JWT的知识点总结

最新推荐文章于 2022-10-19 21:58:19 发布
最新推荐文章于 2022-10-19 21:58:19 发布
阅读量306 收藏
点赞数
分类专栏: python 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52757731/article/details/82670624
版权

JWT解决的问题:

在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用session认证机制,而使用json web token认证机制。

我们原来实现登录操作一般都是使用session,将信息存储在session中,现在我们使用JWT,不再将登录信息存储在redis中,而是将token存储在客户端中。用户每次登录的时候需要在Header加上Token,服务端只需要做验证token的功能。

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT的构成:

第一部分:头部(headers)

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt
  • 声明加密的算法 通常直接使用HMAC  SHA256

第二部分:payload

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

标准中注册的声明(建议但不强制使用) :

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明: 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但

 

 

,因为该部分在客户端可解密.

私有的声明: 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息

第三部分:signature

signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)
  • payload (base64后的)
  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

Django REST framework JWT安装配置

安装:pip install djangorestframework-jwt

注意点:这里需要优先认证

 

 

 

qq_52757731
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
jwt *
qq_59025975的博客
11-16 1440
目标: ①、jwt出现的原因及工作原理 ②、jwt工具类介绍,三种场景 ③、jwt与vuex配合在SPA项目中的应用 一、jwt出现的原因及工作原理 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 ①. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Cho...
jwt知识点
最新发布
m0_64894277的博客
09-27 177
jsonwebtoken(jwt) 是一个开发标准(rfc7519), 它定义一种紧凑的,自包含的方式,用于在各方之间以json对象安全传输信息,此信息可以验证和信任,因为它是数字签名。jwt可以使用算法加密,或者使用RSA/ECDSA的公钥/私钥对进行签名JWT全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;
辩证的眼光搞懂 JWT 这个知识点
大赚万万亿
07-21 326
什么是 JWT 概念 JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。 JWT 原理 JWT 组成 JWT 由三部分组成:Header,Payload,Signature 三个部分组成,并且最后由.拼接而成。 Header Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。 { "alg": "HS256", "typ": "JWT" } 上面代码中,alg 属性表示签名的算法(algorithm),默认是 HM
JWT---JWT基础知识点
weixin_52025712的博客
10-24 481
目录什么是JWTJWT的组成部分HEADER(算法与令牌)PAYLOAD(数据)VERIFY SIGNATURE(验证签名)JWT的基本格式 什么是JWTJWT是Json Web Token 的缩写,JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。就是这是一种认证机制,让后台知道请求是来自于受信的客户端。 JWT的组成部分 HEADER(算法与令牌) 存放
重要知识点 -- JWT 认证 (转载)
sunnyliric的博客
02-28 226
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理和用法。 一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 sess
jwt.rar_jwt
09-22
总结起来,"jwt.rar_jwt"中的知识点主要围绕JWT在身份验证和授权的应用,以及WSAD键盘控制机制在游戏设计中的运用。这种小游戏的实现涉及了Web开发中的安全机制和用户体验设计,是IT领域中Web应用开发的一个实例。
JWT Token生成及验证(源码)
04-12
让我们深入探讨JWT的工作原理以及相关的关键知识点。 1. JWT结构: JWT令牌由三部分组成,用点(.)分隔:头部(Header)、载荷(Payload)和签名(Signature)。头部和载荷都是JSON对象,经过Base64编码,而签名则...
jwt:Crystal中的JWT实现
02-05
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON...了解和掌握这些知识点,可以帮助你在Crystal项目中安全、有效地实现用户认证和授权。
asp.net core jwt
12-28
下面将详细探讨ASP.NET Core中JWT的相关知识点。 1. **JWT的基本原理**: JWT由三部分组成:头部(Header)、负载(Payload)和签名(Signature)。头部和负载被编码成Base64字符串,签名则是对编码后的头部和负载...
基于Java验证jwt token代码实例
08-25
下面是相关知识点总结: 1. JWT简介:JSON Web Token(JWT)是一种基于JSON的open standard(开放标准),用于在两个实体之间传输声明的方式。JWT通常用于身份验证和信息交换。 2. Java JWT库:Auth0的JWT库是一...
JWT 基础概念详解
m0_53157173的博客
10-19 655
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则。
JWT详细介绍
weixin_43726448的博客
07-06 1525
JWT的一些介绍
JWT(详解)
热门推荐
weixin_44736637的博客
04-07 3万+
JWT
JWT详细讲解
m0_71012114的博客
10-19 6153
本文讲解了常见的认证机制、介绍了JWT以及JWT的使用、并且举了个案例SpringSecurity+JWT实现后台管理系统权限验证。
JWT令牌详细解读
。。。。
07-05 3069
什么是JWT令牌 JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌。 JWT的使用场景: 一种情况是webapi,类似之前的阿里云播放凭证的功能 另一种情况是多web服务器下实现无状态分布式身份验证 JWT官网有一张图描述了JWT的认证过程 官网 地址 : https://jwt.io/ JWT的作用: JWT 最重要的作用就是对 token信息的防伪作用 JWT的原理: 一个JWT由三个部分组成:JWT头、有效载荷、签名哈希 最后由这三者组
JWT入门详解
weixin_57504000的博客
05-16 3978
目录 一、JWT简介 1.什么是JWT? 2.为什么要使用JWT? 二、JWT的工作原理 三、JWT的组成 1.Header(头部) 2.Payload(载荷) Reserved claims(保留) Public claims(公有) Private claims(私有) 3.signature 四、JWT的验证过程 五、JWT令牌刷新思路 1.首先前后端跨域配置 2.JWT配置 3.配置JWT验证过滤器 4.登陆方法成功后,将生成的JWT令牌通过响应头返回给客户端 .
计算机网络学习笔记五、Cookie、Session和Token
菜到不敢run
04-03 740
Cookie和Session   HTTP协议是无状态的,前后两次请求是相互独立,没有必然联系的,它并不会跟踪用户信息。Cookie和Session就是为了弥补这一不足,而引入的一种机制。 1. Cookie   Cookie实际是一小段文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。当浏览器再请求该网站时,浏览器把url+cookie一同提交。服务器检查该Cookie,以此来辨认用户状态。   Cookie具有不可跨域名性。它在客户端是由
详解 JWT 规范
一土宁的博客
05-26 3215
1 概述 JSON Web Token (JWT) 是一种用于在两个系统之间传输声明(Claims)的方式,它具有紧凑、URL 安全的特点。所谓“紧凑”,是指它本身教小,适用于空间受限的环境,如 HTTP 授权头和 URI 查询参数。 Claims 在JWT中被编码为一个JSON对象,作为 JSON Web Signature (JWS)结构的有效载荷 或 JSON Web Encryption (JWE) 结构的文本信息。 JWS/JWE 使用 MAC( Message Authentication Co
几种常用的认证机制
诚的博客
12-14 1606
HTTP Basic Auth HTTP Basic Auth在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和明码会通过HTTP头传递。 在发送之前是以用户名追加一个冒号然后串接上口令,并将得出的结果字符串再用Base64算法编码。 例如 用户名是Aladdin、口令是open sesame,则拼接后的结果就是Aladdin:open sesame, 然后再将其用Base64编码,得到QWxhZGRpbjpvc.
java jwt 单点登录
06-06
java jwt 单点登录是指使用Java程序实现单点登录(SSO)功能时,使用JWT(JSON Web Token)技术来保证用户身份的安全性和有效性。 JWT是一个轻量级的开放标准,用于在网络上传输数据。其包含三部分:Header、Payload...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值