JSON Web令牌(JWT)

最新推荐文章于 2024-04-27 21:25:57 发布
最新推荐文章于 2024-04-27 21:25:57 发布
阅读量352 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41519463/article/details/103843702
版权

参考JWT

JWT与cookie+session的区别

服务器端维护登录状态,使用传统Cookie和Session方案,扩展性不好。而 JSON Web Token(JWT)可实现服务器无状态,扩展性好。

先解释一下单点登录的概念:在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如像阿里巴巴这样的网站,在网站的背后是成百上千的子系统,用户一次操作或交易可能涉及到几十个子系统的协作,如果每个子系统都需要用户认证,不仅用户会疯掉,各子系统也会为这种重复认证授权的逻辑搞疯掉。

在单点登录的时候,共享登录状态信息的实现有以下两种方案:

  • 方案一:使用session 数据持久化(写入数据库或者Redis中),服务受到请求后,向持久层请求数据,但如果持久层挂了,就会单点失败。
  • 方案二:使用JWT,服务器不保存session数据,所有状态信息都保存在客户端,每次请求都发回服务器。

验证方式

无论session还是token,做用户验证都是不需要用到用户密码的。

session

客户端登录后,第二次访问服务器时,cookie中带有sessionid,服务器在redis中查找是否存在这个sessionid,如果存在,则用户验证成功,并且拿出这个sessionid对应的用户信息。

token

客户端登录后,第二次访问服务器时携带token,服务端接收到 token 之后,会逆向构造过程,decode 出 JWT 的三个部分,这一步可以得到 sign 的算法及 payload,结合服务端配置的 secretKey(只有服务端知道这个密钥),生成 $Signature,与token中的 $Signature 比对以验证 token 是否有效,完成用户身份的认证,验证通过才会使用 payload 的数据。

参考https://zhuanlan.zhihu.com/p/27370773

从上面可以看到,二者的区别就在于,session把用户信息放在服务端,而token把用户信息放在客户端(即token)。

JWT实现原理

客户端首次访问服务器,并且认证成功以后,生成一个json对象,发回给客户端。之后,客户端每次与服务端通信,都回传这个JSON对象。服务器靠这个JSON对象认证用户身份。为防止用户篡改数据,服务器生成这个对象的时候,会加上签名。

使用了JWT后,服务器不再保存任何session数据,实现了服务无状态,从而比较容易实现扩展。

JSON对象具体内容

Header.Payload.Signature

  • Header:经Base64URL算法转成字符串的JSON对象,描述JWT的元数据,如签名算法(默认HMAC SHA256 对称加密)、令牌类型等属性。
  • Payload:经Base64URL算法转成字符串的JSON对象,实际传输的数据,如签发人iss、主题sub、受众aud、过期时间exp、生效时间nbf、签发时间iat、编号jti (7个官方字段)以及自定义私有字段。
  • Signature:对前两部分的签名,指定密钥secret ,对头部以及载荷内容进行签名。如果有人对头部以及载荷的内容解码以后进行修改,再进行编码的话,即时使用相同密钥签名,结果也与原来的不一样。如果不知道服务器加密时候用的秘钥的话,得出来的签名也是不一样的。

截取自JWT官网

Base64URL算法

Base64编码后的字符串中可能包含 + 、/ 和 = 三个字符,在 URL 里面有特殊含义,所以要被替换掉:= 被省略、+ 替换成-,/ 替换成 _ 。这就是 Base64URL 算法。

JWT作为一个令牌(token),有些场景可能会附到URL中(如:api.example.com/?token=xxx),因此需要采用Base64URL 算法将Header 和 Payload 转化为字符串。

JWT优缺点

参考用户认证:基于jwt和session的区别和优缺点

优点

  • 所有状态信息存储在客户端,减轻了服务端压力(不需要存储session)
  • 可扩展性好,应用程序分布式部署的情况下,session需要做多机数据共享,存在数据库或者redis里面。而jwt不需要。
  • JWT不仅可以用于认证,也可以在 JWT 中存储用户权限信息、用户个人信息。有效使用JWT,可以降低服务器查询数据库的次数(用户信息都写在JWT中,不需要访问数据库取用户信息)

缺点:

  • 使用过程中无法废止或修改,签发后到期前始终有效
  • 包含认证信息,泄露后权限被盗用(建议采用较短的有效期,并使用HTTPS协议传输)
  • JWT 的内容(内部的 JSON 数据)通常是不加密的。这意味着,即使没有密钥,也可以查看 JWT 内的数据。JWT 默认并不会加密你的数据,它只是帮助你验证是你信任的一方创建了它。因此jwt中不能存储敏感数据。而session的信息是存在服务端的,相对来说更安全。
  • 由于是无状态使用JWT,所有的数据都被放到JWT里,每一次http请求都会把jwt携带在Header里面,http请求的Header可能比Body还要大,通信开销大。

总结

适合使用jwt的场景:

  • 有效期短
  • 只希望被使用一次

比如,用户注册后发一封邮件让其激活账户,通常邮件中需要有一个链接,这个链接需要具备以下的特性:能够标识用户,该链接具有时效性(通常只允许几小时之内激活),不能被篡改以激活其他可能的账户,一次性的。这种场景就适合使用jwt。

而由于jwt具有一次性的特性。单点登录和会话管理非常不适合用jwt,如果在服务端部署额外的逻辑存储jwt的状态,那还不如使用session。基于session有很多成熟的框架可以开箱即用,但是用jwt还要自己实现逻辑。

正则化
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JSON Web令牌(JWT)详解
weixin_56069070的博客
11-18 1165
前言 今天要分享的知识是JWT 码字不易,转载请说明!!! 目录 一、JWT出现的原因及工作原理 JWT是什么 为什么使用JWT JWT的工作原理 JWT组成 传统开发对资源的访问限制利用session完成图解 ​JWT所解决的问题及机制 JWT解决不需要登录就能直接访问的问题 web.xml:解决JWT问题的过滤器 JwtFilter.java:开启jwt令牌验证功能 UserAction .java:将jwt令牌塞入响应头 未登录就不能显示内容 并且报出4...
auth-jwt:一个通过逆向工程学习JWT的演示
02-05
通过逆向工程学习JWT的演示 如何使用它 转到的(或在您的本地计算机上运行它:clone > npm install-> npm start) 玩转配置 阅读每页的提示,获得更多资源,以深入了解概念 文献资料 如果您想扩展代码以获得更多功能, 参考文献 关于代币 密码学 使JWT失效 只需从客户端删除令牌 创建令牌黑名单 只需保持令牌到期时间短并经常轮换它们即可 应急计划:允许用户使用其登录凭据更改基础用户查找ID 当用户更改密码时,使令牌失效的一种常见方法是使用密码的哈希值对令牌进行签名。 因此,如果密码更改,则任何先前的令牌将自动无法验证。 您可以通过在用户记录中包括上次注销时间,并
JS逆向实战5--JWT TOKEN x_sign参数
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
06-21 906
JWTJSON WEB TOKEN):JSON网络令牌JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串。
JWT(JSON Web Token) 原理介绍
最新发布
BASK2311的博客
04-27 818
JWTJSON Web Token 的缩写,是一种开放标准(RFC 7519),即基于 JSON 对象的编码,并通过这个编码传递信息。JWT 会通过 HMAC、RSA、ECDSA 等算法进行加密。通常利用 JWT 来对用户进行验证,也就是说用户会先请求身份凭证服务器拿到该JWT,然后,只要用户携带这个 JWT 向业务服务器请求资源,如果这个 JWT 是有效的,那么就能获取资源。
spring boot项目如何通过JWT工具生成token以及逆向解密token?
AllenLuoYi的博客
06-30 1406
一.什么是JWT? JWT 是一个开放标准,它定义了⼀种⽤于简洁,自包含的用于通信双方之间以 JSON 对象的 形式安全传递信息的方法。 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名,简单来 说: 就是通过⼀定规范来⽣成token,然后可以通过解密算法逆向解密token,这样就可以获取 用户信息 二.首先需要在pom.xml文件中添加相应的依赖 <dependency&g...
JWT
RealGUO的博客
04-12 221
JWT JWT ----- Json Web Token 编码、签名(摘要)、加密 # 编码 1、解码是为了方便以字节的方式表示数据 2、编码和解码的整个过程是可逆的,得知编码方式后,整个 jwt 串便是明文了 3、base64 # 签名 1、签名的目的主要是避免消息被篡改 2、将消息和签名算法生成的签名发给客户端 3、客户端用相同的密钥将消息签名,然后对比两个签名 (相同的密钥应该是通过rsa先商量好) 4、签名算法共同的特点是整个过程是不可逆的 5、使用带有密钥的签名算法,密钥是服务器和签发者共
php-jwt:在PHP中使用JSON Web令牌JWT)的便捷库
02-23
php-jwt 一个方便的库,用于在PHP中使用JSON Web令牌JWT)。 该库符合的规定,但不允许未签名的JWT(“无”算法)除外,并且对以下声明具有内置支持: aud (受众群体)主张-exp (到期时间)索赔-iat (在iat发出...
discourse-jwt:JSON Web令牌JWT)的Discourse Auth支持
05-10
一个通过JSON Web令牌JWT)启用身份验证的Discourse插件。 首先,请考虑使用Discourse的或插件。 这些身份验证标准更加成熟,并且包含更多的安全功能。 配置 该插件提供了三个用于配置的站点设置。 您必须在管理...
json-jwt:Ruby中的JSON Web令牌及其家族(JSON Web签名,JSON Web加密和JSON Web密钥)
05-14
Ruby中的JSON Web令牌及其家族(JSON Web签名,JSON Web加密和JSON Web密钥) 安装 gem install json-jwt 资源 在GitHub上查看源代码( ) 在GitHub上报告问题( ) GitHub上的文档( ) 例子 require 'json/jwt'...
通过逆向工程学习JWT的演示-JavaScript开发
05-26
通过逆向工程学JWT的演示通过逆向工程学JWT的演示如何使用它转到repl.it上托管的演示(或在本地计算机上运行:clone repo-> npm install-> npm start)尝试各种配置阅读每一页上的线索,获得更多资源,以更深入地了解概念。关于令牌的参考JWT JWT与不透明的令牌密码术非对称密码术数字签名:验证消息的真实性正向保密:一种防止将来遭受损害的方法
djwt:使用deno创建和验证JSON Web令牌JWT
05-04
使用deno创建和验证JSON Web令牌。 原料药 创造 接收header , payload和key并返回经过URL安全编码的jwt 。 import { create } from "https://deno.land/x/djwt@$VERSION/mod.ts" const jwt = await create ( { ...
QJsonWebToken:JSON Web令牌JWT)的Qt C ++实现
02-05
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWTs可以用于身份验证、授权以及...
JWT的原理及其相对优缺点
qq_44969643的博客
07-28 1万+
一,Token token特点 Token 临时且唯一 保证不能够重复 (缓存有效期机制),智能门锁、临时密码 具有有效期2小时 token生成 Token如何生成:uuid作为token。 比如:生成token(uuid生成),作为Rediskey放入redis中,Redis的key作为有效期。 实际项目中,token和sessionid非常相似 session缺陷 传统项目使用session存在缺陷:放入到服务端, session 类似redis存放缓存内容, session中的sessionid类似于
利用jwt生成或解密token信息
热门推荐
天涯的博客
05-08 2万+
jwt(json web token)是一种能够允许我们在用户和服务器之间传递安全可靠信息的规范。它可以采用对称加密和非对称加密的方式,对我们所要传递的数据进行加密,防止数据的泄露。在web应用中,jwt通常可以结合Spring-security,对访问的页面进行安全保护,如果有需要,可以参照本文参考文献中的内容。本文主要对jwt的类进行封装,生成tocken信息。 JWT 由三...
启xin宝app的token算法破解——逆向篇(二)
成小新的博客
08-24 1562
启xin宝app的token算法破解——抓包分析篇(一)文章已经对该app进行了抓包分析,现在继续对它进行逆向。 对于一个app而言,我们要逆向app,需要知道什么呢? 逆向工具 Java基础,甚至c和汇编基础 加固类型和脱壳工具 安卓开发基础 对安卓系统的认知 对xposed的认知 smali基础 以上这些是必须了解甚至掌握的,爬虫逆向路上越走越远了。 回归正题,该app是怎样一种app呢?...
(转)讲真,别再使用JWT
jackyrongvip的专栏
08-17 1843
不错的好文: http://insights.thoughtworkers.org/do-not-use-jwt-anymore/
(json web token)JWT攻击
汐白
05-16 3633
前记 最近国赛+校赛遇到两次json web token的题,发现自己做的并不算顺畅,于是有了这篇学习文章。 为什么要使用Json Web Token Json Web Token简称jwt 顾名思义,可以知道是用于身份认证的 那么为什么要有身份认证? 我们知道HTTP是无状态的,打个比方: 有状态: A:你今天中午吃的啥? B:吃的大盘鸡。 A:味道怎么样呀? B:还不错,挺好吃的。 无状态: ...
JSONWeb令牌详解与实现
出版的关于 JSON Web Token (JWT) 的技术指南,版本0.10.1,发布于2016年。书中详细介绍了JWT的基础知识、实际应用以及技术实现。 JWTJSON Web Token)是一种轻量级的身份验证和授权机制,用于在各方之间安全地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值