JWT

最新推荐文章于 2024-06-20 16:30:06 发布
最新推荐文章于 2024-06-20 16:30:06 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: springboot 基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoguangtouqiang/article/details/80771747
版权

   之前在面试的时候被问到一个问题,Http怎么保持状态;其实当时的答案很简单,cookie或者session,这个大家都知道的,然后又问,如果客户端禁用cookie了哪?当时我想了一下,说使用jwt;个人是觉得这个没有问题的;所以简单记录下关于jwt的一些内容,文章分成几个部分,先简单介绍下http的状态保持,然后了解下jwt的理论知识,最后了解下应用方面;

1.禁用cookie的情况下保持登录状态

    首先如何理解保持登录状态这个问题,其实保持登录状态就是服务端需要根据一些数据来识别发起请求的用户;最常用的是登录成功之后,服务端生成一个SessionID,然后设置到cookie,那么之后的所有请求都要带上cookie,服务端从header中取出session Id,再去查询用户的相关信息。所以保持登录状态的关键不是cookie,而是通过cookie保存和传输的session Id;

    在禁用cookie的时候,可以使用jwt,返回access token,前端将它保存在local storage中,后续的请求,构造一个类似的Authorization: Bearer <access token>这样的请求头,服务器端从中取出token,之后进行解密payload部分,查询到用户id,最终实现的效果和cookie是一样的。

2.Jwt

    Jwt由三部分组成,头部,载荷与签名;一个jwt的字符串的组成是 "头部.载荷.签名 "结构

1>头部Header

    头部用于描述关于jwt的最基本的信息,例如类型以及签名使用的算法等,可以被弄成一个json对象。

{
"typ":"JWT",
 "alg":"HS256"
}

  这里alg是签名的算法使用的是HS256;然后对header部分进行Base64编码,之后的字符串就形成了JWT的Header部分

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

2>Payload(载荷)

载荷部分主要承载的是我们存储的内容,比如用户的id等信息;

{
"iss":"John Wu JWT",
    
"iat":1441593502,
    
"exp":1441594722,
    
"aud":"www.example.com",
    
"sub":"jrocket@example.com",
    
"from_user":"B",
    
"target_user":"A"
}

这里的前五个字段是由jwt的标准定义的。

iss: 该JWT的签发者
sub: 该JWT所面向的用户
aud: 接收该JWT的一方
exp(expires): 什么时候过期,这里是一个Unix时间戳

iat(issued at): 在什么时候签发的

将上面的json对象进行base64编码之后可以得到下面的字符串,这个字符串就是载荷(Payload)

eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9

3>签名

签名是将header和Payload拼接在一起之后进行HS256算法进行加密生成的字符串,在加密的时候,需要提供一个密钥secret,比如使用“mystar”作为密钥,加密之后的内容

rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

最后将签名也拼接在字符串的后面,就得到了完整的Jwt

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

几个问题需要说明下:

1>Base 64编码是可逆的,所以payLoad中一定不要存放敏感信息,比如用户的密码啥的,一般存放userId,login和用户的角色都是可以的;

2>签名的目的是啥,目的是防止payLoad被篡改,如果被篡改了,那么header + payload 的HS256加密的结果和签名肯定不相等,说明这个token被动过了,应该拒绝这个token,所以这里的HS256密钥不能泄露出去;

3.jwt和session区别

jwt可以来做单点登录,Payload中存储userId信息和Session的最大区别是Session要占用大量的服务器内存,对于大型的应用来说可能要保存很多状态,而jwt将用户状态分散到客户端中,明显减少了服务器的内存压力;虽说jwt方式可以让服务器有一些计算压力,但是还是可以的;jwt相比cookie session来说,主要解决的是服务器端的session问题,将服务器的session存储在用户端;

参考资料

https://blog.csdn.net/sxdtzhaoxinguo/article/details/77965226

http://blog.rainy.im/2015/06/10/react-jwt-pretty-good-practice/

xiaoguangtouqiang
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
@ConfigurationProperties(prefix=“xxx“)前缀重复报错
weixin_73949247的博客
09-24 1494
目录结构文件内容
JWT介绍
weixin_44195615的博客
06-01 2354
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),该token被设计为紧凑且安全的, 特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息, 以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT官网:https://jwt.io/ 一、JWT的构成 header 头部 payl.
【Go开源宝藏】JWT-Go 鉴权 中间件_fiber jwt
最新发布
06-20 694
本文介绍Go语言的中间件JWT-Go鉴权是目前最流行的跨域身份验证解决方案生成token用于前后端交互中验证用户信息。
什么是JWT?(细致讲解)
热门推荐
Ethereal的博客
05-29 8万+
什么是JWT?传统的session、token认证、JWT登录鉴权
JWTUtils工具
weixin_64443786的博客
07-13 4728
JWT
什么是JWT??
as15282235592的博客
09-04 4841
JWT
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
JWT Token生成及验证(源码)
04-12
JWT(JSON Web Tokens)是一种轻量级的身份验证和授权机制,广泛应用于Web应用程序和服务之间的安全通信。这个"JWT Token生成及验证(源码)"的压缩包文件可能包含了一个示例项目,用于演示如何生成和验证JWT令牌。让...
JWT Token生成及验证
07-16
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛...
jwt所需jar包资源
04-02
JWT,全称JSON Web Token,是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT广泛应用于身份验证、...
JWT(Json Web Token)介绍
mijichui2153的博客
04-25 1676
前言:JWT(JSON Web token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。JWT是REST API中经常使用的一种机制。 JWT是一种由Header、PayLoad和Key计算并组合得到的数字令牌。简单点说就是一个字符串,由三部分组成,分别是:头部(Header)、载荷(PayLoad)、签名(sign)。 一、各部分介绍及使用体验 Header: Header为JSON格式,用于描述关于该JWT的最基本的信息,例如类型以及签名采用的算法.
jwt (json web token) + springboot
qq_45812181的博客
09-04 815
jwt官网 :https://jwt.io/ jwt 官网介绍 jwt就是一json串,且该串不需要服务器保存,一旦生成 不可撤销、不可删除,在到达设置的过期时间之前一直都有效。 jwt的作用 一言以蔽之:作为数据安全校验,且该条数据不是完全加密,而是采用的部分加密。 没有加密的部分是用来做传递信息的(如允许被外界识别的用户类型、用户名),加密的那部分才是用来做校验的。 可以把token放在请求头中或者cookie中。 认证流程 首先,前端通过Web表单将用户名和密码发送到后端的接口。这一过程一般是
java编程之java jwt token什么是JWT?(一)
Rome was not built in one day
01-17 1107
转自:http://www.leftso.com/blog/220.html 一、什么是JWT?了解JWT,认知JWT   首先jwt其实是三个英语单词JSON Web Token的缩写。通过全名你可能就有一个基本的认知了。token一般都是用来认证的,比如我们系统中常用的用户登录token可以用来认证该用户是否登录。jwt也是经常作为一种安全的token使用。 JWT的定义:
JWT官网中文简介
weixin_41905047的博客
02-25 798
jwt全称是JSON WEB TOKEN:JSON Web TOKEN(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输JSON对象信息。此信息可以被验证和信任,因为它是数字签名的。JWT可以使用秘钥(如:使用HMAC算法)或公钥/私钥对(如:使用RSA或ECDSA)进行签名。
什么是JWT?详细讲解
qq_43380361的博客
05-14 1万+
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准.该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 传统的session认证 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了
微服务网关与JWT鉴权实践
"本文主要探讨了微服务架构中网关与JWT令牌的使用,旨在让读者理解JWT鉴权机制,并掌握如何在网关中实施JWT校验用户登录。" JWT(JSON Web Token)是一种轻量级的身份认证和授权机制,广泛应用于现代Web应用和API...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值