8.JWT认证

已于 2022-09-25 14:55:36 修改
阅读量342 收藏
点赞数
分类专栏: 9.Rest框架-Django 文章标签: json 服务器 前端
于 2022-09-25 14:55:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44689630/article/details/127038001
版权

1.定义

JWT ( Json web token)认证机制, 为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准, 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景

2. token和session区别

1.session认证

1.1 定义

http协议本身是一种无状态的协议,为了知道哪个用户发出的请求,服务器必须存储一份用户登录的信息,这会登录信息又在响应时传递给浏览器,用cookie保存起来,以便下次请求时发送给浏览器

1.2 问题
  • 通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大
  • session认证存在那台服务内存中,就只能去这台服务器上拿到授权资源,因而限制了负载均衡器的能力
  • 因为基于cookie进行用户识别,如果cookie被截获,容易受到csrf跨站请求伪造攻击

2.token认证

2.1定义

token认证不需要在服务端保留用户的认证信息,token认证流程如下

  • 用户使用用户名密码来请求服务器
  • 服务器进行验证用户的信息
  • 服务器通过验证发送给用户一个token
  • 客户端存储token,并在每次请求时附送上这个token值
  • 服务端验证token值,并返回数据

注意

1.token必须在每次请求时传递给服务器,且保存在请求头中

2.服务端要支持CORS(跨来源资源共享)策略,一般服务器响应头需要设置为Access-Control-Allow-Origin: *`

2.2 jwt构成

jwt由header(头部),载荷(payload),签证(signature)

2.2.1 header

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt

  • 声明加密的算法通常直接使用HMAC SHA256

    {
  'typ': 'JWT',
  'alg': 'HS256'
}

  • 然后将头部进行base64加密

2.2.2 payload

载荷就是存放有效信息的地方,由标准中注册的声明,公共的声明,私有的声明三部分组成

标准中注册的声明

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击

公共的声明:

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密

私有的声明

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息

定义一个payload:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后将其进行base64加密,得到JWT的第二部分

2.2.3 signature

签证由header(base64编码后)和 payload(base64编码后人),secret三部分组成,header与payload用.组成字符串,然后通过header中声明的加密方式进行加盐secret组合加密,从而构成jwt第三部分

// javascript
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
var signature = HMACSHA256(encodedString, 'secret'); 
//TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意

jwt签发生成是在服务端,secret用来进行签发和jwt的验证,所以secret就是服务端的私钥,不能泄露,一旦泄露,客户端就可以自我签发

3.如何应用token

般是在请求头里加入Authorization,并加上Bearer标注:

fetch('api/user/1', {
  headers: {
    'Authorization': 'Bearer ' + token
  }
})

在这里插入图片描述

注意

403表示收到访问请求,但是禁止访问

小Pawn爷
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Asp.net Core 3.1 JWT 认证Demo
12-27
这个Demo展示了如何在Asp.NET Core 3.1环境中实现JWT认证。 首先,JWT的基本概念是至关重要的。JWT是一个自包含的、安全的身份验证令牌,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部...
详解Django配置JWT认证方式
09-16
接下来,我们需要在`settings.py`中配置Django REST framework以支持JWT认证。在`REST_FRAMEWORK`配置项中,将`JWTAuthentication`添加到`DEFAULT_AUTHENTICATION_CLASSES`列表中: ```python REST_FRAMEWORK = { ...
ASP.NET Core 8.0 WebApi 从零开始学习JWT登录认证
qq_44695769的博客
03-14 5328
我一起写后端Api我都是直接裸连的,但是现在为了规范一些,我还是打算上一个JWT功能Jwt其实也不是特别难,就是第一次配置的时候容易被绕晕。Jwt的策略我暂时先跳过了,对于解决普通问题一般来说已经够用了。
解决:net8使用JWT的时候报错,Authentication failed: IDX14100: JWT is not well formed, there are no dots (.).
最新发布
scoful的专栏
06-22 1万+
解决:net8使用JWT的时候报错,Authentication failed: IDX14100: JWT is not well formed, there are no dots (.).
.NET 8 中使用简化的 AddJwtBearer 认证
weixin_68436326的博客
04-14 214
开发环境系统版本:win10.NET SDK: NET8开发工具:vscode参考引用:使用 dotnet user-jwts 管理开发中的 JSON Web 令牌注意:以下示例中的端口、token等需替换成你的环境中的信息创建项目运行以下命令来创建一个空的 Web 项目,并添加 Microsoft.AspNetCore.Authentication.JwtBearer NuGet 包:dotne...
.NET8发布后,AOT解决了JWT Authentication
dotNET跨平台
11-16 1289
随着.NET8发布,AOT的JWT Authentication也完成了,这样,构建一个基本的AOT API成为了可能,可以把AOT引入到一些简单的API项目中来了。关于AOT的好处,请参照:https://learn.microsoft.com/zh-cn/aspnet/core/fundamentals/native-aot?view=aspnetcore-8.0。下面是一增加JWT Auth...
.Net Core JWT 授权
weixin_59180442的博客
06-05 3282
当我们开发 Web 应用程序时,通常需要对用户进行身份验证和授权。JWT(JSON Web Token)是一种安全传输信息的标准,它可以在各种应用程序和服务之间安全地传输信息,例如用户身份验证和授权信息。在 .NET 中,我们可以使用 JWT 实现身份验证和授权,并基于声明式安全实现权限控制。
.NET三种开源的jwt组件
软件开发学习交流
01-04 861
JWT验证是现在比较流行的验证方式,在分布式网站中比较常用,它是替代传统session、cookie等传统验证比较优先的一种方式。.NET也对JWT支持,并有自己的原生组件。.NET 平台上有许多开源的 jwt(JSON Web Token)组件可供选择。本文将介绍三种开源的jwt组件,供大家使用参考
.net 使用jwt进行身份认证
m0_47659279的博客
09-10 4781
什么是身份认证和鉴权 举个例子 假设有这么一个小区,小区只允许持有通行证的人进入,陌生人如果想直接进入小区会被保安拦住,他必须先办理通行证才会被允许进入 类比身份认证和鉴权体系 一个人要访问我的一个机密的接口,我首先需要知道你是谁,搞清楚你是谁的过程就是身份认证,如果我搞不清楚你是谁,那你就是陌生人,身份认证失败。 身份认证通过,并不一定就允许访问我的机密的接口,因为身份认证只是让我知道了你是谁,但是我还不知道你有没有访问我接口的权限,因此还需要进行鉴权。 鉴权就是在身份认证的基础上来查阅你是否有访问某接口
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
JWT认证.pdf
09-06
JWT认证流程在现代Web开发中扮演着重要角色,确保了数据传输的安全性和用户的授权状态。以下是对JWT认证过程的详细说明: 1. **获取Token**: 当用户登录时,客户端会发送包含用户名和密码的请求到服务端。这里的...
Python库 | more.jwtauth-0.9.tar.gz
03-06
总的来说,more.jwtauth-0.9是Python开发者实现JWT认证与授权的理想选择。其简洁的API设计和广泛的框架兼容性,使得在Python后端项目中集成JWT变得简单易行。通过深入理解和充分利用这个库,开发者可以构建出更加...
JSON Web Token 深入剖析
末小渝的博客
05-18 320
本文对JSON Web Token进行了深入剖析并给出了优质的.NET源码。
.NET中使用JWT
重庆熊猫
12-29 391
在控制台中使用JWT 新建测试项目并安装包 dotnet new sln dotnet new console dotnet sln add . dotnet add package System.IdentityModel.Tokens.Jwt 生成JWT的代码 /// <summary> /// 创建新的Jwt /// </summary> public static...
.NET WebAPI 运用JWT鉴权授权
weixin_65987730的博客
09-05 1231
.NET WebAPI 运用JWT鉴权授权
4.序列化器-Serializer
XiaoPawnYe的博客
06-06 2056
序列化器-Serializer 作用: 序列化,序列化器会把模型对象转换成字典,经过response以后变成json字符串 反序列化,把客户端发送过来的数据,经过request以后变成字典,序列化器完成数据校验功能,然后把字典转成模型 1. 定义序列化器 models.py from django.db import models # Create your models here. class Student(models.Model): # 模型字段 name = models.C
7.Django如何实现跨域
XiaoPawnYe的博客
12-05 903
文章目录1.同源策略2.简单/复杂请求3.CORS4.如何解决实现CORS1.jsonp2.添加响应头 1.同源策略 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源, 即协议不同,域名不同或者端口不同的都是非同源的 浏览器只阻止表单以及 ajax 请求,并不会阻止 src 请求,所以能访问cnd,图片等 src 请求 2.简单/复杂请求 简单请求定义 只能使用get/post/head请求方式 HTTP 头信息不超出以下几种字段Accept, Accept-
Xadmin
XiaoPawnYe的博客
06-27 740
Xadmin xadmin是Django的第三方扩展,是一个比Django的admin站点使用更方便的后台站点.构建于admin站点之上。 文档:http://sshwsfc.github.io/xadmin/ ​ https://xadmin.readthedocs.io/en/latest/index.html 注意 Xadmin只适合Django2.0的项目不适合Django3.0 1.1. 安装 通过如下命令安装xadmin的最新版 pip install https://c
DRF解析器和渲染器
XiaoPawnYe的博客
12-14 580
DRF解析器 解析器的作用: 服务端接收客户端传过来的数据,把数据解析成自己想要的数据类型的过程,本质就是对请求体中的数据进行解析。 Accept:是指服务器高数客户端服务器能解析什么样的数据 ContentType:客户端告诉服务器传递的是什么样的额数据类型 服务器拿到相应的请求的 ContentType 来判断前端给我的数据类型是什么,然后我们去拿相应的解析器去解析数据 Django的解析器 Django的request的类型为WSGIRequest这个类,Post请求将数据存放在request.bod
try { //获取用户载荷 authorizationToken = authorizationToken.substring(7); //检查redis 只要有就继续 Long remainTime = redisUtils.getExpiredTime(BusinessConstant.JWT_REDIS_KEY.getKey() +authorizationToken, TimeUnit.SECONDS); if (remainTime <= 0) { throw new AuthorizationException(BusinessCode.NOT_AUTHORIZED.getCode(), BusinessCode.JWT_SIGNATURE_EXCEPTION.getMsg()); } //检查签名 JwtPayLoad<UserVo> payLoadFromJwt = JwtUtils.getPayLoadFromJwt(authorizationToken, publicKey, UserVo.class, BusinessConstant.SYSTEM_JWT_PAYLOAD_KEY.getKey()); //redis续期时间 min long now = System.currentTimeMillis(); long jwtExpiredTime = payLoadFromJwt.getExpiredTime().getTime(); long reNewTime = Long.parseLong(BusinessConstant.JWT_RENEW_TIME.getKey()) * 60 * 1000; //判断是否需要续期 if (jwtExpiredTime - now <= reNewTime) { //获取旧的用户属性 UserVo user = payLoadFromJwt.getPayLoadData(); //过期时间 int expiredTime = Integer.parseInt(BusinessConstant.JWT_EXPIRED_TIME.getKey()); String jwtTokenWithExpireTimeMinutes = JwtUtils.createJwtTokenWithExpireTimeMinutes(user, rsaProperties.getPrivateKey(), expiredTime, BusinessConstant.SYSTEM_JWT_PAYLOAD_KEY.getKey(), BusinessConstant.SYSTEM_JWT_ISS.getKey()); redisUtils.setNewAndDeleteOldWithExpiredTime(BusinessConstant.JWT_REDIS_KEY.getKey() + jwtTokenWithExpireTimeMinutes, user.getName() + ":" + user.getUserId(),BusinessConstant.JWT_REDIS_KEY.getKey() +authorizationToken, expiredTime, TimeUnit.MINUTES); response.setHeader(BusinessConstant.JWT_REQUEST_HEAD.getKey(), jwtTokenWithExpireTimeMinutes); log.info("====客户端:" + ipAddr + " 用户:" + user.getName() + " -- (" + user.getUserId() + ") token续期成功!!!!"); }
06-05
这段代码主要是用于实现用户认证JWT Token 的续期功能。下面是对代码块中各行代码的解释: 1. `authorizationToken = authorizationToken.substring(7);`:从请求头中获取 JWT Token,去掉前缀 "Bearer ",并将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值