jwt token 附加用户信息_JWT(json-web-token) 详解及应用

最新推荐文章于 2022-11-10 08:22:37 发布
最新推荐文章于 2022-11-10 08:22:37 发布
阅读量809 收藏
点赞数
文章标签: jwt token 附加用户信息
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39664560/article/details/111959771
版权
JWT是一种基于JSON的标准,用于在分布式系统中传递认证信息,常用于SSO场景。相比于传统session认证,JWT更加紧凑、安全,适合扩展。流程包括用户登录获取token,之后携带token进行请求,服务器验证token。JWT由header、payload和signature三部分组成,可存储非敏感信息,且无需服务器保存会话信息,方便扩展。但要注意不在payload存储敏感信息,并保护好私钥。
摘要由CSDN通过智能技术生成

JWT(json-web-token) 详解及应用

什么是JWT

Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),

该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在

身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加

一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

一般用于用户认证(前后端分离/微信小程序/app开发).

基于token的认证和传统的Session认证的区别

# 传统的session认证

http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,

那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发送的请求,

所以为了让我们的应用能识别是哪个用户发出的,我们只能在服务器存储一份用户登陆的信息,

这份登陆信息会在响应时传递给服务器,告诉其保存为cookie,以便下次请求时发送给我们的应用,

这样我们的英哟个就能识别请求来自哪个用户了,这就是传统的基于sessino认证,但是这种基于session

的认证使应用本身很难得扩展,随着不用客户端的增加,独立的服务器已无法承载更多的用户,

而这个时候基于session认证应用的问题就会暴露出来.

session:每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以便用户下次请求的鉴别,

通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大.扩展性:用户认证之后,

服务端做认证记录,如果认证的记录被保存在内存的话,这意味着用户下次请求还必须要请求在这台服务器上,

这样才能拿到授权的资源,这样在分布式的应用上,响应的限制了负载均衡器的能力,也意味着限制了应用的扩展性

CSRF:因为是基于cookie来进行用户识别的,cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击.

# 基于token的鉴权机制

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或会话信

最低0.47元/天 解锁文章
weixin_39664560
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WEB 安全认证方式介绍+Spring Security 入门案例
qq_29342297的博客
10-31 883
WEB 安全认证 Http Basic Auth Http Basic Auth 就是简单的访问API的时候,带上访问的username和password,由于信息会暴露出去,我们会在请求头中看到多出的用Base64 加密的一串字符。为自己的访问凭证。但安全程度过低。 案例:在Tomcat中配置Http Basic Auth 修改tomcat的conf目录下的tomcat-user.xml文件 <?xml version='1.0' encoding='utf-8'?> <tomc
jwt token 附加用户信息_JWT设计单点登录
weixin_36432438的博客
01-14 298
1 什么是JWTJWTJSON WEB TOKEN的缩写,是为了在网络应用环境建传递声明而执行的一种基于JSON的开放标准。该Toekn被设计为紧凑并且安全的,特别适用于分布式站点的单点登录(SSO)2 传统的session认证传统的session认证是为了让我们的而英勇能识别是哪个用户发送的请求,需要在服务器存储一份用户的登陆信息,这份登陆信息会在返给用户的响应时传递给浏览器,浏览器保存为co...
web认证机制
weixin_33743880的博客
02-20 207
引言 以前对认证这方面的认识一直不太深刻,不清楚为什么需要token这种认证,为什么不简单使用session存储用户登录信息等。最近读了几篇大牛的博客才对认证机制方面有了进一步了解。 Basic Auth 这种认证直接顺应HTTP协议的无状态性,每次执行业务的时候,都暴力地附带username与password参数,并将其发送给服务器进行...
基于web认证校园网共享实例
TianYao
10-31 5355
基于web认证校园网共享实例一、解决限制问题二、工具准备三、操作演示 一、解决限制问题 1.解决限制终端上线的设备类型和数量 2.解决禁止共享网络问题 二、工具准备 1.电脑安装浏览器(火狐,谷歌,Edge), 2.浏览器中安装User-Agent Switcher 插件 3.安装抓包发包软件 burpsuite 4.路由器一个(型号版本随意) 三、操作演示 User-Agent Switcher 插件安装 点击下载安装即可 谷歌和edge都有相关的插件, 选择你的设备类型 打开刚刚安装的软件 选择一
django使用JWT保存用户登录信息
09-17
主要介绍了Django使用jwt获取用户信息的实现方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
jwt token 附加用户信息_JSON WEB TOKENJWT详解以及JAVA项目实战
weixin_35648264的博客
01-17 911
1.我们为什么要是用tokenToken, 令牌,代表执行某些操作的权利,也就是我们进行某些操作的通行证。1.1 在很久很久以前,我们使用什么做身份认证?我们都知道 HTTP 是无状态(stateless)的协议:HTTP 对于事务处理没有记忆能力,不对请求和响应之间的通信状态进行保存。使用 HTTP 协议,每当有新的请求发送时,就会有对应的新响应产生。协议本身并不保留之前一切的请求或响应报文的信...
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
WebAPI与JWTJSON Web Tokens)身份验证是一种常见的安全机制,用于保护WebAPI接口免受未经授权的访问。JWT令牌提供了一种轻量级的方式来进行身份验证和授权,它允许服务器在客户端之间安全地传递信息,而无需存储...
jwt token 附加用户信息_掌握基于 JWT 实现的 Token 身份认证
weixin_35411438的博客
12-24 578
引语最近正好在独立开发一个后台管理系统,涉及到了基于Token的身份认证,自己边学边用边做整理和总结,对基于JWT实现的Token的身份认证做一次相对比较全面的认识。一、基于session的跨域身份验证Internet服务无法与用户身份验证分开。一般过程如下。用户向服务器发送用户名和密码。验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。服务器向用户返回session_id,se...
jwt token 附加用户信息_利用Redis和Jwt实现Token生成,存储,验证方法
weixin_36358383的博客
12-24 804
#Token存储流程(以登录为例):Client->Server: 发送数据(用户名密码及验证码)Server->Redis: 合法:生成Token,并以Token:username键值对存储Server->Client: 不合法:返回错误信息#Token生成关于token,大家可以查看JSON web Token里面有很多现成的实现库,而且基本涵盖了各类主流语言,我这儿就已j...
json-jwt:Ruby中的JSON Web令牌及其家族(JSON Web签名,JSON Web加密和JSON Web密钥)
05-14
Ruby中的JSON Web令牌及其家族(JSON Web签名,JSON Web加密和JSON Web密钥) 安装 gem install json-jwt 资源 在GitHub上查看源代码( ) 在GitHub上报告问题( ) GitHub上的文档( ) 例子 require 'json/jwt'...
jwt token 附加用户信息_基于JWTToken认证机制实现
weixin_39993454的博客
01-17 249
1、JWT简介1.1什么是JWTJSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。1.2 JWT组成一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。头部(Header)头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。{"typ":"JWT","alg...
JWT用于长时间保存用户认证信息(续)
最新发布
m0_75015716的博客
11-10 602
JWT用于长时间保存用户认证信息(续)
Web认证方法探视(1)
andyhu1007的专栏
02-23 452
什么是Web认证   简而言之,web认证就是一个确认对方身份的过程。Web认证最典型的方式是通过用户名和密码。   Web认证有多种方式   A. Http协议内建的认证方法       1. Http Basic Authentication (Http基本认证)           HTTP基本认证是最简单也是曾经使用过很长时间的一种认证方式。基本认证要求为每一个保护域(re...
JWT用于长时间保存用户认证信息
m0_75015716的博客
11-09 1512
JWT用于长时间保存用户认证的信息
web-security第一期:简谈 OAuth2.0 协议
Swing
06-08 3475
声名:此文有参考链接 (鸣谢!) 1.简述OAuth2.0 OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。 此机制下涉及三方: 资源拥有者:用户 (第三方应用)客户端:APP 服务提供方:包含两个角色 认证服务器 资源服务器 资源拥有者告诉服务提供方,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用 2.令牌(token)与密码 令牌(token)与密码都可以作为访问资源服务器...
Web安全之认证机制
java后端开发的博客,不仅仅是后端开发
07-13 2368
“认证”是很容易理解的一种安全手段,常见的认证方式就是用户名和密码。那么“认证”和“授权”是一回事吗?
webservice安全认证方式
iteye_2897的博客
07-26 649
方式一: &lt;soap:Header&gt; &lt;wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" soap:mustUnderstand="1"&gt; &lt;wsse:UsernameToken xm...
JWT Token实现与用户登录验证详解
在现代Web应用程序中,后台用户登录-Token模块是一个关键的安全组件,用于实现基于JSON Web Token (JWT) 的用户身份验证。JWT 是一种轻量级的身份凭证,它被设计为在客户端和服务端之间传输,允许用户在不暴露敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值