JSON WEB TOKEN(JWT)的分析

来源:https://www.cnblogs.com/xiaohunshi/archive/2019/02/10/10358722.html
-Advertisement-
Play Games

JSON WEB TOKEN(JWT)的分析 一般情況下,客戶的會話數據會存在文件中,或者引入redis來存儲,實現session的管理,但是這樣操作會存在一些問題,使用文件來存儲的時候,在多台機器上,比較難實現共用,使用redis來存儲的時候,則需要引入多一個集群,這樣會增加管理的工作量,也不方便 ...


JSON WEB TOKEN(JWT)的分析

一般情況下,客戶的會話數據會存在文件中,或者引入redis來存儲,實現session的管理,但是這樣操作會存在一些問題,使用文件來存儲的時候,在多台機器上,比較難實現共用,使用redis來存儲的時候,則需要引入多一個集群,這樣會增加管理的工作量,也不方便。有一個直觀的辦法,就是將session數據,存儲在客戶端中,使用簽名校驗數據是否有篡改,客戶請求的時候,把session數據帶上,獲取裡面的數據,通過校驗,然後進行身份認證。

數據存儲在客戶端中,會存在一些挑戰:

  • 數據安全問題
  • 數據量不能太大
  • 續簽的問題
  • 註銷的問題

為了實現客戶端存儲會話數據的解決方案,制定了JSON Web Token的協議,詳細的協議可以在:RFC7529查看。下麵我們看看jwt協議是怎樣解決上面的挑戰的。

JWT的結構:

JWT加密後,使用的格式,分為三部分,header,payload和signature,使用.號連接起來:

Header.Payload.Signature

JWT的header:

JWT的header,定義了存儲的演算法和協議名稱:

{
    "alg": "HS256",
    "typ": "JWT"
}

JWT的Payload:

下麵這些負載欄位,是JWT協議提供選用,一般情況下,payload的數據是不加密存儲在客戶端中的,所以要註意不要存儲敏感信息:

iss (issuer):簽發人
exp (expiration time):過期時間
sub (subject):主題
aud (audience):受眾
nbf (Not Before):生效時間
iat (Issued At):簽發時間
jti (JWT ID):編號

payload除了這些欄位,還可以擴展一些數據,更加符合我們的需求:

{
    "iss": "foo",
    "extend_data": "hell"
}

JWT的Signature

服務端,有一個秘鑰,通過秘鑰對header和payload進行簽名,使用header中指定的簽名演算法類型,一般有HMAC,RSA和ECDSA,下麵是簽名的格式:

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

JWT的通訊方式

JWT一般會將token數據存儲在http請求的header中,通過Bearer來分隔:

headers: {
    'Authorization': 'Bearer ' + token
}

定義好數據結構和通訊方式,下麵看看如何處理一些問題:

續簽問題

每一個token產生,都應該限制好過期時間,確保只能在一段時間內有效,保證安全。當達到過期時間時,需要對token進行續簽,可以定時想伺服器提交請求,重新獲取token來實現。

註銷問題

當客戶登錄的時候,需要註銷登錄會話,由於token是沒有狀態的,只能在客戶端把token刪除,偽造一個註銷的狀態,真正的註銷只能等待token過期。

也可以有種辦法,就是把token的信息記錄在redis中,當客戶退出時,講redis中的token刪除,而一般請求時,會通過redis對數據進行校驗,這樣可以實現真的註銷效果,但要引入多一個組件,把token變為有狀態,如果用這種辦法,也就不符合token存儲在客戶端的模式了

總結

如果能夠支持,會話用的數據量較小,對註銷可以等待超時的長效的場景,使用jwt作為會話數據存儲是會比較方便的。而對於會話數據量大的場景,還是使用一般的方式比較好點。

參考資料

RFC7529


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 之前獲取上傳文件都是使用Request.Form.Files獲取,直到這次改成定義形參 IFormFile時才遇到這個問題。 不知道這是不是微軟的一個bug? 解決方案有兩種 方案一:去除[ApiController]這個Attribute 方案二:在[FromForm]里添加Name屬性:[Fro ...
  • 音效系統 1.個人思路 1.情景假設 一天,小明想聽歌。於是,他拿起手機,找到音樂播放軟體,選擇歌曲,按下播放鍵,聽到了想聽的歌 2.過程分析 1 小明想聽歌 聽歌的對象,歌曲信息接收者 2 打開音樂播放軟體 播放音樂的對象,音效源 3 選擇歌曲 選擇的數據,音效資源 3.實現思路 AudioLis ...
  • 一、screen安裝 yum install screen #CentOS安裝 sudo apt-get install screen #ubuntu安裝 二、screen常用命令 screen -S mariadb #新建一個叫mariadb的session screen -r mariadb # ...
  • Homebrew 是 MacOSX 上的軟體包管理工具。 安裝 檢查是否安裝正確 維護 升級 安裝軟體包 卸載軟體包 其他命令 參考 brew官方網站 Mac入門(三)使用brew安裝軟體 ...
  • 在 Termianl ...
  • 1.問題描述 select deptno ,avg(sal) from emp where count(*)>3 group by deptno; 在where 句中使用聚合函數count(*),報出錯誤:ORA-00934: group function is not allowed here 那 ...
  • 隨著大數據時代的來臨,物聯網的日益發展,原先的 SCADA 系統本身也在求新求變,從最開始的專業電腦和操作系統,到通用電腦和相關軟體,再到現在基於 HTML5 Canvas 的新型組態開發,其應用的範圍也從最初的電力,逐漸發展到應用於電力、冶金、化工、自動化群控等等大部分工控場景中,本文是將傳統... ...
  • 配置babel ECMAScript的版本,每年都會定期舉行會議,發佈各種標準,當前版本到了2019,但大部分人使用的瀏覽器,都可以支持es2015,也就是es6,要等到大部分瀏覽器都支持到最新版本,這樣需要一段很長的時間,那麼要用到最新的語法特性,就需要使用轉換工具,將最新的語法特性,儘可能轉換為 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...