zoukankan      html  css  js  c++  java

  • jwt、token

    什么是JWT

    jwt是一段密文;然而密码是如何产生的? 密码是由三个部分生成;

    1、JWT头:JWT头部分是一个描述JWT元数据的JSON对象:{"alg":"hash256","type":"jwt"}

    alg:表示签名使用的算法,默认为hmac sha256;type属性表示令牌的类型,最后使用base64算法将json对象转换为字符串保存

    2 、有效载荷

    有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。

    iss:发行人   exp:到期时间    sub:主题     aud:用户     nbf:在此之前不可用    iat:发布时间     jti:JWT ID用于标识该JWT

    除以上默认字段外,我们还可以自定义私有字段,如下例:

    { "name":"aaaa",

    "admin":true

    }

    默认情况下JWT是未加密的,任何人都可以解读其内容

    3、签名哈希

    签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。

    首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。

    HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),

    secret)

    在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔,就构成整个JWT对象

    4、base64算法

    JWT头和有效载荷序列化的算法都用到了Base64URL。该算法和常见Base64算法类似,稍有差别。

    作为令牌的JWT可以放在URL中(例如api.example/?token=xxx)。 Base64中用的三个字符是"+","/"和"=",由于在URL中有特殊含义,因此Base64URL中对他们做了替换:"="去掉,"+"用"-"替换,"/"用"_"替换,这就是Base64URL算法

    jwt的特点

    1、JWT默认不加密,但可以加密。生成原始令牌后,可以使用改令牌再次对其进行加密。

    2、当JWT未加密方法是,一些私密数据无法通过JWT传输。

    3、JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。

    4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。

    5、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。

    6、为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输

    jwt的应用

    前后端分离

    登录:

    从上述可知:可以用jwt的签名以及 算法可以生成一段加密的字符串,而生成的字符串可以对其进行有效期设置,生成的字符串可以自定义,那么可以定义将用户的用户名、id、生成为token,

    当用户首次在客户端登录之后,服务端进行对其校验和认证,如果都正确,那么服务端将为登录的用户生成一个token返回给客户端,客户端保存服务端返回的token;当客户端再次登录系统时,

    客户端拿到第一次存储的token 提交到服务端,服务端对token 有效期及合法性校验;

    如果token的时间失效则 返回登录页,重新登录,或者为用户再次重新生成新的一个token;

    数据提交:

    客户端存了token以后,每次和后台交互的时候,都把token携带上,服务端在过滤器或者拦截器时进行token的合法性校验;

    jwt-session;

    jwt认证成功之后;可将用户的信息交个session;

    OAuth2

    什么是OAuth

    OAuth是一个关于授权(authorization)的开放网络协议,在全世界得到广泛应用,目前的版本是2.0版。

    OAuth是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。它详细描述了系统中不同角色、用户、服务前端应用(比如API),以及客户端(比如网站或移动App)之间怎么实现相互认证。

    Oauth2定义了一组相当复杂的规范。涉及到:Roles角色、Client Types客户端类型、Client Profile客户端描述、Authorization Grants认证授权、Endpoints终端等
     OAuth简单说就是一种授权的协议,只要授权方和被授权方遵守这个协议去写代码提供服务,那双方就是实现了OAuth模式。
    举个例子

    你想在京东购物,但你从来没注册过京东账号,又不想新注册一个再使用京东,怎么办呢?不用担心,京东已经为你这种懒人做了准备,用你的qq号可以授权给京东进行登录;
     Oauth2和jwt是完全不同的两种东西,一个是授权认证的框架,另一种则是认证验证的方式方法(轻量级概念)。OAuth2不像JWT一样是一个严格的标准协议,因此在实施过程中更容易出错。尽管有很多现有的库,但是每个库的成熟度也不尽相同,同样很容易引入各种错误。在常用的库中也很容易发现一些安全漏洞。
     
  • 相关阅读:
    对象池使用时要注意几点
    Flash3D学习计划(一)——3D渲染的一般管线流程
    714. Best Time to Buy and Sell Stock with Transaction Fee
    712. Minimum ASCII Delete Sum for Two Strings
    647. Palindromic Substrings(马拉车算法)
    413. Arithmetic Slices
    877. Stone Game
    338. Counting Bits
    303. Range Sum Query
    198. House Robber
  • 原文地址:https://www.cnblogs.com/hellohero55/p/12061424.html
Copyright © 2011-2022 走看看