基于token的鉴权机制-JWT

最新推荐文章于 2024-04-06 19:00:00 发布
最新推荐文章于 2024-04-06 19:00:00 发布
阅读量140 收藏
点赞数
分类专栏: java基础 文章标签: token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wozaibohaibian/article/details/134483880
版权

在实际开发项目中,由于Http是一种无状态的协议,我们想要记录用户的登录状态,或者为用户创建身份认证的凭证,可以使用Session认证机制或者JWT认证机制。

什么是JWT?

网络应用环境间传递声明执行的一种基于JSON的开放标准。适用于分布式站点的单点登录(SSO)场景。

JWT与Session的区别

Session
  • 传统Session认证
    • 识别已认证的用户(用户名/密码),响应信息传递给浏览器保存为Cookie,以便于下次请求发送应用,就能识别请求来自哪个用户。这就是传统的基于Session的认证。
    • 基于session认证显露的问题
      • 占用资源(session保存在用户中)
      • 扩展性弱(下次请求必须在这台服务器上,才能拿到授权的资源,在分布式的应用上,相应的限制了负载均衡的能力)
      • CSRF攻击:基于cookie来进行用户识别的,cookie如果被截获,可以伪造攻击
  • Json Web Token(JWT)
    • 基于token的鉴权机制:不需要再服务端保留用户的认证信息或者会话信息。意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了。
      • 用户使用用户名密码来请求服务器
      • 服务器进行验证用户的信息
      • 服务器通过验证发送给用户一个token
      • 客户端存储token,并在每次请求时附送上这个token值
      • 服务端验证token值,并返回数据

JWT长什么样?

JWT由三段信息构成

  • 头部(header)
  • 载荷(payload)
  • 签证(signature)
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
header

header头部包含两部分

  • 声明类型
  • 声明加密算法

然后对头部进行base64加密

# 完整的头部示例
{
  'typ': 'JWT',
  'alg': 'HS256'
}
 
# 加密后的头部
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
payload

载荷就是存放有效信息的地方。特指分级上承载的货品。

payload主要包含三部分:

  • 标准中的注册的声明
    • iss:jwt签发者
    • sub:jwt所面向的用户
    • aud:接收jwt的一方
    • exp:jwt的过期时间,这个过期时间必须要大于签发时间
  • 公共的声明
    • 可以添加任何的信息,一般添加用户的相关信息,不建议添加,可解密
  • 私有的声明
    • 提供者和消费者所共同定义的声明
# 一个完整的payload
{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}
 
# base64加密后
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
signature

签证信息由三部分组成

  • header(base64加密后)
  • payload(base64加密后)
  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

// javascript
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

如何应用?

一般是在请求头里加入Authorization,并加上Bearer标注:

fetch('api/user/1', {
  headers: {
    'Authorization': 'Bearer ' + token
  }
})

服务端会验证token,如果验证通过就会返回相应的资源:
image

JWT鉴权的优点

  • 因为JSON的通用性,所以JWT是可以进行跨语言支持的,像java、js、NodeJS、php等
  • jwt构成简单,字节占用很小,便于传输
  • 不需要服务端保存会话信息,易于应用扩展

安全相关

  • 不应该在jwt的payload部分存放敏感信息
  • 保护好secret私钥,该私钥非常重要
贾欣晓
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
鉴权初探---什么是JWT
qq_44936410的博客
05-31 290
到底什么是JWT 什么是jwt什么时候应该使用json网络令牌?jwt的结构头部(header)负载部分(payload)签名部分组合在一起JWT是如何工作的?为什么应该使用JWT 什么是jwt json web TokenJWT)是一个开放标准,它定义了一种紧凑和自包含的方 式,做为json对象在各方之间安全传输信息。这些信息可以被验证和被信任,因为他是经过数字签名,jwt可以通过HMAC或着使用RSA(一种包含公钥和私钥)的加密算法对其进行签名。 我来进一步解释一下这些定义的概念。 紧凑:由于
guns-jpa:Guns基于SpringBoot,致力于做更简洁的后台管理系统,完美整合springmvc + shiro + mybatis-plus + beetl + flowable!管理,部门管理,字典管理等10个模块),可以直接作为一个后台管理系统的脚手架。Gunsv3.0添加其余api服务,提供对接服务端接口的支持,并利用jwt token鉴权机制给予客户枪v3.1添加集成工作流引擎flowable6.2.0!枪4.0升级到全新的spring boot 2.0并大大简化了前端资源文件!-源
03-23
枪支v3.0增加剩余api服务,提供对接服务端接口的支持,并利用jwt令牌鉴权机制赋予客户端的访问权限,传输数据进行md5签名保证传输过程数据的安全性! 枪支v4.0更新内容 spring boot升级到2.0.3版本! 升级各个依赖...
深入浅出JWTtoken鉴权机制
Eamon
12-17 2133
文章目录JWT介绍JWT能做什么JWT的优势基于传统的Session认证基于JWT认证JWT结构JWT的组成HeaderPayloadSinature小结JWT使用引入依赖生成token根据令牌解析数据常见异常封装工具类整合SpringBoot JWT介绍 JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。 JWT能做什么 1.授权 这是使用JWT的最常见方案。一旦用户登录
使用Token方式实现用户身份鉴权认证
2301_78276982的博客
04-06 798
Token,也称为“令牌”,是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
基于token鉴权机制JWT介绍
withawind的博客
07-02 2125
转自https://www.cnblogs.com/Jaho/p/9275986.html   在实际开发项目中,由于Http是一种无状态的协议,我们想要记录用户的登录状态,或者为用户创建身份认证的凭证,可以使用Session认证机制或者JWT认证机制。 什么是JWT?   Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC...
java token鉴权_# RESTful登录(基于token鉴权)的设计实例
weixin_29291185的博客
02-24 1270
使用场景现在很多基于restful的api接口都有个登录的设计,也就是在发起正式的请求之前先通过一个登录的请求接口,申请一个叫做token的东西。申请成功后,后面其他的支付请求都要带上这个token,服务端通过这个token验证请求的合法性。这个token通常都有一个有效期,一般就是几个小时。比如我之前接入过一个支付宝和微信支付的通道,他们提供的api就要求先登录获取token然后才能使用支付的a...
java框架 token_基于jwt token机制鉴权架构
weixin_39622710的博客
02-16 746
常见的鉴权方式有两种,一种是基于session,另一种是基于token方式的鉴权,我们来浅谈一下两种 鉴权方式的区别。两种鉴权方式对比session安全性:session是基于cookie进行用户识别的,cookie如果被截获,用户很容易受到跨站请求伪造的攻击。扩展性:session是有状态的,是具有IP黏贴性和有中心化特性的,在分布式环境下,虽然每台服务器业务逻辑一样,但是session是保存在...
JWT技术——基于token鉴权机制
zollty的专栏
12-27 7018
本文是《REST API安全认证研究》的一部分。   JWT技术(基于token鉴权机制) 流程上是这样的: 用户使用用户名密码来请求服务器 服务器进行验证用户的信息 服务器通过验证后生成一个token发送给用户 客户端存储token,并在每次请求时附送上这个token值 服务端验证token值,并返回数据 这个token必须要在每次请求时...
前端认证登录鉴权--Session 和 JWT简介
桃子阿桃
10-17 3258
Session 工作原理
密码加密与微服务鉴权JWT-基于JWTToken认证机制实现
shenzhen_zsw的专栏
06-04 559
密码加密与微服务鉴权JWT-基于JWTToken认证机制实现基于JWTToken认证机制实现什么是JWTJWT组成头部(Header)载荷(playload)签证(signature) 基于JWTToken认证机制实现 什么是JWT ​JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 JWT组成 一个JWT实际上就是...
Gin中使用jwt-go实现JWT鉴权登陆
mjiarong的博客
10-01 1349
JWT全称Json web token ,是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,是目前最流行的跨域身份验证解决方案。JWT基于token鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息,一旦用户完成了登陆,在接下来的每个请求中都会包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限的验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,这也为应用的扩展提供了便利。JWT 以 JSON 对象的形式安全传递信息。
网关与Jwt令牌.doc
10-16
基于token鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。 ...
gunvidepuan20200505.txt
05-05
上手容易,同时Guns包含许多基础模块(用户管理,角色管理,部门管理,字典管理等10个模块),可以直接作为一个后台管理系统的脚手架.Guns v3.0新增rest api服务,提供对接服务端接口的支持,并利用jwt token鉴权机制给予...
spring-boot-api-starter::rocket:一个基于Spring Boot的快速构建RESTful API工程的脚手架,支持多数据源配置,分布式事务
01-30
实现单表业务零SQL集成Atomikos支持分布式事务,以及支持多数据源配置统一异常处理统一响应结果封装基于JWT实现基于Token鉴权机制使用Druid Spring Boot Starter集成Druid数据库连接池与监控使用AutoGenerator快速...
lamp-cloud微服务脚手架
10-20
核心技术采用Nacos、Fegin、Ribbon、Zuul、Hystrix、JWT Token、Mybatis、SpringBoot、Redis、RibbitMQ等主要框架和中间件。 lamp-cloud微服务脚手架功能: 1、服务注册&发现与调用: 基于Nacos来实现的服务注册与...
k8s1.16的jenkins部署java项目cicd(cd手动)-kubernetes安装包和详细文档笔记整理
05-28
k8s1.16的jenkins部署java项目cicd(cd手动)-kubernetes安装包和详细文档笔记整理
sja1311.x86_64.tar.gz
05-28
SQLyong 各个版本,免费下载 SQLyog是业界著名的Webyog公司出品的一款简洁高效、功能强大的图形化MySQL数据库管理工具。使用SQLyog可以快速直观地让您从世界的任何角落通过网络来维护远端的MySQL数据库。
debugpy-1.1.0-cp34-cp34m-manylinux1_x86_64.whl
最新发布
05-28
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
基于springboot+oauth2.0+jwttoken鉴权认证开发的后台接口
08-17
基于Spring Boot、OAuth2.0和JWT Token鉴权认证开发的后台接口是一种使用现代化技术实现的身份验证和授权机制。下面是关于这种后台接口的一些说明: 首先,Spring Boot是一个基于Spring框架的快速开发框架,提供了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值