登录授权方案:JSON Web Tokens (JWT)

已于 2023-06-08 14:29:38 修改
阅读量841 收藏 1
点赞数 1
文章标签: java JWT 登录授权 授权校验
于 2023-01-18 01:17:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44958006/article/details/128719391
版权

登录授权方案:JSON Web Tokens (JWT)

JWT官方文档:https://jwt.io/introduction

1.简介:

JWT 即 json web tokens,通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输,在数据传输过程中还可以完成数据加密、签名等相关处理。可用于登录授权或者其他服务之前的信息交换;JWT本质就是一个字符串,它是一个开放标准(rfc7519),定义了一种紧凑的、自包含的方式;它是无状态的,去中心化的;

2.JWT校验流程:

在这里插入图片描述

  • 1.前端输入账号密码后,请求授权服务;
  • 2.授权服务返回对应的token,前端保存在 localStorage
  • 3.每次请求,前端在请求头中携带token与业务接口进行交互,业务接口根据加密规则进行校验,获取token中的信息;

因此,jwt是无状态的,并且具有去中心化的特性,后端每次只根据规则去校验token,不用每次都去请求数据库/redis,减少了token校验的查询这一层;

3.JWT的组成结构

由三部分组成,这些部分由 . 分隔,分别是:

  • Header
  • Payload
  • Signature

由这三部分拼接为: Header.Payload.Signature 的形式

3.1 关于header

Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子:

{
    "alg": "HS256",
    "typ": "JWT"
}

alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);
typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT

Header会被Base64Url编码为JWT的第一部分,即:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

3.2 关于Payload

Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据,它包含三部分:

JWT 提供了7个官方字段,可选用:

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):JWT接收者
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):编号

除了官方字段,你还可以在这个部分定义私有字段,如:

{
  "uid": 10, 
  "username": "test", 
  "scopes": [ "admin", "user" ] 
}

我们挑选官方的 iat,exp,再加上我们的自定义字段,如下:

{ "iat": 1593955943, 
  "exp": 1593955973, 
  "uid": 10, 
  "username": "test", 
  "scopes": [ "admin", "user" ] 
}

Payload会被Base64Url编码为JWT的第二部分,即:

eyJ1c2VybmFtZSI6InRlc3QiLCJpYXQiOjE1OTM5NTU5NDMsInVpZCI6MTAsImV4cCI6MTU5Mzk1NTk3Mywic2NvcGVzIjpbImFkbWluIiwidXNlciJdfQ

3.3 关于Signature

Signature 部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给别人。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式进行签名:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出签名后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用 . 分隔,就可以返回给用户,样式如下:

“eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6InRlc3QiLCJpYXQiOjE1OTM5NTU5NDMsInVpZCI6MTAsImV4cCI6MTU5Mzk1NTk3Mywic2NvcGVzIjpbImFkbWluIiwidXNlciJdfQ.VHpxmxKVKpsn2Iytqc_6Z1U1NtiX3EgVki4PmA-J3Pg”

4.JWT 特点总结:

(1)JWT 是去中心化的, 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。

(2)JWT 是无状态的, 缺点在于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。

(3)JWT 默认是不加密,所以JWT 不加密的情况下,不要将敏感信息写入 JWT,生成原始 Token 以后,我们也可以用密钥再次进行加密。

(4)JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。

5.常见问题及对应的解决方案(仅供参考):

问题1: 因为一旦 JWT 签发了,在到期之前就会始终有效当用户退出登录,或被冻结,或者修改密码怎么处理?

黑名单机制,使用内存数据库,如 Redis, 维护一个黑名单,如果想让某个 JWT 失效的话

就直接将这个 JWT 加入到 黑名单 即可。然后,每次使用 JWT 进行请求的话都会先判断这个 JWT 是否

存在于黑名单中。虽然此方案违背了 JWT 的无状态原则,但是一般实际项目中通常还是会使用这个方法。

.
问题2: JWT 的续签问题,JWT 有效期一般都建议设置的不太长,那么 JWT 过期后如何认证,如何实现动态刷新 JWT,避免用户经常需要重新登录?

答: 用户登录后可返回两个 JWT,第一个是 accessJWT ,它的过期时间是 JWT 本身的过期时

间,比如1个小时,另外一个是 refreshJWT 它的过期时间更长一点比如为 1 天。

客户端登录后,将 accessJWT 和 refreshJWT 保存在本地,每次访问将 accessJWT 传给服务端。服务

端校验 accessJWT 的有效性,如果过期的话,再把 refreshJWT 传给服务端。如果此时refreshJWT 有

效,服务端就生成新的 accessJWT 给客户端。否则,客户端就需要重新登录。

还有需要注意的是:

  • 1.用户注销的时候需要同时保证两个 JWT 都无效;
  • 2.如果是accessJWT过期之后,再去重新请求获取 accessJWT的过程中会有短暂 token 不可用的情况,可以通过在客户端设置定时器,当 accessJWT 快过期的时候,提前去通过 refreshJWT 获取新的accessJWT。
Java牛马
关注
JSON Web Tokens(JWT
小卡拉米的博客
12-10 1159
JWT 即:JSON Web Token,定义了一种紧凑的、自包含的方式,用于在网络应用环境间以 JSON 对象安全地传输信息。JWT 是一个开放的行业标准 RFC 7519。JWT 传输的信息可以被验证和信任,因为它经过了数字签名。JWT 一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。JWT 常用于代替 Session,用于识别用户身份。
微服务架构中的身份验证问题 :JSON Web Tokens( JWT)
热门推荐
灯塔的CSDN博客
12-07 6万+
本文翻译自:http://www.svlada.com/jwt-token-authentication-with-spring-boot/ 场景介绍软件安全是一件很负责的问题,由于微服务系统中每个服务都要处理安全问题,所以在微服务场景下会更加复杂,一般我们会四种面向微服务系统的身份验证方案。 在传统的单体架构中,单个服务保存所有的用户数据,可以校验用户,并在认证成功后创建HTTP会话。在微服务架
深入解析 JWTJSON Web Tokens):原理、应用场景与安全实践
gulugulu1103的博客
11-23 3734
JWTJSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在 Web 应用程序和服务之间尤其流行用于身份验证和信息交换。一个 JWT 实际上是将 header、payload 和 signature 三部分分别进行 Base64 编码,然后用点(。在 Web 应用和 API 身份验证中,JWT 的使用非常普遍。例如,用户登录到系统后,系统会创建一个 JWT,并将其发送回用户。
实例演示JWT实现登录授权流程。通过与传统的session、cookie和token机制进行对比,分析其中的优缺点
weixin_39951210的博客
05-07 564
**摘要:**本文通过实例演示JWT实现登录授权流程。通过与传统的session、cookie和token机制进行对比,分析其中的优缺点。 JWT是什么 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。它是有三部分组成,示例如下,具体的讲解如下(jwt是不会有空行的,下面只是为了显示,便使用了换行看着比较方便)。 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG
JWTJson Web Token
每天学习一点点,成长一小步
09-17 460
JWT 产生背景 客户端通过调用服务端的接口,访问服务端业务数据,但是,一般的数据并非所有的用户都有权限去访问。因此,为了保证数据的安全性,在访问者访问数据时需要验证此次请求是否有足够的权限去访问此数据,也就是对访问者进行鉴权。 由于HTTP协议是无状态的,也就是说,如果我们已经认证了一个用户,那么他下一次请求的时候,服务器不知道我是谁,所以这就导致我们必须再次认证。 为了解决以上问题,目前有两种方式,如下: 基于服务器的身份认证 基于Token的身份认证 1.1 传统基于服务的认证方式 传统的做法是将已经
JSON Web Tokens的实现原理
09-21
### JSON Web Tokens (JWT) 的实现原理 #### 一、前言 随着互联网技术的发展,安全性和便捷性成为了网络通信的重要考量因素。JSON Web Tokens(JWT)作为一种轻量级的数据交换标准,它允许以安全的方式来传输信息...
jwt:JSON Web令牌库
05-07
…用于Go编程语言的JSON Web令牌(JWT)库。 功能齐全 完整的测试范围 无依赖 密钥 该API通过设计来强制安全使用。 未签名的令牌将。 也不支持加密令牌,而是使用有线加密。 这是发布到免费且不受限制的软件。 ...
理解和使用JSON Web Tokens(JWT)进行Web应用程序授权
最新发布
喵喵分享师
05-29 1067
如今,Web令牌是在网络中进行授权的一种非常流行的方式。JWT在Microsoft的背景下也变得非常流行,并且对我们今天构建应用程序的方式产生了一些其他影响。在本篇笔记中,我们将学习JWT是什么,以及如何在保护Web应用程序的上下文中具体使用它。JWT的全称通常发音为"jot",顺便提一句,这就像添加额外的"a"一样,也就是"jabbin"。然而,我发现在社区中,对JWT存在一些争议。但是在本篇笔记中,我们将把它称为Jabber。虽然Jabber通常用于管理授权,但其背后的理念是创建两方之间安全通信的标准方
JWT(JSON Web Tokens)
qq_41796895的博客
12-01 140
JSON Web Tokens 概念 ​ JWT是个开放的定义了一种紧凑且自包含的方式, 用于在各方之间作为JSON对象安全地传输信息的开放标准. 什么时候使用JWT Authorization(登录授权): 一旦用户登录,每个后续请求将包括JWT, 从而允许用户访问该令牌允许的域名, 服务和资源(route, services, resource), 普遍用于SSO(单点登录) 信息交换: J...
JWTJSON WEB TOKEN
S_ZaiJiangHu的博客
08-26 899
(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。......
Json Web TokenJWT
m0_57986909的博客
02-02 1163
一般而言,你保存令牌的时候不应该超过你所需要它的时间。无论何时用户想要访问受保护的路由或者资源的时候,用户代理(通常是浏览器)都应该带上JWT,典型的,通常放在Authorization header中,用Bearer schema。每次用户认证通过以后,服务器需要创建一条记录保存用户信息,通常是在内存中,随着认证通过的用户越来越多,服务器的在这里的开销就会越来越大。签名是用于验证消息在传递过程中有没有被更改,并且,对于使用私钥签名的token,它还可以验证JWT的发送方是否为它所称的发送方。
JSON Web Tokens
helloworld的专栏
11-29 434
简介JSON Web Token(JWT)是一种基于RFC7519的开放标准,它定义了一种紧凑且独立的方式用以安全地在各个对象之间以JSON对象传递信息的方式。JWT可以使用HMAC算法或使用RSA公私钥来进行数字签名。 紧凑:信息非常小,可通过URL,Post参数,Header参数来传递 独立:包含了用户的所有相关信息,避免了额外的数据库查询开销 应用场景 身份验证:JWT最常见的应用场景,当用户
JSON Web Token
odelia的博客
07-28 694
在上篇介绍session和cookie的时候,深入浅出的解析session和cookie,文章最后,提到了jwttoken认证, 那么这篇文章就详细说一下jwt. 组成 jwt实际上是一个字符串,三部分组成: 头部,载荷和签名 我先摘取了我们项目中的jwt,大家看一下内容: 左边的是token, 右边的是它的解析 头部 我们可以看到头部的解析,头部用来描述关于该jwt的基本信...
JSON Web Tokens (JWT) 一种用于安全认证和授权的轻量级框架
My_wife_QBL的博客
09-10 209
JWT 是一种 URL 安全的 means of representing claims to be transferred between two parties. 这些“claims”可以是任何信息,例如用户 ID、角色、登录时间等。总的来说,JSON Web Tokens (JWT) 是一个强大的工具,可以帮助开发者实现安全认证和授权JSON Web Tokens (JWT) 是一种用于安全认证和授权的开放标准,它提供了一种简洁、自包含的方式,用于在各方之间安全地传输信息。三、JWT的应用场景。
JWT技术--JSON Web Token
qq_25046827的博客
04-07 1万+
一、JWT简介 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 使用方式:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 作用:类似session保持登录状态的办法,通过token来代表用户身份。 Authorization (授权) : 这是使用J
Introduction to JSON Web Tokens
Talk is cheap,show me the code.
03-05 297
What is JSON Web Token? JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. Th...
理解与应用JSON Web Tokens(JWT
JWTJSON Web Token)是一种轻量级的身份验证协议,用于在各方之间安全地传输信息。该文档提供了JWT的基本概念、实际应用场景以及详细的技术实现。 1. **JWT简介** - JSON Web Token是一种开放标准(RFC 7519),...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值