JWT跨域认证

已于 2022-03-22 11:15:30 修改
阅读量853 收藏 2
点赞数 2
分类专栏: GO语言 网络通信 文章标签: golang
于 2021-04-15 18:58:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzb_wzt/article/details/115730178
版权

摘要

JWT(JSON Web Token):一种跨域认证解决方案,属于一个开放的标准,它规定了一种Token实现方式,多用于OAuth2.0业务场景下;(OAuth2.0:授权机制,用来授权第三方应用,获取用户数据)

Cookie-Session验证方式:

  • 用户在浏览器端填写用户名和密码,并发送给服务端
  • 服务端对用户名和密码校验通过后会生成一份保存当前用户相关信息的session数据和一个与之对应的标识(通常称为session_id)
  • 服务端返回响应时将上一步的session_id写入用户浏览器的Cookie
  • 后续用户来自该浏览器的每次请求都会自动携带包含session_id的Cookie
  • 服务端通过请求中的session_id就能找到之前保存的该用户那份session数据,从而获取该用户的相关信息

该模式弊端:

  • 扩展性(scaling)不好,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session;
  • 依赖于客户端(浏览器)保存Cookie,并且需要在服务端存储用户的session数据;当在不同的浏览器中访问时,就无法从cookie中获取到session_id;

JWT验证的原理:

  • 服务器认证以后,签名生成一个 JSON 对象,发回给用户;之后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器就不保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展。这个对象,可以携带在访问的header中,或者body中、也可以是url中;
  • JWT 由三个部分组成:Header(头部)、Payload(负载)、Signature(签名)
    在这里插入图片描述
    header:保存元信息,签名的算法等;
    Payload:存放实际需要传递的数据;
    Signature:对前两部分的利用header中定义的算法来签名;

JWT缺陷

  • JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次;当不加密时,token中不要携带重要信息;
  • 由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
  • 为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输;

gin中使用JWT

import jwt "github.com/appleboy/gin-jwt/v2"

初始化

JwtWrapper, err := jwt.New(&jwt.GinJWTMiddleware{
		Realm: "",

		// 用于在会话上下文中获取Token
		// handler可通过`ctx.Get(IdentityKey)`获取Token
		IdentityKey: IdentityKey,

		// jwt签名私有串
		Key: []byte(""),

		// 会话刷新最短间隔
		Timeout: time.Minute*30,

		// 会话最长有效期
		MaxRefresh: time.Hour * 12,

		// 校验用户名和密码并生成Token
		Authenticator: func(c *gin.Context) (interface{}, error) {
			token := &Token{
			}
			return token, nil
		},

		// 返回登录结果,
		LoginResponse: func(c *gin.Context, code int, token string, expire time.Time) {
			v, _ := c.Get(LoginKey)//LoginKey;login请求存取键
			login := v.(*Login) //登录结构信息
			login.Token = token 
			login.TokenExpire = " "//到期时间
			c.JSON(http.StatusOK, global.Response{Code: global.ErrCodeSuccess, Msg: "成功", Data: login})
		},

		// 返回登出结果
		LogoutResponse: func(c *gin.Context, code int) {
			c.JSON(http.StatusOK, global.Response{Code: global.ErrCodeSuccess, Msg: "成功"})
		},

		// 转换Token为键值对,交由jwt一起携带
		PayloadFunc: func(data interface{}) jwt.MapClaims {
			if v, ok := data.(*Token); ok {
				return jwt.MapClaims{
					"token_field":         "token_value",
				}
			}
			return jwt.MapClaims{}
		},

		// 从http请求中提取Token并返回给上下文
		IdentityHandler: func(c *gin.Context) interface{} {
			claims := jwt.ExtractClaims(c)
			token := &Token{
				Key:    claims["key"].(string),
			}
			return token
		},


		// 用户名密码错误,会话数据非法、超时,调用未授权接口等情况的处理
		Unauthorized: func(c *gin.Context, code int, message string) {
			ec := global.ErrCodePriviledge
			if strings.Contains(message, "expired") {
				ec = global.ErrCodeSessionGone
			}
			c.JSON(http.StatusOK, global.Response{
				Code: ec,
				Msg:  message,
			})
		},

		// token读取位置:cookie优先,其次为http头的Authorization
		TokenLookup: "cookie: cooke_key, header: Authorization",

		// http头放置token时附带的前缀
		TokenHeadName: "",

		// 时间获取函数
		TimeFunc: time.Now,

		// 阻止客户端js获取cookie
		CookieHTTPOnly: true,

		// 存储jwt令牌的cookie名称
		CookieName: CookieName,
		SendCookie: true,
	})
	if err != nil {
		panic(fmt.Errorf("create jwt middleware failed: %s", err))
	}

注册中间件

// 会话即将失效,尝试刷新
// 注意:如果会话已经持续保活超过JwtWrapper.MaxRefresh指定时间,则必须重新登录
auth.GET("/refresh_token", RefreshHandler)
auth.Use(JwtWrapper.MiddlewareFunc())
{
	auth.GET("/hello", helloHandler)
}
wzbwzt
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot使用Jwt处理跨域认证问题的教程详解
08-19
SpringBoot使用Jwt处理跨域认证问题的教程详解 SpringBoot使用Jwt处理跨域认证问题是目前前后端开发中常见的问题,本文将详细介绍如何使用Jwt处理跨域认证问题。 首先,为什么需要用户认证呢?原因是由于HTTP协议...
c#关于JWT跨域身份验证的实现代码
01-01
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519), 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。...
Jwt跨域认证方案
weixin_63566741的博客
09-27 138
Token是在服务端产生的一串字符串,是客户端访问资源接口(API)时所需要的资源凭证,token认证的一般流程如下:
一文搞懂JWT技术实现跨域认证原理
最新发布
m0_55477902的博客
06-28 580
通过上述步骤,你可以实现一个基于JWT跨域认证系统。前端发送登录请求并获取JWT,存储在中,之后在每个受保护的请求中都包含该JWT。后端验证JWT并根据验证结果返回相应的数据。这种方法不仅安全,还能有效地处理跨域认证问题。
JWT跨域认证解决方案的理解
浮生离梦的博客
04-18 1446
一、JWT概念 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。 二、跨域认证一般流程 用户向服务器发送用户名和密码 服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等 服务器向用户返回一个 session_id,写入用户的 Cookie 用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器 服务器...
浅学JWT跨域认证
weixin_47268883的博客
12-24 932
浅学JWT跨域认证
JWT跨域认证解决方案
qq_52963857的博客
07-12 898
跨域认证的问题 JWT 的原理 JWT 的数据结构 Header(头部)Payload (载荷)Signature (签证)Base64URL 小小实验室 java-jwt 对称签名 封装工具类 对称签名 首先引入Maven依赖 创建测试类 10版本封装工具类 JWT 的几个特点 实际开发中的应用 拦截器定义
JWT——跨域认证解决方案
mmklo的博客
10-05 1953
官方定义:其大致意思就是:JWT是一个以JSON格式传输信息,且传输过程中是安全的,因为他有数字签名,所以可以做验证(其中的加密或者签名算法有RSA/CDSA)自我理解就是:通过以JSON的形式把数据封装成一个令牌,用于保证数据交互过程中的安全性(在传输过程中可以进行加密和签名)。
跨域身份认证JWT
彭于晏的博客
09-17 275
想要最流行的跨域身份验证解决方案吗?快来看看JWT
JWT实现跨域身份验证
冲出仁川,走出马德里,故事还会再继续
01-07 1020
JWT实现跨域身份验证1、JWT简介2、JWT的结构2.1 头部(header)2.2 载荷(payload)2.3 签证(signature)3、JWT的原则4、JWT的用法5、JWT的问题和趋势6、整合JWT令牌6.1 在模块中添加jwt工具依赖6.2 创建JWT工具类 1、JWT简介   JWT(JSON Web Token)是目前流行的跨域认证解决方案,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是
JWT跨域认证解决登录注册
m0_58736477的博客
09-17 196
存储用户登陆状态方案: 方案1:session存储。 缺点:服务器集群,session数据不能共享(因为session是保存在JVM中)。 缺点:无法实现跨域请求。A项目和B项目,现在要求用户只要在其中一个项目登录,再访问另一个项目就会自动登录,实现跨域请求的认证。 缺点:耗费服务器内存 方案2:JWT 另一种方案是JVM索性不保存 session 数据了,所有数据都保存在客户端或保存到一个公共的存储介质,JWT 就是这种方案的一个代表。 JWT介绍 JSON We
JWT完全跨域的实现
ybbgrain的历程
09-17 1133
概述 什么是JWTJWT全称JSON Web Token是一个开放标准。而今天要学习的是如何使用JWT来做单点登录,也就是跨域认证的实现。 认证的过程 首先用户向服务器发送用户名和密码。 然后服务器将数据保存再,session里面。 服务器向用户返回一个session_id,写入给用户的Cookie。 用户之后的每一次请求,都会将通过Cookie将session_id返回到服务器。 服务器收到了session_id,找到前期保存的数据,从而得到用户的身份。 优点:简单容易实现。..
详解使用JWT实现单点登录(完全跨域方案)
10-16
JWT允许用户在多个相关应用或服务之间共享认证信息,而无需多次登录。本文将深入探讨JWT的原理、使用场景以及其结构。 JWT的核心在于它是一个包含签名的加密字符串,这个字符串包含了用户的相关信息,如用户ID、...
asp.net基于JWT的web api身份验证及跨域调用实践
10-18
主要介绍了asp.net基于JWT的web api身份验证及跨域调用实践,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
ocelot网关+jwt身份认证
06-09
在构建分布式系统时,"ocelot网关+jwt身份认证"是一个常见的组合,用于实现高效、安全的服务间通信。Ocelot是一个流行的开源API网关,而JWT(JSON Web Token)则是广泛采用的身份验证机制。本文将深入探讨这两个概念...
Go基础学习-使用gopkg.in/ini.v1实现文件解析及手动实现ini文件解析
wzbwzt的博客
07-17 4995
gopkg.in/ini.v1 //配置文件 # possible values : production, development app_mode = development [paths] # Path to where grafana can store temp files, sessions, and the sqlite3 db (if that is used) data = /home/git/grafana [server] # Protocol (http or https) pr
gRPC接口调试工具-grpcui
wzbwzt的博客
10-16 3111
Go gRPC 调试工具 -grpcui 概述 当我们在写 HTTP 接口的时候,使用的是 Postman 进行接口调试,那么在写 gRPC 接口的时候,有没有类似于 Postman 的调试工具呢? 当然是有的 ~ 咱们一起看下 grpcui,源码地址: https://github.com/fullstorydev/grpcui 看下官方描述: grpcui is a command-line tool that lets you interact with gRPC servers via a bro
go 获取文件执行的路径
wzbwzt的博客
07-24 2780
方法: path, _ := exec.LookPath(os.Args[0]) fmt.Println(path) abs, _ := filepath.Abs(path) fmt.Println(abs) index := strings.LastIndex(abs, string(os.PathSeparator)) fmt.Println(path[:index]) os.Args是用来获取命令行执行参数分片 当go run 运行时会将文件转移到临时路径下,然后再进行编译和执行,分片0就是
.net jwt 跨域
10-29
.net中使用JWT(JSON Web Token)实现跨域认证是一种常见的做法。跨域是指前端应用程序在一个域上发送请求,但请求的目标资源位于另一个域上,由于浏览器的同源策略,默认情况下是不允许跨域请求的。 在ASP.NET中,可以通过配置CORS策略以允许跨域请求。首先,在Web.config或应用程序的Startup.cs文件中添加CORS中间件,并允许特定的来源域或Http请求方法: ```csharp // Startup.cs public void ConfigureServices(IServiceCollection services) { services.AddCors(options => { options.AddPolicy("AllowCorsPolicy", builder => builder .AllowAnyOrigin() .AllowAnyMethod() .AllowAnyHeader()); }); } public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { app.UseCors("AllowCorsPolicy"); //其他中间件配置 } ``` 然后,在控制器或API端点中,通过`Authorize`属性进行JWT认证: ```csharp // Controller.cs [Authorize] [ApiController] [Route("api/[controller]")] public class MyController : ControllerBase { // ... } ``` 这将确保只有带有有效JWT的请求才能访问该控制器的API。 此外,在生成JWT时,需要将适当的CORS头信息包含在令牌中: ```csharp // JwtGenerator.cs public string GenerateJwtToken() { var tokenHandler = new JwtSecurityTokenHandler(); var key = Encoding.ASCII.GetBytes("your_secret_key"); var tokenDescriptor = new SecurityTokenDescriptor { // 设置其他Jwt相关参数 Subject = new ClaimsIdentity(new Claim[] { new Claim(ClaimTypes.Name, "your_name") }), // 设置CORS Header = new JwtHeader(new SigningCredentials( new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256)) { {"Access-Control-Allow-Origin", "your_origin_domain"} } }; var token = tokenHandler.CreateToken(tokenDescriptor); return tokenHandler.WriteToken(token); } ``` 通过在生成JWT时设置`Access-Control-Allow-Origin`头,将允许指定的域进行跨域请求。 总结而言,使用.net中的JWT和CORS,可以实现安全的跨域认证。配置CORS策略以允许特定的跨域请求,并在生成JWT时设置适当的CORS头信息,以确保只有带有有效JWT的请求才能访问受保护的API。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值