zoukankan      html  css  js  c++  java
  • 【python web开发】jason web token 原理

    http 是一种无状态的协议

    这里无状态怎么理解: 前后两次请求它不知道这是同一个人 还是不同的人请求的

    传统的认证模式:采用session 和cookie结合的方式

    前后端分离的传统:用户信息生成token,token和对应的ID 保存到数据库中。我们django  rest  framwork 的 token auth 就是采用的这种

    接着把token传给用户,存入浏览器cookie,之后的请求带上这个cookie,后端会根据这个cookie 值查询用户,验证过期的逻辑表里面多了一个字段,以后后端的验证

    问题:xss 漏洞

    cookie 可以被js 读取,作为后端识别用户的标识,cookie 的泄露意味着信息的不安全,特别是我们django rest framwork 的token auth  是没有过期时间的

    如果将验证信息保存数据库。每次都要查询。保存session,加大了服务器端存储压力。

    。。。。。

    jwt  是一种开放标准,它定义了一种用户简洁,自包含的用户通信双方之间的以json 对象那的形式安全传递信息的方法,

    。。。。。。

    只要我们生成的token遵循一定的规律,比如使用对称加密算法来加密id 形成token。
    服务端只需要解密token 就能知道id。

  • 相关阅读:
    将C#文档注释生成.chm帮助文档
    Html5shiv
    C#创建COM组件
    WebBrowser控件使用详解
    iframe跨域
    VMware Workstation 虚拟机暂停后无法启动 出现Exception 0xc0000006 (disk error while paging) has occurred.错误
    Java Timer 定时器的使用
    adf笔记
    JS编码解码
    【Python】Django CSRF问题
  • 原文地址:https://www.cnblogs.com/yuanyuan2017/p/10049656.html
Copyright © 2011-2022 走看看