7.JWT认证

最新推荐文章于 2024-10-01 18:51:18 发布
最新推荐文章于 2024-10-01 18:51:18 发布
阅读量347 收藏 4
点赞数 3
文章标签: java 数据库 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44689630/article/details/142467559
版权

1.jwt的定义和作用

JSON Web Token (JWT) 是一个非常轻巧的规范,常见的两种jwt

  • jws (JSON Web Signature) 轻量级,适合token认证
  • jwe (SON Web Encryption) 相对繁琐,适合数据传输

作用:

  • 解决跨域认证
  • 解决csrf跨域问题

2.jwt工作原理

  • 用户以 Web表单 的形式,将自己的用户名和密码 POST 到后端的接口。
  • 后端核对用户名和密码成功后,会计算生成JWT Payload 字符串,然后返回 response 给浏览器。
  • 浏览器收到 JWT 后,将其保存在 cookie里
  • 后续在该域上发出的请求,都会将 JWT放入HTTP Header 中的 Authorization 字段。
  • 后端收到新请求后,会使用密钥验证 JWT 签名。
  • 验证通过后后端使用 JWT 中包含的用户信息进行其他相关操作,返回相应结果。

在这里插入图片描述

3. jwt的组成

  • 头部(Header)

  • 载荷(Payload)

  • 签名(Signature)

头部(Header)

  • typ:声明类型这里是 JWT
  • alg:声明加密的算法通常直接使用 HMAC SHA256

载荷(Payload)

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):受众
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):编号

签名(Signature)

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

4.如何生成jwt

import jwt
import datetime
import uuid

salt = 'minggezuishuai'

# 构造header , 这里不写默认的也是
headers = {
    'typ': 'JWT',
    'alg': 'HS256'
}

# 构造payload
payload = {
    'user_id': str(uuid.uuid4()),  # 自定义用户ID
    'username': "wangbm",  # 自定义用户名
    'exp': datetime.datetime.utcnow() + datetime.timedelta(minutes=5)  # 超时时间,取现在时间,五分钟后token失效
}

5.jwt如何存储

将jwt存储在cookie中不开启HttpOnly,通过请求的Header进行传输,任然存在xss攻击,通过校验参数避免xss攻击

6.jwt如何发送

将JWT放在Header里的Authorization 字段,并使用 Bearer标注

'Authorization': 'Bearer ' + ${token}

from flask import request, g
from .jwt_util import verify_jwt

def jwt_authentication():
    """
    根据jwt验证用户身份
    """
    g.user_id = None
    g.is_refresh_token = False
    authorization = request.headers.get('Authorization')
    if authorization and authorization.startswith('Bearer '):
        token = authorization.strip()[7:]
        payload = verify_jwt(token)
        if payload:
            g.user_id = payload.get('user_id')
            g.is_refresh_token = payload.get('refresh')

7.jwt如何校验

def verify_jwt(token, secret=None):
    """
    检验jwt
    :param token: jwt
    :param secret: 密钥
    :return: dict: payload
    """
  
    try:
        payload = jwt.decode(token, secret, algorithm=['HS256'])
    except jwt.PyJWTError:
        payload = None

    return payload

8.jwt最佳搭档

JWT最好与HTTPS 配合使用,利用 HTTPS 的非对称加密来保证 JWT 的安全

小Pawn爷
关注
java jwt登录_JWT认证登陆方式
weixin_28676983的博客
02-16 1220
JWT认证登陆方式在学习前后端分离的过程中往往遇到的第一个问题就是登陆验证问题,以前的我们将Cookie、Session、Token,在我的学习过程中认识了JWT验证方案,纯属自己理解,有错还望大佬指出。JWT 全称是 JSON Web Token,是目前非常流行的跨域认证解决方案.前情回顾早期的Cookie和Session的认证方式,之前没有进行前后端分离的模式大部分使用的是Cookie-Ses...
JWT认证
Yietong的博客
10-12 1799
上面我们都是基于auth_user表去做签发认证的,但是我们日常基本程序都是自定义的表来做认证,所以我们来试试自定义user表models.pyviews.py# # 登录后才能访问,加一个认证类,# # 使用jwt提供的认证类必须要配合权限类使用## 自定义的用户签发tokentry:# 根据user签发token【三部分,头,荷载,签名】# 使用jwt模块签发token的函数,生成token。
JWT认证方式之-System.IdentityModel.Tokens.Jwt
qq_36204796的博客
05-21 4550
jwt加密: using System; using System.Collections.Generic; using System.IdentityModel.Tokens.Jwt; using System.Security.Claims; using System.Text; using IdentityModel; using Microsoft.AspNetCore.Authorization; using Microsoft.AspNetCore.Mvc; using Microsoft.
JWT认证(System.IdentityModel.Tokens.Jwt)
djian0422的博客
04-17 2411
用到的命名空间 using Microsoft.AspNetCore.Authentication.JwtBearer; using Microsoft.IdentityModel.Tokens; using System.IdentityModel.Tokens.Jwt; using System.Security.Claims; 生成TOKEN方法 ...
认证项目中:org.springframework.security.jwt.crypto.sign.MacSigner
m0_60539347的博客
12-03 1496
我的加入一下依赖即可 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-jwt</artifactId> <version>1.0.7.RELEASE</version> </dependency>
SpringBoot集成JWT实现权限认证
Java技术实践
07-05 722
一、JWT认证流程 认证流程如下: 1、用户使用账号和密码发出post请求; 2、服务器使用私钥创建一个jwt; 3、服务器返回这个jwt给浏览器; 4、浏览器将该jwt串在请求头中像服务器发送请求; 5、服务器验证该jwt; 6、返回响应的资源给浏览器。 二、SpringBoot整合JWT 新建一个spring boot项目spring-boot-jwt,按照下面步骤操作。 1.pom.xml引入jar包 <!-- 引入jwt--> <dependency> <gr
com.auth0.java jwt_【java】使用jwt进行认证授权
weixin_31851979的博客
03-02 3460
传统的web应用使用session来维护用户与服务器之间的状态,用户提交用户名密码到服务器,服务器生成会话id,并将验证通过的用户信息存到session中(内存or数据库),会话id会写出到cookie。用户登录之后的操作,都会附带包含sessionId的cookie,服务器根据用户端传来的sessionId获取用户信息,会话的有效期,包括用户登出等操作都依赖对session的操作,如下图:---...
jwt 认证
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-13 8553
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。1. 基于token的认证当用户成功登录系统并成功验证有效之后,服务器会利用某种机制产生一个token字符串,这个token中可以包含很多信息,例如来源IP,过期时间,用户信息等, 把这个字符串下发给客户端,客户端在之后的每次请求中都携带着这个token,携带方式其实很自由,无论是cookie方式...
JWT 认证机制
m0_54007573的博客
06-26 1112
JWT 认证机制
go语言使用jwt认证
sywdebug的博客
04-03 6524
这几天在学习nodejs,进一步了解npm,学习过程中解开了以前的一个疑惑,以前不知道token可以携带信息,只以为是用来做对比的,学到了jwt身份认证,知道了如何使用的,感觉很好用,但是我不用nodejs开发,所以有自己去看了下go的,做下记录 刚学,博客内容写的可能不大对,因为基本都是自己的理解,术语用的可能也不到位,但是用起来倒是没问题,见谅 golang-jwt 项目仓库 使用以下命令获取 go get github.com/golang-jwt/jwt 加密 首先声明一串用于加密解密的秘钥 .
Python库 | more.jwtauth-0.6.tar.gz
03-08
总的来说,more.jwtauth库是Python开发者处理JWT认证和授权的一个工具,它简化了JWT的管理和验证过程,增强了应用的安全性。对于需要实现用户认证和权限控制的Python应用,这个库是一个值得考虑的选项。
java开发jwt认证 令牌,jwt.jar包 jwt 实现token认证,支持jdk1.7版本 java令牌
06-30
jwt.jar包 jwt所需jar包集合 使用commons-codec.jar + java-jwt.jar进行token认证,支持jdk1.7及以上版本,目前大多数jwt支持至少需要1.8及以上,资源不好找,且行且珍惜。 如果需要源码以及功能实现方式,请联系...
基于Hive和Hadoop的哔哩哔哩网站分析系统
图南的博客
09-27 569
本项目是一个基于大数据技术的哔哩哔哩平台分析系统,旨在为用户提供全面的哔哩哔哩视频数据和深入的用户行为分析。系统采用 Hadoop 平台进行大规模数据存储和处理,利用 MapReduce 进行数据分析和处理,通过 Sqoop 实现数据的导入导出,以 Spark 为核心进行高效的数据处理。整个系统结合了大数据处理技术,为用户提供精准的内容推荐和深入的用户兴趣分析,帮助平台更好地了解视频趋势和用户需求。
JavaScript ArrayBuffer的读写与类型转换
最新发布
白瑕 的博客
10-01 212
所有视图的基本单位是ArrayBuffer, ArrayBuffer中只存储二进制格式的数据.ArrayBuffer不可直接读写, 必须通过视图(比如DataView)暴露的API.
Spring Cloud全解析:服务调用之OpenFeign集成OkHttp
Lxn2zh的博客
09-30 443
HTTP连接需要进行TCP三次握手,是一个比较耗时的操作,一般我们不直接使用HttpURLConnection,而是使用HttpClient/okHttp等支持连接池的客户端工具,以Feign集成OkHttp为例。OpenFeign本质是HTTP来进行服务调用的,也就是需要集成一个Http客户端。默认是HttpURLConnection方式,也就是jdk中提供的最原始的那个。要开启OkHttp ,还需要在YML 中添加开启配置项,默认是关闭的。使用的是Client接口来进行请求的。
Java内存布局
阿呆的专栏
10-01 517
64位 JVM 不启用指针压缩时:Object Header 大小是16字节。64位 JVM 启用指针压缩时(默认):Object Header 大小是12字节。32位 JVM:Object Header 大小是8字节。JVM在默认情况下启用指针压缩,但如果堆内存超过32GB,就会禁用指针压缩。32GB是压缩指针的最大寻址范围。超过32GB的堆内存中,压缩指针带来的性能提升并不显著,而且需要解压指针反而可能增加开销。
C#基础:掌握控制流语句,构建灵活的程序逻辑
学习和分享
09-28 292
在C#中,控制流语句是用来控制程序执行流程的重要部分。它们允许你根据条件执行不同的代码块,或者重复执行某些代码块直到满足特定条件。
进程管理工具:非daemon进程管理工具supervisor
happy_king_zi的博客
09-29 1085
supervisor是一个 Client/Server模式的系统,允许用户在类unix操作系统上监视和控制多个进程,或者可以说是多个程序。supervisor与launchd,daemontools,runit等程序有着相同的功能,与其中某些程序不同的是,它并不作为“id 为 1的进程”而替代init。相反,它用于控制应用程序,像启动其它程序一样,通俗理解就是,把Supervisor服务管理的进程程序,它们作为supervisor的子进程来运行,而supervisor是父进程。
【RocketMQ】RocketMQ应用难点
记录一名在读研究生的学习笔记、感悟、开发产物
09-30 617
本文探讨了RocketMQ中消息重复消费的问题及其解决方案,尤其是在CLUSTERING模式下的扩容影响。文章分析了重复消费的原因,如广播模式、负载均衡模式下的多consumerGroup消费、消费者组内的动态变化及网络延迟等,并提出了利用唯一标识进行去重的方法。此外,还讨论了如何选择合适的存储机制以高效处理大量消息标识,如HashMap、MySQL、Redis以及推荐的布隆过滤器等方案。对于防止消息堆积与确保消息不丢失,也给出了相应的策略和技术措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值