资讯专栏INFORMATION COLUMN

关于JWT(Json Web Token)的思考及使用心得

taohonghui / 3049人阅读

摘要:什么是是一个开放的数据交换验证标准,一般用来做轻量级的鉴权。由于许多接口设计是遵循无状态的比如,所以是这一套机制的替代方案。组成由三部分组成头部载荷签名。

什么是JWT?

JWT(Json Web Token)是一个开放的数据交换验证标准rfc7519(https://tools.ietf.org/html/r...,一般用来做轻量级的API鉴权。由于许多API接口设计是遵循无状态的(比如Restful),所以JWT是Cookie Session这一套机制的替代方案。

组成

JWT由三部分组成头部(header)、载荷(payload)、签名(signature)。头部定义类型和加密方式;载荷部分放不是很重要的数据;签名使用定义的加密方式加密base64后的header和payload和一段你自己的加密key。最后的token由base64(header).base64(payload).base64(signatrue)组成。

使用方式

平时需要鉴权的接口需要传这个token,可以post字段提交,但是一般建议放在header头中 ,因为JWT一般配合https使用,这样就万无一失。

为什么安全?

首先token是服务端签发,然后验证时是用同样加密方式把header、payload和key再加密遍 然后看是不是和签名一致 如果不一致就说明token是非法的 这里主要靠的是加密(比如HS256)难以被攻破 至少目前吧 另外不得不说这里的加密对服务器来说是一个开销 这也是JWT的缺点

使用

我很早就听说过JWT 但那时候还没用上 感觉近几年前后端分离思想加速了JWT的使用 MVC前置到前端(VUE、REACT)后端只用提供API API强调无状态 自然而然使用了JWT这套方案

之前做小程序时 没有绝对使用JWT这套方案 我把它简化了下

最近开发的一套项目用的是Laravel做后端提供API服务,所以自然而然使用了JWT,使用的扩展是tymon/jwt-auth 关于这套扩展机制的具体使用可以参考这篇文章 写的很不错:https://laravel-china.org/art...

项目使用时的具体细节 JWT三个时间概念

JWT有三个时间概念: 过期时间 宽限时间 刷新时间

上面那文章说token过了过期时间是不可刷新的,但其实是可以刷新的,我这边使用时可以(开启了黑名单机制和1min宽限时间) 但是过了刷新时间不能刷新这是肯定的

token刷新

可以借用laravel的中间件实现自动刷新 服务端判断过期了但是在刷新时间内主动刷新一次 并把新的token在Header头中返回给客户端

记住我功能

我感觉定义刷新时间(比如一个月) + token自动刷新机制这一套就是记住我功能

不能主动销毁Token

默认JWT这套方案好像不可以主动剔除用户的,因为服务端不会存token,只是验证。这和session不一样。 但是我感觉可以借用黑名单机制 来判断 中间件中判断该token在剔除黑名单中就销毁token并返回鉴权失败

单点登录

结合缓存比如redis存客户端标识是可以的

多套用户权限机制

比如客户端有用户端和商家端两套用户机制(不同表),可以在auth.php定义两个guard 分别指定对应的model Login逻辑多带带写 比如auth("userApi") auth("corpApi") 可以拿到不同的guard 刷新中间件是可以共用的 不过router中的middleware方法可以指定具体的middleware

为什么不同权限体系的刷新中间件可以公用

感觉是jwt-auth实现了这机制 验证token时会根据sub字段判断 我base64decode两个token的payload后发现sub一个是1 一个是2

如果有问题欢迎指正!

本文最早发布于Rootrl"s blog https://rootrl.github.io/2018...

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/29483.html

相关文章

  • jwt前后端整合方案

    摘要:到这里,基于的前后端分离实现方案就搞定啦四关于的一些思考实际上,在使用的过程中有一个比较致命的缺点,就是一旦签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。结语以上是关于基于的前后端分离实现方案的总结和思考。 一、jwt是什么 JWT全称, JSON Web Token,是一个以JSON为基准的标准规范。 举例:服务器认证以后,生成一个 JSON 对象,发回给用户,就像下...

    nevermind 评论0 收藏0
  • 理解JWTJSON Web Token)认证python实践

    摘要:认证服务器,即服务提供商专门用来处理认证的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。客户端使用上一步获得的授权,向认证服务器申请令牌。认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 最近想做个小程序,需要用到授权认证流程。以前项目都是用的 OAuth2 认证,但是Sanic 使用OAuth2 不太方便,就想试一下 JWT 的认证方式。这一篇主要内容是 ...

    BigTomato 评论0 收藏0
  • 关于 jwt 你应该知道事情

    摘要:头部需要一个头部,用于描述关于该的最基本的信息,例如其类型以及签名所用的算法等。签发者需要准备一个可以确认自己身份的字符串,这个字符串我们称之为。 什么是 jwt ? JWT 全称叫 JSON Web Token, 是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。 jwt 使用场景 jwt 用图广泛,例如授权、鉴权等。具体一点的话,假如我们有一...

    leone 评论0 收藏0
  • 使用JWT保护你Spring Boot应用 - Spring Security实战

    摘要:创建应用有很多方法去创建项目,官方也推荐用在线项目创建工具可以方便选择你要用的组件,命令行工具当然也可以。对于开发人员最大的好处在于可以对应用进行自动配置。 使用JWT保护你的Spring Boot应用 - Spring Security实战 作者 freewolf 原创文章转载请标明出处 关键词 Spring Boot、OAuth 2.0、JWT、Spring Security、SS...

    wemall 评论0 收藏0
  • 【转载】json web token使用

    摘要:当使用一个时,其中一个挑战就是认证。在传统的应用中,服务端成功的返回一个响应依赖于两件事。通常包括将发送的凭证与存储的凭证进行检查。第一种是使用请求来通过验证,使服务端发送带有的响应。 做了这么长时间的web开发,从JAVA EE中的jsf,spring,hibernate框架,到spring web MVC,到用php框架thinkPHP,到现在的nodejs,我自己的看法是越来越喜...

    UsherChen 评论0 收藏0

发表评论

0条评论

taohonghui

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<