基于JWT实现的Token认证方案

JSON Web Token是什么?

JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。

JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公用/专用密钥对对JWT进行签名。

JWT架构:

截屏2019-12-0615.41.15.png

什么时候应该使用 JSON Web Token?

身份验证

这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。
单一登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。

信息交换

JSON Web令牌是在各方之间安全地传输信息的一种好方法。因为可以对JWT进行签名(例如,使用公钥/私钥对),所以您可以确定发件人是本人。
另外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否未被篡改。

JSON Web Token 结构

JSON Web令牌以紧凑的形式由三部分组成,这些部分由点 (. )分隔,分别是:

  • Header:标头
  • Payload: 有效载荷
  • Signature: 签名

因此,JWT通常如下所示

xxxxx.yyyyy.zzzzz 
Header:标头

让我们分解不同的部分。
标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如HMAC SHA256或RSA。
例如:

{"alg": "HS256","typ": "JWT"
}

然后,此JSON被Base64Url编码以形成JWT的第一部分。

Payload: 有效载荷

令牌的第二部分是包含声明的有效负载。声明是关于实体(通常是用户)和其他数据的声明。有三种类型的声明:已注册声明、公共声明和私有声明。
已注册的声明:这些是一组预定义的声明,它们不是强制的,而是推荐的,以提供一组有用的、可互操作的声明。主要有:

  • iss:发行人
  • exp:到期时间
  • sub:主题
  • aud:用户
  • nbf:在此之前不可用
  • Iat:发布时间
  • jti:JWT ID用于标识该JWT
请注意,声明名称仅是三个字符,因为JWT是紧凑的。

公共声明:这些声明可以由使用JWTs的用户随意定义。但是,为了避免冲突,应该在IANA JSON Web令牌注册表中定义它们,或者将它们定义为包含防冲突命名空间的URI。

私有声明:这些是为在同意使用它们的各方之间共享信息而创建的自定义索赔,既不是注册索赔,也不是公开索赔。

有效负载示例可以是:

{"sub": "1234567890","name": "John Doe","admin": true
}

对有效负载进行Base64Url编码,以形成JSON Web令牌的第二部分。

请注意,对于已签名的令牌,此信息尽管可以防止篡改,但任何人都可以读取。除非将其加密,否则请勿将机密信息放入JWT的有效负载或报头元素中。
签名

要创建签名部分,您必须获取编码的头、编码的负载、密钥、头中指定的算法,并对其进行签名。
例如,如果要使用HMAC SHA256算法,则将通过以下方式创建签名:

HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)

签名用于验证消息在整个过程中没有更改,并且对于使用私钥进行签名的令牌,它还可以验证JWT的发送者是它所说的真实身份。

整合在一起

输出是三个由点分隔的Base64 URL字符串,这些点可以在HTML和HTTP环境中轻松传递,同时与基于XML的标准(如SAML)相比更加紧凑。
下面显示了一个JWT,它对前一个报头和有效负载进行了编码,并用一个秘密进行了签名。

encoded-jwt3.png

可以从此图中看出JWT生成的令牌的格式与其对应饿原文之间的关联。这里也顺带推荐一下jwt官网的JWT debuger工具。

legacy-app-auth-5.png

JSON Web Token工作原理

在身份验证中,当用户使用其凭据成功登录时,将返回一个JSON Web Token。由于Token是凭据,必须非常小心地防止安全问题。一般来说,您不应该将令牌保留的时间超过所需的时间。

由于缺乏安全性,也不应将敏感会话数据存储在浏览器存储中。

当用户想要访问受保护的路由或资源时,用户代理应该发送JWT,通常在授权头中使用承载模式。标题的内容应如下所示:

Authorization: Bearer <token>

在某些情况下,这可以是无状态授权机制。服务器的受保护路由将检查授权头中是否存在有效的JWT,如果存在,则允许用户访问受保护的资源。如果JWT包含必要的数据,则可以减少查询数据库以执行某些操作的需要,尽管情况并非总是如此。

如果令牌在授权头中发送,则跨源资源共享(CORS)不会成为问题,因为它不使用cookies。

下图显示了如何获取JWT并将其用于访问API或资源:

17.png

  1. 应用程序或客户端向授权服务器请求授权。这是通过不同的授权流之一执行的。例如,典型的符合OpenID Connect的web应用程序将使用授权代码流通过/oauth/authorize端点。
  2. 当授权被授予时,授权服务器将向应用程序返回一个访问Token。
  3. 应用程序使用访问令牌访问受保护的资源(如API)。

请注意:使用签名的Token,Token中包含的所有信息都将向用户或其他方公开,即使他们无法更改它。这意味着您不应将机密信息放入Token中

JWT的使用

生成令牌
jwt.sign(payload, secretOrPrivateKey, [options, callback])
// paylod: 有效载荷
// secretOrPrivateKey: 加密密钥或私钥
// option(可选): 生成令牌设置
// callback(可选): 回调函数

其中option可配置属性,属性均为可选:

algorithm: 算法(默认: HS256)noTimestamp: 无时间戳header: 头部keyid: 键值编号mutatePayload: 是否对payload进行转化,若为true则会用payload初始值生成令牌

以下6相即可在payload中配置也可在option中配置,注意只可在一处出现。

expiresIn: 令牌过期时间(可为数字(单位秒)或带单位的字符串,例如 60, "2 days", "10h", "7d"等)notBefore: 在此之前不可用(格式如上述expiresIn)audience: 用户issuer: 发布者jwtid: 令牌idsubject: 主题
生成令牌实例
// 异步回调方式
Let privateKey = 'Cloudy'
jwt.sign({ id: '1', exp:'7d' }, privateKey, { algorithm: 'RS256' }, function(err, token) {console.log(token);
});// 同步方式(推荐用promise对其进行进一步封装)
let token = jwt.sign({ foo: 'bar' }, privateKey, { algorithm: 'RS256', expiresIn: '1h' });
令牌验证
jwt.verify(token, secretOrPublicKey, [options, callback])
// token: 令牌
// secretOrPublicKey: 密钥或公钥
// option: 生成令牌设置(可选)
// callback: 回调函数(可选)

其中option可配置属性有:

algorithms: 算法audience: 如果你想验证用户,为其提供一个字符串或正则表达式complete: Boolean值,若为true则完整输出令牌issuer(可选): 如果你想验证发布者,为其提供一个字符串或正则表达式ignoreExpiration: Boolean值,若为true则不会验证过期时间subject: 如果你想验证主题,为其提供一个字符串或正则表达式clockTolerance: 时钟容忍,在检查nbf和exp声明时,处理不同服务器之间的小时钟差异所允许的秒数maxAge: 允许令牌的最大允许年龄仍然有效。它以秒或描述时间跨度zeit/ms的字符串表示。Eg: 1000, "2 days", "10h", "7d".clockTimestamp: 时间戳,应用作所有必要比较的当前时间(秒)。nonce:如果要检查nonce声明,请在此处提供一个字符串值。
验证令牌实例
// 同步验证(对称加密算法)
var decoded = jwt.verify(token, 'shhhhh');
console.log(decoded.foo) // bar// 异步验证用户(使用不对称加密算法)
var cert = fs.readFileSync('public.pem');  // 获取公钥
jwt.verify(token, cert, { audience: 'urn:foo', jwtid: 'jwtid', subject: 'subject' }, function(err, decoded) {// if audience mismatch, err == invalid audience
});
简单解码(无验证)

(同步)返回解码的有效负载,而不验证签名是否有效。

jwt.decode(token [, options])

解码options可配置属性:

json 在负载上强制JSON.parse,即使头不包含“typ”:“JWT”。
complete 返回一个带有解码有效负载和头的对象。
支持的算法数组。目前支持以下算法。
alg Parameter ValueDigital Signature or MAC Algorithm
HS256HMAC using SHA-256 hash algorithm
HS384HMAC using SHA-384 hash algorithm
HS512HMAC using SHA-512 hash algorithm
RS256RSASSA-PKCS1-v1_5 using SHA-256 hash algorithm
RS384RSASSA-PKCS1-v1_5 using SHA-384 hash algorithm
RS512RSASSA-PKCS1-v1_5 using SHA-512 hash algorithm
PS256RSASSA-PSS using SHA-256 hash algorithm (only node ^6.12.0 OR >=8.0.0)
PS384RSASSA-PSS using SHA-384 hash algorithm (only node ^6.12.0 OR >=8.0.0)
PS512RSASSA-PSS using SHA-512 hash algorithm (only node ^6.12.0 OR >=8.0.0)
ES256ECDSA using P-256 curve and SHA-256 hash algorithm
ES384ECDSA using P-384 curve and SHA-384 hash algorithm
ES512ECDSA using P-521 curve and SHA-512 hash algorithm
noneNo digital signature or MAC value included

JWT问题和趋势

1、JWT默认不加密,但可以加密。生成原始令牌后,可以使用改令牌再次对其进行加密。
2、当JWT未加密方法是,一些私密数据无法通过JWT传输。
3、JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。
5、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。
6、为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/830667.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

牛客网刷题 | CC1 获取字符串长度

目前主要分为三个专栏&#xff0c;后续还会添加&#xff1a; 专栏如下&#xff1a; C语言刷题解析 C语言系列文章 我的成长经历 感谢阅读&#xff01; 初来乍到&#xff0c;如有错误请指出&#xff0c;感谢&#xff01; 描述 键盘输入一个字符串…

Linux操作系统预备 —— 冯·诺伊曼体系结构

一&#xff0c;什么是冯诺伊曼体系结构&#xff1f;&#xff08;是什么&#xff1f;&#xff09; 上面的图就是冯诺伊曼体系结构的总体简略图&#xff0c;不着急&#xff0c;我们一个一个来看&#xff1a; 1.1 输入输出设备 人们要想用计算机处理数据&#xff0c;首先就要把要…

Vue入门到关门之Vue项目工程化

一、创建Vue项目 1、安装node环境 官网下载&#xff0c;无脑下一步&#xff0c;注意别放c盘就行 Node.js — Run JavaScript Everywhere (nodejs.org) 需要两个命令 npm---->pipnode—>python 装完检查一下&#xff0c;hello world检测&#xff0c;退出crtlc 2、搭建vu…

OpenSSH 漏洞补丁更新笔记

OpenSSH 漏洞补丁更新笔记 相关背景OpenSSH 8.8 以后版本弃用RSA 以及影响centos 更新openssh9.7p1通过rpm包进行安装 Ubuntu更新openssh-9.5p1前置条件下载的源码包导入服务器后操作 相关背景 客户通过第三方扫漏工具发现服务器centos8和Ubuntu22.04有OpenSSH 相关高危漏洞 扫…

重新定义什么是共享办公室,一看即懂

共享办公室&#xff0c;也称为联合办公空间&#xff0c;是一种现代的工作空间模式&#xff0c;它允许不同公司或个体在一个共享的环境下工作&#xff0c;同时提供必要的办公设施和服务。这种模式打破了传统办公室的局限&#xff0c;提供了更高的灵活性和社区感。 共享办公室它通…

单片机排队叫号系统Proteus仿真程序 有取号键和叫号键以及重复叫号键 有注释

目录 1、前言 ​ 2、程序 资料下载地址&#xff1a;单片机排队叫号系统Proteus仿真程序 有取号键和叫号键以及重复叫号键 有注释 1、前言 系统组成&#xff1a;STC89C52RCLcd1602蜂鸣器按键 具体介绍&#xff1a; Lcd1602排队叫号系统&#xff0c;有取号显示窗和叫号显示窗…

ElasticSearch总结2

一、创建索引库&#xff1a;PUT ES中通过Restful请求操作索引库、文档。请求内容用DSL语句来表示。创建索引库和mapping的DSL语法如下&#xff1a; 整个jason 里边&#xff0c;它有一个叫mapping的属性&#xff0c;代表的是映射。映射里边有properties代表就是字段。可以看到这…

Pytest自动化测试框架---(单元测试框架)

unittest是python自带的单元测试框架&#xff0c;它封装好了一些校验返回的结果方法和一些用例执行前的初始化操作&#xff0c;使得单元测试易于开展&#xff0c;因为它的易用性&#xff0c;很多同学也拿它来做功能测试和接口测试&#xff0c;只需简单开发一些功能&#xff08;…

QA测试开发工程师面试题满分问答21: 单元测试、集成测试、系统测试的侧重点是什么?

单元测试、集成测试和系统测试是软件测试中的不同层次和阶段&#xff0c;每个阶段侧重于不同的测试目标和范围。以下是它们的侧重点的简要说明&#xff1a; 单元测试&#xff1a; 单元测试是针对软件中最小的可测试单元&#xff08;通常是函数、方法或模块&#xff09;进行的测…

SAP PP学习笔记08 - 作业区(工作中心Work Center),作业区Customize

上一章讲了作业手顺&#xff08;工艺路线Routing&#xff09;。 SAP PP学习笔记07 - 作业手顺&#xff08;工艺路线Routing&#xff09;-CSDN博客 这一章来讲讲作业区&#xff08;工作中心 Work Center&#xff09;。 1&#xff0c;作业区&#xff08;工作中心&#xff09;中…

【QT学习】13.使用TCP实现文件传输

一。传输文件流程 二。实现 结果&#xff1a; 1. server server类属性 Ui::Widget *ui;QTcpServer* pTcpServer;QTcpSocket* pTcpSocket;//文件与文件信息QFile file;QString m_fileName;qint64 m_fileSize; //整个文件大小qint64 fileSize; //当前已经发送的文件大小bool …

解决丢失dll文件

破解 【4DDIG DLL Fixer】下载链接 链接&#xff1a;https://pan.baidu.com/s/1Sg23SniUp2u3GPzGN-X7HA 提取码&#xff1a;9876

JavaScript转换和校验数字

本节我们使用的案例还是继续之前的银行家应用程序&#xff0c;只不过我们呢增加了两个账号&#xff0c;代码如下&#xff1a; const account1 {owner: Jonas Schmedtmann,movements: [200, 455.23, -306.5, 25000, -642.21, -133.9, 79.97, 1300],interestRate: 1.2, // %pin…

双非本科自述: 无竞赛国奖,怎么逆袭腾讯字节

写在前面 大家好&#xff0c;我是青玉白露。 在这个充斥着精英主义色彩的社会里&#xff0c;"双一流"大学和耀眼奖项似乎成了走向职业成功、大厂的不二法门及必备之物。 然而&#xff0c;今天我要分享的&#xff0c;是一个打破常规的故事&#xff0c;是一个关于普…

[华为OD] C卷 货运 老李是货运公司承运人,老李的货车额定载货重量为Wt 100

题目&#xff1a; 老李是货运公司承运人&#xff0c;老李的货车额定载货重量为Wt。现有两种货物、货物A单件重量为 wa,单件运费利为pa,货物B单件重量为wb,单件运费利润为pb•老李每次发车时载货总 重量刚好为货车额定的载货重量wt,车上必须同时有货物A和货物B,货物A、B不可…

u盘量产工具拥有分区功能,它把一个U盘分成数个移动盘,更改U盘介质类型(Fixed 和 Removabe),供大家学习研究参考~

非常受欢迎的u盘量产工具。最新版拥有分区功能&#xff0c;它把一个U盘分成数个移动盘&#xff0c;更改U盘介质类型(Fixed 和 Removabel)。数码之家量产工具官方版不是数据恢复&#xff0c;是对U盘底层硬件信息的恢复(非硬件损坏)&#xff0c;使因为底层硬件信息受损电脑无法识…

188页 | 2023企业数字化转型建设方案(数据中台、业务中台、AI中台)(免费下载)

1、知识星球下载&#xff1a; 如需下载完整PPTX可编辑源文件&#xff0c;请前往星球获取&#xff1a;https://t.zsxq.com/19KcxSeyA 2、免费领取步骤&#xff1a; 【1】关注公众号 方案驿站 【2】私信发送 2023企业数字化转型建设方案 【3】获取本方案PDF下载链接&#xff0…

UE5像素流部署以及多实例部署(兼容ue4)

像素流部署请看我之前的文章就行&#xff0c;今天讲的是多实例部署 在这里可以配置多实例的数量 如果设置800端口 设置两个实例 那么就是800 801端口 我的个人显卡是4060TI,最多开三个

【C++】封装哈希表 unordered_map和unordered_set容器

目录​​​​​​​ 一、unordered系列关联式容器 1、unordered_map 2、unordered_map的接口 3、unordered_set 二、哈希表的改造 三、哈希表的迭代器 1、const 迭代器 2、 operator 3、begin()/end() ​ 4、实现map[]运算符重载 四、封装 unordered_map 和 unordered_se…

2024.4.26 —— LeetCode 高频题复盘

目录 3. 无重复字符的最长子串206. 反转链表146. LRU 缓存215. 数组中的第K个最大元素25. K 个一组翻转链表15. 三数之和53. 最大子数组和21. 合并两个有序链表1. 两数之和5. 最长回文子串912. 排序数组 3. 无重复字符的最长子串 题目链接 class Solution:def lengthOfLongest…