JWT认证机制

最新推荐文章于 2024-03-06 18:35:15 发布
最新推荐文章于 2024-03-06 18:35:15 发布
阅读量318 收藏
点赞数 1
分类专栏: Django框架 文章标签: JWT认证机制 用户登录认证机制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45439324/article/details/103109907
版权

JWT认证机制

  1. 应用场景

    前后端分离开发该如何记录用户的登录状态

  2. JWT token认证机制

    JSON Web Token(JWT)是目前前后端分离开发中用户身份认证最流行的一种解决方案。在用户登录后,我们想记录用户的登录状态,这里不再使用Session认证机制,而使用Json Web Token认证机制。JWT token认证机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。
    在这里插入图片描述
    流程上是这样的:

    • 用户使用用户名和密码来请求服务器进行登录
    • 服务器验证用户的登录信息
    • 服务器通过验证,生成一个token并返回给用户
    • 客户端存储token,并在每次验证请求携带上这个token值
    • 服务端验证token值,并返回数据
  3. JWT token数据格式

    WT token是一个字符串,由3部分组成,用.隔开。如下:

    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRyd

    1)头部(header)

    jwt的头部承载两部分信息:

    • 声明类型,这里是jwt
    • 声明加密的算法 通常直接使用 HMAC SHA256

    完整的头部就像下面这样的JSON:

    {
     
  'typ': 'JWT',
  'alg': 'HS256'
}

    然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.

    eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

    2)载荷(payload)

    载荷就是存放有效数据的地方。这些有效数据主要保存存储的数据和token的有效时间。

    定义一个payload:

    {
     
  "username": "smart",
  "mobile": "13155667788",
  "email": "smart@163.com",
  "exp": "<token有效时间>"
}

    然后将其进行base64加密,得到JWT的第二部分。

    eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

    3)签名(signature)

    JWT的第三部分是一个签名信息,用来防止JWT token被伪造。

    1. 签名生成过程?
答:服务器在生成jwt token时,会将header和payload字符串进行拼接,用.隔开,然后使用一个只有服务器知道的密钥对拼接后的内容进行加密,加密之后生成的字符串就是signature内容。

2. 签名验证过程?
答:当客户端将jwt token传递给服务器之后,服务器首先需要进行签名验证:
  1)将客户端传递的jwt token中的header和payload字符串进行拼接,用.隔开
  2)使用服务器自己的密钥对拼接之后的字符串进行加密
  3)将加密之后的内容和将客户端传递的jwt token中signature进行对比,如果不一致,就说明
  jwt token是被伪造的
  4. 使用注意点
    • 不要在jwt的payload部分存放敏感信息,该部分是客户端可解密的部分
    • 保护好服务器端的签名加密secret密钥
    • 如果可以,请使用https协议
  5. JWT扩展使用

    需求

    1)服务器在验证完用户的身份后(检验用户名和密码),需要生成jwt token并返回给客户端。

    2)在客户端将jwt token传递给服务器时,服务器需要对jwt token数据进行校验。

    关于jwt token的生成和校验,都可以使用DRF JWT扩展来完成。

    JWT扩展官网文档

    1. 安装

      pip install djangorestframework-jwt

    2. 配置

      REST_FRAMEWORK = {
       
    'DEFAULT_AUTHENTICATION_CLASSES': (
        # 引入JWT认证机制,当客户端将jwt token传递给服务器之后
        # 此认证机制会自动校验jwt token的有效性,无效会直接返回401(未认证错误)
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
        'rest_framework.authentication.SessionAuthentication',
        'rest_framework.authentication.BasicAuthentication',
    ),
}
# JWT扩展配置
JWT_AUTH = {
       
    # 设置生成jwt token的有效时间
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1),
}

    3. 手动生成jwt token

      JWT扩展的说明文档中提供了手动生成jwt token的方法。

      from rest_framework_jwt.settings import api_settings

jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER
jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER

payload = jwt_payload_handler(user)
token
最低0.47元/天 解锁文章
小廖同学
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于jwt的多方式登录,自定义user表,签发token,认证类,book表单增删查改,群增删查改
yikenaoguazi的博客
11-16 596
day90一.上节回顾二.今日内容1.基于jwt的多方式登录路由models.pysettings.py视图序列化类utils.py2.自定义user表,签发token,认证类表模型路由视图auth.py3.book,publish,author表关系及抽象表建立4.book表单增群增5.book表单查群查6.book表单改群改7.book表的单删群删8.序列化类9.路由扩展作业 一.上节回顾 1 jwt:重点(跟语言,框架无关) -json web token -cookie:客户端浏览器上的键值对,
JWT的生成和验证(djangorestframework-jwt版)
我的博客
03-17 915
JWT是什么 参考:https://www.cnblogs.com/cjsblog/p/9277677.html 生成以及验证token 因为本来也是django项目,所以运用了djangorestframework-jwt这个库。当然也可以用jwt直接encode生成token,decode验证token,djangorestframework-jwt只是封装了一些其他功能。 django...
JWT身份认证机制
最新发布
weixin_55493330的博客
03-06 665
保证JTW字符的安全性,防止JWT字符串被破解,需要定义一个加密和解密的secretconst secret='任意字符串'生成JWT加密字符jwt.sign('用户信息对象',加密密钥,'配置对象')
Python JWT原理机制
Lamb的博客
08-23 190
【代码】Python JWT原理机制
几种常用的认证机制
诚的博客
12-14 1565
HTTP Basic Auth HTTP Basic Auth在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和明码会通过HTTP头传递。 在发送之前是以用户名追加一个冒号然后串接上口令,并将得出的结果字符串再用Base64算法编码。 例如 用户名是Aladdin、口令是open sesame,则拼接后的结果就是Aladdin:open sesame, 然后再将其用Base64编码,得到QWxhZGRpbjpvc.
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 7311
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
django rest framework jwt 不使用django user来生成和认证token的方法
feng3615的博客
06-15 8883
简单介绍一下jwt Json Web Token(JWTJWT 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具备两个特点: 简洁(Compact) 可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小...
Python 基于jwt实现认证机制流程解析
09-16
主要介绍了python 基于jwt实现认证机制流程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
node实现后端服务器认证机制练习
02-11
如标题所示,是对node后端认证机制的练习文件,包括session认证jwt认证的实现
Shiro + Java-JWT无状态鉴权认证机制
07-30
SpringBoot + Mybatis核心框架 PageHelper插件 + 通用Mapper插件 Shiro + Java-JWT无状态鉴权认证机制 Redis(Jedis)缓存框架
prime-jwt-1.3.1.jar:令牌认证机制
12-12
<artifactId>prime-jwt <version>1.3.1 <packaging>jar <name>Inversoft Prime JWT <description>A Java 8 fluent API for signing, verifying and building JSON Web Tokens</description>
JWT与cookie和token的区别
微微一笑满城空
08-10 8862
一. cookie A) cookie如何认证 1. 用户输入用户名与密码,发送给服务器。 2. 服务器验证用户名和密码,正确的就创建一个会话(session),同时会把这个会话的ID保存到客户端浏览器中,因为保存的地方是浏览器的cookie,所以这种认证方式叫做基于cookie的认证方式。 3. 后续的请求中,浏览器会发送会话ID到服务器,服务器上如果能找到对应的ID的会话,那么服务...
基于django-rest-framework的JWT认证
chengqiang20152015的博客
07-21 5903
JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。...
django使用JWT保存用户登录信息
菜鸟教程
12-30 1454
更多编程教程请到:菜鸟教程 https://www.piaodoo.com/ 友情链接: 高州阳光论坛https://www.hnthzk.com/ 人人影视http://www.sfkyty.com/ 在使用前必须弄明白JWT的相关知识,可以看我的另一篇博文:https://www.jb51.net/article/166843.htm 什么是JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON
JWT验证
weixin_33851429的博客
01-27 205
JWT(Json Web Token):是目前最流行的跨域身份验证解决方案。此前我们使用的身份验证方式都是基于Session:这种方式并没有什么不妥,但其实这里有三个缺点: Session一般存储在redis中,而redis数据保存在内存中,随着用户的增多,内存消耗太大。 扩展性不好,用户每次验证都需要请求session服务器,增大了负...
什么是JWT
Steve Wang's blog
03-14 2万+
什么是JWT?它的结构,工作方式,优点。
jwt认证机制(token作用及原理解析)
weixin_44145962的博客
10-13 4177
jwt认证机制实际上就是通过token密钥对于用户信息的认定 jwt工作原理(token运作流程) 从上图中可以看出,jwt的工作原理是:(以下号表示注释标号) (1)客户端通过post请求(1)将用户名密码提交给服务器,服务器验证通过之后,将用户的重要信息从信息对象中剔除并加密生成一个token字符串 (2)服务器响应客户端的post请求,并将生成的token字符串返回给客户端 (3)客户端将token存储在本地localStorage或sessionStorage中(2*) (4)客户端再次发起请求时
JWT认证原理
热门推荐
houmenghu的博客
08-11 3万+
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和明码会通过HTTP头传递。 在发送之前是以用户名追加一个冒号然后串接上口令,并将得出的结果字符串再用Base64算法编码。 例如 用户名是Aladdin、口令是open s...
emqx jwt认证
09-06
EMQ X 是一个开源的物联网 MQTT 消息代理服务器,它支持多种认证方式,包括 JWT(JSON Web Token)认证。 使用 JWT 认证,可以通过在 MQTT 客户端连接时提供有效的 JWT 来进行身份验证。以下是使用 EMQ X 进行 JWT 认证的基本步骤: 1. 生成 JWT 密钥对:首先,你需要生成一个密钥对,其中包括公钥和私钥。通常,你可以使用 OpenSSL 或其他工具生成密钥对。 2. 配置 EMQ X:在 EMQ X 的配置文件中,你需要指定 JWT 认证的相关参数。在 emqx.conf 文件中,你可以找到 auth.jwt 部分,其中包括以下参数: - jwt_secret:用于验证和签名 JWT 的密钥。这应该是你在第一步中生成的私钥。 - jwt_issuer:JWT 的发行者(issuer)标识符。 - jwt_validity:JWT 的有效期限,以秒为单位。 3. 编写认证插件:你可以使用 EMQ X 提供的认证插件机制来实现自定义的 JWT 认证逻辑。你可以编写一个 Erlang 插件,并将其配置为 EMQ X 的插件目录。 4. 配置 ACL:在 EMQ X 中,你可以使用 ACL(访问控制列表)来定义用户的访问权限。你可以根据需要配置 ACL 规则,以控制哪些用户可以访问特定的主题。 这只是一个简要的介绍,实际操作可能会更加复杂,具体实现步骤和细节可以参考 EMQ X 的官方文档和示例代码。希望这些信息对你有帮助!如果你还有其他问题,可以继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值