欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

JWT令牌的工作原理詳解

 更新時間:2023年08月30日 08:33:35   作者:Abstracted  
這篇文章主要介紹了JWT令牌的工作原理詳解,在認證的時候,當用戶用他們的的憑證成功登錄以后,一個JSON?Web?Token將會被返回,此后,用戶名和密碼就不再是用戶的憑證,而token是用戶用來訪問資源的新憑證了,需要的朋友可以參考下

JSON Web Tokens

在認證的時候,當用戶用他們的的憑證成功登錄以后,一個JSON Web Token將會被返回。

此后,用戶名和密碼就不再是用戶的憑證,而token是用戶用來訪問資源的新憑證了。

你必須非常小新以防止出現(xiàn)安全問題。一般而言,你保存令牌的時間不應該超過你所需要它的時間。

無論何時用戶想要訪問受保護的路由或資源的時候,用戶代理(通常是瀏覽器)都應該帶上JWT,典型的,通常放在Authorization header中,用Bearer Schema。

header看起來應該是這樣的:

Authorization: Bearer [token]

服務器上的受保護的路由將會檢查Authorization header中的JWT是否有效,如果有效則用戶可以訪問受保護的資源。

如果JWT包含足夠多的必要數(shù)據(jù),那么就可以減少對數(shù)據(jù)庫的某些查詢操作,盡管可能并不是如此。

如果token是在授權頭(Authorization header)中發(fā)送的,那么跨源資源共享(CORS)將不會成為問題,因為它不使用cookie。

基于Token的身份認證與基于服務器的身份認證

基于服務器的身份認證

在討論基于Token的身份認證是如何工作的以及它的好處之前,我們先來看一下以前我們是怎么做的:

HTTP協(xié)議是無狀態(tài)的,也就是說,如果我們已經(jīng)認證了一個用戶,那么他下一次請求的時候,服務器不知道我是誰,我們必須再次認證。

傳統(tǒng)的做法是將已經(jīng)認證過的用戶信息存儲在服務器上,比如Session。用戶下次請求的時候帶著JSessionID,然后服務器以此檢查用戶是否認證過。

這種基于服務器的身份認證方式存在一些問題:

  • Sessions:每次用戶認證通過以后,服務器需要創(chuàng)建一條記錄保存用戶信息,通常是在內(nèi)存中,隨著認證通過的用戶越來越多,服務器在這里的開銷就會越來越大。
  • Scalability:由于Session是在內(nèi)存中的,這就帶來一些拓展性的問題。
  • CORS:當我們想要拓展我們的應用,讓我們的數(shù)據(jù)被多個移動設備使用時,我們必須考慮資源共享問題。當時用異步請求調用另一個域名下的資源時,我們可能會遇到禁止請求的問題和Session中保存的用戶數(shù)據(jù)不存在等問題
  • CSRF:用戶很容易收到CSRF攻擊。

基于Token的身份認證

JWT與Session的差異/相同點是:它們都存儲用戶信息;然而Session是在服務端的,而JWT是在客戶端的。

Session存儲用戶信息的最大問題在于要占用大量服務器內(nèi)存,增加服務器的開銷以及多個服務Session資源不共享問題

而JWT方式將用戶狀態(tài)分散到了客戶端中,可以明顯減輕服務端的內(nèi)存壓力。

Session的狀態(tài)是存儲在服務端,客戶端只有JSessionId;而Token的狀態(tài)是存儲在客戶端。

在這里插入圖片描述

基于Token的身份認證是如何工作的

基于Token的身份認證是無狀態(tài)的,服務器或者Session中不會存儲任何用戶信息。

沒有會話信息意味著應用和層序可以根據(jù)需要拓展和添加更多的機器,而不必擔心用戶登錄的位置。

雖然這一實現(xiàn)可能會有所不同,但其主要流程如下:

  • 用戶攜帶用戶名和密碼請求訪問
  • 服務器校驗用戶憑據(jù)
  • 應用提供一個token給客戶端
  • 客戶端存儲token
  • 并且在隨后的每一次請求中都帶著它
  • 服務器校驗token并返回數(shù)據(jù)

注意:

  • 每一次請求都需要token
  • token應該放在請求header中
  • 我們還需要將服務器設置為接受來自所有域的請求,用Access-Control-Allow-Origin: “*”

在這里插入圖片描述

用Token的好處

無狀態(tài)和可拓展性

Tokens存儲在客戶端,完全無狀態(tài),可拓展。我們的負載均衡器可以將用戶傳遞到任意服務器,因為在任何地方都沒有狀態(tài)或會話信息。

安全

Token不是Cookie,每次請求的時候Token都會被發(fā)送。

而且,由于沒有Cookie被發(fā)送,還有助于防止CSRF攻擊。

即使在你的實現(xiàn)中將token存儲到客戶端的Cookie中,這個Cookie也只是一種存儲機制,而非身份認證機制。

沒有基于會話的信息可以操作,因為我們沒有會話。

還有一個點,token在一段時間以后會過期,這個時候用戶需要重新登錄。這有助于我們保持安全。

還有一個概念叫token撤銷,它允許我們根據(jù)相同的授權許可使特定的token甚至一組token無效。

JWT和OAuth的區(qū)別

OAuth2是一種授權框架,JWT是一種認證協(xié)議。

無論使用哪種方式切記用HTTPS保證數(shù)據(jù)的安全性

OAuth2用在使用第三方賬號登錄的情況(比如weibo,qq,github登錄某個APP)。而JWT使用在前后端分離,需要將簡單的對后臺的API進行保護時使用。

到此這篇關于JWT令牌的工作原理詳解的文章就介紹到這了,更多相關JWT令牌原理內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家!

相關文章

  • 解決java中mybatis報錯:org.apache.ibatis.binding.BindingException:Invalid bound statement(not found):xx問題

    解決java中mybatis報錯:org.apache.ibatis.binding.BindingException:

    這篇文章主要介紹了解決java中mybatis報錯:org.apache.ibatis.binding.BindingException:Invalid bound statement(not found):xx問題,具有很好的參考價值,希望對大家有所幫助
    2024-03-03
  • springboot亂碼問題解決方案

    springboot亂碼問題解決方案

    這篇文章主要介紹了springboot亂碼問題解決方案,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下
    2020-02-02
  • Spring Cloud Sleuth整合zipkin過程解析

    Spring Cloud Sleuth整合zipkin過程解析

    這篇文章主要介紹了Spring Cloud Sleuth整合zipkin過程解析,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下
    2019-12-12
  • springboot?+rabbitmq+redis實現(xiàn)秒殺示例

    springboot?+rabbitmq+redis實現(xiàn)秒殺示例

    本文主要介紹了springboot?+rabbitmq+redis實現(xiàn)秒殺示例,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2022-07-07
  • SpringBoot集成JWT實現(xiàn)token驗證的流程

    SpringBoot集成JWT實現(xiàn)token驗證的流程

    Json web token (JWT), 是為了在網(wǎng)絡應用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標準((RFC 7519).這篇文章主要介紹了SpringBoot集成JWT實現(xiàn)token驗證,需要的朋友可以參考下
    2020-01-01
  • java文字轉語音的實現(xiàn)示例

    java文字轉語音的實現(xiàn)示例

    在Java中,我們可以使用第三方庫來實現(xiàn)文字轉語音的功能,本文主要介紹了java文字轉語音的實現(xiàn)示例,選擇jacob技術實現(xiàn),具有一定的參考價值,感興趣的可以了解一下
    2024-03-03
  • MyBatis-Plus實現(xiàn)字段自動填充功能的示例

    MyBatis-Plus實現(xiàn)字段自動填充功能的示例

    本文主要介紹了MyBatis-Plus實現(xiàn)字段自動填充功能的示例,文中通過示例代碼介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2021-11-11
  • Java批量操作文件系統(tǒng)的實現(xiàn)示例

    Java批量操作文件系統(tǒng)的實現(xiàn)示例

    文件上傳和下載是java web中常見的操作,本文主要介紹了Java批量操作文件系統(tǒng)的實現(xiàn)示例,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2024-03-03
  • SpringBoot線程池ThreadPoolTaskExecutor異步處理百萬級數(shù)據(jù)

    SpringBoot線程池ThreadPoolTaskExecutor異步處理百萬級數(shù)據(jù)

    本文主要介紹了SpringBoot線程池ThreadPoolTaskExecutor異步處理百萬級數(shù)據(jù),文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2024-03-03
  • 如何設置springboot禁止日志輸出到控制臺

    如何設置springboot禁止日志輸出到控制臺

    文章總結:本文主要介紹了SpringBoot項目中使用SLF4J記錄日志時,日志默認輸出到控制臺的原因及解決方法,日志框架如Logback默認會將日志輸出到控制臺,可以通過`logback-spring.xml`配置文件或配置類來禁止日志輸出到控制臺,并設置日志輸出級別
    2025-01-01

最新評論