jwt 的鉴权过程与安全性分析

最新推荐文章于 2024-04-11 09:48:53 发布
最新推荐文章于 2024-04-11 09:48:53 发布
阅读量1.1k 收藏
点赞数
文章标签: 服务器 前端 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46235143/article/details/129901155
版权

(一)讲一下jwt 鉴权原理

JWT(JSON Web Token)是一种基于标准JSON格式的轻量级身份认证和授权协议。JWT由三部分组成:Header(头部)、Payload(载荷)和Signature(签名)。下面简要介绍JWT的使用过程:

  1. 用户通过用户名和密码向服务器发送登录请求。

  2. 服务器收到请求后,验证用户名和密码是否正确。如果验证通过,服务器将用户信息作为Payload(载荷)加入到JWT中,并设置过期时间等信息,然后使用加密算法生成Signature(签名)。

  3. 服务器将Header(头部)、Payload(载荷)和Signature(签名)三个部分组合成JWT,并把JWT返回给客户端。

  4. 客户端收到JWT后,将其保存在本地(一般存储在localStorage或Cookie中)。

  5. 在后续的请求中,客户端将JWT加入到Authorization的请求头中并发送请求,如"Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c"。

  6. 服务器接收请求后,从Authorization头中获取JWT,并验证其合法性以及过期时间等信息。

  7. 如果JWT验证通过,则返回所请求的数据或服务;如果验证失败,则返回错误提示等信息。

总体来说,JWT的使用过程分为三个阶段:登录认证阶段、JWT传递阶段和鉴权阶段。在登录认证阶段,服务器将用户信息加密生成JWT并返回给客户端;在JWT传递阶段,客户端将JWT保存并在后续请求时加入Authorization头中传递给服务器;在鉴权阶段,服务器获取JWT并进行验证,若验证通过则返回请求的服务或数据,否则返回错误信息,从而实现了身份认证和授权。

代码案例

前端

在前端,需要将生成的Token存储下来,并在发起请求时将Token放在请求头或参数中进行传递。

以放在请求头中为例,可以使用Axios库来实现:

import Axios from "axios";
//获取存储在localStorage中的Token
let token = window.localStorage.getItem("token");
//设置请求头
// Bearer 是一种身份验证协议(即 Token 传递的一种格式),在 JWT 中也是常用的身份验证方式之一。
Axios.defaults.headers.common["Authorization"] = "Bearer " + token;

//发起请求
Axios.get("/api/user").then(res => {
    console.log(res.data);
}).catch(err => {
    console.log(err);
});

以上代码中,我们使用Axios设置了请求头并发起了GET请求,其中"/api/user"为示例接口地址,需要根据实际情况进行修改。同时也需要注意,前端存储Token的方式有多种,可以使用Cookie或者localStorage等进行存储。

后端

以下是基于Node.js、Express框架开发的JWT案例。

首先,在项目中需要安装jsonwebtoken库,用于生成和验证Token。

步骤一:生成Token

const jwt = require("jsonwebtoken");
//用户信息,可以是用户名、用户ID等
let user = {name: "somebody", age: 18};
//密钥,可自定义
let secretKey = "my_secret_key";

//生成Token
let token = jwt.sign(user, secretKey, {expiresIn: "1h"});
//expiresIn表示token有效期,"1h"表示1小时
console.log(token);

步骤二:验证Token

//获取前端传递的Token值
let token = req.headers.authorization.split(" ")[1];
//密钥,可自定义
let secretKey = "my_secret_key";

//验证Token
try {
    let decoded = jwt.verify(token, secretKey);
    console.log(decoded);
    //Token验证成功
} catch (err) {
    console.log(err);
    //Token验证失败
}

以上代码可以实现Token的生成和验证,作为身份验证的一种方式,在项目中得到了广泛应用。

(二)jwt 的安全性

JWT具有以下安全性优势:

  1. 无状态:JWT本质上是一个Token,它将用户信息、授权等信息封装在了Payload中,因此JWT不需要在服务端保存会话信息,即它是无状态的。这使得JWT能够轻松地用于分布式系统。

  2. 加密签名:JWT有一个Signature(签名)部分,使用一定的加密算法对Header(头部)和Payload(载荷)进行签名。因此,在服务器端对JWT进行验证的同时,必须检查JWT的签名是否正确,以确保Token没有被篡改过。

  3. 可扩展性:JWT并不限制其Payload里存储的信息类型,所以我们可以用JWT来在应用之间安全地传输各种信息,如用户ID、角色、权限等。

  4. 过期时间:JWT中可以设置过期时间,一旦Token过期,就需要重新登录获取新的Token。这使得Token只有在有效期内才能够使用。

尽管JWT具有这些优势,但是在使用时也需要注意以下安全问题:

  1. 加密算法的选择:选择安全可靠的加密算法对数据进行加密和签名,如RS256或HS256等。

  2. Token的管理:Token在客户端是存储在localStorage或Cookie中,因此可能面临一些安全风险,如XSS攻击或CSRF攻击等。所以,需要保证Token加密和存储的安全性,并设置合理的过期时间。

  3. 范围控制:在授权用户时,需要确保JWT中存储的信息与用户所请求的URL或服务匹配,以防止恶意用户利用JWT访问未授权的资源。

总的来说,JWT使用方便且安全可靠,但也需要注意使用场合以及安全隐患,并采取相应的措施来提高安全性。

如何保证token的安全

  1. 使用加密算法再对token加一次密,一种可行的方式是使用对称加密算法,如 AES,使用一个密钥对 Token 进行加密和解密。

  2. 存储在HttpOnly Cookie 上,HttpOnly Cookie 禁止 JavaScript 访问 Cookie。可以有效防范xss攻击,但不能完全防范。为了更好地保护 Web 应用程序,需要采取多种安全措施,如输入验证、输出编码和身份验证等。

  3. 使用 HTTPS 协议传输数据,以保障数据传输的安全性。

  4. 通过设置短暂有效期来减少 JWT token 被盗用的风险。

  5. 将 JWT token 存储在 HttpOnly Cookie 中,以防止 XSS 攻击窃取 JWT token。

  6. 使用签名来验证 JWT token 的完整性,以防止攻击者篡改 JWT token。

  7. 避免在 JWT token 中包含敏感信息,例如用户的密码。

  8. 使用多因素身份验证等措施来提高账户的安全性。

庚辰腊七木头鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
初学Spring security+Jwt鉴权流程
weixin_44152952的博客
04-12 1848
具体环节如下: 1.引入相关依赖(包含spring-security,mybatis-plus,mysql,jwt,lombok这几个需要用到的) !注意:这是我们需要去添加的,还有一些其他的在建springboot-web工程的时候就默认创建了 2.接着配置数据库连接,这个根据大家具体的数据库和用户密码设置,这里也提供简单参考 3.需要两个实体类,一个实体类对应数据表的各个属性,另一个实体类负责实现UserDetails类封装一个对象用于在整个认证框架中传递(因为我们想要封装的这个对象
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
JWT安全性
baidu_35758682的博客
10-10 628
缩短过期时间,强制JWT在一定时间后失效 放在头部进行授权认证 https加密 scrf令牌或者随机数的方法
探索JWT框架:强大、安全的身份验证解决方案
最新发布
gitblog_00094的博客
04-11 222
探索JWT框架:强大、安全的身份验证解决方案 项目地址:https://gitcode.com/web-token/jwt-framework JWT Framework 是一个基于JSON Web Token(JWT)规范的开源项目,用于构建高效且安全的身份验证和授权系统。这篇文章将深入介绍这个项目,分析其技术核心,讨论其应用场景,并突出它的独特优点。 什么是JWT? JSON Web Toke...
轻松学会使用JWT,让你的OAuth2.0实现更加安全高效!
wuli1024的博客
12-07 1053
JSON Web Token(JWT)是一个开放标准(RFC 7519),定义了一种紧凑、自包含的方式,作为JSON对象在各方之间安全地传输信息,结构化封装的方式生成token。结构化后的token可被赋予丰富含义,这是与无意义的随机字符串形式token的最大区别。既然授权服务颁发令牌,受保护资源服务就要验证令牌。而受保护资源调用授权服务提供的检验令牌的服务的这种校验令牌方式就叫令牌内检。OAuth 2.0 的核心是授权服务,没有令牌就没有OAuth,令牌表示授权后的结果。
JWT-鉴权
qq_41803729的博客
02-20 409
什么是JWT JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。 是一种认证授权机制。 三个组成部分:HEADER头部,PAYLOAD载荷(数据username、ID等),VERIFT SIGNATURE签名 将客户端的内容进行加密,当每次发请求时,加上token,发给服务器服务器再进行解密 数据存在客户端 JWT原理 JWT认证流程 用户输入用户名/密码登录,...
开源高效的身份验证方案:教你使用JWT认证机制加强Web应用安全
weixin_43263566的博客
09-22 1987
前后端的身份认证 - JWT 认证机制
jwt鉴权
weixin_43606738的博客
08-23 369
jwt鉴权 什么是jwt 全名: Json Web Token 是目前最流行的跨域认证解决方案,本文介绍它的原理和用法。 跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、...
day2021-11-18(springcloud JWT鉴权)
TIM_Zhang1122的博客
11-18 678
1.JWT 1.0 为什么要学习JWT? 1.1.简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;它是分布式服务权限控制的标准解决方案! 它跟RBAC的区别:两者不冲突,在项目中后台权限服务的数据库设计使用RBAC,而前端项目访问后台微服务的权限校验使用jwt 官网:https://jwt.io GitHub上jwt的java客户端:https://github.com/jwtk/jjwt 什么是token:https:
JWT安全
m0_48907714的博客
04-27 2865
检测方法 只有服务器没有检测的情况才能攻击成功(CTF会有,现实几乎没有,什么人写代码会不进行服务器验证呢) 查看数据包有没有Authorization类型(它用来发送jwt) 查看数据包格式是不是JWT格式 起源 说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。 传统的session认证 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,.
使用Spring和JWT安全性
专业的开发者“讨论”
04-23 255
Introduction 我终于可以把这篇文章发表了。 花了这么长时&#3838...
一个token的源码php-jwt
01-13
php-jwt是一个非常好用的token机制,它配合app可实现安全性的用户鉴权问题,但是token都有一个过期时间,如果过期了,如何让用户无感知进行刷新呢?其实这个主要是在前端进行判断,如果token过期,后端肯定会给前端...
RestNodeApp:演示如何使用JSON访问令牌构建实现安全协议OAuth2和JWT的node.js静态应用程序。基本有两种方法来保护REST API
04-29
它使用以下类型的请求来演示安全性范例: 不需要任何身份验证和授权的请求,例如。 CMS关于我们的要求,请与我们联系。 要求认证的请求。 同时要求身份验证和授权的请求。 有一个为此实现的身份验证中间件,该...
guns-jpa:Guns基于SpringBoot,致力于做更简洁的后台管理系统,完美整合springmvc + shiro + mybatis-plus + beetl + flowable!管理,部门管理,字典管理等10个模块),可以直接作为一个后台管理系统的脚手架。Gunsv3.0添加其余api服务,提供对接服务端接口的支持,并利用jwt token鉴权机制给予客户枪v3.1添加集成工作流引擎flowable6.2.0!枪4.0升级到全新的spring boot 2.0并大大简化了前端资源文件!-源
03-23
枪支v3.0增加剩余api服务,提供对接服务端接口的支持,并利用jwt令牌鉴权机制赋予客户端的访问权限,传输数据进行md5签名保证传输过程数据的安全性! 枪支v4.0更新内容 spring boot升级到2.0.3版本! 升级各个依赖...
gunvidepuan20200505.txt
05-05
Guns基于SpringBoot,致力于做更简洁的后台管理系统,完美整合springmvc + shiro + mybatis-plus + beetl + flowable!Guns项目代码简洁,注释丰富,上手容易,同时Guns包含...传输数据进行md5签名保证传输过程数据的安全性!
leyou:乐优商城项目后台
05-26
一、架构图 二、包含的微服务 ...(对jwt鉴权) 动态路由:动态地将请求路由到不同的后端集群。 负载均衡和熔断 2.2 授权中心微服务 结合RSA的鉴权 首先利用RSA生成公钥和私钥。私钥保存在授权中心,公
应用安全系列之三十九:JWT 相关安全问题以及最佳实践
jimmyleeee的专栏
10-07 251
本文主要简单介绍JWT的功能,以及常见的安全问题,并针对相关的安全问题提供一些有针对性的解决方案。 希望对JWT的使用者和实现者能够有所帮助。
JWT 安全性相关问题
Wjz_www的博客
08-05 569
重放攻击(英语:replay attack,或称为回放攻击)是一种恶意或欺诈的重复或延迟有效数据的网络攻击形式。这可以由发起者或由拦截数据并重新传输数据的对手来执行,这可能是通过IP数据包替换进行的欺骗攻击的一部分。这是“中间人攻击”的一个较低级别版本。这种攻击的另一种描述是: “从不同上下文将消息重播到安全协议的预期(或原始和预期)上下文,从而欺骗其他参与者,致使他们误以为已经成功完成了协议运行。
提升JWT安全性:如何设计有效的加盐密钥?
湖北太米网络科技有限公司
12-12 1247
(JSON Web Token)是一种用于在网络环境中传递信息的安全方式。它采用了一种轻量级、自包含的方式,将用户身份、权限等信息以JSON格式进行编码,并使用签名或加密来确保信息的完整性和安全性。通过使用JWT,我们可以在不存储用户信息的情况下,实现无状态的身份认证和授权。​的核心组成部分包括头部(Header)、载荷(Payload)和签名(Signature)。头部通常包含了JWT的类型和所使用的加密算法等信息。
express jwt 鉴权
03-30
Express JWT 鉴权是一种通过 JSON Web Tokens (JWT) 实现的身份验证和授权机制,用于保护 Express 应用程序中的端点或路由。 JWT 是一个安全的标准,用于在客户端和服务器之间传输信息。它由三部分组成:头部、载荷...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值