19-JWT令牌认证技术

最新推荐文章于 2024-05-29 07:30:00 发布
最新推荐文章于 2024-05-29 07:30:00 发布
阅读量184 收藏 1
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangcan741147/article/details/114957291
版权

JWT令牌认证技术

Java Web Token (全称)

专门用来替换:Cookie + Session的应用状态管理方式,通常适合前后端分离的项目

**应用程序的状态:**后端服务器和浏览器相互识别的内容

传统应用状态管理的缺陷
先问个问题

大家在2,3阶段学习时,我们怎么样去管理应用程序的状态?

后端服务器Tomcat如何知道你发的请求是你的浏览器发的,它不是其它浏览器发的?

答案:Cookie +Session

缺陷
  1. 前端只能是浏览器或者有Cookie的前端技术
  2. 应用程序的服务器在横向扩展时,需要进行Session同步
  3. 不适合做前后端分离的项目
具体原因

**目前的前端(大前端)包含:**各种浏览器,各种手机APP,各种应用小程序,还有其他的设备但上述的这些前端技术中,Cookie是浏览器所特有的

JWT解决方案
JWT的流程

后端通过JWT的技术,可以生成一个Token令牌的东西,生成出来之后,交给前端,要求前端进行存储,前端的每次请求需要携带该Token令牌到后端来识别

image-20210105142409011

JWT的组成

JWT由3段信息构成:头(header)、载荷(payload)、签证(signature)

头(header)、载荷(payload) 采用Base64位加密方法,签证(signature)使用HMACSHA256进行加密运算。

标准案例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.
TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
头(Header)

主要承载2部分内容:声明Token使用JWT技术产生,声明加密的算法 通常直接使用 HMACSHA256

完整头的JSON格式:

{
  'typ': 'JWT',
  'alg': 'HS256'
}

头的内容是固定的,不会发生变化

它对应的字符串是:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
载荷(payload)

后端通过JWT承载,传递给前端有用的相关数据

组成载荷的2个部分:标准中注册的声明,其它的声明

标准中注册的声明(建议但不强制):

iss: jwt签发者

sub: jwt所面向的用户

aud: 接收jwt的一方

exp: jwt的过期时间,这个过期时间必须要大于签发时间

nbf: 定义在什么时间之前,该jwt都是不可用的

iat: jwt的签发时间

jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

其它的声明

载荷中,可以申明上述的标准信息,也可以附加一些个人信息(个人信息有的是公共的,有的是私有的)

备注:不管是公共的,还是私有的,由于载荷使用Base64位算法,都是可以破解的

其它的声明,不要写一些非常敏感的信息,例如:银行卡卡号,银行卡密码,登录名,登录密码……

签证(signature)

签证由3部分构成

header (base64加密后的内容)

payload (base64加密后的内容)

secret 盐值

将以上3部分内容使用:HMACSHA256算法进行加密

ture)

签证由3部分构成

header (base64加密后的内容)

payload (base64加密后的内容)

secret 盐值

将以上3部分内容使用:HMACSHA256算法进行加密

保证令牌颁发的权威性!

易与枫
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT认证
乌云的博客
05-09 983
JSON Web Token (JWT)是⼀个开放标准(RFC 7519),它定义了⼀种紧凑的、⾃包含的⽅式,⽤于 作为JSON对象在各⽅之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
31天的API安全提示:这项挑战是Inon Shkedy的31天的API安全提示
02-05
OAuth2、JWT(JSON Web Tokens)和API密钥都是常见的认证机制。确保实施正确的权限控制,避免未授权访问。 2. **敏感数据保护**:API常处理敏感信息,如用户密码、信用卡号等。使用加密技术,如HTTPS进行传输层加密...
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
一步步教你实现JWT认证和授权
weixin_52533007的博客
08-11 2622
本博主将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主!也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远!JWT认证(JSON Web Token authentication)是一种基于Token的身份验证机制。它使用JSON Web Token(JWT)作为身份验证的凭据,并通过对JWT进行验证来确认用户的身份和授权用户访问受保护的资源。大家不要把三者想的太复杂session是诞生并保存在服务器那边的,由服务器主导一切。
一文读懂JWT认证含使用教程
八戒的博客
05-29 1138
***///自定义密钥/*** 生成 Token* @param map 自定义的载荷数据* @return 返回 Token*///1.设置过期时间(默认 1 天过期)//2.创建 jwt builder,添加自定义的载荷数据//3.生成 TokenString token = builder.withExpiresAt(instance.getTime()) //过期时间// sign/*** 验证 Token 合法性*/try {
Jwt认证
weixin_44727617的博客
03-05 913
jwt认证、拦截器、token过期时间
JWT 登录认证
国内某知名游戏公司小菜鸡工程师
07-04 5125
分布式跨域认证的解决新方案
基于PHP的大佬19楼论坛程序php版源码.zip
09-03
12. **安全防护**:防止SQL注入、XSS攻击等,采用CSRF令牌、输入验证等措施。 13. **API接口**:可能提供RESTful API供其他应用集成。 通过分析这个PHP源码,开发者可以学习到Web应用程序的设计原则、数据库设计、...
2024 Vue3快速上手 视频教程 下载 百度网盘链接4.zip
最新发布
06-20
│ 实战篇-07_JWT令牌.mp4 │ 实战篇-08_登录认证_完成.mp4 │ 实战篇-09_获取用户详细信息.mp4 │ 实战篇-10_获取用户详细信息_ThreadLocal优化.mp4 │ 实战篇-11_更新用户基本信息.mp4 │ 实战篇-12_更新用户...
2024 Vue3快速上手 视频教程 下载 百度网盘链接2.zip
06-20
│ 实战篇-07_JWT令牌.mp4 │ 实战篇-08_登录认证_完成.mp4 │ 实战篇-09_获取用户详细信息.mp4 │ 实战篇-10_获取用户详细信息_ThreadLocal优化.mp4 │ 实战篇-11_更新用户基本信息.mp4 │ 实战篇-12_更新用户...
2024 Vue3快速上手 视频教程 下载 百度网盘链接3.zip
06-20
│ 实战篇-07_JWT令牌.mp4 │ 实战篇-08_登录认证_完成.mp4 │ 实战篇-09_获取用户详细信息.mp4 │ 实战篇-10_获取用户详细信息_ThreadLocal优化.mp4 │ 实战篇-11_更新用户基本信息.mp4 │ 实战篇-12_更新用户...
JWT认证流程
生命不息,挖坑不止
06-28 1426
4、用户将 JWT 存储在本地,通常是 cookie 或者 localStorage。6、服务器会验证 JWT ,如果验证通过,则会处理请求,返回数据。3、一旦凭据验证成功,服务器会创建一个 JWT 并返回给用户。5、用户每次向服务器发送请求时,都会在请求头中包含 JWT。7、如果用户注销或者 JWT 过期,服务器会拒绝请求。1、用户使用用户名和密码登录。2、服务器验证用户凭据。
jwt认证流程和使用案例(session和token两种方式)
健康平安的活着的专栏
06-25 2911
传统session是保存在服务器内存中的,而JWT是保存在浏览器本地的,使用JWT的好处就是不占用服务器的内存
不会吧,不会吧,不会还有人看了这篇文章还不精通JWT
XiaoLin
10-07 2681
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
JWT认证原理
热门推荐
houmenghu的博客
08-11 3万+
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和明码会通过HTTP头传递。 在发送之前是以用户名追加一个冒号然后串接上口令,并将得出的结果字符串再用Base64算法编码。 例如 用户名是Aladdin、口令是open s...
令牌简介及原理(Token)
岁月净好
11-29 1万+
令牌(Token)就是系统的临时密钥,相当于账户名和密码,用来决定是否允许这次请求和判断这次请求时属于哪一个用户的.它允许你不提供密码或其他凭证的前提下,访问网络和系统资源.这些令牌将持续存在于系统中,除非系统重新启动.   令牌最大的特点就是随机性,不可预测,一般黑客或软件无法猜测出来,令牌有很多种,比如访问令牌(Access Token)表示访问控制操作主题的系统对象;密保令牌(Security token),又叫作认证令牌或者硬件令牌,是一种计算机身份校验的物理设备,例如U盾;会话令牌(Session
普通数字签名和JWT中的数字签名的区别
zhpf225的博客
08-23 699
数字签名 数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接受者。接受者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对接收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,在传输的过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。数字签名是一个加密的过程,数字签名验证是一个解密的过程。 JWT(Java web Token) JWT本身是为了解决服务端的token存储的问题,为了避免服务端存储大量的token,服务端可以
Token令牌
WN的技术博客
09-23 1301
什么是Token? 用户调用服务器API,向服务器发送的一个可靠的验证信息,用于服务器判断是否为用户 为什么使用Token? 1、传统web验证方式是每次都发送用户名和密码给服务器进行验证,每次都需要发送用户名密码大大增加信息被截获的风险。 2、使用了Token之后,用户在第一次登陆之后服务器可以签发一个令牌,返回给客户端,客户端保存该令牌,在之后登陆中,通过发送令牌进行用户的验证登...
java-jwt.jar
12-01
java-jwt.jar是一个用于在Java中实现JWT(JSON Web Token)认证和授权的库。JWT是一种轻量级的身份验证机制,用于在不同系统之间安全地传输信息。java-jwt.jar库提供了创建、解析和验证JWT的功能,使得在Java应用程序中集成JWT变得更加简单和方便。 使用java-jwt.jar库,开发人员可以轻松地在他们的应用程序中实现JWT认证和授权。他们可以使用库中提供的方法来生成包含用户信息和权限信息的JWT令牌,然后将其发送给客户端。客户端在接收到JWT令牌后,可以使用java-jwt.jar库中的方法来解析和验证该令牌,以确保其合法性和有效性。这种方式可以有效地保护用户的信息和权限,并且减少了在不同系统之间传输信息时的安全风险。 另外,java-jwt.jar库还提供了一些其他的功能,比如对JWT令牌进行加密处理、设置有效期、添加自定义的声明等。这些功能使得开发人员能够更加灵活地定制和管理JWT令牌,以满足他们应用程序的具体需求。 总之,java-jwt.jar是一个非常有用的Java库,它为开发人员提供了在应用程序中使用JWT进行认证和授权的便捷方式。通过使用该库,开发人员可以更加轻松地保护用户的信息和权限,并且提高了他们应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值