样的面试题答案或收录有各种困难问题 于是乎,我自己开发了一款面试宝典,希望能帮到大家,也希望有更多的Python新人真正加入从事到这个行业里,让python火不只是停留在广告上。 微信小程序搜索:Python面试宝典 或可关注原创个人博客:https://lienze.tech 也可关注微信公众号,不定时发送各类有趣猎奇的技术文章:Python编程学习 JWT 什么是jwt
SpringBoot:Spa---前后端分离---JWT token验权机制
没有途径,只有努力
12-06 1811
Spa--前后端分离+JWT token验权机制
DRF—JWT 前后端分离Token认证机制
weixin_55164293的博客
08-16 791
在项目开发中,一般会按照上图所示的过程进行认证,即:用户登录成功之后,服务端给用户浏览器返回一个token,以后用户浏览器要携带token再去向服务端发送请求,服务端校验token的合法性,合法则给用户看数据,否则,返回一些错误信息。 传统token方式和jwt在认证方面有什么差异? 传统token方式 用户登录成功后,服务端生成一个随机token给用户,并且在服务端(数据库或缓存)中保存一份token,以后用户再来访问时需携带token,服务端接收到toke...
jwt生成token与接口验证token
m0_61417250的博客
12-13 528
主要讲解登录时设置token以及验证token,方便用户更好的实现登录后获取到的数据
常用功能系列---【JWT生成Token实现接口登录认证方案思路】
-少年-的博客
01-10 105
JWT生成Token实现接口登录认证方案思路 方案一(双token实现无感刷新) 在token中,refreshToken的作用主要是避免token过期时,前端用户突然退出登录,跳转至登录页面。 但是如何实现通过refreshToken刷新token呢? 首先,refreshToken有效时间具体要长多少得以实际需求为准,建议是token的2倍。 前端每次访问后端都携带token,如果toke...
Token生成方案-JWT
奇遇少年
01-17 1286
JWT的使用简化了用户身份验证的流程,使得开发者能够在Web应用中轻松实现高效的身份认证和信息传递。
springboot+vue前后端分离 + security + JWT 实现token登录
04-04
JWT是一种基于令牌的身份验证机制,它使用JSON Web Token来传递安全信息。在我们的应用程序中,我们需要实现JWT生成和验证机制,以便我们可以安全地登录和授权。 4.配置Vue.js 在Vue.js中,我们需要创建一个Vue....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值