jwt原理及简单实现

最新推荐文章于 2024-05-15 14:16:35 发布
最新推荐文章于 2024-05-15 14:16:35 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: node.js 文章标签: jwt jsonwebtoken node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/samfung09/article/details/86533421
版权

cookies、session和jwt的一些优缺点

先来说说cookies和session实际应用中的一些不足

  • 【缺点】cookies的安全性不好,攻击者可以通过获取本地cookies进行欺骗或者利用cookies进行CSRF攻击。
  • 【缺点】使用cookies时,在多个域名下,会存在跨域问题。
  • 【缺点】session在一定的时间里,需要存放在服务端,因此当拥有大量用户时,也会大幅度降低服务端的性能。
  • 【缺点】当有多台机器时,如何共享session也会是一个问题,也就是说,用户第一个访问的时候是服务器A,而第二个请求被转发给了服务器B,那服务器B如何得知其状态。

jwt

  • 【优点】使用JWT不需要后端进行记录,减轻服务器压力,每个token都是独立的。
  • 【优点】jwt不存在跨域问题,后台生成token返回到前台,前台保存到本地,每次请求在请求头携带token给后台进行验证即可。
  • 【缺点】token生成和验证都需要后台计算,而且由于每次向服务器发起请求都要携带token,太大了会造成请求缓慢。
  • 【中性】session比JWT好的地方在于在请求时浏览器会自动带http头部带上cookie,并且在用户持续使用时会不断地刷新session的过期时间,当浏览器关闭时自动清除session。相比之下JWT本身没法做到随着用户的使用而更新或手动清除,只能等自动过期

这里主要参考文章1  文章2

 

jwt实现

分析

编码:一个token是一串base64字符,大概分成head、payload、sign三部分,这三部分以  分割。其中head记录的是加密算法,payload记录的是你定义的一些信息,sign则是head(base64字符) + payload(base64字符) + 秘钥的加密base64字符。

解码:在payload保存过期时间,解码时判断是否过期。head(base64字符) + payload(base64字符) + 秘钥再加密看是否等于sign,不等于则被改动过。

代码实现

最低0.47元/天 解锁文章
samfung09
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT - 令牌认证(认证流程和原理Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
jwt 原理
weixin_48334703的博客
10-05 1889
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
JWT原理
COMEKING的博客
07-23 3285
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。 这种模式的问题在于,扩展性(scaling)不好。单机当
C++ JWT的使用
最新发布
auccy的博客
05-15 255
C++使用JWT密参数
JSON Web TokenJWT
你若盛开,清风自来
12-19 430
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session...
JWT简单实现简单示例)
乐闻世界
06-02 9577
2018-08-23更新: 了解到新的jwt生成和解析方式。 pom.xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.7.0</version> </
简单jwt实现
08-07
本篇文章将围绕"超简单jwt实现"这一主题,深入讲解JWT的基本原理、PHP环境下的JWT库使用以及实际应用中的注意事项。 JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部通常包含两部分...
jwt.cr:Crystal中的简单JWT实现
02-04
`jwt.cr` 是一个针对 Crystal 语言的 JWT 实现库。Crystal 是一种静态类型的、编译型的、基于LLVM的、拥有垃圾回收的、面向对象的、并行编程的、通用的编程语言,它设计的目标是提供 Ruby 一样的开发速度和简洁性,...
php 后端实现JWT认证方法示例
10-18
在PHP中实现JWT,可以创建一个简单的类,如以下示例: ```php class Jwt { private static $header = array( 'alg' => 'HS256', 'typ' => 'JWT' ); private static $key = '123456'; public static ...
JWT实现的单点登录系统Demo
02-01
以下将详细讲解JWT和SSO的基本原理,以及如何利用Java实现这一系统。 ### JWT简介 JWT是一种轻量级的身份认证和授权机制,用于在不同系统间传递安全信息。它由三部分组成:头部(Header)、负载(Payload)和签名...
浅谈ASP.NET Core 中jwt授权认证的流程原理
12-20
在本文中,我们将深入探讨如何在ASP.NET Core中实现JWT授权认证的流程。 首先,我们需要在`Startup.cs`的`ConfigureServices`方法中配置JWT服务。这里,我们使用`AddAuthentication`方法注册JWTBearer认证中间件,...
基于JWTToken认证机制(一)
睁眼看世界
11-14 1万+
简介           JSON Web TokenJWT)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行密或者使用RSA的公钥私钥对其进行签名。 JWT的组成      
JSON WEB TOKEN
weixin_34273481的博客
03-19 729
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增一些额外的其它业务逻辑所必须的声明信息,该token...
JWT验证原理
michael1112的专栏
08-22 5004
一、什么是JWTJSON Web Token(JWT),是一个开放安全的行业标准,用于多个系统之间传递安全可靠的信息. JWT是什么样子的结构? JSON Web Token说到底也是一个token字符串,它由三部分组成,头部、载荷与签名。  如下图 红色的为Header,指定token类型与签名类型,紫色的为载荷(playload),存储用户id等关键信息,最后蓝色的为签名,保证整个信...
JWT的Java使用 (JJWT)
热门推荐
qq_37636695的博客
02-05 9万+
相信网络上面讲解JWT是什么,由什么组成的文章已经很多了,本文主要讲解JWT在Java中的使用,为了初次看到JWT的同学不会一脸懵逼,还是会说一下什么是JWT. 本文主要从以下几个方面说 什么是JWTJWT的组成 为什么要使用JWT 在Java中如何使用JWT 1.什么是JWT Json web token (JWT), 是为了在网络应用
JWT 实现微服务鉴权
L-李俊漩的博客
07-11 923
一、JWT JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等,这也可以被表示成一个JSON对象。 {"typ":"JWT","alg":"HS256"} 载荷(...
使用jwt技术实现系统间的单点登录
05-26 2万+
单点登录(single sign on),简称sso。它的定义是多个应用系统间,只需要登录一次就可以访问所有相互信任的应用系统。下面介绍用jwt技术如何来实现单点登录。 一、JWT定义及其组成 JWT(JSON WEB TOKEN)是一个非常轻巧的规范,这个规范允许我们使用jwt在客户端和服务器之间传递安全可靠的信息。 JWT由3个部分组成,分别是头部、载荷、签名。 头部
JWT库生成Token的使用与原理
码农UP2U
02-03 1184
现在开发前后端分离的系统或者开发 APP 的项目时,在验证用户是否登录时都会使用 Token 的方式,使用 Token 也是为系统后续可以进行拆分的第一步。 Token 的生成规则可以任意,只要最终可以通过 Token 去匹配到合适的用户即可。不过我们可以使用 JWT 类库来帮助我们生成 TokenJWTJson Web Token 的意思,是一种通过 Json 格式在 Web 中进行传递的 TokenJWT 的使用 先来看看关于 JW...
利用JWT生成Token原理及公钥和私钥密和解密的原则
weixin_42030357的博客
07-12 3万+
开篇: 实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成的Token.JWT生成的Token有什么好处呢? 安全性比较高,上密匙密而且支持多种算法。 携带的信息是自定义的,而且可以做到验证token是否过期。 验证信息可以由前端保存,后端不需要为保存token消耗内存。 小知识:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一...
pyhton jwt.verify_jwt校验原理
08-30
在 Python 中,JWTJSON Web Token)的验证过程可以使用 `jwt` 库来实现。`jwt` 库提供了一些函数和方法来进行 JWT 的验证,其中最常用的是 `jwt.decode()` 和 `jwt.verify_jwt()` 函数。 `jwt.decode()` 函数用于解码和验证 JWT,并返回 JWT 中的 payload 数据。它接受三个参数:JWT 字符串、密钥和算法。 `jwt.verify_jwt()` 函数可以进行更详细的 JWT 验证,包括验证签名、过期时间、生效时间等。它接受两个参数:JWT 字符串和密钥。 下面是一个简单的示例代码,展示了如何使用 `jwt.verify_jwt()` 函数进行 JWT 的验证: ```python import jwt def verify_jwt(jwt_token, secret_key): try: # 验证 JWT decoded_token = jwt.verify_jwt(jwt_token, secret_key) print("JWT 验证成功!") print("Payload 数据:", decoded_token) except jwt.JWTExpired: print("JWT 已过期!") except jwt.JWTInvalidSignature: print("JWT 签名无效!") except jwt.JWTInvalid: print("JWT 无效!") # 要验证的 JWT jwt_token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c" # 密钥 secret_key = "my_secret_key" verify_jwt(jwt_token, secret_key) ``` 在上面的示例中,首先定义了一个 `verify_jwt()` 函数,它接受 JWT 字符串和密钥作为参数。然后,在函数内部使用 `jwt.verify_jwt()` 函数对 JWT 进行验证。如果验证成功,将打印出 JWT 验证成功的信息以及解码后的 payload 数据;如果 JWT 过期、签名无效或无效,将会捕获相应的异常并打印出错误信息。 需要注意的是,JWT 的验证过程中需要使用正确的密钥和算法,以确保安全性和准确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值