认证机制之JWT

最新推荐文章于 2023-10-13 11:50:32 发布
最新推荐文章于 2023-10-13 11:50:32 发布
阅读量367 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/teresa_cm/article/details/103631661
版权
本文介绍了常见的认证机制,如HTTP BASIC AUTH、Session和Cookie,然后重点讲解了JWT(JSON Web Token)认证,包括JWT的定义、特点、优缺点、数据结构、原理以及JWT的实现。文中还提到了JWT的使用场景,如API服务、分布式系统中的单点登录问题,以及JWT相对于Session和Cookie的优势。最后,文章介绍了如何使用JJWT库在Java中创建和解析JWT,以及如何设置过期时间和自定义claims。
摘要由CSDN通过智能技术生成

认证机制之JWT

常见的认证机制

HTTP BASIC AUTH

HTTP BASIC auth:每次请求API的时候,都会把用户名和密码通过restful API传给服务端。

可以实现一个无状态思想,即每次HTTP请求和以前都没有啥关系,只是获取目标URI,得到目标内容之后,这次连接就被杀死,没有任何痕迹。

缺点:通过http请求发送给服务端的时候,很有可能将我们的用户名密码直接暴漏给第三方客户端,风险特别大,因此生产环境下用这个方法很少。

Session和cookie

在服务端全局创建session对象,session对象保存着各种关键信息

向客户端发送一组sessionId,成为一个cookie对象保存在浏览器中。

认证时,cookie的数据会传入服务端与session进行匹配,进行数据认证。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-t3YeeZAC-1576822693805)(file:///C:\Users\ADMINI~1\AppData\Local\Temp\msohtmlclip1\01\clip_image002.jpg)]

实现的是一个有状态的思想,即该服务的实例可以将一部分数据随时进行备份,并且在创建一个新的有状态服务时,可以通过备份恢复这些数据,以达到数据持久化的目的。

缺点

  • 安全性。cookies的安全性不好,攻击者可以通过获取本地cookies进行欺骗或者利用cookies进行CSRF攻击。

  • 跨域问题。使用cookies时,在多个域名下,会存在跨域问题。

  • 有状态。session在一定的时间里,需要存放在服务端,因此当拥有大量用户时,也会大幅度降低服务端的性能。

  • 状态问题。当有多台机器时,如何共享session也会是一个问题,也就是说,用户第一个访问的时候是服务器A,而第二个请求被转发给了服务器B,那服务器B如何得知其状态。

  • 移动手机问题。现在的智能手机,包括安卓,原生不支持cookie,要使用cookie挺麻烦。

大致流程

  1. 用户向服务器发送用户名和密码
  2. 服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。
  3. 服务器向用户返回一个* session_id*,写入用户的* Cookie*。
  4. 用户随后的每一次请求,都会通过* Cookie*,将* session_id *传回服务器
  5. 服务器收到* session_id*,找到前期保存的数据,由此得知用户的身份。

JWT-Token认证

Token: 访问资源的凭据。

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。

JWT简介

什么是JWT

JSON Web Token(JWT)是一个基于json数据结构的,非常轻巧的规范

它允许我们使用jwt在用户和服务器之间传输安全可靠的信息。

可以通过数字签名进行验证和信任

虽然JWT可以加密以在各方之间提供保密,但只将专注于签名令牌。

签名令牌可以验证其中包含的声明的完整性,而加密令牌则隐藏其他方的声明。

当使用公钥/私钥对签署令牌时,签名还证明只有持有私钥的一方是签署私钥的一方。

特点

(1)JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。

(2)JWT 不加密的情况下,不能将秘密数据写入 JWT。

(3)JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。

(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。

(5)JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。

(6)为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。

通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。

优点

在分布式系统中,很好地解决了单点登录问题,很容易解决了session共享的问题。

那Token机制相对于Cookie机制的好处

  • 支持跨域访问:Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提 是传输的用户认证信息通过HTTP头传输.
  • 无状态:Token机制本质是校验, 他得到的会话状态完全来自于客户端, Token机制在服务端不需要存储session信息,因为 Token 自身包含
最低0.47元/天 解锁文章
萌大大的瓶子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT认证机制
weixin_45439324的博客
11-17 325
JWT认证机制 应用场景 前后端分离开发该如何记录用户的登录状态 JWT token认证机制 JSON Web Token(JWT)是目前前后端分离开发中用户身份认证最流行的一种解决方案。在用户登录后,我们想记录用户的登录状态,这里不再使用Session认证机制,而使用Json Web Token认证机制JWT token认证机制类似于http协议也是无状态的,它不需要在服务端去保留用户...
ASP.NET Core WebApi基于JWT实现接口授权验证
weixin_30510153的博客
07-14 3865
一、ASP.Net Core WebApi JWT课程前言 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递...
.Net Web Api中使用JWT认证
weixin_34249367的博客
11-15 92
2019独角兽企业重金招聘Python工程师标准>>> ...
jwt-token认证
leigang
05-19 293
jwt-token认证基于jwt的token认证web服务http请求的无状态性jwt的原理jwt的数据结构JWT的用法JWT问题和趋势 基于jwt的token认证 web服务http请求的无状态性 问题: 由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户。比如购物车,当你点击下单按钮时,由于HTTP协议无状态,所以并不知道是哪个用户操作的,而服务器需要根据某些信息标识出这个用户,这样才知道购物车里面有几本书。 方案: 1)服务器临时存储用户标识(session
Python 基于jwt实现认证机制流程解析
09-16
### Python 基于JWT实现认证机制流程解析 #### 一、JWT简介及优缺点分析 JWT(JSON Web Token)是一种用于用户身份验证的技术,在现代Web应用开发中被广泛采用。它通过创建一个包含用户信息的令牌来实现认证,这个...
详解Django配置JWT认证方式
09-16
在本文中,我们将深入探讨如何在Django框架中配置JSON Web Token(JWT认证JWT是一种轻量级的身份验证机制,允许服务器通过一个令牌(token)来确认客户端的身份,而无需在每次请求时发送用户名和密码。Django ...
Asp.net Core 3.1 JWT 认证Demo
12-27
Asp.NET Core 3.1 JWT(JSON Web Token)认证是一种常见的身份验证机制,用于创建安全的、基于HTTP的应用程序。JWT允许服务器在发送访问令牌时进行身份验证,而不是每次请求时都验证用户凭据。这个Demo展示了如何在...
java jwt 统一认证
11-08
Java JWT(JSON Web Token)统一认证是一种常见的身份验证机制,广泛应用于现代Web应用程序和服务中。JWT是一种轻量级的身份认证和授权标准,它允许服务端为客户端生成一个令牌,这个令牌包含了用户的相关信息,且是...
JWT权限验证教程详解 代码实例
半亩方糖
12-01 2763
JWT介绍JWT代码实例 JWT介绍 JWT(JSON Web Token)是目前比较流行权限验证方案。其实它更像是一种规范。 平时基于session的验证方式 用户登录 服务器在当前会话(session)里面储存登录的信息比如用户名和id 服务器向用户返回一个session_id,写入用户的cookie(下一次用用户再次请求的时候的验证) 用户再次请求的时候带上cookie(session_id) ,服务器session_id查询之前储存的数据,得知用户身份. 但是session验证又2个问.
JWT基础用法
学习学习学习学习
10-12 503
JWT 基本用法 导包 <!--引入jwt--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 创建token
SpringCloud Stream整合RocketMQ实现消息发送与接收
热门推荐
筱进GG
02-09 2万+
RocketMQ 介绍 RocketMQ 是一款开源的分布式消息系统,基于高可用分布式集群技术,提供低延时的、高可靠的消息发布与订阅服务。同时,广泛应用于多个领域,包括异步通信解耦、企业解决方案、金融支付、电信、电子商务、快递物流、广告营销、社交、即时通信、移动应用、手游、视频、物联网、车联网等。 具有以下特点: 能够保证严格的消息顺序 提供丰富的消息拉取模式 高效的订阅者水平扩展能力 实时的消...
JWT
weixin_43934513的博客
11-14 135
一.springboot后端 1.导入依赖 <!--jwt--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency.
JWT笔记
qq_44799530的博客
06-04 220
** JWT ** 1.什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digita
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用)
最新发布
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWT,springboot整合JWT完成token的验证,token的使用,java架构师技术栈
m0_64204730的博客
11-21 586
/** @author dugt1998@163.com @date 2020/11/8 12:40 */ public class JWTUtils { //签名 自己项目中的签名 private static final String SIGN = “token!@19weawe2r24@#$@%!wewa98du”; /** 生成token @param claim 传入的payload @return */ public static String getToken(M
10 SpringBoot整合RocketMQ实现延迟消息
java1234的博客
09-10 2372
延迟消息 对于消息中间件来说,producer 将消息发送到mq的服务器上,但并不希望这条消息马上被消费,而是推迟到当前时间节点之后的某个时间点,再将消息投递到 queue 中让 consumer 进行消费。 ​ 延迟消息的使用场景很多,一种比较常见的场景就是在电商系统中,订单创建后,会有一个等待用户支付的时间窗口,一般为30分钟,30分钟后 customer 会收到这条订单消息,然后程序去订单表中检查当前这条订单的支付状态,如果是未支付的状态,则自动清理掉,这样就不需要使用定时任务的方式去处理
2. 区块链项目开发常见错误-2-rpc error with payload
第一高度的专栏 - 祝愿大家坚持学习,持续进步,最终实现理想!
03-12 4490
本节主要讨论在似有链支付时出现“rpc error with payload“错误 ,最终在Metamask中如下所示     解决方案: 把Metamask 的private network 重置一遍就可以了,具体操作是 选中http://localhost:9545 ,点击最下方的reset account 即可   关注公众号,并回复“区块链技术项目开发”,下载ppt和...
[ethjs-rpc] rpc error with payload Error: invalid sender 解决办法
zhujie_666的博客
03-26 4052
这个问题出现的地方是: 搭建好了自己的私有链,使用MetaMask链接自己的私有链,然后就进行私有链上两账户之间的转账。提交后就发生如下错误: [ethjs-rpc] rpc error with payload {"id":7663982154336,"jsonrpc":"2.0","params": ["0xf86b808504a817c800833d090094001a4039eed5...
JWT身份认证机制原理与实现
* 此后,客户端每次与服务端通信,都要带上这个JWT的字符串,从而进行身份认证。 推荐的做法是把JWT放在HTTP请求头的Authorization字段中,格式如下: Authorization:Bearer <JWT字符串> 总结来说,Session验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值