JWT vs. 传统身份验证:为什么越来越多的应用程序选择JWT作为身份验证方案?

于 2023-10-16 13:02:24 发布
阅读量143 收藏
点赞数
文章标签: spring maven 后端 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45784983/article/details/133856080
版权

46a6c5cad4caa42c5d6bb6f34d5ac0c3.jpeg

JWT(JSON Web Token)是一种基于 JSON 格式的轻量级令牌(token)协议,它被广泛应用于网络应用程序的身份验证和授权。相较于传统的 session-based 认证机制,JWT 具有更好的扩展性和互操作性,同时也更安全可靠。

JWT 的结构由三部分组成:头部(header)、载荷(payload)和签名(signature)。头部和载荷使用 Base64 编码后,通过点号(.)连接成为一个字符串,这个字符串就是 JWT 的第一部分。签名由头部、载荷和一个密钥(secret)使用特定的算法计算得出,用于验证 JWT 的合法性。

头部部分包含了 JWT 的元数据信息,例如使用的加密算法、类型等等。载荷部分则是 JWT 所要传递的信息,可以是任何 JSON 格式的数据。常见的 payload 包含用户 ID、角色、过期时间等等。签名部分则是为了防止 JWT 被篡改,使用了一个密钥对头部和载荷进行签名生成的字符串。

JWT 的优点在于它可以跨越多个域名和多个平台,使得身份验证和授权变得更加简单和安全。在使用 JWT 进行身份验证时,服务端在用户登录成功后,将用户 ID、用户名等信息加密成为 JWT 并发送给客户端,客户端在接下来的每个请求中都将 JWT 作为认证信息发送给服务端。服务端在接收到请求后,通过验证 JWT 的签名和有效期,判断该请求是否合法。

3a6cd2aea68be145e9122e31fc960435.jpeg

JWT数据组成图

除了上文提到的优点,JWT 还具有以下特点:

  • 无状态

JWT 不需要在服务端存储任何状态,客户端可以携带 JWT 来访问服务端,从而使服务端变得无状态。这样,服务端就可以更轻松地实现扩展和负载均衡。

  • 可自定义

JWT 的载荷部分可以自定义,可以存储任何 JSON 格式的数据。这意味着我们可以使用 JWT 来实现一些自定义的功能,例如存储用户喜好、配置信息等等。

  • 可扩展性强

JWT 有一套标准规范,因此很容易在不同平台和语言之间共享和解析。此外,开发人员还可以通过自定义扩展声明(claims)来实现更加灵活的功能。

  • 可调试性好

由于 JWT 的内容是以 Base64 编码后的字符串形式存在的,因此非常容易进行调试和分析。

然而,JWT 也存在一些缺点和注意事项:

  • 安全性取决于密钥管理

JWT 的安全性取决于密钥的管理。如果密钥被泄露或者被不当管理,那么 JWT 将会受到攻击。因此,在使用 JWT 时,一定要注意密钥的管理,包括生成、存储、更新、分发等等。

  • 无法撤销令牌

由于 JWT 是无状态的,一旦 JWT 被签发,就无法撤销。如果用户在使用 JWT 认证期间被注销或禁用,那么服务端就无法阻止该用户继续使用之前签发的 JWT。因此,开发人员需要设计额外的机制来撤销 JWT,例如使用黑名单或者设置短期有效期等等。

  • 需要传输到客户端

由于 JWT 包含了用户信息和授权信息,因此 JWT 需要传输到客户端。这意味着 JWT 有被攻击者窃取的风险,因此开发人员需要采取措施来保护 JWT,例如使用 HTTPS、设置短期有效期等等。

  • 载荷大小有限制

由于 JWT 需要传输到客户端,因此载荷大小也有限制。一般来说,载荷大小不应该超过 1KB,否则会影响性能。

在实际开发中,JWT 的使用场景非常广泛。下面是一些常见的场景:

  1. Web 应用程序
  2. Web 应用程序是 JWT 最常见的使用场景之一。开发人员可以将 JWT 作为用户认证和授权的机制,从而实现无状态的身份验证和授权。
  3. 移动应用程序
  4. 移动应用程序通常需要访问多个 API,因此 JWT 可以作为移动应用程序的身份验证和授权机制。开发人员可以使用 JWT 来实现单点登录和授权,从而提高应用程序的性能和安全性。
  5. IoT 设备
  6. IoT 设备通常需要进行身份验证和授权,以保护设备和数据的安全。JWT 可以作为 IoT 设备的身份验证和授权机制,从而实现设备间的安全通信。
  7. 微服务架构
  8. 微服务架构通常由多个服务组成,因此需要实现服务间的安全通信和授权。JWT 可以作为微服务架构的身份验证和授权机制,从而实现服务间的安全通信和授权。
3040a7360848c88d01b705e032d72837.jpeg

JWT用户认证流程图

最后,总结一下 JWT 的优点和缺点:

优点:

  1. 无状态:JWT 本身不需要存储在服务器上,因此可以实现无状态的身份验证和授权。
  2. 可扩展性:JWT 的载荷可以自定义,因此可以根据需求添加任意信息。
  3. 可靠性:JWT 使用数字签名来保证安全性,因此具有可靠性。
  4. 跨平台性:JWT 支持多种编程语言和操作系统,因此具有跨平台性。
  5. 高效性:由于 JWT 不需要查询数据库,因此具有高效性。

缺点:

  1. 安全性取决于密钥管理:JWT 的安全性取决于密钥的管理,如果密钥被泄露或者被不当管理,那么 JWT 将会受到攻击。
  2. 无法撤销令牌:由于 JWT 是无状态的,一旦 JWT 被签发,就无法撤销。
  3. 需要传输到客户端:由于 JWT 包含了用户信息和授权信息,因此 JWT 需要传输到客户端,这意味着 JWT 有被攻击者窃取的风险。
  4. 载荷大小有限制:由于 JWT 需要传输到客户端,因此载荷大小也有限制。

总之,JWT 是一种简单、安全、可靠、高效的身份验证和授权机制。开发人员可以根据具体需求,选择是否使用 JWT,以及如何使用 JWT。

程序码喽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于 Token 的身份验证:JSON Web Token
qq_34441176的博客
08-06 4996
最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。 文章先介绍了一下传统身份验证与基于 JWT 身份...
为什么使用JWT
weixin_30763455的博客
05-07 1313
原文:https://blog.csdn.net/loveliness_peri/article/details/88245981 随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,...
JSON Web Token----JWT传统session登录认证对比
Rk的博客
07-03 637
JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源.........
Jwt简单示例
春花秋月冬雪风,留得残荷听雨声。
01-07 584
在pom.xml中添加依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version> </dependency> 编写创建Jwt的代码 import io.jsonwebtoken.JwtBuilder; import io.json.
WebApi使用JWT认证(一)
极客神殿
06-20 1990
这是第一部:先实现NetFramework上的WebApi使用JWT认证 1、VS新建一个WebApi项目 2、项目右键----管理Nuget程序包----找到JWT,然后安装 3、Model文件夹下新建三个类LoginResult,LoginRequest,AuthInfo namespace JwtWebApi.Models { public class LoginResult { public bool Success { get; set; }
nextjs-jwt-authentication:用于演示 Next.js 应用程序JWT 身份验证的概念验证应用程序
08-04
Next.js JWT 认证用于演示 Next.js 应用程序JWT 身份验证的概念验证应用程序。 该应用程序是在渲染服务器和 API 服务器解耦的假设下制作的。 它使用进行身份验证。主意: 服务器端渲染的应用程序很棒。 它们在...
nextjs-jwt:Next.js应用程序中有关JWT身份验证的实用指南。 https
05-08
这是一个用引导的项目。 入门 首先,运行开发服务器: npm run dev # or yarn dev 用浏览器打开以查看结果。...部署Next.js应用程序的最简单方法是使用Next.js创建者提供的。 请查看我们的以获取更多详细信息。
vuejwtauth:Vue.js(和Quasar)应用程序的客户端JWT身份验证
05-07
如果您需要服务器端JWT身份验证,请查看我们的Laravel服务器端软件包。 -即将推出 特征 登录功能。 记住我的功能。 使用以下驱动程序之一将JWT存储在令牌存储中: cookie驱动程序(推荐)。 localStorage驱动...
asp.net中用到的JWT身份验证 JWT.dll 下载
08-07
token 生成验证工具类,亲测可用,使用教程参见:https://www.cnblogs.com/footmark/p/10654386.html
asp.net基于JWT的web api身份验证及跨域调用实践
10-18
主要介绍了asp.net基于JWT的web api身份验证及跨域调用实践,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
什么是JWT?深入理解JWT从原理到应用
万维网连五洲,二进制写尽天下事,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
10-03 6707
JWT(JSON Web Token)是一种用于在网络应用间传递和验证信息的开放标准(RFC 7519)。它通过使用数字签名或加密,将一些声明式的信息进行编码,生成一个经过验证的令牌。JWT主要由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。
为什么要使用JWT?实战项目怎么应用?
weixin_43504955的博客
11-12 750
Java八股文...技术装逼指数:4颗星
常见的JWT到底有什么用?
码农桃子的博客
07-10 2427
什么是jwt JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的,使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。此特性便于可伸缩性, 同时保证应用程序安全。 在身份验证过程中, 当用户使用其...
(五)Gateway开发教程之为什么选择JWT
Ijiran的博客
11-25 286
我们已经说到了Gateway中如何利用全局过滤器来做权限认证token处理的功能,但是我们还没有说到如何集成权限认证相关组件功能呢。 今天就说到了,如何实现统一权限认证功能,请接着往下看吧。
JWT: 基于Token的验证
michael1112的专栏
08-22 745
现在SPA(Single Page Application, 单页面应用)和前后端分离已经是主流. 基于Token的验证非常适合这种构架. Difference between Token-based Auth and Cookie-based Auth 基于Cookie的验证 基于Cookie的验证是有状态的 (stateful). 前后端都要为验证保存状态: 后端要保存active ...
我为什么使用JWT
04-06 2556
背景 前段时间做数据平台的鉴权,想了很多种方案,但最后还是选择JWT来进行身份验证与权限控制。 期间考虑过传统的user/passwd -> session_id,也考虑了随机生成Token,后端再来维护一套权限控制逻辑,甚至打算使用类似kebos这种来实现安全通信,但对于数据平台这种业务,感觉权限控制这里这些方案都有点重量级了。 内网环境相对是安全的,对内网进行混杂模式抓包会被安全的人抓...
深入理解JWT使用场景和优劣
热门推荐
爱琴孩的博客
05-06 3万+
前言 前面简单介绍了JWT的基础只是和简单的小Demo,但是对于JWT的应用场景和优缺点掌握的还够,这些东西只有自己实践过才能搞清楚其中的细节。在网上看到一个大佬对这块讲的比较好,就转载过来一起学习下。 原文链接 编码,签名,加密 这些基础知识简单地介绍下,千万别搞混了三个概念。在 jwt 中恰好同时涉及了这三个概念,笔者用大白话来做下通俗的讲解(非严谨定义,供个人理解) 编码(en...
开箱即用 - jwt 无状态分布式授权
weixin_34200628的博客
05-13 200
基于JWT(Json Web Token)的授权方式 JWT是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权; 从客户端请求服务器获取token, 用该token 去访问实现了jwt认证的web服务器。 token 可保存自定义信息,如用户基本信息, web服务器用key去解析token,就获取到请求用户的信息了;很方便解决跨域授权的问题,因为跨域无法共享c...
什么是JWT?如何生成和验证JWT token?
最新发布
03-10
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准(RFC 7519)。它是一种轻量级的安全传输方式,用于在网络应用间传递声明信息。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值