jwt认证机制优势和原理_cookie、session、jwt

最新推荐文章于 2023-06-14 22:45:57 发布
最新推荐文章于 2023-06-14 22:45:57 发布
阅读量219 收藏
点赞数
文章标签: jwt认证机制优势和原理 jwt超时时间 angular expiredat 使用session机制有助于防止越权操作的产生

cookie、session、jwt都是用于HTTP用户认证的方式,最近在使用所以再次熟悉一下

Why?

HTTP是无状态的,无法获知用户的身份,所以就需要有一种手段可以实现能获知每个HTTP请求发起的用户是谁,还要能区分每个不同的用户。

Cookie

Cookie是保存用户信息的一种最简单的方式,cookie中可以保存用户的一些信息,存放在浏览器的本地存储中,并随着每次请求发送到服务器。

  1. 用户首次认证并登陆服务后,服务返回给用户的HTTP中带着一个服务器生成的cookie信息,浏览器会自动保存到本地,带用户下次再访问该网站时会自动带上该cookie;
  2. 不同的网站会发送不同的cookie,cookie和域名绑定,并能指定path;
  3. cookie有超时机制,如果超时需要重新认证再让服务方重新分配一个cookie;
  4. cookie可以指定secure=true属性,指定后只有https才能使用该cookie;
  5. cookei还可以指定httponly=true属性,可以防止js拿到cookie,只有服务器可以操作cookie

不足:

  1. 最大的原因是因为它存储在浏览器端,一些别有用心的人能够通过浏览器截获cookie(脚本、利用工具抓取等);
  2. Cookie在网络中很容易被劫持,这个问题需要用https解决;
  3. Cookie的失效时间是不受服务端控制的,用户可以修改;
  4. 同一站点能设置的cookie有限。

Session

Session是比cookie安全高的另一种会话保持技术,Session把信息存储的服务器端,在浏览器端只需要存储一个session id,服务端通过用户请求中带的session id自动获取用户信息。

session id虽然存储在cookie中,但所有用户信息都存放在服务端,通常公司对自己的用户信息都有更强的安全保护;

服务端可以存储用户大量信息,用户可以用一次登录就可以免密登录同一个公司的不同服务和网站;

session id通常会使用HMAC生成,并结合cookie使用,较为灵活,兼容性较好,防止篡改。

不足:

  1. 服务端存储session id需要承受更高的计算成本;
  2. 负载均衡需要考虑共享session机制;
  3. 查询session id是个查库操作,用户很多时会有性能问题;
  4. 无法跨域。

jwt

jwt是基于token验证机制的一种,目前受大多数网站和框架支持。jwt的原理是用户认证后发一个jwt token给用户,其中包含用户的信息,用户后续请求带上这个jwt,服务端就可以自动解析出用户信息。

jwt有三部分组成,都使用json格式:

Header
Payload
Signature

其中Header通常是:

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload保存用户信息,比较随意,但通常是用户不铭感的信息:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

Signature是根据jwt签名算法+服务端自定义的秘钥生成的hash信息:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

注意,header和payload部分都没有加密,所以不要存放铭感信息。

最后把三部分放在一起并使用BASE64_URL转义得到:

87ea1909f57b6192f158e9236a65ef09.png

golang版本实现如下:

1. header:结构固定,json.Mashal后再encode64
2. playload:和header一样,先json.Mashal后再base64UrlEncode
```
// Generate the signing string.  This is the
// most expensive part of the whole deal.  Unless you
// need this for something special, just go straight for
// the SignedString.
func (t *Token) SigningString() (string, error) {
	var err error
	parts := make([]string, 2)
	for i, _ := range parts {
		var jsonValue []byte
		if i == 0 {
			if jsonValue, err = json.Marshal(t.Header); err != nil {
				return "", err
			}
		} else {
			if jsonValue, err = json.Marshal(t.Claims); err != nil {
				return "", err
			}
		}

		parts[i] = EncodeSegment(jsonValue)
	}
	return strings.Join(parts, "."), nil
}
```
3. Signature:hash(playload,key)
```
// Implements the Sign method from SigningMethod for this signing method.
// Key must be []byte
func (m *SigningMethodHMAC) Sign(signingString string, key interface{}) (string, error) {
	if keyBytes, ok := key.([]byte); ok {
		if !m.Hash.Available() {
			return "", ErrHashUnavailable
		}

		hasher := hmac.New(m.Hash.New, keyBytes)
		hasher.Write([]byte(signingString))

		return EncodeSegment(hasher.Sum(nil)), nil
	}

	return "", ErrInvalidKeyType
}
```
4. 最后,以上三部分join by .

jwt可以存放在cookie或者header中,推荐的做法是放到header,可以实现跨域:

Authorization: Bearer <token>

jwt解决了跨域、降低了服务端session开销问题,为分布式服务扫清了障碍,但也无法解决劫持问题,需要配合https才能实现更高的安全性。

引用:

https://jwt.io/introduction/​jwt.io https://github.com/dgrijalva/jwt-go​github.com
weixin_39863017
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT相关知识及Cookie, Session,Token和JWT的区别总结.pdf
05-31
JSON Web Token (JWT) 是一种身份验证和授权的开放...Cookie适合简单的Web应用,Session适用于需要服务器保持状态的场景,而JWT则在分布式系统和无状态认证中表现出色。理解它们之间的差异有助于选择合适的认证策略。
身份验证之CookieSessionJwt
singularity(奇点)
02-05 636
身份验证之CookieSessionJwt
十次方——加密与初识JWT
哈喽羊
03-29 586
一. BCrypt密码加密 任何应用考虑到安全,绝不能明文的方式保存密码。密码应该通过哈希算法进行加密。有很多标准的算法比如SHA或者MD5,结合salt(盐)是一个不错的选择。 Spring Security提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt强哈希方法来加密密码。BCrypt强哈希方法 每次加密的结...
session、token、cookieJWT的区别一定要懂
weixin_45709829的博客
04-07 5732
一、基本概念 1.1 认证 认证authentication,指的是验证访问者的身份 常见认证方法 用户名密码认证 短信验证码认证 邮箱验证码认证 扫码认证 人脸识别或者其他生物特征识别认证 1.2 授权 授权authorization,指的是用户通过身份认证后,能够访问指定的某些资源 常见授权模型—3种 ACL(Access Control List):ACL中包含用户、资源、资源操作三个关键内容。通过将资源以及资源操作授权给用户,使得用户具有操作某项资源的权限 RBAC(Role-Base
全网最细总结-Seesion,Cookie以及JWT的区别
最新发布
qq_42898642的博客
06-14 904
全网最详细,关于sessioncookie,token的用户认证原理与区别
golang-jwt使用
a1023934860的博客
06-07 3890
1.在使用之前我们应该对它进行安装与导入 2.既然导入成功那就开始使用吧 3.逐步讲解首先我们先查看第一步 newWithClaims会返回一个Token结构体,而这个token结构体有以下属性 我们可以通过该结构体获取到加密后的字符串信息。接下来我们需要讲解一下Claims该结构体存储了token字符串的超时时间等信息以及在解析时的Token校验工作。 就是一个map集合,但是它实现了上面Valid()方法,该方法里面实现了对token过期日期校验、发布时间、生效时间的校验工作。 所以在map里面有三个固
CookieSession、Token、JWT.xmind
01-30
CookieSession、Token、JWT.xmind
Nodejs中的JWTSession使用
01-20
最近的项目需要在node服务端做一个用户登录的校验以及权限拦截,专业一点叫用户认证与授权,经过一番收集资料,目前常用的有两种——JWTSession 使用JWT JWT是JsonWebTokens的简写形式,具体是啥我就不详细写了,...
再一次,CookieSession、Token、JWT.xmind
02-05
再一次,CookieSession、Token、JWT.xmind
go 实现 jwt 签名和验证
____
03-16 1391
变化 上古时代的开发方式,都是通过COOKIE认证。现在是使用JWT header 来认证。 golang中很方便自带的签发jwt的token。最新使用的库是 go get -u github.com/golang-jwt/jwt/v4 注意 很多老人都在使用github.com/dgrijalva/jwt-go,而这个实际上已经不维护和更新了。 现在都转交给官方去维护了,官方说明 https://github.com/golang-jwt/jwt/blob/main/MIGRATION_GUIDE.m
密码学-hash加密
我不是大牛
05-16 922
以下代码分别为乘法hash,sha256,md5,ripemd160的使用方法: package main import ( &amp;quot;fmt&amp;quot; &amp;quot;crypto/sha256&amp;quot; &amp;quot;os&amp;quot; &amp;quot;io&amp;quot; &amp;quot;crypto/md5&amp;qu
SDU信息门户(14)项目的Jwt代码解析
weixin_45670101的博客
12-26 275
2021SC@SDUSC
golang 使用jwt
tianwenxue的专栏
12-14 1765
golang 中jwt使用方式总结。 1. golang示例代码 import ( &amp;quot;fmt&amp;quot; &amp;quot;time&amp;quot; &amp;quot;github.com/dgrijalva/jwt-go&amp;quot; ) var ( SIGN_NAME_SCERET = &amp;quot;aweQurt178BNI&amp;quot; ) func main() {
Golang和jwt
qq_43490063的博客
12-24 252
需要使用第三方库 go get -u github.com/dgrijalva/jwt-go // jwt.SigningMethodRS256 定义我们的jwt为sha256加密,也就是jwt的头部 // jwt.MapClaims{} 这个就是我们jwt中的payload,也就是你需要验证的数据 // 这里说下,这个包里已经有了一些写好的 func GenerateToken(user...
【sduoj】生成和解析 JWT
weixin_45922876的博客
10-20 691
2021SC@SDUSC 在sduoj项目中,我们有四种角色:管理员、教师、学生、普通用户。如果仅仅是通过调用的接口路径的不同来区分这些角色的话,容易引发一些危险的行为。比如,当一个普通用户知道了该项目的管理员接口,那他的行为就有可能造成系统的混乱。因此,我们需要给项目加一点防御,对接口进行访问控制。
golang jwt验证
robin912的专栏
06-27 1774
安装 go get “github.com/dgrijalva/jwt-go” 登陆 // Create a new token object, specifying signing method and the claims // you would like it to contain. token := jwt.NewWithClaims(jwt.SigningMethodHS256...
Gin实践 连载五 使用JWT进行身份校验
weixin_34106122的博客
02-16 393
使用JWT进行身份校验 原文地址:煎鱼的迷之传送门 在前面几节中,我们已经基本的完成了API's的编写 但是,还存在一些非常严重的问题,例如,我们现在的API是可以随意调用的,这显然还不够完美,是有问题的 那么我们采用 jwt-go (GoDoc)的方式来简单解决这个问题 项目地址:https://github.com/EDDYCJY/...
微服务统一登录认证怎么做?JWT
Java知音
02-06 1662
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!作者:hongxinerkecnblogs.com/zhenghongxin/p/10006697.html无状态登录...
JSON WEB TOKEN 从原理到实战
weixin_33943347的博客
05-27 140
阅读本文大概需要 4.2 分钟。作者:王廷骏原文:https://juejin.im/post/5ce272c1e51d45109b01b0f8复制代码1. JSON WEB TOKEN1.1 什么是JWTJSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 简称JWT,在HTTP通信过程中,进行身份认证。 我们知道HTTP通...
JWT详解:与Cookie, Session和Token的区别及其安全挑战
本资源是一份关于CookieSession、Token和JWT的详细对比和深入解析的前端笔记。笔记由四个章节构成,分别探讨了这些概念的基础知识和发展历程。 在第一章,作者回顾了Cookie的历史背景,并介绍了其基本工作原理,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值