谈谈JWT

JSON Web Token (JWT) 是一种开放标准 (RFC 7519),用于安全地在双方之间传递信息。JWT作为自包含的令牌,可以在HTTP header中通过Bearer模式发送。JWT常用于身份验证,特别适用于单点登录(SSO)场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

介绍

JWT:JSON Web Token 是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。

特点

  • 简洁: 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快
  • 自包含(Self-contained): 负载中包含了所有用户所需要的信息,避免了多次查询数据库

应用场景

  • 身份认证
在这种场景下,一旦用户完成了登陆,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,所有目前在单点登录(SSO)中比较广泛的使用了该技术。
  • 信息交换
在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的。

结构

JWT包含了使用 . 分隔的三部分:

  • Header 头部

  • Payload 负载

  • Signature 签名

大致内容格式:xxxxx.yyyyy.zzzzz

在header中通常包含了两部分:token类型和采用的加密算法。

{
  "alg": "HS256",
  "typ": "JWT"
}  
Payload

Token的第二部分是负载,它包含了claim, Claim是一些实体(通常指的用户)的状态和额外的元数据,有三种类型的claim: reserved , public 和 private .

  • Reserved claims: 这些claim是JWT预先定义的,在JWT中并不会强制使用它们,而是推荐使用,常用的有 iss(签发者) , exp(过期时间戳) , sub(面向的用户) , aud(接收方) , iat(签发时间) 。

  • Public claims:根据需要定义自己的字段,注意应该避免冲突

  • Private claims:这些是自定义的字段,可以用来在双方之间交换信息

负载例子如下:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

Signature

创建签名需要使用编码后的header和payload以及一个秘钥,使用header中指定签名算法进行签名。例如如果希望使用HMAC SHA256算法,那么签名应该使用下列方式创建:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)  

完整的JWT

JWT格式的输出是以 . 分隔的三段Base64编码,与SAML等基于XML的标准相比,JWT在HTTP和HTML环境中更容易传递。

如何使用JWT

在身份鉴定的实现中,传统方法是在服务端存储一个session,给客户端返回一个cookie,而使用JWT之后,当用户使用它的认证信息登陆系统之后,会返回给用户一个JWT,用户只需要本地保存该token(通常使用local storage,也可以使用cookie)即可。

当用户希望访问一个受保护的路由或者资源的时候,通常应该在 Authorization 头部使用 Bearer 模式添加JWT,其内容看起来是下面这样:

Authorization: Bearer <token>

因为用户的状态在服务端的内存中是不存储的,所以这是一种 无状态 的认证机制。服务端的保护路由将会检查请求头 Authorization 中的JWT信息,如果合法,则允许用户的行为。由于JWT是自包含的,因此减少了需要查询数据库的需要。

JWT的这些特性使得我们可以完全依赖其无状态的特性提供数据API服务,甚至是创建一个下载流服务。因为JWT并不使用Cookie的,所以你可以使用任何域名提供你的API服务而不需要担心跨域资源共享问题(CORS)。

本博客 内容摘抄自此博客JWT介绍

关于JWT一篇不错的基本介绍博客

### RESTful API 概念及 Python 实现方式 RESTful API 是一种基于 HTTP 协议的架构风格,用于设计网络应用程序接口。它通过定义一组规则和约束条件,使得客户端与服务器之间的交互更加标准化和高效[^1]。REST(Representational State Transfer)的核心思想是围绕资源进行操作,使用标准的 HTTP 方法(如 GET、POST、PUT 和 DELETE)来执行 CRUD(创建、读取、更新、删除)操作。 在 Python 中实现 RESTful API 的过程中,Flask 是一个非常流行的轻量级框架,因其简单易用且扩展性强而受到开发者的青睐[^2]。以下是一个基本的实现示例: ```python from flask import Flask, jsonify, request app = Flask(__name__) # 示例数据 students = [ {"id": 1, "name": "Alice", "grade": "A"}, {"id": 2, "name": "Bob", "grade": "B"} ] # 获取所有学生信息 @app.route('/students', methods=['GET']) def get_students(): return jsonify(students) # 根据ID获取单个学生信息 @app.route('/students/<int:student_id>', methods=['GET']) def get_student(student_id): student = next((s for s in students if s["id"] == student_id), None) if student: return jsonify(student) else: return jsonify({"error": "Student not found"}), 404 # 添加新学生 @app.route('/students', methods=['POST']) def add_student(): new_student = request.get_json() students.append(new_student) return jsonify(new_student), 201 # 更新学生信息 @app.route('/students/<int:student_id>', methods=['PUT']) def update_student(student_id): update_data = request.get_json() for student in students: if student["id"] == student_id: student.update(update_data) return jsonify(student) return jsonify({"error": "Student not found"}), 404 # 删除学生 @app.route('/students/<int:student_id>', methods=['DELETE']) def delete_student(student_id): global students students = [s for s in students if s["id"] != student_id] return jsonify({"message": "Student deleted"}) if __name__ == '__main__': app.run(debug=True) ``` 上述代码展示了如何使用 Flask 构建一个简单的 RESTful API,支持对 `students` 数据的基本 CRUD 操作[^3]。对于更复杂的场景,例如用户认证或权限管理,可以结合额外的库(如 Flask-JWT 或 OAuth2)来增强功能[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值