jwt的原理以及使用

最新推荐文章于 2023-06-28 09:44:08 发布
最新推荐文章于 2023-06-28 09:44:08 发布
阅读量158 收藏
点赞数
原文链接:http://www.cnblogs.com/RainBol/p/10857727.html
版权

jwt原理(json web token)

优势
'''
解决跨域问题:这种基于Token的访问策略可以克服cookies的跨域问题。
服务端无状态可以横向扩展,Token可完成认证,无需存储Session。
系统解耦,Token携带所有的用户信息,无需绑定一个特定的认证方案,只需要知道加密的方法和密钥就可以进行加密解密,有利于解耦。
防止跨站点脚本攻击,没有cookie技术,无需考虑跨站请求的安全问题。
'''
劣势
'''
jwt一旦发送不能撤回发送的信息
不能防止CSRF攻击等
'''
jwt格式分为三部分组成,header,playload,sign
header就是json格式 {"typ":"JWT","alg":"HS256","exp":1491066992916},typ表示类型为jwt格式,alg表示加密方式为hs256,exp表示时间
playroad是请求体,根据业务自行定义,可以是一个字典一个列表,一个字符串
sign表示签名的生成

加密原理:
把header和playload分别使用base64url编码,接着用'.'把两个编码后的字符串连接起来,再把这拼接起来的字符串配合密钥进行HMAC SHA-256算法加密,最后再次base64编码下,这就拿到了签名sign. 最后把header和playload和sign用'.'连接起来就生成了整个JWT
解密原理:
后端服务校验jwtToken是否有权访问接口服务,进行解密认证,如校验访问者的userid,首先用将字符串按.号切分三段字符串,分别得到header和playload和sign。然后将header.playload拼装用密钥和HAMC SHA-256算法进行加密然后得到新的字符串和sign进行比对,
如果一样就代表数据没有被篡改,然后从头部取出exp对存活期进行判断,如果超过了存活期就返回空字符串,如果在存活期内返回userid的值
校验原理:
整个jwt的结构是由header.playload.sign连接组成,只有sign是用密钥加密的,而所有的信息都在header和playload中可以直接获取,sign的作用只是校验header和playload的信息是否被篡改过,所以jwt不能保护数据,但以上的特性可以很好的应用在权限认证上

 

itsdangerous是python基于jwt的实现的,我们可以用第三方库来实现

  itsdangerous安装

pip install itsdangerous

 

 
  
Signer(secret_key, salt=None, sep='.', key_derivation=None, digest_method=None, algorithm=None)
 
  
# 签名加密/解密
from itsdangerous import Signer  
s = Signer('rainbol')  # 设置盐值
res = s.sign('me').decode()  # 设置签名
print(res)  # me.OJZBr7m8IGARJ0qzK07wdy9xAJM 返回一个签名.字符串
print(s.unsign('me.OJZBr7m8IGARJ0qzK07wdy9xAJM').decode())  # 解签 返回me ,如果中间任意字符串不正确都会报错
 
 
 
 
 
 
 
 
  
 
  
TimestampSigner(secret_key, salt=None, sep='.', key_derivation=None, digest_method=None, algorithm=None)
 
  
# 带时间签名加密/解密
from itsdangerous import TimestampSigner
s = TimestampSigner('rainbol')  # 设置盐值
string = s.sign('123')  # 加签
print(string.decode())  # 返回123.XNkPLg.Qr0E6jJvj7-tg40SBtC0kunkM1w
res = s.unsign(string, max_age=20)  # 解签 max_age设置过期时间20秒
print(res.decode())  # 返回123 ,如果中间任意字符串不正确或者超过max_age时间都会报错
 
 
 
 
 
 
 
 
  
 
  
Serializer(secret_key, salt='itsdangerous', serializer=None, signer=None, signer_kwargs=None)
 
  
# 序列化
from itsdangerous import Serializer  
l = Serializer('rainbol')  # 设置盐值
re = l.dumps(['1314', '2233'])
print(re)  # ["1314","2233"].V2vY21tK5Nc8wYP6rlY9-F2zhH0
print(l.loads(re))  # ['1314', '2233'] 如果不正确会报错
# 如果需要加入时间戳,需要加入TimedSerializer,用法和TimestampSigner一致
 
 
 
 
 
 
 
 
  
# url安全序列化
from itsdangerous import URLSafeSerializer  
l = URLSafeSerializer('rainbol')
re = l.dumps(['122', '2233'])  # 返回 WyIxMjIiLCIyMjMzIl0.SujNVMlTr3RTkuQIHIRjl1R7tTs 序列化更加安全,其他一致
 
 
 
 
 
 
 
 
  
# jsonweb签名
from itsdangerous import JSONWebSignatureSerializer
s = JSONWebSignatureSerializer('rainbol')  # 设置盐值
res = s.dumps({'rainbol': '123456'})  # 设置加密字典
print(res.decode())  # eyJhbGciOiJIUzUxMiJ9.eyJyYWluYm9sIjoiMTIzNDU2In0.CCMq-9G8HkoMb7NFXHeTSg0iG2lndsyZL-fcrV85gfuXBekNP3AWa3bUTYWWHuiFRsueqZ495S5bMxFCoglxZg
res = s.loads('eyJhbGciOiJIUzUxMiJ9.eyJyYWluYm9sIjoiMTIzNDU2In0.CCMq-9G8HkoMb7NFXHe'
              'TSg0iG2lndsyZL-fcrV85gfuXBekNP3AWa3bUTYWWHuiFRsueqZ495S5bMxFCoglxZg', return_header=True)  # 解密字典
print(res)  # 返回{'rainbol': '123456'} 如果中间任意字符串不正确都会报错
 
 
 
 
 
 
 
在实际开发过程中用以下方法即可
 
 
 
  
#带有时间的jsonweb签名
import itsdangerous
salt = 'saO)(&)H'  # 设置盐值
t = itsdangerous.TimedJSONWebSignatureSerializer(salt, expires_in=600)  # 指定参数,第一个是盐值,第二个是TTL加密过期时间
res = t.dumps({'username': 'rainbol', 'password': '123456'})  # 设置加密的字典
print(res.decode())  # 取加密信息
session = 'eyJhbGciOiJIUzUxMiIsImlhdCI6MTU1NzcyNzM4NywiZXhwIjoxNTU3NzI3OTg3fQ.eyJ1c2VybmFtZSI6InJhaW5ib2wiLCJwYXNzd29yZCI6IjEyMzQ1NiJ9.5r2_YYH06HLCW9Ix7EB5UGpk0wPD8RmWib0EoD9lgZIaRHEaH-qrMfQeKPriQNplD1gNLMM2Dn9NX-zoSz20Gg'
res  = t.loads(session)#解析加密信息,如果加密信息不正确会报错
print(res)
 
 
 
 
参考https://blog.csdn.net/weiker12/article/details/68950279
 
 
版权声明:本文原创发表于 博客园,作者为 RainBol 本文欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则视为侵权。
 

 

转载于:https://www.cnblogs.com/RainBol/p/10857727.html

                

        

        




    




    

      

        

            

              
                
                  weixin_30488085
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
jwt 原理

				
			

			

				

					weixin_48334703的博客
				

				

					10-05
					
					1896
					
				

			

		

		

			
				
1.COOKIE使用和优缺点
1.1 cookie原理: 用户名+密码
cookie是保存在用户浏览器端,用户名和密码等明文信息

1.2 session使用原理
session是存储在服务器端的一段字符串,相当于字典的key

1.用户向服务器发送用户名和密码。
2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。
3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器

			
		

	



                

              
                



	

		

			

				
					
JWT

				
			

			

				

					xieminglu的博客
				

				

					09-07
					
					475
					
				

			

		

		

			
				
知识点:
1、服务端如何利用jwt生成token令牌
2、客户端如何接收jwt生成的令牌
3、与传统的session机制差异在哪




1. JWT是什么
JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案
2. 为什么使用JWT
JWT的精髓在于:“去中心化”,数据是保存在客户端的。
3. JWT的工作原理


是在服务器身份验证之后,将生成一个JSON对象并将其发...

			
		

	



                


  
              

                


	

		

			

				
					
简述JWT的工作原理

				
			

			

				

					MakChiKin
				

				

					12-06
					
					2917
					
				

			

		

		

			
				
客户端通过Web表单将正确的用户名和密码发送到服务端的接口。这一过程一般是POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。
服务端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成的JWT就是一个形同lll.zzz.xxx的字符串,并设置有效时间。
服务端...

			
		

	





	

		

			

				
					
JWT令牌的工作原理

				
			

			

				

					qq_16159433的博客
				

				

					10-26
					
					273
					
				

			

		

		

			
				
这里写目录标题JSON Web Tokens基于Token的身份认证与基于服务器的身份认证基于服务器的身份认证基于Token的身份认证基于Token的身份认证是如何工作的用Token的好处无状态和可拓展性安全JWT和OAuth的区别
JSON Web Tokens
在认证的时候,当用户用他们的的凭证成功登录以后,一个JSON Web Token将会被返回。此后,用户名和密码就不再是用户的凭证,而token是用户用来访问资源的新凭证了。你必须非常小新以防止出现安全问题。一般而言,你保存令牌的时间不应该超过你所

			
		

	



		

			
		



	

		

			

				
					
JWT原理

				
			

			

				

					子冉冰清的博客
				

				

					09-26
					
					6965
					
				

			

		

		

			
				
JWT原理
jwt原理使用
JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。

一、JWT原理:
参考文章:https://www.jianshu.com/p/180a870a308a
1、传统的登录方式:
浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每

			
		

	





	

		

			

				
					
Node.JS如何实现JWT原理

				
			

			

				

					10-14
				

			

		

		

			
				
4. **JWT原理**   JWT由三部分组成:Header、Payload和Signature。Header包含了算法和JWT类型,Payload包含声明(如用户ID、过期时间等),Signature是通过Header和Payload的Base64URL编码值以及一个秘密(secret)...

			
		

	





	

		

			

				
					
netCore3.1 WebApi 使用JWT 授权认证使用实例

				
			

			

				

					01-21
				

			

		

		

			
				
首先,让我们了解JWT的基本原理JWT由三部分组成:头部、载荷和签名。头部和载荷都是JSON对象,通过Base64编码,而签名则是通过头部、载荷以及一个密钥通过特定算法计算得出,用于验证令牌的完整性和防止篡改。  要...

			
		

	





	

		

			

				
					
JWT认证原理、流程整合springboot实战应用

				
			

			

				

					01-18
				

			

		

		

			
				
**JWT认证原理**  JWT由三个部分组成:Header、Payload和Signature。它们通过`.`分隔,形成一个完整的Token。  1. **Header**:通常包含JWT类型(`typ`)和加密算法(`alg`),如`HS256`,表示使用HMAC SHA-256算法...

			
		

	





	

		

			

				
					
详解使用JWT实现单点登录(完全跨域方案)

				
			

			

				

					10-16
				

			

		

		

			
				
本文将深入探讨JWT原理使用场景以及其结构。  JWT的核心在于它是一个包含签名的加密字符串,这个字符串包含了用户的相关信息,如用户ID、角色等。当用户登录成功后,服务器会生成一个JWT并发送给客户端。客户端...

			
		

	





	

		

			

				
					
jwt原理

				
			

			

				

					weixin_42065178的博客
				

				

					04-15
					
					4932
					
				

			

		

		

			
				
jwt原理jwt引入jwt构成headerpayloadsignaturejwt工作流程jwt优缺点
jwt引入
先说说为什么要使用jwt。传统的记录用户的登录状态使用的技术是cookie和session,但是存在这么一个问题:我们后端开发的时候使用这个技术栈,客户端可能会是PC、也可能会是移动端、也有可能其他不用这个技术栈实现的应用,那么这就会让cookie和session失去作用。因此我们引入jwt技术。jwt是Json Web Token的缩写,它比seesion安全,且支持分布式站点的单点登录(SS

			
		

	





	

		

			

				
					
PyJWT安装和用法示例

				
			

			

				

					12-21
				

			

		

		

			
				
0x01 简介
PyJWT是一个Python库,可用于编码和解码JSON Web令牌(JWT)。JWT是一种开放的行业标准(RFC 7519),用于在两方之间安全地表示索赔。
0x02 安装
 pip3 install PyJWT


0x03 用法示例
jwt.encode({'some': 'payload'}, 'secret', algorithm='HS256')
jwt.decode(encoded_jwt, 'secret', algorithms=['HS256'])
λ python3
Python 3.8.1 (tags/v3.8.1:1b293b6, Dec 18 201

			
		

	





	

		

			

				
					
JWT- Java Web Token 原理

				
			

			

				

					hqhe_nj的专栏
				

				

					03-01
					
					617
					
				

			

		

		

			
				
JWT是一个轻量级的规范,之前学习过,但一直没有什么应用。最近在做一个OAuth 2相关的项目,有用到JWT。于是,再复习一遍。JWT是什么?JSON Web Token (JWT) 是一个简洁的,自包含的,可安全的在两个模块之间传输。这是JWT.io给出的定义。简洁: JWT的规模比较小,它的报文可以通过URL或者HTTP的POST参数,甚至插入在HTTP头中。自包含:在JWT payload部...

			
		

	





	

		

			

				
					
JWT原理使用

					
热门推荐

				
			

			

				

					lh_hebine的博客
				

				

					08-17
					
					1万+
					
				

			

		

		

			
				
JWT
在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。
什么是JWT
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的...

			
		

	





	

		

			

				
					
jwt原理使用

				
			

			

				

					灵山一笑
				

				

					06-15
					
					242
					
				

			

		

		

			
				
JWT json web token

在后台认证时使用:1)不需要后台存储session信息,仅占用一点计算资源;2)后端接入服务器平行扩展时,不用考虑认证的平行扩展问题;

jwt由三部分组成:头,信息体,签名。

头:描述加密算法和令牌类型(JWT)

信息体:是json字段,jwt定义了几个通用字段(如,发行人,过期时间,主题等),用户也可以定义私有字段。

签名:签名是为了保证头和信息体...

			
		

	





	

		

			

				
					
JSON Web令牌(JWT)的原理,流程和数据结构

				
			

			

				

					夜猫子与猫头鹰
				

				

					02-05
					
					111
					
				

			

		

		

			
				
JSON Web令牌(JWT)的原理,流程和数据结构 详细参考:https://cloud.tencent.com/developer/article/1460770
https://juejin.cn/post/6844903506535071758
shiro BasicHttpAuthenticationFilter 认证流程:https://blog.csdn.net/qq_39291919/article/details/106854604
https://www.jianshu.com/p/7c

			
		

	





	

		

			

				
					
jwt使用

				
			

			

				

					冷小陌的博客
				

				

					12-18
					
					175
					
				

			

		

		

			
				
什么是JWTJWT(JSON WEB
TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串

JWT用来做什么?怎么来的?
由于http协议是无状...

			
		

	





	

		

			

				
					
Django 之pip3 install pyjwt

				
			

			

				

					我就叫贝塔
				

				

					12-16
					
					610
					
				

			

		

		

			
				
转载自: https://www.cnblogs.com/ls-2018/p/11858551.html



			
		

	





	

		

			

				
					
PyJWT使用

				
			

			

				

					分享一点有用的知识
				

				

					06-28
					
					1387
					
				

			

		

		

			
				
PyJWT使用

			
		

	





	

		

			

				
					
drf中jwt使用原理

					
最新发布

				
			

			

				

					05-18
				

			

		

		

			
				
Django Rest Framework(DRF)是一种基于 Django 的 Web 应用程序开发框架,它提供了许多工具和库,使得开发 Web API 更加容易。JWT 是一种基于 JSON 的 Web Token,它用于在网络应用程序和服务器之间传递声明以使身份验证和授权更加安全。在 DRF 中使用 JWT 可以使得 API 更加安全。

JWT 由三个部分组成:头部、载荷和签名。头部通常包含算法和令牌类型的信息,载荷通常包含用户标识信息和令牌的过期时间,签名则是根据头部、载荷和密钥生成的。

DRF 支持 JWT 验证,可以使用第三方库 djangorestframework-jwt 来实现。实现方式如下:

1. 安装 djangorestframework-jwt

```
pip install djangorestframework-jwt
```

2. 添加 JWT 相关配置到 settings.py 中

```
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication',
    ],
}

JWT_AUTH = {
    'JWT_SECRET_KEY': SECRET_KEY,
    'JWT_ALGORITHM': 'HS256',
    'JWT_VERIFY_EXPIRATION': True,
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=7),
    'JWT_ALLOW_REFRESH': True,
    'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=30),
}
```

3. 在 urls.py 中添加 JWT 相关路由

```
from rest_framework_jwt.views import obtain_jwt_token, refresh_jwt_token, verify_jwt_token

urlpatterns = [
    url(r'^api-token-auth/', obtain_jwt_token),
    url(r'^api-token-refresh/', refresh_jwt_token),
    url(r'^api-token-verify/', verify_jwt_token),
]
```

4. 在需要验证的视图中添加 @jwt_authentication_classes 装饰器

```
from rest_framework.decorators import api_view, permission_classes, jwt_authentication_classes
from rest_framework.permissions import IsAuthenticated
from rest_framework.response import Response

@api_view(['GET'])
@permission_classes([IsAuthenticated])
@jwt_authentication_classes
def my_view(request):
    content = {'message': 'Hello, World!'}
    return Response(content)
```

以上是 DRF 中使用 JWT 的简单介绍,JWT原理是将用户标识信息和过期时间等信息进行编码,生成一个安全的 token,并将其传递给客户端。客户端在后续的请求中携带这个 token,在服务端进行验证。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值