JWT

最新推荐文章于 2023-11-29 12:15:34 发布
最新推荐文章于 2023-11-29 12:15:34 发布
阅读量288 收藏 1
点赞数
文章标签: JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sheqianweilong/article/details/90316987
版权

1、什么是JWT?
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密
2、JWT的构成
(1)header
jwt的头部承载两部分信息:

声明类型,这里是jwt
声明加密的算法 通常直接使用 HMAC SHA256
完整的头部就像下面这样的JSON:

然后将头部进行base64加密,构成了第一部分.
(2)playload(载荷)
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分
标准中注册的声明
公共的声明
私有的声明
标准中注册的声明 (建议但不强制使用) :

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
公共的声明 : 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.
私有的声明 : 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后将其进行base64加密,得到Jwt的第二部分。
(3)signature
jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

header (base64后的)
payload (base64后的)
secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。
将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
3、应用
以Django REST framework JWT为例:
(1)安装

pip install djangorestframework-jwt

(2)配置
添加JSONWebTokenAuthentication到Django REST framework的DEFAULT_AUTHENTICATION_CLASSES中:

REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': (
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication',
    ),
}

其他设置:

JWT_AUTH = {
    'JWT_ENCODE_HANDLER':
    'rest_framework_jwt.utils.jwt_encode_handler',

    'JWT_DECODE_HANDLER':
    'rest_framework_jwt.utils.jwt_decode_handler',

    'JWT_PAYLOAD_HANDLER':
    'rest_framework_jwt.utils.jwt_payload_handler',

    'JWT_PAYLOAD_GET_USER_ID_HANDLER':
    'rest_framework_jwt.utils.jwt_get_user_id_from_payload_handler',

    'JWT_RESPONSE_PAYLOAD_HANDLER':
    'rest_framework_jwt.utils.jwt_response_payload_handler',

    'JWT_SECRET_KEY': settings.SECRET_KEY,
    'JWT_GET_USER_SECRET_KEY': None,
    'JWT_PUBLIC_KEY': None,
    'JWT_PRIVATE_KEY': None,
    'JWT_ALGORITHM': 'HS256',
    'JWT_VERIFY': True,
    'JWT_VERIFY_EXPIRATION': True,
    'JWT_LEEWAY': 0,
    'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=300),
    'JWT_AUDIENCE': None,
    'JWT_ISSUER': None,

    'JWT_ALLOW_REFRESH': False,
    'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7),

    'JWT_AUTH_HEADER_PREFIX': 'JWT',
    'JWT_AUTH_COOKIE': None,

}

(3)手动创建令牌

from rest_framework_jwt.settings import api_settings

jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER

payload = jwt_payload_handler(user)
token = jwt_encode_handler(payload)

官方文档:http://getblimp.github.io/django-rest-framework-jwt/

榨菜rose
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
什么是JWTJWT详解
@日月空@的博客
06-01 1238
原文地址 文章目录什么是 JWT起源传统的session认证基于session认证所显露的问题基于token的鉴权机制JWT 的原理JWT长什么样?JWT的构成HeaderplayloadsignatureBase64URLJWT 的使用方式JWT 的几个特点使用 JWT 的例子 什么是 JWT JWT 即 Json web token,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。J
JWT的创建
qq_52889028的博客
08-05 896
想了解的JWT所有知识你想要的这都有
JWT令牌生成与校验
赵广陆
02-08 2476
目录1 JWT介绍1.1 什么是JWT?1.2 JWT令牌结构2 配置JWT令牌服务3 生成JWT令牌4 校验JWT令牌5 JWT整合Spring Security5.1 创建表6 配置授权服务6.1 测试 1 JWT介绍 通过上边的测试我们发现,当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能 。 解决上边问题: 令牌采用JWT格式即可解决上边的问题,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了
Java简单快速入门JWT(token生成与验证)
greatming666的博客
09-08 8392
java jwt简单了解并快速上手
JWT通俗易懂
qq_40432604的博客
03-05 1067
JWT 简介 JWT:JSON Web Token (令牌) 是什么? token是按照一定的规则生成的一个字符串,字符串里面可以保护用户信息 这个规则是不太一样的,一般采用通用,官方的规则 这个就是jwt jwt就是给我们定制好了规则,使用jwt规则就可以生成字符串,里面就包含用户信息了 JWT就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密,签名等相关处理。 使用场景: 1、后端系统要前端系统访问的时候需要携带一个令牌,如
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
JWT Token生成及验证(源码)
04-12
JWT(JSON Web Tokens)是一种轻量级的身份验证和授权机制,广泛应用于Web应用程序和服务之间的安全通信。这个"JWT Token生成及验证(源码)"的压缩包文件可能包含了一个示例项目,用于演示如何生成和验证JWT令牌。让...
jwt所需jar包资源
04-02
JWT,全称JSON Web Token,是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT广泛应用于身份验证、...
JWT定义、生成规则及认证
ZHH_Love123的博客
08-04 2213
Web后端
生成JWT
Mordle
05-17 1712
学习来源:b站https://www.bilibili.com/video/BV1rp4y1t7Ks?p=1 1.引入依赖 <!-- 生成方式 --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.19..
JWT加密解密案例
热门推荐
thinkers
06-19 1万+
------1,创建一个用户对象Userpackage com.xforceplus.hera; public class User { private String userName; private String password; private String tel; public User(String userName,String password,...
JWT实现原理
weixin_45640168的博客
10-16 1400
JWT实现原理一、传统的session流程二、JWT简介以及实现原理三、 一、传统的session流程  1.浏览器发起请求登陆  2.服务端验证身份,生成身份验证信息,存储在服务端,并且告诉浏览器写入 Cookie  3.浏览器发起请求获取用户资料,此时 Cookie 内容也跟随这发送到服务器  4.服务器发现 Cookie 中有身份信息,验明正身  5.服务器返回该用户的用户资料 二、JWT简介以及实现原理 1. 定义  JWT,全称为Json Web Token,是风格轻量级的授权和身份认证规范,可实
JWT具体生成过程(保姆级教程)
qq_68064663的博客
10-15 467
jwt具体生成过程
生成JWT令牌
又要搬砖了
04-08 408
生成JWT令牌一、JWT是什么?二、使用步骤1.引入库2.封装JWT工具类2.1 定义一个密钥用于加密解密2.2 生成token2.3 根据生成的token获取载荷信息2.4 校验token是否过期 一、JWT是什么? JWT介绍 二、使用步骤 1.引入库 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <ve
JWT生成
qq_56687451的博客
07-09 1252
composer先挂在阿里云镜像 2.安装JWT扩展composer require lcobucci/jwt 3.3 3.在vendor目录中打开readme.md文件 4.在extend目录中,自定义类进行JWT操作生成token 5.操作Token.php实现生成token的方法,详细在readme.md中的Hmac位置 6.自行找控制器进行测试 7.最终会得到结果类似如下所示: eyJ...
【SpringBoot篇】登录校验 — JWT令牌
最新发布
小吉妙妙屋
11-29 9351
头部包含了令牌使用的加密算法信息,载荷包含了所需传输的用户信息,签名用于保证令牌的完整性和真实性,防止令牌被篡改。每次向服务器发送请求时,在请求的头部中携带该令牌,以便服务器对请求进行身份验证。服务器收到请求后,从请求头中提取JWT令牌,并进行解析和验证。用户向服务器发送登录请求,服务器进行身份验证,如果验证成功则返回一个JWT令牌给客户端。(相当于校验令牌,只要解析令牌不报错,就相当于校验jwt令牌正确)运行后发现,出现了jwt令牌。
微服务网关与JWT鉴权实践
"本文主要探讨了微服务架构中网关与JWT令牌的使用,旨在让读者理解JWT鉴权机制,并掌握如何在网关中实施JWT校验用户登录。" JWT(JSON Web Token)是一种轻量级的身份认证和授权机制,广泛应用于现代Web应用和API...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值