JWT token

最新推荐文章于 2024-11-06 09:54:50 发布
最新推荐文章于 2024-11-06 09:54:50 发布
阅读量388 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 前后端分离
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_31978495/article/details/80077930
本文探讨了JWT(JSON Web Token)在前后端分离项目中的应用,详细介绍了JWT的组成部分,包括头部、有效载荷及签名,并给出了具体的实现代码。此外还讨论了JWT的安全问题及其解决策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近一直在做前后端分离项目,开始想研究如何从实现remember me问题,可以使用JWT token。我的想法是把用户的id或者用户名(最好不要加上password)保存在token令牌中,每次提交时携带上token令牌后台验证是否失效,没有失效的话可以继续后面的操作。失效的话返回登录界面重新登录。

JWT token的组成

头部(Header),格式如下: 

“typ”: “JWT”, 
“alg”: “HS256” 

由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符串:

eyJhbGciOiJIUzI1NiJ9
  • 1

有效载荷(Playload): 

“iss”: “Online JWT Builder”, 
“iat”: 1416797419, 
“exp”: 1448333419, 
……. 
“userid”:10001 

有效载荷中存放了token的签发者(iss)、签发时间(iat)、过期时间(exp)等以及一些我们需要写进token中的信息。有效载荷也使用Base64编码得到如下格式的字符串:

eyJ1c2VyaWQiOjB9
  • 1

签名(Signature): 

将Header和Playload拼接生成一个字符串str=“eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyaWQiOjB9”,使用HS256算法和我们提供的密钥(secret,服务器自己提供的一个字符串)对str进行加密生成最终的JWT,即我们需要的令牌(token),形如:str.”签名字符串”。

下面代码是网上粘下来的,因为自己的代码不在这台电脑上>.<.

private static Logger log = LoggerFactory.getLogger(JavaWebToken.class); //该方法使用HS256算法和Secret:bankgl生成signKey private static Key getKeyInstance() { //We will sign our JavaWebToken with our ApiKey secret SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary("bankgl"); Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName()); return signingKey; } //使用HS256签名算法和生成的signingKey最终的Token,claims中是有效载荷 public static String createJavaWebToken(Map<String, Object> claims) { return Jwts.builder().setClaims(claims).signWith(SignatureAlgorithm.HS256, getKeyInstance()).compact(); } //解析Token,同时也能验证Token,当验证失败返回null public static Map<String, Object> parserJavaWebToken(String jwt) { try { Map<String, Object> jwtClaims = Jwts.parser().setSigningKey(getKeyInstance()).parseClaimsJws(jwt).getBody(); return jwtClaims; } catch (Exception e) { log.error("json web token verify failed"); return null; }

后来我想到了安全问题,如果某个人拿到了我的token不就可以登陆我的账号了吗。

我的几种解决方案:

    1.可以将ip保存在token令牌中,验证ip是否一致,不一致就重新输入。

    2.把token的时效设置的短一点,经常更换(这招可以用来防止爬虫)。

每次都需要获取token,所以最好在filter中判断一下,就不必在每个controller中在获取判断了。

这种思想也可以用来作防止表单重复提交。

解决使用jwt刷新token带来的问题
一万年太久 - 只争朝夕
06-15 3万+
前后端分离,使用token的方式校验用户信息,我选择了jwt,使用的教程在网上可以找到很多,不做介绍。 这里说明一个使用过程中,最重要的的一个环节刷新token带来的问题。 业务要达到的目标: 用户登录一次之后,前端保存token,后面每次向后端请求的时候,header都带上authorization信息,后端从请求中解析token,根据token验证用户信息,返回相应的信息。 相信大部分...
JWTToken超时刷新策略
向南
09-18 3万+
背景:项目使用的shiro+jwt来做整套权限加请求安全验证,但是jwttoken自己没有超时刷新机制,所以这里简单贴出解决方案。解决方案使用Cache做缓存(使用redis也可以,效果相同)。 /** * JWTToken刷新生命周期 * 1、登录成功后将用户的JWT生成Token作为k、v存储到cache缓存里面(这时候k、v值一样) * 2、当该用...
jwt token长度限制_(建议收藏) | Spring Boot集成JSON Web TokenJWT
weixin_39807896的博客
11-21 1万+
一:认证在了解JWT之前先来回顾一下传统session认证和基于token认证。1.1 传统session认证http协议是一种无状态协议,即浏览器发送请求到服务器,服务器是不知道这个请求是哪个用户发来的。为了让服务器知道请求是哪个用户发来的,需要让用户提供用户名和密码来进行认证。当浏览器第一次访问服务器(假设是登录接口),服务器验证用户名和密码之后,服务器会生成一个sessionid(只有第一次...
JWT实现Token认证(token续命)
男人要霸气的博客
12-13 3217
1.什么是jwt 双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快 自包含(Self-contained):负载中包含了所有用户所需要的信息,避免...
JWTtoken的区别及优缺点
一诺
03-05 1万+
我们首先应该知道的是什么是单点登录,单点登录是如何实现的,使用了什么技术,技术的选型、优缺点,应用和实现的步骤过程中的难点有哪些怎么解决的等。 技术的话:tokenJWT的区别、JWT和redis的区别应用、是否使用到了消息中间件有的话kafka和其他MQ的比较、实现过程中的相关协议等。从其中总结对这些问题点进行总结。
jwttoken认证)
Seveny07的博客
11-06 2300
在介绍JWT之前,先回顾一下利用token进行用户身份验证的流程:1.客户端使用用户名和密码请求登录2.服务端收到请求,验证用户名和密码3.验证成功后,服务端会签发一个token,再把这个token返回给客户端4.客户端收到token后可以把它存储起来,比如放到cookie中5.客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带6.服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据。
JWTtoken机制与双token详解
qq_41634455的博客
01-13 1万+
token机制 何为tokentoken即为令牌,是服务器生成的一串字符串,作为客户端向服务器进行请求的“通行证”。在客户端进行初次登陆后由服务器返回,之后的每次请求只需要携带token进行请求即可,而无需携带密码等敏感信息 为何token token可以减少敏感信息在网络间的传递 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用 JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息 便于传输,jwt的构成非常简单
JWT Token生成及验证
07-16
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛应用...
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
ASP.NET Core 3.1 JWT token实现与应用
04-25
**ASP.NET Core 3.1 JWT Token实现与应用** ASP.NET Core 3.1 是一个高性能、跨平台的开源框架,用于构建现代化的云就绪应用程序。JWT(JSON Web Token)是安全领域广泛采用的一种轻量级身份验证机制,常用于实现...
JWT token过期自动续期解决方案
chen子健
08-29 5万+
JWT JWT全称JSON Web Token,由三部分组成header(头部,用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等)、payload(载荷,就是存放有效信息的地方,在这一部分中存放过期时间)和signature(签证,签证信息)。 token token就是后端生成JWT字符串值,在前后端分离中,token是前端访问后端接口的合法身份、权限的凭证。 token过期...
JWT——Token认证的两种实现和安全详解
热门推荐
二缺和傻宝宝的博客
06-26 8万+
前言: 最近因为项目中需要解决跨域取值的问题,所有考虑到用Token认证做技术支撑点,自己看了许多与之相关的文章,从中总结出了以下两个要点(签名和token时间)。在说这两个要点之前先大概简单说一下与之有关的一些问题。 首先,如果你对token认证的知识一点都不了解,那么我觉得这篇文章还不太适合你,因为我在这里不会在把相关的基础知识再说明一遍,因为网上有很多相关的文章,讲的都比较好,我会在文章
JWT续期与登出思考
生如夏花的博客
07-05 2万+
这两天看了很多相关的知识,梳理一下,记录一些思考。1.tokenjwt的区别    (1)简单的说,token只是一个标识,以token加redis为例,服务端将token保存在redis中,客服端访问时带上token,如果在redis中能够查到这个token,说明身份有效。    (2)jwt不需要查库,本身已经包含了用户的相关信息,可以直接通过服务端解析出相关的信息,与session,tok...
rest_framework中利用jwt登录验证时,自定义返回凭证和登录校验支持手机号
隔壁老姚的博客
08-25 4023
安装 pip install djangorestframework-jwt 在Django.settings中配置 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', # 添加...
自定义登录验证后端,实现账号和手机号都登录
hello_sixsixsix的博客
07-01 2758
# coding=utf-8from django.contrib.auth.backends import ModelBackendimport refrom users.models import Userdef jwt_response_payload_handler(token, user=None, request=None):    """    自定义jwt认证成功返回数据    "...
“长令牌三验证”的JWT令牌续签策略(兼顾安全、性能的综合性方案)
ckw1988的专栏
05-31 6541
“长令牌三验证”的JWT续签、管理策略 前言:最近研究JWT的续签机制,发现虽然JWT已经在业界广泛应用,但续签机制的探讨还是处于一种百家争鸣的状态(有些策略甚至能看出连JWT的基本规范都没学扎实)。所以不才在吸收了一圈网上各位达人分享的策略后加上一些个人的思考,提出一套名叫“长令牌三验证”的解决策略,自信比较周全,拿出来与大家探讨,希望能为互联网开发生态的完善做出一点自己微薄的贡献。 令牌使用策略概述 顾名思义,本机制下所使用的令牌分为长两种:长令牌即过期时间较长的refresh_token,专
jwttoken
最新发布
03-19
### JWT Token 的基本概念 JSON Web Token (JWT) 是一种开放标准 (RFC 7519),用于在网络应用环境间安全地传输信息。它是一种紧凑、可自包含的方式,能够传递声明(Claims),这些声明通常被用来在各方之间交换认证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值