JWT原理分析——JWT

news2024/12/28 5:59:17

了解为什么会有JWT的出现?

首先不得不提到一个知识叫做跨域身份验证,JWT的出现就是为了更好的解决这个问题,但是在没有JWT的时候,我们一般怎么做呢?一般使用Cookie和Session,流程大体如下所示:

  1. 用户向服务端发送用户名和密码进行验证
  2. 服务端验证之后,相关数据(如用户角色、登录时间等信息)会保存在当前的Session中
  3. 服务端向用户返回一个唯一的session_id,同时在响应请求中设置cookie,属性名为jessionid
  4. 客户端收到之后会保存jessionid,再次请求的时候,会在header中设置,服务端可以从请求头中获取
  5. 服务端验证获取到的sessionid是否存在,即可验证是否是同一用户

使用Cookie和Session这种模式最大的问题之一就是它不支持横向扩展,也就是不支持分布式架构,如果当前只有一台服务器,那就没什么问题,但是在当下的时代,一台服务器往往是不够的,现在绝大多数都是服务器集群。如果是服务器集群,那么在负载均衡的时候就不能保证每次都发送到同一台服务器上,这样的话也就不能验证用户的身份了,但是这对用户是不友好的,用户是感知不到自己的请求发送到了别的服务器上的。

所以这个时候就提出来了让session落库,当一个请求发过来之后,验证服务从数据库去验证用户身份,这样就能让各个服务器正确的验证用户身份信息,但是这样做,依赖性太强,如果这个session数据库挂了,那么整个认证系统都会崩溃。

JWT的面世

因为Cookie和Session的局限性,所以有人提出只让客户端存储数据,服务端不保存任何会话数据,每个请求都被发送回服务器,JWT出现了。

WT官网的一张图,描述的是JWT的认证过程,可以先看看这张图,有个印象:

JWT的概念: 

JWT是Json Web Token的缩写,它将用户信息加密到Token中,服务器不保存任何的用户信息。服务器通过使用保存的密钥验证Token的正确性,只要正确就通过验证。

上面可能很难理解,把它日常化一下就是在没有网络的年代,部门A要申请部门B的某个机器使用权,部门A肯定要先老大打报告,写申请,最后老大签字同意,部门A再拿着这个带有老大签字的这个申请报告去找部门B,部门B才能同意部门A使用,这就是JWT的流程。

JWT的数据结构

JWT总共包含了三个部分:Header头部、Payload负载、Signature签名。这三部分共同生成Token,三部分之间用“.”做分割

JWT 头部

JWT的头部是一个描述JWT元数据的JSON对象,如下所示:

{
  "alg": "HS256",
  "typ": "JWT"
}

其中的alg:表示的是签名使用的算法,默认为HMAC SHA256(写为HS256),typ:表示的是令牌的类型,JWT的令牌统一写为JWT。

这样的一个Json数据,还需要使用Base64 URL算法将其转为字符串保存。

JWT 负载

负载部分就是JWT的主体内容,同样的也是一个Json对象,它包含了需要传递的数据,但是不能传递敏感数据,因为这部分数据别人也是可以拿到并且解密的。

JWT指定有七个默认字段供选择:

  1. iss:发行人
  2. exp:到期时间
  3. sub:主题
  4. aud:用户
  5. nbf:在此之前不可用
  6. iat:发布时间
  7. jti:JWT ID 用于标识该 JWT

除了默认字段外,我们还可以自定义字段,如下所示:

同样,这部分数据依然是使用Base 64 URL算法转换为字符串加密。

JWT 签名

签名部分是对上面两部分的数据签名,通过指定的算法(在JWT头部指定的算法)生成哈希来确保数据不会被篡改。

一般流程如下:

  1. 在服务器中保存了一个密码(secret),这个密码仅仅保存在服务器中,不对用户开放。
  2. 使用JWT头部指定的签名算法以及服务器中保存的密码(secret)来生成对应的签名
  3. 在计算出签名之后,JWT头、负载、签名,三部分组成一个字符串,每个部分以“.”进行分割,构成JWT对象

JWT的认证流程

  1. 客户端发送信息给服务端,让其进行验证
  2. 服务端验证成功后,返回给客户端一个JWT
  3. 客户端将JWT保存在Cookie或放入HTTP请求的Header Authorization字段中(推荐放在这)
  4. 此后客户端请求的时候都带着JWT去请求服务端,服务端对JWT再进行验证。

 

JWT的缺陷

  1. JWT最大的缺陷就是服务器不会保存会话状态,所以使用期间不能取消令牌或者更改令牌的权限,一旦JWT签发,在有效期内将会一直有效。
  2. 由于JWT不加密,所以JWT不能用来传递敏感数据
  3. 它有着更大的空间占用
  4. 很难应对过期的数据,由于无法废除掉已经颁布的令牌,在令牌过期之前,只能忍受过期的数据

总结

  • 在Web应用中,不能把JWT当作Session使用,绝大多数情况下,传统的cookie-session机制工作得更好
  • JWT适合一次性的命令认证,颁发一个有效期极短的JWT,即使暴露了危险也很小,由于每次操作都会生成新的JWT,因此也没必要保存JWT,真正实现无状态。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1181286.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

DVWA - 1

文章目录 Brute Forcelowhigh Command Injectionlowmediumhigh CSRFlowmediumhigh Brute Force low 1.进入到Brute Force页面,随机输入一个用户名及密码,点击登录。使用 BurpSuite查看拦截历史,找到该登录请求,右键send to intr…

第二章:人工智能深度学习教程-深度学习简介

深度学习是基于人工神经网络的机器学习的一个分支。它能够学习数据中的复杂模式和关系。在深度学习中,我们不需要显式地对所有内容进行编程。近年来,由于处理能力的进步和大型数据集的可用性,它变得越来越流行。因为它基于人工神经网络&#…

pytorch_神经网络构建5

文章目录 生成对抗网络自动编码器变分自动编码器重参数GANS自动编码器变分自动编码器gans网络Least Squares GANDeep Convolutional GANs 生成对抗网络 这起源于一种思想,假如有一个生成器,从原始图片那里学习东西,一个判别器来判别图片是真实的还是生成的, 假如生成的东西能以…

竞赛选题 深度学习手势识别算法实现 - opencv python

文章目录 1 前言2 项目背景3 任务描述4 环境搭配5 项目实现5.1 准备数据5.2 构建网络5.3 开始训练5.4 模型评估 6 识别效果7 最后 1 前言 🔥 优质竞赛项目系列,今天要分享的是 🚩 深度学习手势识别算法实现 - opencv python 该项目较为新颖…

【Spring】bean的自动装配

目录 一.byName 二.byType 快捷书写 people1 package org.example;public class People1 {public void eat(){System.out.println("吃饭");} }people2 package org.example;public class People2 {public void sleep(){System.out.println("睡觉");} …

校园安防监控系统升级改造方案:如何实现设备利旧上云与AI视频识别感知?

一、背景与需求分析 随着现代安防监控科技的兴起和在各行各业的广泛应用,监控摄像头成为众所周知的产品,也为人类的工作生活提供了很大的便利。由于科技的发达,监控摄像头的升级换代也日益频繁。每年都有不计其数的摄像头被拆掉闲置&#xf…

第十八章:Swing自述

18.1 Swing概述 18.2:Swing常用窗体 18.2.1:JFrame窗体 package eightth;import java.awt.*; //导入AWT包 import javax.swing.*; //导入Swing包public class JFreamTest {public static void main(String args[]) { // 主方法JFrame jf new JFrame()…

问题 N: A strange lift(BFS)

代码如下&#xff1a; #include<queue> #include<iostream> using namespace std; int main() {int num1;while (scanf("%d", &num) && num){queue<int> disp;int fir 0, end 0;int arr[209] { 0 };int visit[209] { 0 };int fl…

k8s configMap挂载(项目配置文件放到configMap中,不同环境不同配置)

背景说明 项目对接配置文件加密&#xff0c;比如数据库密码、redis密码等。但是密文只能放到指定的配置文件中(important.properties)&#xff0c;该配置文件又不能接收环境变量&#xff0c;所以就很难区分不同环境的不同配置&#xff08;不同环境的数据库密码、redis密码一般…

世微 DC-DC降压恒注驱动芯片 LED汽车大灯 过EMC认证 AP2400

产品特点 宽输入电压范围&#xff1a;5V&#xff5e;100V 可设定电流范围&#xff1a;10mA&#xff5e;6000mA 固定工作频率&#xff1a;150KHZ 内置抖频电路&#xff0c;降低对其他设备的 EMI 干扰 平均电流模式采样&#xff0c;恒流精度更高 0-100%占空比控制&#…

【C++】多态 ⑬ ( 多继承中应用 “ 抽象类 “ | 接口和抽象类 | C++ 语言中接口实现 | 只定义 纯虚函数 的 抽象类作接口 | )

文章目录 一、多继承中应用 " 抽象类 "1、接口和抽象类2、编程语言对接口和多继承的支持3、C 语言中接口实现 二、代码示例 - 多继承中应用 " 抽象类 " 一、多继承中应用 " 抽象类 " 1、接口和抽象类 接口 Interface 和 抽象类 AbstractClass 都…

计算器中处于不同进制时

计算器中处于不同进制时 p10x20, p00x31它俩的位置关系如下,求p1p0的值 计算器软件中, 当光标在不同的进制时,选择左移或右移,得到的结果是不一样的 因为当你处于不同的进制时&#xff0c;你移动的数字 对应的进制数就是你目前所处的进制。 就是说你在计算器中算&#xff0c;…

人大女王大学金融硕士项目:培养引领金融行业未来的的新力量

在全球化的今天&#xff0c;金融行业的发展日新月异&#xff0c;对于专业人才的需求也日益增长。在这个背景下&#xff0c;人大女王大学金融硕士项目应运而生&#xff0c;旨在培养具有全球视野、创新思维和实践能力的金融精英&#xff0c;为金融行业的未来发展注入新的活力。 …

想要搭建网站帮助中心,看这一篇指南就对了!

在现今互联网时代&#xff0c;除了让用户了解产品的功能和一些操作&#xff0c;很多企业都需要在网上进行信息的发布和产品销售等业务活动。而这就需要一个帮助中心&#xff0c;在用户遇到问题或者需要了解更多信息的时候&#xff0c;能够快速地解答他们的疑惑和提供响应的帮助…

安防监控系统EasyCVR平台设备通道绑定AI算法的功能设计与开发实现

安防视频监控/视频集中存储/云存储/磁盘阵列EasyCVR平台可拓展性强、视频能力灵活、部署轻快&#xff0c;可支持的主流标准协议有国标GB28181、RTSP/Onvif、RTMP等&#xff0c;以及支持厂家私有协议与SDK接入&#xff0c;包括海康Ehome、海大宇等设备的SDK等。平台可拓展性强、…

这些面试必备的IC项目资源,你收藏了吗?(可领取)

众所周知&#xff0c;IC行业的技术和经验是敲门砖&#xff0c;也是试金石。其中&#xff0c;IC实战项目就是关键一环。 如果你是出于个人自我学习的需要。 学习完理论基础知识还有很多地方都是一知半解的&#xff0c;接受了大量的信息输入&#xff0c;一定要有输出。所以个人…

soildwork2022怎么样添加螺纹孔?

1.退出草图模式&#xff0c;点击需要添加螺纹孔的物体面&#xff0c;选中“特征”中的“异形孔向导” 2.选中“孔类型”为“直螺纹孔”&#xff0c;“标准”&#xff0c;“类型”&#xff0c;“孔规格”终止条件等。 3.设置完之后选择“位置” 4.鼠标左键在物体面上点一下&…

谭巍主任科普:单纯HPV感染,无宫颈病变,在该时间段可自行清除

在医学上&#xff0c;HPV病毒是人类乳头瘤病毒的缩写&#xff0c;它有100多个亚型&#xff0c;分为高危型和低危型。HPV病毒感染是宫颈癌、肛门癌、外阴癌、喉癌、食道癌和肺癌等多种癌症的主要诱因。而劲松HPV防治诊疗中心主任谭巍则指出其中高危型HPV病毒持续感染是宫颈癌的主…

Kepp-alive的实际运用场景(1)

kepp-alive简单介绍&#xff1a;将组件缓存&#xff0c;不更新数据&#xff0c;被kepp-alive包裹的路由的组件的钩子函数不会生效。 运用场景&#xff1a; 假设我们有这样的一个功能需要实现&#xff0c;我们从主页进入到订单列表页&#xff0c;在从订单列表页进入到订单详情页…

在接口测试中怎么处理开发是否提供接口文档的总结

最近做了好几个项目的接口自动化&#xff0c;接口测试很重要的参考依据就是接口文档&#xff0c;在自动化实施过程中碰到的接口文档也是千差万别&#xff0c;有的项目没有接口文档&#xff0c;有的项目有接口文档&#xff0c;有接口文档的项目&#xff0c;有的很完善&#xff0…