JSON Web Token 简介

最新推荐文章于 2024-08-16 08:00:49 发布
最新推荐文章于 2024-08-16 08:00:49 发布
阅读量536 收藏 2
点赞数
分类专栏: Node.js 文章标签: token jsonwebtoken 身份控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwkkkk1/article/details/89212515
版权
本文介绍了跨域认证的问题及解决方案,详细讲解了Token的工作流程,并深入剖析了JsonWebToken(JWT)的生成格式,包括Header、Payload和Signature三个部分,阐述了JWT在身份验证中的应用。
摘要由CSDN通过智能技术生成

1. 跨域认证的问题

一般流程

  1. 用户向服务器发送用户名和密码。
  2. 服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。
  3. 服务器向用户返回一个 session_id,写入用户的 Cookie。
  4. 用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。
  5. 服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。

问题:扩展性(scaling)不好。单机没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session(例如,A 网站和 B 网站是同一家公司的关联服务。现在要求,用户只要在其中一个网站登录,再访问另一个网站就会自动登录,请问怎么实现?)

解决方案1:session 数据持久化,写入数据库或别的持久层。各种服务收到请求后,都向持久层请求数据。这种方案的优点是架构清晰,缺点是工程量比较大。另外,持久层万一挂了,就会单点失败

解决方案2:服务器不保存 session 数据,所有数据都保存在客户端,每次请求都发回服务器,也就是 Token

2. Token 工作流程

  1. 登陆时,客户端发送用户名密码
  2. 服务端验证用户名密码是否正确,校验通过就会生成一个有时效的 token,发送给客户端
  3. 客户端储存 token,一般都会存储在 localStorage 或者 cookie 里面
  4. 客户端每次请求时都带有 token,可以将其放在请求头里,每次请求都携带 token
  5. 服务端验证 token,所有需要校验身份的接口都会被校验 token,若 token 解析后的数据包含用户身份信息,则身份验证通过,返回数据

客户端获取到 token 后,可以存储在 Cookie,也可以存储在 localStorage

此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息 Authorization 字段里面。

Authorization: Bearer <token>

另一种做法是,跨域的时候,JWT 就放在 POST 请求的数据体里面。

3. JsonWebToken(JWT)

官方手册

3.1 JWT 生成的 Token 格式
eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.
eyJkYXRhIjoiNWM5Yzk2NGUyMjE3YzIzM2I1ZjQ0YWVmIiwiZXhwIjoxNTU1MTM1OTc3LCJpYXQiOjE1NTQ4NzY3Nzd9.
osPAb7eywjEAs4qfRobC5fstM5eHAxgTYGV7Q0W8YOt8dxv2VP2S8Y7q3eW66AViDHRrFgFIlRunighlrmC9XtUTnotXCTuWEg288Bx_RjP_pAuj0eQiiWEeFvYeUZX8OR51x2JB1AUGXbLv5853HFYdiluoJIe8ADGneYRaLIfCegTSoq7RtDumfn8U11e8WBIhDjYobGFaFqNBzYaW0fA52oQglJjq5vr8RoVcVgA9LufE4CEA5yB24b0xln9Wf6ul7ZKSQDciNKDJr_QKKj5isFGZU3NMM7u3DEG7EeAtIhUzLbQJ1hSUNymc7WwqF7L1QjaiDkOlGlbVg

生成的 Token 是一个很长的字符串,由 . 分割为三段(此处为了方便展示分段展示,实际是一行的)

在这里插入图片描述

这三段字符串其实原本都是 JSON 对象,然后通过 Base64URL 算法生成的,接下来来简单介绍这三段的含义

3.1.1 Header(头部)

存储 JWT 的元数据,与生成 Token API jwt.sign(payload, secretOrPrivateKey, [options, callback])中的 options 对应

3.1.2 Payload(负载数据)

存放需要实际传递的数据,官方定义了7个官方字段

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):受众
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):编号

此外,可以定义一些自定义的字段,方便存储数据

3.1.3 Signature(签名)

是对前两部分的签名,防止数据篡改

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

HTTP 中的公钥密钥知识

参考文章:JSON Web Token 入门教程
基于jsonwebtoken(JWT) 的web认证 (Node版实现)
nodejs 基于token的身份验证

zwkkkk1
关注
专栏目录
详解JSON Web Token 入门教程
10-18
主要介绍了详解JSON Web Token 入门教程,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
JSON Web Token (JWT)介绍
sunny_98_98的博客
04-13 422
什么是 JSON Web Token? JSON Web Token (JWT)是一种开放标准(RFC 7519),它定义了一种紧凑和自包含的方式,用于作为JSON对象在各方之间安全地传输信息。这个信息可以被验证和信任,因为它是数字签名的。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 尽管JWT可以被加密以在各方之间提供保密,但我们将重点关注已签名的令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌则向其他方隐藏这些声明。当令牌使用公钥/私钥对签名时,签名
JSON Web Token (JWT): 理解与应用
yuanchun的知识整理
08-16 1241
JSON Web Token (JWT)
Json Web Token介绍与基本使用
Jitwxs
05-03 8518
一、Session与JWT 1.1 传统Cookie+Session Cookie+Session的存在主要是为了解决HTTP这一无状态协议下服务器如何识别用户的问题。 其原理就是在用户登录通过验证后,服务端将数据加密后保存到客户端浏览器的Cookie中,同时服务器保留相对应的Session。用户之后发起的请求都会携带Cookie信息,服务端需要根据Cookie寻回对应的Session,...
Json Web Token
zhoukun@Fly
07-29 1932
Json Web token简介 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519),该token被设计为紧凑且安全的,JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT
JsonWebToken简介
jl1850957991的博客
10-11 263
http://www.cnblogs.com/xiekeli/p/5607107.html
JSON Web Token (前端与后端对话密钥生成文件)
06-28
token 生成文件,用于前后端数据传输时发送的密钥(暗语)。 直接解压后引用该文件即可 -- 后端在收到第一次请求的时候调用 私有的(p开头的) -- 前端发来密钥的时候调用 公用的进行判断是否正确 你也可以自己...
JWT(json web token)包
01-22
JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上...
JWT(JSON Web Token):JWT简介与原理.docx
最新发布
08-28
JWT(JSON Web Token):JWT简介与原理.docx
JWT-JSON Web Token實作分享1
08-08
JSON Web Token 实现分享 JSON Web Token(JWT)是一种基于 token身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端...
JWT(JsonWebToken)+SpringMVC项目demo
09-21
JSON Web Token(JWT)是一个非常轻巧的规范。现在免费给大家分享一个JWT(JsonWebToken)+SpringMVC项目的demo!
QJsonWebTokenJSON Web令牌(JWT)的Qt C ++实现
02-05
QJsonWebTokenJSON Web令牌(JWT)的Qt C ++实现
fs-typescript-jwt-typeorm-jest:使用jsonwebtoken身份验证,typeorm(sqlite)和Jest对前端+ Typescript后端进行React以进行单元测试
03-11
fs-typescript-jwt-typeorm-jest 使用jsonwebtoken身份验证,typeorm(sqlite)和jest对前端+ Typescript后端进行React以进行单元测试。
JSON Web Token
m0_54355172的博客
11-28 7468
JWT
JSON Web Tokens(JWT)
小卡拉米的博客
12-10 1145
JWT 即:JSON Web Token,定义了一种紧凑的、自包含的方式,用于在网络应用环境间以 JSON 对象安全地传输信息。JWT 是一个开放的行业标准 RFC 7519。JWT 传输的信息可以被验证和信任,因为它经过了数字签名。JWT 一般被用来在身份提供者和服务提供者间传递被认证用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。JWT 常用于代替 Session,用于识别用户身份
Json web token
sungancd的博客
05-18 331
Json web token: 概念: JWT是json web token缩写。可以使⽤在RESTFUL接⼝定义,也可以使⽤在普通的web。它将⽤户信息加密到token⾥,服务器不保存任何⽤户信息。服务器通过使⽤保存的密钥验证token的正确性,只要正确即通过验证。 组成: JWT包含三个部分: Header头部,Payload负载和Signature签名。由三部分⽣成token,三部分之间⽤“.”号做分割。 列如 : eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ
JWT详解-(JSON Web Token教程)
dingjing6775的博客
09-05 385
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理和用法。 一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Co...
json web token
05-16
JSON Web Token (JWT) 是一种用于在网络上安全地传输信息的开放标准。它是一种基于 JSON 格式的轻量级身份验证和授权机制,通常用于在客户端和服务器之间传递身份信息。JWT 包含了一些被称为声明的信息,这些声明可以用于验证身份和授权访问特定资源。JWT 通常包含三个部分:头部、载荷和签名。头部包含了令牌的元数据,载荷包含用户身份信息,签名则用于验证令牌的真实性。JWT 通常与 OAuth2 和 OpenID Connect 等身份认证和授权协议一起使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值