Web身份认证 --- JWT Token

已于 2025-03-15 19:07:33 修改
阅读量1.4k 收藏 27
点赞数 28
分类专栏: # Web后端开发 文章标签: 前端
于 2024-12-16 16:20:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_38803409/article/details/144200595
版权

Web 身份认证 --- JWT Token

什么是JWT

  • JWT,全称为JSON Web Token,是一种开放标准(RFC 7519),用于在网络应用环境间安全地传输信息。
  • 它本质上是一个经过数字签名的JSON对象,能够携带并传递状态信息(如用户身份验证、授权等)
  • JWT由 Header + Payload + Signature三部分组成, 并经过Base64Url编码之后使用 (注意编码不是加密)
  • 注意在token机制中不一定非要使用JWT,任何包含认证信息的token都可以,只不过目前唯一流行的是JWT
    在这里插入图片描述

Header

  • JWT 的头部通常由两部分组成,分别是令牌类型(typ)和加密算法(alg)。一般情况下,头部会采用 Base64 编码。
{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

  • JWT 的载荷也称为声明信息,包含了一些有关实体(通常是用户)的信息以及其他元数据。通常包括以下几种声明:
  • Registered Claims:这些声明是预定义的,包括 iss(发行者)、sub(主题)、aud(受众)、exp(过期时间)、nbf(生效时间)、iat(发布时间)和 jti(JWT ID)等。
  • Public Claims:这些声明可以自定义,但需要注意避免与注册声明的名称冲突。
  • Private Claims:这些声明是保留给特定的应用程序使用的,不会与其他应用程序冲突。
  • 注意:Payload中一定不要存放敏感或重要信息,如密码等
{
  "sub": "666666",
  "name": "warriors",
  "admin": true
}

Signature

  • JWT 的签名是由头部、载荷和密钥共同生成的。它用于验证 JWT 的真实性和完整性。一般情况下,签名也会采用 Base64 编码。
    例如,如果要使用 HMAC SHA256 算法,将按以下方式创建签名:
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

JWT完整流程

  • 假设你现在有一个应用,需要用户登录后获取访问权限。

用户登录

  • 用户在登录页面输入用户名和密码,点击登录。服务器接收到登录请求并验证用户的凭证。

生成JWT

  • 如果用户的凭证(账号密码)正确,服务器将生成一个JWT。假如服务器将生成的JWT为:
  • eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
  • 让我们详细分解这个JWT的生成过程,一共三个部分,每个部分被点号(.)截断

Header: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

  • base64url解码一下得到
{
	"alg": "HS256",
	"typ": "JWT"
}
  • 这个头部表示我们将使用HMAC SHA-256算法进行签名,并且这是一个JWT。

Payload: eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

  • base64url解码一下得到
{
	"sub": "1234567890",
	"name": "John Doe",
	"iat": 1516239022
}
  • 这个负载部分包含了一些声明,比如用户ID(sub)、用户名(name)和签发时间。

Signature: SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

  • 第三部分签名的生成是由第一部分和第二部分组成的
  • 我们使用密钥(secret)来生成签名。签名是使用以下方法生成的:
  • 将编码后的Header和Payload用点号(.)连接在一起:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
  • 使用HMAC SHA-256算法和密钥secret对上述字符串进行签名:
header_payload = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ"
secret = "secret"
signature = hmac.new(secret.encode(), header_payload.encode(), hashlib.sha256).digest()
signature_base64 = base64.urlsafe_b64encode(signature).rstrip(b'=').decode()
print(signature_base64)
  • 生成的第三部分签名是:SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
  • 最后,将编码后的Header、Payload和生成的Signature用点号(.)连接在一起,形成完整的JWT:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

返回JWT

  • 服务器将生成的JWT返回给客户端。客户端可以将JWT存储在本地存储(Local Storage)或Cookie中。

携带JWT进行请求

  • 在用户登录后的每次请求中,客户端会在请求头中携带JWT,例如:
  • Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

服务器验证JWT

  • 服务器接收到请求后,会验证JWT的签名是否正确。验证过程如下:
  • 从JWT中提取出header和payload部分。
  • 使用同样的签名密钥和header中的算法,重新生成签名。
  • 将重新生成的签名与JWT中的签名进行比较,如果相同,则验证通过。

响应请求

  • 如果JWT有效且未过期,服务器处理请求并返回响应。

JWT攻防

常见攻击方法

  • 暴力破解签名密钥:攻击者可以使用暴力破解的方法猜测JWT的签名密钥。如果签名密钥比较弱,这种攻击可能会成功。
  • 算法替换攻击:如果服务器在验证JWT时不严格检查头部的alg字段,攻击者可以将alg字段改为none,绕过签名验证。
  • 伪造Token:如果服务器使用对称加密算法(如HS256),并且密钥泄露,攻击者可以使用密钥伪造有效的JWT

防御措施

  • 使用强密钥:确保签名密钥足够强,难以被暴力破解。
  • 严格验证算法:在服务器端严格验证alg字段,拒绝none算法。
  • 使用非对称加密:使用非对称加密算法(如RS256),即使公钥泄露,攻击者也无法伪造JWT。
  • 定期更换密钥:定期更换签名密钥以增加安全性。
  • 设置适当的过期时间:设置合理的JWT过期时间,减少被盗用的风险。

JWT 如何退出登录

JWT一旦发出,不能撤回,所以在有效期内会一直有效,常见退出方法有三种

  • Simply remove the token from the client
  • Create a token blacklist
  • Just keep token expiry times short and rotate them often

JWT的续签

  • JWT在使用中一般遵循OAuth2.0的标准,OAuth2.0中的续签通常使用“双令牌(access_token, refresh_token) 续签”
  • 注意 access_token和refresh_token是OAuth2规范的内容,不是jwt规范的部分

访问令牌(Access Token)

  • 用途:访问令牌是一个短期的令牌,用于授权第三方应用访问受保护的资源。每次访问受保护的资源时,第三方应用需要在请求头中携带这个令牌。
  • 有效期:访问令牌通常有一个较短的有效期,可能是几分钟到几小时不等。这是为了减少令牌被盗用的风险。
  • 格式:访问令牌通常是一个字符串,可以是 JWT(JSON Web Token)格式,也可以是其它格式。

刷新令牌(Refresh Token)

  • 用途:刷新令牌用于获取新的访问令牌。当访问令牌过期时,客户端可以使用刷新令牌向授权服务器请求新的访问令牌,而不需要再次通过用户的授权。
  • 有效期:刷新令牌的有效期通常比访问令牌长得多,可以是几天、几周甚至更长时间。
  • 安全性:由于刷新令牌的有效期较长,应该妥善保护,避免泄露。一般来说,刷新令牌不应该在前端应用中存储,而应存储在服务器端

为什么需要两个token

首先确认一点: token使用的次数越多被窃取概率越大,过期时间越长也就越危险

  • 一个token的续签方法: 假设现在只有一个access token,因为使用次数很多(每次Api调用都会用到)并且token无法被设置为失效, 所以access token的过期时间需要被设置的很短,这样即使被token盗,损失也可以降到最低.
  • 方法一: token过期之后,用户重新输入账号密码拿到新的access token.
  • 缺点:因为access token过期时间很短,用户需要频繁输入账号密码,很影响使用.
  • 方法二:当服务器收到请求之后,计算token剩余有效时间,如果小于一个阈值,则颁发新access token.
  • 缺点:如果用户在阈值之内没有进行api调用,则还是需要重新输入账号和密码,影响使用
  • 缺点:如果access被盗用,则盗用者还是可以通过被盗用的access token进行续签,拿到新的token.

使用两个token续签:

  • OAuth2定义了资源服务器授权服务器,第一次认证向授权服务器提交用户名和密码获得两个token,然后访问资源服务器获取资源使用access_token
  • 当access_token有效期失效的时候,前端使用这个refresh_token请求授权服务器换取新的acceess_token来保证接口的正常请求, 这样可以做到用户无感知续签
  • 这样即使access token被盗用,access token的过期时间设置的很短,损失也可以降到最低.
  • 而refresh token使用次数少,保存在数据库中,被盗风险小
ASP.Net MVC Session身份校验
ryancao530的博客
01-08 491
ASP.Net MVC Session身份校验 Session的重要性 客户端每次向服务器发送请求,服务器都会生成该页面的实例。有时候,我们希望在不同的页面之间共享信息,比如用户登录状态等,于是,ASP.NET为我们提供了一个服务端的机制-Session。 需要注意,在ASP.NET中,Session只存在于action中,在controller构造函数中获取Session是行不通的。 Session如何工作 服务端的Session会保存每个客户端的信息到服务端内存中。 Session工作流程: 客户端向
ASP.NET MVC身份认证与授权
dust__的博客
05-21 2277
文章目录一、引言1.身份认证的含义2.身份认证与Session基于Session保存用户状态不足之处二、ASP.NET身份验证Forms验证FormsAuthentication类验证案例1.Forms验证案例2.使用User对象检查用户是否已验证3.修改根目录中Web.config配置文件4.用户注销四、身份授权Authorize特性实现授权Authorize特性注意Authorize实现高级授权案例 一、引言 1.身份认证的含义 例如:在现在浏览的某宝电商网站中会经常遇到的情况,想要将某件商品加入到购物
cookie、session、tokenJWT简介
最新发布
Ws_9901的博客
04-11 592
Cookie 是由服务器发送到用户浏览器并保存在本地的一小段文本信息。它通常包含有关用户的信息,如登录状态、浏览偏好等。
SpringSecurity+JWT 登出功能实现
LIPAH的博客
11-22 1125
使用token副本校验的方式实现SpringSecurity的登出逻辑
JWT的登出
一边工作一边考研
10-22 3451
场景: 用户在登录系统后,想要登出这个系统; JWT有一个过期时间, 但是token还没有失效,应该怎么实现JWT的登出呢? 使用zuul+redis的方案来实现 第三方应用向网关发送请求获取token 网关把请求发送给授权服务器 授权服务器把token发给zuul zuul把token发送给第三方应用,并且把token存放在redis中 第三方应用再次访问资源服务器,此次携带了token,...
Jwt登录退出
10000guo的博客
06-09 1668
【代码】Jwt登录退出
详解Go-JWT-RESTful身份认证教程
09-18
本文将详细介绍Go语言中JWT(JSON Web Tokens)的使用,以及如何用Go实现RESTful风格的身份认证。 首先,了解JWT的基本概念是非常重要的。JWT是一个开放标准(RFC 7519),它定义了一种简洁的、自包含的方式用于...
Web身份认证 --- Session和JWT Token
m0_74825135的博客
12-25 979
JWT,全称为JSON Web Token,是一种开放标准(RFC 7519),用于在网络应用环境间安全地传输信息。它本质上是一个经过数字签名的JSON对象,能够携带并传递状态信息(如用户身份验证、授权等)JWT由三部分组成, 并经过Base64Url编码之后使用 (注意编码不是加密)HeaderJWT 的头部通常由两部分组成,分别是令牌类型(typ)和加密算法(alg)。一般情况下,头部会采用 Base64 编码。Payload。
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
在`JwtTokenFilter`中,我们将验证JWT的有效性,并从请求头中提取用户信息。如果令牌有效,我们可以将用户信息设置到SecurityContextHolder,这样Spring Security就能识别当前用户。 ```java @Component public ...
JWT-Json Web Token-目前最流行跨域身份验证解决方案
04-25
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。传统的...
lua-resty-jwtJWT为伟大的Openresty
02-03
- **验证JWT**:库也提供了验证JWT的方法,包括检查签名的正确性、令牌是否已过期、是否包含特定的声明等。 - **解码JWT**:可以不验证直接解码JWT,获取载荷中的信息。 - **错误处理**:库包含了丰富的错误处理机制...
JWT 的登出问题
Leon_Jinhai_Sun的博客
05-31 1354
Jwt 使用起来不难,而且让我们将“无状态”的概念更贴切的展示出来了,但是实践就真的这么完美吗?不是,因为jwt 的登出问题。 何为登出:就是用户自己点击登出后,或用户的角色/权限改变后,该token 仍然是有效的。你可以选择在前端清除该token,但是,如果用户是有技术背景的黑客呢?之前的token他保存一边,在没有过期(时间过期)时,他仍然可以使用该token。 解决方案: 登出怎么做?聪明的你是否有答案吗? 就是删除该用户存储在redis 里面登录token 数据,so easy 。
Spring Security 登录 、登出、动态刷新JWT
2302_80389811的博客
08-12 631
如果过了有效时间(设置的是十分钟),但没到refresh token过期的时间(设置的是一小时),可以通过refresh token请求新的access tokenJwtRequestFilter作为过滤链中的一环,从请求头中提取jwt进行解析并验证访问时间是否有效或者是否存在于黑名单。JWT工具类主要用来生成和验证token,登出后的token失效会被放入黑名单中,黑名单用redis存放。通过上图accessToken访问PageController中的接口,可以看到访问成功。
【SpringSecurity】十二、集成JWT搭配Redis实现退出登录
llg___的博客
09-03 2298
因为JWT的无状态,服务端无法在使用过程中主动废止某个 token,或者更改 token 的权限。也就是说,目前,一旦 JWT 签发了,就只能等它到过期时间才能作废,即使用户已经退出登录。③ 用户每次访问时,先校验jwt是否合法,如果合法再从redis里面取出logintoken:jwt判断这个jwt还存不存在,如果不存在就说是用户已经退出登录了。注意过期时间和jwt的过期时间保持一致,jwt过期时间可查看下创建jwt时的withExpiresAt方法。,key的过期时间和token自身过期时间一致。
如何使用jwt 完成注销(退出登录)功能
weixin_39813433的博客
01-03 1万+
原文 神奇的 JSON Web Tokens(JWT) JSON Web Tokens (JWT) 是一种无状态处理用户身份验证的方法。 什么意思? JWT帮助建立认证机制而不将身份验证状态存储在任何存储中,无论是会话内存还是数据库,因此, 当检查用户的身份验证状态时,不需要访问会话内存或执行数据库查询。相反, 根据你选择的用户payload生成token 并在客户端的请求中使用它来标识服务器上的用户 ???? 因此,基本上,每当创建token时,就可以永远使用它,或者直到它过期为止。 JWT生成器可以
【Spring Security系列】Spring Security+JWT+Redis实现用户认证登录及登出
c18213590220的博客
11-28 2418
Spring Security 是基于 Spring 的身份认证(Authentication)和用户授权(Authorization)框架,提供了一 套 Web 应用安全性的完整解决方案。其中核心技术使用了 Servlet 过滤器、IOC 和 AOP 等身份认证指的是用户去访问系统资源时,系统要求验证用户的身份信息,用户身份合法才访问对应资源。常见的身份认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
JWT入门以及常见的登录问题
热门推荐
霁晨晨晨的博客
05-31 4万+
本文主要介绍了JWT是什么,如何使用JWT以及实际开发中可能会遇到的有关JWT登录问题,比如token的续签、续期和登出问题等。
Jwt退出登陆
qq_40369277的博客
09-24 2049
我们之前可以使用退出登录接口直接退出,用户Session中的验证信息也会被销毁,但是现在是无状态的,用户来管理Token令牌,服务端只认Token是否合法,那这个时候该怎么让用户正确退出登录呢?这里我们以黑名单机制为例,让用户退出登录之后,无法再次使用之前的JWT进行操作,首先我们需要给JWT额外添加一个用于判断的唯一标识符,这里就用UUID好了。首先我们从最简单的方案开始,我们可以直接让客户端删除自己的JWT令牌,这样不就相当于退出登录了吗,这样甚至不需要请求服务器,直接就退了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值