日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當(dāng)前位置: 首頁 > 人文社科 > 生活经验 >内容正文

生活经验

jwt 私钥_一分钟带你了解JWT认证

發(fā)布時(shí)間:2023/11/27 生活经验 45 豆豆
生活随笔 收集整理的這篇文章主要介紹了 jwt 私钥_一分钟带你了解JWT认证 小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

一、JWT簡介

JSON Web Token(JWT)是一個(gè)開放的標(biāo)準(zhǔn)(RFC 7519),它定義了一個(gè)緊湊且自包含的方式,用于在各方之間作為JSON對象安全地傳輸信息。由于此信息是經(jīng)過數(shù)字簽名的,因此可以被驗(yàn)證和信任。

更多信息可以查看官網(wǎng):https://jwt.io/introduction/

二、JWT認(rèn)證和session認(rèn)證的區(qū)別

  1. session認(rèn)證

http協(xié)議是一種無狀態(tài)的協(xié)議,而這就意味著如果用戶向我們的應(yīng)用提供了用戶名和密碼來進(jìn)行用戶認(rèn)證,那么下一次請求時(shí),用戶還要再一次進(jìn)行用戶認(rèn)證才行,因?yàn)楦鶕?jù)http協(xié)議,我們并不能知道是哪個(gè)用戶發(fā)送的請求,所以為了讓我們的應(yīng)用能識別是哪個(gè)用戶發(fā)出的,我們只能在服務(wù)器存儲(chǔ)一份用戶登陸的信息,這份登陸信息會(huì)在響應(yīng)時(shí)傳遞給瀏覽器,告訴其保存為cookie,以便下次請求時(shí)發(fā)送給我們的應(yīng)用,這樣我們的應(yīng)用個(gè)就能識別請求來自哪個(gè)用戶了,這就是傳統(tǒng)的基于sessino認(rèn)證。

  1. JWT認(rèn)證

基于token的鑒權(quán)機(jī)制類似于http協(xié)議也是無狀態(tài)的,它不需要在服務(wù)端去保留用戶的認(rèn)證信息或會(huì)話信息。這也就意味著JWT認(rèn)證機(jī)制的應(yīng)用不需要去考慮用戶在哪一臺(tái)服務(wù)器登錄了,這就為應(yīng)用的擴(kuò)展提供了便利。

三、JWT認(rèn)證流程

認(rèn)證流程如下:

  1. 用戶使用賬號和密碼發(fā)出post請求;
  2. 服務(wù)器使用私鑰創(chuàng)建一個(gè)jwt;
  3. 服務(wù)器返回這個(gè)jwt給瀏覽器;
  4. 瀏覽器將該jwt串在請求頭中像服務(wù)器發(fā)送請求;
  5. 服務(wù)器驗(yàn)證該jwt;
  6. 返回響應(yīng)的資源給瀏覽器。

四、JWT組成

先來看一張JWT的信息的截圖:

從上圖可以看到,JWT含有三部分:頭部(header)、載荷(payload)、簽名(signature)。

  1. 頭部(header)

JWT的頭部有兩部分信息:

  • 聲明類型,這里是JWT
  • 聲明加密的算法,通常直接使用HMAC SHA256

頭部示例如下:

頭部一般使用base64加密,加密后密文:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

  1. 載荷(payload)

該部分一般存放一些有效的信息。JWT的標(biāo)準(zhǔn)定義包含五個(gè)字段:

  • iss:該JWT的簽發(fā)者
  • sub: 該JWT所面向的用戶
  • aud: 接收該JWT的一方
  • exp(expires): 什么時(shí)候過期,這里是一個(gè)Unix時(shí)間戳
  • iat(issued at): 在什么時(shí)候簽發(fā)的

載荷示例如下:

  1. 簽名(signature)

前面兩部分都是使用Base64進(jìn)行編碼的,即前端可以解開知道里面的信息。signature 需要使用編碼后的header和payload以及我們提供的一個(gè)密鑰,然后使用header中指定的簽名算法(HS256)進(jìn)行簽名。簽名的作用是保證 JWT 沒有被篡改過。

三個(gè)部分通過.連接在一起就是我們的 JWT 了,所以我們生成的JWT如下:

注意:密鑰就是用來進(jìn)行JWT的簽發(fā)和JWT的驗(yàn)證,所以,它就是你服務(wù)端的私鑰,在任何場景都不應(yīng)該泄露出去。

五、JWT使用場景

JWT主要使用場景如下:

  • 授權(quán)

這是JWT使用最多的場景,一旦用戶登錄,每個(gè)后續(xù)的請求將包括JWT,從而允許用戶訪問該令牌允許的路由、服務(wù)和資源。

  • 信息交換:JSON

JWT可以用在各方之間安全地傳輸信息,因?yàn)镴WT可以進(jìn)行簽名,所以您可以確定發(fā)件人是他們所說的人。另外,由于簽名是使用標(biāo)頭和有效負(fù)載計(jì)算的,因此您還可以驗(yàn)證內(nèi)容是否未被篡改。

總結(jié)

以上是生活随笔為你收集整理的jwt 私钥_一分钟带你了解JWT认证的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò),歡迎將生活随笔推薦給好友。