jwt 原理

原创 已于 2023-05-08 22:05:38 修改
· 149 阅读 · 0 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #java #servlet

于 2023-05-08 22:04:33 首次发布
文章介绍了JWT(JSONWebToken)在身份验证中的作用,如何防止用户伪造身份信息。在JWT机制下,服务器登录后返回签名的身份信息,客户端每次请求时携带JWT,服务器通过验证签名确保信息未被篡改,从而信任客户端的身份。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

/**
 * jwt是一个字符串
 * 
 * jwt的需要解决的问题
 * 1. 没有jwt的情况下
 *      在登录成功之后,服务器会返回客户端用户的一些信息让浏览器去保存,可以使localStorage或者sessionStorage或者是cookie
 *      在客户端请求时,会将身份信息添加到请求中,服务器会验证身份信息
 *      但是用户可以伪造身份信息,也可以和直接篡改
 *      使得服务器无法信任该消息
 */


/**
 * 2. jwt的情况下
 *     在登录成功之后,服务器会返回客户端 身份信息和生成的签名
 *     客户端在请求时,会将身份信息和签名一起发送给服务器
 *     服务器对身份信息再次签名进行验证,如果验证相等通过,说明没有篡改,就可以信任该身份信息
 */


// 这是一个nodejs的加密模块
const crypto = require('crypto')
// 签名是一种算法,需要一个信息和一个密钥,通过算法将信息和密钥进行加密,得到一个签名
function sign(info, key) {
    const hmac = crypto.createHmac('sha256', key)
    hmac.update(info)
    return hmac.digest('base64')
}
// 私钥,只在服务器端保存, 不可以发送给客户端
const _PRIVATE = 'hello world'
// 服务器端生成签名
sign('hello', _PRIVATE) // BFrUGHRqQ8BBNqT1dseV+wZ1+vF3OLsmkxlWZa5yK4g=


/**
 * jwt的包含三个部分 header payload signature
 * header payload 是明文传输的,可以直接获取数据
 * 1. header 由两部分组成 1. 签名算法 2. 指明类型
 *    {
 *      "alg": "HS256",
 *      "typ": "JWT"
 *    }
 *    然后进行base64编码
 *    补充: btoa 可以将字符串进行base64编码
 *    补充: atob 可以将base64编码的字符串进行解码
 * 2. payload 服务器传递给客户端的信息,以及过期时间等
 *    {
 *      "sub": "1234567890",
 *      "name": "John Doe",
 *      "admin": true
 *    }
 *    然后进行base64编码
 * 3. signature 将header与payload用.进行连接后对整体密钥签名后进行base64编码获得
 */

function jwt(info, key) {
    const header = {
        alg: 'HS256',
        typ: 'JWT'
    }
    const headerBase64 = btoa(JSON.stringify(header))
    const payloadBase64 = btoa(JSON.stringify(info))
    const signature = btoa(sign(headerBase64 + '.' + payloadBase64, key))
    return headerBase64 + '.' + payloadBase64 + '.' + signature
}

jwt({
    name: 'zhangsan',
    age: 18
}, _PRIVATE) // eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiemhhbmdzYW4iLCJhZ2UiOjE4fQ==.MTJLU2dBVzVYSWRPVld6MFZrQVFRSFJhVGwwREN0SDlNQlZybXlVeHJPND0=
JWT原理及如何实际使用
孤寒者的博客
08-21 2110
JWT原理及如何实际使用
JWT原理解析与实现
weixin_46120888的博客
12-26 4528
1.Token与Session优缺点概述 1.1 Session的由来 在登录一个网站进行访问时由于HTTP协议是无状态的就是说一次HTTP请求后他就会被销毁,比如我在www.a.com/login里面登录了,然后你就要访问别的了比如要访问www.a.com/index但是你访问这个网站你就得再发一次HTTP请求,至于说之前的请求跟现在没关,不会有任何记忆,这次访问会失败,因为无法验证你的身份。所以你登录完之后每次在请求上都得带上账号密码等验证身份的信息,但是你天天这么带,那太麻烦了。那还可以这样,把我第一
jwt原理
weixin_42065178的博客
04-15 5164
jwt原理jwt引入jwt构成headerpayloadsignaturejwt工作流程jwt优缺点 jwt引入 先说说为什么要使用jwt。传统的记录用户的登录状态使用的技术是cookie和session,但是存在这么一个问题:我们后端开发的时候使用这个技术栈,客户端可能会是PC、也可能会是移动端、也有可能其他不用这个技术栈实现的应用,那么这就会让cookie和session失去作用。因此我们引入jwt技术。jwt是Json Web Token的缩写,它比seesion安全,且支持分布式站点的单点登录(SS
JWT原理解析
象话的博客
04-23 1209
用户登录后,后端服务根据JWT规则生成token给到前端,前端之后的请求都会携带这个token访问后端接口,后端对这些请求校验token,保障token的有效性,进而确保是合法请求;JWT非常契合单点登录,因为JWT的后端认证不需要额外访问存储信息,只需要一个秘钥就可以自认证;JWT由于包含了认证的用户信息,那么就不需要后端服务再额外保存这些认证信息,所以节省了后端的资源;由于JWT生成的token可以包含业务信息,而且这些业务信息是参与了签名的,所以保障了这些业务信息不被篡改,而且还有有效时间范围;
JWT原理
在所有的事情背后,要有一颗坚定的的本心,要有一颗应对变革和提升自我的本心,世界瞬息万变,本心要坚持到底,保持学习,时刻复盘
07-07 973
当用户希望访问一个受保护的路由或者资源的时候,通常应该在Authorization头部使用Bearer模式添加JWT,其内容看起来是下面这样。因为JWT并不使用Cookie的,所以你可以使用任何域名提供你的API服务而不需要担心跨域资源共享问题(CORS)服务端的保护路由将会检查请求头Authorization中的JWT信息,如果合法,则允许用户的行为。完整的JWT 完整的JWT格式的输出是以. 分隔的三段Base64编码。因为用户的状态在服务端的内存中是不存储的,所以这是一种无状态的认证机制。
JWT原理详解
热门推荐
weixin_45839321的博客
10-06 1万+
1.COOKIE使用和优缺点 1.1cookie原理:用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给
JWT 原理 案例
cf的博客
06-19 384
官网:https://jwt.io/ 1.what 全称是:Json web token 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 2.when 授权:这是最常见的使用场景,解决单点登录问题。因为JWT使用起来轻便,开销小,服务端不用记录用户状态信息.
JWT 原理与使用
weixin_44929475的博客
12-08 1485
JWT(JSON Web Token)是一种基于 JSON 格式的轻量级、自包含的身份验证和授权标准(RFC 7519)。它允许将用户信息和其他必要数据在各方之间以一种安全的方式进行传输。:包含令牌的类型(即 JWT)和所使用的签名算法(如 HMAC SHA256 或 RSA)。:包含声明(Claims)。声明是关于实体(通常是用户)和其他数据的声明。它们可以被分为三类:注册的声明、公共的声明和私有的声明。:用于验证消息在传输过程中未被篡改,并且,对于使用私钥签名的令牌,还可以验证发送者的身份。
Node.JS如何实现JWT原理
10-14
4. **JWT原理** JWT由三部分组成:Header、Payload和Signature。Header包含了算法和JWT类型,Payload包含声明(如用户ID、过期时间等),Signature是通过Header和Payload的Base64URL编码值以及一个秘密(secret)...
用户登录 JWT原理剖析 JWT与单点登录实例解释
看花容易绣花难
05-01 3302
首先从用户的登录原理和实现讲起,然后引申出JWT的登录方式,在详细的讲解了JWT原理之后我们会通过案例讲解JWT是如何保存用户信息。
API开发基于Python的JWT身份验证实现:详解JWT原理、编码及应用实践
04-07
内容概要:本文详细介绍了JWT(JSON Web Token)的工作原理及其在Python中的实现方法。JWT作为一种开放标准,通过头部、负载和签名三部分确保信息的安全传输。文章解释了如何在Python中使用PyJWT库创建、验证和解析...
使用docker在3台服务器上搭建基于版本redis 6.x的一主两从模式
最新发布
langmeng110的博客
06-09 649
本文介绍了在Docker环境下搭建Redis主从集群的详细步骤。环境基于三台CentOS7.6服务器,分别作为主节点(101)和两个从节点(102/103),使用Redis6.0.8版本。文章首先说明了Docker的两种安装方式(在线/离线),然后分析了主从模式的优缺点,包括读写分离、数据冗余等优势,以及单点故障等缺点。配置部分详细讲解了主从节点的配置文件设置(包括密码认证、数据同步等关键参数)和容器创建脚本,并提供了验证集群状态的命令。该方案适用于读多写少的场景,能有效提升读取性能和数据可靠性。
Python 实现 Web 静态服务器(HTTP 协议)
kusunoki的博客
06-09 643
本文介绍了在Windows系统下启动HTTP服务器的详细步骤,主要包括:安装Node.js环境、安装http-server服务和启动Web静态服务器。文章还包含了Node.js常用命令参考和相关配置说明,适合需要快速搭建本地开发服务器的用户参考使用。
服务器中僵尸网络攻击是指什么?
wanhengidc的博客
06-04 451
攻击者能够通过恶意的病毒软件感染服务器或者是硬件设备,将其植入恶意代码,让其成为僵尸网络的一部分,恶意攻击者可以远程控制这些被感染的设备,传统的僵尸网络是由一台僵尸服务器或多个僵尸客户端多组成的,攻击者可以利用这些服务器发起大规模的网络攻击,给企业带来巨大的经济损失。僵尸网络主要是指采用一种或者是多种传播手段,让大量的主机服务器感染上僵尸程序病毒,从而形成一个一对多控制的网络,僵尸网络具有着很高的灵活性与泛用性,通常是恶意攻击常用的手段之一。
博客系统测试报告
m0_74265323的博客
06-07 454
本文介绍了一个轻量级博客系统的开发与测试过程。系统包含用户登录、博客发布/编辑/列表/详情五大核心功能页面,实现了基本的内容管理需求。测试采用手工与自动化结合的方式:手工测试发现1个一般级别Bug(文章分类数量显示异常),自动化测试使用Selenium框架完成登录功能验证,包含成功登录、密码错误、用户不存在三种场景测试。项目通过Python+EdgeDriver构建测试环境,并封装了Driver类实现浏览器复用和自动化截图功能。测试结果表明系统核心功能运行正常,具备基础的权限控制和错误处理能力。
阿里云服务器安装nginx并配置前端资源路径(前后端部署到一台服务器并成功访问)
2301_79201170的博客
06-05 980
​​​运行以下命令,。运行wget命令。您可以通过Nginx开源社区直接获取对应版本的安装包URL,然后通过wget URL的方式将Nginx安装包下载至ECS实例。例如,Nginx 1.21.6的下载命令如下:运行以下命令,,然后。make​./nginx​没有报错信息则代表nginx启动成功!启动防火墙服务放行80端口重加载防火墙使修改生效查看状态重启停止kill -9 端口号。
USB扩展器与USB服务器的2个主要区别
复园科技的博客
06-06 579
USB扩展器(常称USB集线器)与USB服务器(如朝天椒USB服务器)是两类功能定位截然不同的解决方案。USB扩展器是解决接口数量问题的物理层工具,而朝天椒USB服务器是解决设备管理问题的数字化引擎。USB服务器基于USB Over Network技术,将物理USB设备转化为网络资源,支持跨地域、跨系统的远程调用。USB设备插在朝天椒USB服务器后,可通过局域网/互联网被虚拟机、云主机或异地终端访问,不受物理距离的限制。USB扩展器依赖物理线缆连接,传输距离通常不超过5米,设备需靠近主机。
linux 故障处置通用流程-36计-14-27
bcxwz669的博客
06-05 1235
使用ethtool命令,查看网卡配置是否正常,主要关注网卡连接模式(10/100/1000baseT)及工作模式(Half/Full)。配置文件:检查/etc/passwd,/etc/hosts,/etc/services等配置文件是否正常;#tail -2000 /var/log/messages 查看日志信息。查看日志:tail -f /var/log/messages;查看日志:tail -f /var/log/messages。查看日志:tail -f /var/log/messages。
如何防止服务器被用于僵尸网络(Botnet)攻击 ?
2409_89014517的博客
06-06 649
如何防止服务器被用于僵尸网络(Botnet)攻击 ?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秦书翔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值