JWT大揭秘:什么是JWT,JWT有哪些使用场景,

1.JWT(JSON Web Token)是什么?

经过加密的用户信息,请求中作为授权头携带,用于用户身份的校验。jwt是token生成的一种方式。

2.JWT(JSON Web Token)由三部分组成:

  1. Header(头部)
  2. Payload(负载)
  3. Signature(签名)

可以使用window.btoa进行编码成base64,并使用window.atob进行解码成json对象。这两个函数也是浏览器提供的全局函数。

3.JWT的签名和验证过程:

签名过程:
  1. 创建JWT的Header和Payload:Header部分通常包含类型(例如JWT)和签名算法(如HS256)的信息。Payload部分则包含需要传递的数据,如用户ID、角色、过期时间等。
  2. 拼接Header和Payload:将Header和Payload使用点号(.)进行拼接。
  3. 签名:使用服务器端的私钥(或称为签名密钥)对拼接后的字符串进行签名。签名的算法在Header中指定,可以是HS256、RSA等。签名的目的是为了验证数据的完整性和发送者的身份。
  4. 组成完整的JWT:将签名附加到拼接后的字符串末尾,再次使用点号(.)分隔,形成完整的JWT。
验证过程:
  1. 接收JWT:客户端在请求时携带JWT,服务器接收并解析JWT。
  2. 分离Header、Payload和Signature:服务器根据点号(.)将JWT拆分为Header、Payload和Signature三部分。
  3. 验证签名:服务器使用自己的私钥(与签名时使用的私钥相对应)对Header和Payload拼接后的字符串进行签名,并将结果与JWT中的Signature进行对比。如果两者一致,则说明JWT是有效的,数据未被篡改。
  4. 检查Payload中的数据:服务器可以进一步验证Payload中的数据,如检查用户ID、角色等是否与预期一致,以及检查JWT是否过期。

需要注意的是,JWT的验证过程依赖于私钥的安全性。如果私钥泄露,攻击者可能会伪造有效的JWT。因此,保护私钥的安全至关重要。此外,JWT的Payload部分通常不存储敏感信息,因为这部分信息是base64编码,可以被解码和查看。如果Payload报错了敏感信息,应该对base64进行加密处理。对于敏感信息,应使用其他加密方式进行保护。

代码示例:

python 复制代码
import jwt  
from datetime import datetime, timedelta  
  
//定义密钥  
SECRET_KEY = 'your-secret-key'  
  
//定义JWT的有效期(例如:1小时)  
EXPIRATION_DELTA = timedelta(hours=1)  
  
//生成JWT  
def create_token(user_id):  
    payload = {  
        'user_id': user_id,  
        'exp': datetime.utcnow() + EXPIRATION_DELTA  
    }  
    token = jwt.encode(payload, SECRET_KEY, algorithm='HS256')  
    return token  
  
//验证JWT  
def verify_token(token):  
    try:  
        payload = jwt.decode(token, SECRET_KEY, algorithms=['HS256'])  
        user_id = payload['user_id']  
        return user_id  
    except jwt.ExpiredSignatureError:  
        return None  # Token已过期  
    except jwt.InvalidTokenError:  
        return None  # Token无效或已篡改  
  
//使用示例  
token = create_token(123)  
print("Generated Token:", token)  
  
user_id = verify_token(token)  
if user_id:  
    print("Verified User ID:", user_id)  
else:  
    print("Token is invalid or expired.")

4.JWT的使用场景有哪些:

  1. 用户身份验证与授权:JWT最常见的使用场景是用户身份验证。一旦用户登录成功,服务器会生成一个包含用户信息的JWT,并将其返回给客户端。在后续的请求中,客户端只需携带这个JWT,服务器就可以通过验证JWT的有效性来确认用户的身份,并授权其访问相应的资源。这种方式避免了频繁查询数据库,提高了应用的性能。
  2. 单点登录(SSO) :JWT在单点登录场景中也非常有用。单点登录允许用户在一个应用系统中登录后,无需再次登录即可访问其他相关应用。通过使用JWT,可以将用户的登录状态信息编码在token中,并在多个应用之间共享。这样,用户只需在一次登录后,就可以无缝地切换到其他应用,提高了用户体验。
  3. 信息交换:由于JWT中包含签名,因此它可以在传输信息中进行安全控制。JWT可以在不同服务之间安全地传递信息,确保信息的完整性和真实性。这在进行敏感数据交换或API通信时特别有用。
  4. 无状态认证:对于RESTful API来说,JWT是实现无状态认证的一种理想方式。无状态认证意味着服务器不保存任何会话信息,每次请求都需要携带足够的认证信息。通过使用JWT,客户端可以在每个请求中附带token,服务器通过验证token的有效性来确认客户端的身份,从而实现了无状态认证。

此外,JWT还可以用于一次性验证场景,如用户注册后的账户激活链接。JWT的payload中包含的固定参数(如签发者和过期时间)使得这种场景得以实现。

总之,JWT的应用场景非常丰富,涵盖了用户身份验证、授权、信息交换、无状态认证等多个方面。通过使用JWT,可以简化身份验证流程,提高应用的安全性和性能。

相关推荐
cs_dn_Jie8 分钟前
钉钉 H5 微应用 手机端调试
前端·javascript·vue.js·vue·钉钉
开心工作室_kaic43 分钟前
ssm068海鲜自助餐厅系统+vue(论文+源码)_kaic
前端·javascript·vue.js
有梦想的刺儿1 小时前
webWorker基本用法
前端·javascript·vue.js
cy玩具1 小时前
点击评论详情,跳到评论页面,携带对象参数写法:
前端
qq_390161772 小时前
防抖函数--应用场景及示例
前端·javascript
John.liu_Test3 小时前
js下载excel示例demo
前端·javascript·excel
Yaml43 小时前
智能化健身房管理:Spring Boot与Vue的创新解决方案
前端·spring boot·后端·mysql·vue·健身房管理
PleaSure乐事3 小时前
【React.js】AntDesignPro左侧菜单栏栏目名称不显示的解决方案
前端·javascript·react.js·前端框架·webstorm·antdesignpro
哟哟耶耶3 小时前
js-将JavaScript对象或值转换为JSON字符串 JSON.stringify(this.SelectDataListCourse)
前端·javascript·json
getaxiosluo3 小时前
react jsx基本语法,脚手架,父子传参,refs等详解
前端·vue.js·react.js·前端框架·hook·jsx