JWT(JSON Web Token)

JWT

JWT全称JSON Web Token(JSON Web令牌)

通过JSON形式作为Web应用令牌,用于在各方之间将信息作为JSON对象传输,在数据传输中完成数据加密,签名等相关处理。

作用:

  • 授权:用户登录后,后续的请求将包括JWT令牌。从而允许用户访问该令牌允许的路由,服务和资源。开销较小,并且可以跨域使用。
  • 信息交换:在各方之间安全地传输信息。JWT可进行签名(如使用公钥/私钥对),因此可确保发件人。由于签名是使用标头和有效负载计算的,因此还可验证内容是否被篡改。

认证流程:

  • 前端通过Web表单将用户名和密码发送到后端接口(一般是POST请求)
  • 后端核对用户名和密码成功后,将用户id等其他信息作为JWT Pauload(负载),将其与头部分别进行Base64编码拼接签名,形成一个Token。
  • 后端将JWT字符串作为登录成功后的结果返回前端,前端将其保存在本地缓存,或者session缓存上,退出登录时删除缓存。
  • 前端每次请求时将JWT放入HTTP中Header
  • 后端检查是否存在,(验证JWT的有效性,检查签名是否存在,检查Token是否过期,验证Token的接收方式是否是自己)
  • 验证通过后可以进行操作,否则返回错误信息。

优点:

  • 轻量简介:可以放在URL,POST参数或者请求头中,数据量小,传输速度快。
  • 自包含:包含了用户需要的信息,减少数据库的查询。
  • 以JSON形式保存在客户端中,任何web形式都支持。

结构:一个字符串,三部分组成,中间用. 隔开

  • 标头
  • 有效负载
  • 签名

Header(标头):有令牌的类型和使用的签名算法。

Payload(负载) :有效负载,包含声明;声明是有关实体(通常是用户)和其他数据的声明,不放用户敏感的信息因为使用Base64编码(可逆的)

Signature (签名):将编码后的标头和负载,加上我们提供的密钥,使用header中的签名算法进行签名(保证JWT没有被篡改)

们提供的密钥,使用header中的签名算法进行签名(保证JWT没有被篡改)

相关推荐
m0_748247551 小时前
Web 应用项目开发全流程解析与实战经验分享
开发语言·前端·php
m0_748255022 小时前
前端常用算法集合
前端·算法
真的很上进2 小时前
如何借助 Babel+TS+ESLint 构建现代 JS 工程环境?
java·前端·javascript·css·react.js·vue·html
web130933203982 小时前
vue elementUI form组件动态添加el-form-item并且动态添加rules必填项校验方法
前端·vue.js·elementui
NiNg_1_2342 小时前
Echarts连接数据库,实时绘制图表详解
前端·数据库·echarts
如若1233 小时前
对文件内的文件名生成目录,方便查阅
java·前端·python
滚雪球~4 小时前
npm error code ETIMEDOUT
前端·npm·node.js
沙漏无语4 小时前
npm : 无法加载文件 D:\Nodejs\node_global\npm.ps1,因为在此系统上禁止运行脚本
前端·npm·node.js
supermapsupport4 小时前
iClient3D for Cesium在Vue中快速实现场景卷帘
前端·vue.js·3d·cesium·supermap
brrdg_sefg4 小时前
WEB 漏洞 - 文件包含漏洞深度解析
前端·网络·安全