接口使用jwt返回token_RESTful API使用JWT做无状态的身份认证-Go语言中文社区

最新推荐文章于 2024-01-02 08:15:00 发布
最新推荐文章于 2024-01-02 08:15:00 发布
阅读量218 收藏
点赞数
文章标签: 接口使用jwt返回token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42362885/article/details/112044256
版权

JWT设计

RESTful架构的前后端,天然要求API是无状态的,JWT(JSON Web Token)简单易用,适合在分布式系统中做API无状态的身份认证。

jwt由Header、Payload、Signature三部分组成,使用 . 分割开,一个JWT形式:

Header.Payload.Signature

这三部分分别对应的是加密算法、携带的用户信息、加密后的字符串(签名)。

jwt自带签名,能够防止伪造或篡改,但要防止token被窃取还要配合https使用。

下面我们用jwt开发一个前后端交互系统。

JWT服务端

这里使用jjwt开源库生成token:

Server端基于SpringBoot开发,提供生成token和校验token的接口:

@PostMapping("/login")

Back login(@RequestParam("name") String name,

@RequestParam("pwd") String pwd);

@GetMapping("/user")

Back getUser(@RequestHeader("jwt") String token);

用户名密码和用户信息通过JPA持久化到不同的MySQL数据库表中,通过用户id关联两张表

登录接口:客户端提交用户名密码,服务端返回jwt令牌,如:

eyJhbGciOiJIUzUxMiJ9.eyJyb2xlIjoiYWRtaW4iLCJzdWIiOiI0MDI4Yjg4MTVmN2I0MmQxMDE1ZjdiNDQ4ZTZjMDAwMCIsImV4cCI6MTUxMDQ2NjEyMn0.U3UOe8Jc6HLE3hw8r6BSus8mr2q1mguo3jiFsLkvRf5jsNX2ibZzmJSVgGUmanNSN05Jrv6ZiBMmVbo-R5TYbg

用户信息接口:客户端将token放在请求头,服务端校验是否合法,然后通过JAP从MySQL中查询并返回用户信息

服务端无需存储jwt令牌,通过特定的算法和密钥校验token,同时取出Payload中携带的用户ID,减少不必要的数据库查询

本例中设置JWT有效期为10天,服务端每次都会自动校验token是否过期,如果过期就直接抛出异常,客户端需要重新申请token

JWT客户端

Android客户端使用Retrofit做REST请求。

登录接口:提交用户名密码,服务端返回jwt令牌:

用户信息接口:客户端将token放在请求头,服务端校验通过即返回用户信息

客户端在本地存储token以后就能免登陆

JWT的缺陷

JWT使用起来虽然简单方便,但它存在一个设计缺陷,即服务端无法主动注销token,所以jwt在安全性上不及session,实际开发中应谨慎使用。

如果要让服务端能够注销token,就要在服务端维持token状态,这又回到session机制了,所以在经常需要验证的场景中,建议还是使用session。

JWT这个缺陷决定了它更适合用在一次性token验证场景中,即token只使用一次就立即废弃掉,比如第三方登录授权。

扫一扫关注我的微信公众号

NeverGone琛哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt相关问题及应用
java_spring6的博客
04-29 762
①、jwt出现的原因及工作原理 ②、jwt工具类介绍,三种场景 ③、jwt与vuex配合在SPA项目中的应用 1. JWT是什么 ========== JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT =============== JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 =============== ①. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “C
portswigger JWT attacks
weixin_63231007的博客
11-05 1410
通过 jwk header注入绕过身份验证 不同的是,这个 jku header注入多了一个漏洞利用服务器,因而我们可以通过 把 JWK set放到漏洞利用服务器上,然后通过往header里写入 "jku":"漏洞利用服务器url" 从而实现 jwk 注入到header里,有种远程文件包含的味道。Hashcat 使用 wordlist 中的每个密钥对来自 JWT 的标头和有效负载进行签名,然后将生成的签名与来自服务器的原始签名进行比较。JWE 非常相似,只是令牌的实际内容是加密的,而不仅仅是编码的。
浅析JWT安全问题
蚁景网安学院
08-08 1063
前不久研究websocket时,发现port-swigger出了新的靶场,一看是关于jwt安全的,刚好来总结回忆一下。
JSON Web 令牌 (JWT)攻击
weixin_42451330的博客
07-30 727
1.1 生成密钥:首先,需要生成一个密钥(secret key),这个密钥只有发送方和接收方知道。1.2 签名:在JWT中,要对头部和有效载荷进行签名,首先将头部和有效载荷进行Base64编码,得到两个字符串,分别记为header_base64和payload_base64。
JWT(Json Web Token)认证
谢公子的博客
09-09 2163
目录 JWT(Json Web Token) JWT的数据结构 JWT的用法 JWT验证流程 JWT的问题和趋势 JWT的安全风险 JWT(Json Web Token) Web服务使用最多的认证方式是基于Session的认证,传送门——>Cookie、Session和Token的区别 但是这种模式最大的问题是,没有分布式架构,无法支持横向扩展。如果使用一个服务器,该模式...
详解Go-JWT-RESTful身份认证教程
09-18
主要介绍了详解Go-JWT-RESTful身份认证教程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot的模块化开发,集成shiro+jwt实现restful接口token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32...
Django JWT Token RestfulAPI用户认证详解
01-21
一般情况下我们Django默认的用户系统是满足不了我们的需求的,那么我们会对他一定的扩展 创建用户项目 python manage.py startapp users 添加项目apps settings.py INSTALLED_APPS = [ ... 'users.apps....
zhihu-api:Koa2+Mongodb+JWT token实现仿知乎部分业务的RESTful API
05-06
接口文档获取用户列表GET /users参数为空返回:示例url:登录:https://www.jomsou.cn/users[{ "gender": "male", "_id": "5e6ccd7061c3441c39f4e68a", "name": "李雷1"},{ "gender": "male", "_id": "5e722925a20a2...
jwt简介
花&败
11-28 617
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 一、跨域认证的问题  HTTP协议是无状态的,也就是说,如果我们已经认证了一个用户,那么他下一次请求的时候,服务器不知道我是谁,我们必须再次认证。  互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(s
【Golang】Go实战--实现简单的restful api(The way to go)
bandaoyu的note
08-06 2600
原文:https://blog.csdn.net/wangshubo1989/article/details/71128972 生命不止,继续 go go go !!! 介绍过net/http package:http://blog.csdn.net/wangshubo1989/article/details/70147079 介绍过实现一个简单的tcp服务端/客户端:http://blog.csdn.net/wangshubo1989/article/details/70147079 介绍过如何实
解决Java中JWTtoken认证接口测试时:认证失败,无法访问系统资
qq_44783880的博客
07-02 1495
步骤: 登录页面后,右击检查->network->XHR-》复制Authorization的内容 粘贴到postman中安全认证哪里,类型下载token
vue项目使用jwt token验证登录 报错token无效验证失败 【已解决】
qq_40715438的博客
11-21 3944
检查了所有代码都没有问题,在所有需要token的地方都能拿到正确的token,但是在verify时仍然走的err,打印出的错误为 invalid token 最后在外网查到有人在获取token使用了split,才注意到直接从请求头拿到的token打印出来是带双引号的,而这个双引号也被当token的一部分进行验证了 把头尾的双引号去掉再验证就成功了 ...
JWT安全问题
qq_43936524的博客
05-16 1644
文章目录JWT概述JWT组成header(头部)payload(负载)signature(签名)JWT的安全问题敏感信息泄露None算法弱密钥 JWT概述 Json Web Token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 客户端与服务器通信时,身份验证通过后服务端
服务器如何验证jwt,使用JWT实现前后端权限验证
weixin_33007509的博客
07-30 7787
本帖最后由 菜肉果蔬 于 2018-11-26 16:23 编辑一、JWT简介JWT是json web token缩写。是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。JWT的原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,如下所示,登录时发送如下信息:...
开发基础 | Golang语言的RESTfulAPI接口设计规范快速入门
WeiyiGeek 唯一极客IT知识分享
05-05 1079
API (Application Programming Interface ,应用程序编程接口) 是一些预先定义的函数或者接口,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无须访问源码,或理解内部工作机制的细节。简单的说,通过API请求接口我们可以实现任意数据操作,并且可以更加直观简约描述该请求的操作,更便于代码复用。
Golang实现RESTful API
我一点也不皮的博客
05-12 1659
原文地址:Creating a RESTful API With Golang Web应用中,可能需要多个REST API来动态渲染页面内容,完成更新或删除数据库中数据的功能。 本文将构建一个成熟的REST API,实现『GET』,『POST』,『DELETE』和『PUT』方法,完成CRUD操作。为了保持简单,这里不与数据库进行交互。 运行环境 Go 1.11+ 目标 了解如何在Go中创建自己的RESTful API,处理相关方面的问题。知道如何在项目中创建可以处理POST,GET,PUT和DELE.
Golang http包实战:构建RESTful API
最新发布
walkskyer的博客
01-02 1270
在这一部分,我将介绍RESTful API的基本概念,包括它是什么、它的主要特点,以及它在当今互联网和应用程序开发中的重要性。这将帮助读者理解RESTful API的基础知识和应用场景。Go语言的http包是其标准库的一部分,提供了丰富的功能来支持HTTP协议的各种操作。这个包不仅能够帮助开发者快速搭建HTTP服务器和客户端,还支持多种HTTP方法(如GET、POST、PUT、DELETE等),以及处理URL、Header和其他HTTP相关的功能。
JWT安全验证常见疑问解答
热门推荐
西涛offbye-移动全栈技术博客
07-05 1万+
最近基于BFF架构的分布式移动端API接口的系统设计。工作过程中发现有些工程师对JWT安全验证的认识存在一些偏差,重复讲解实在太麻烦了,在这里把关于JWT常见的一些疑问统一回答下吧。 什么是JWT?JSON Web Token (JWT)是一种基于 token 的认证方案。 JSON Web Tokens are an open, industry standard RFC 7519 metho
restful api接口 jwt
06-07
通常,RESTful API 接口需要认证和授权用户访问,而 JWT 提供了一种简单而安全的方法来完成这些任务。通过在用户登录时生成 JWT,然后在每个请求中将其发送到服务器,服务器可以轻松验证用户身份并授权他们访问资源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值