当前位置: 首页 > news >正文

网站建站和推广服务公司免费的个人网站

news 2025/11/7 13:38:03
网站建站和推广服务公司,免费的个人网站,社交网站实名备案,高端网站建设代码了解为什么会有JWT的出现? 首先不得不提到一个知识叫做跨域身份验证,JWT的出现就是为了更好的解决这个问题,但是在没有JWT的时候,我们一般怎么做呢?一般使用Cookie和Session,流程大体如下所示:…

了解为什么会有JWT的出现?

首先不得不提到一个知识叫做跨域身份验证,JWT的出现就是为了更好的解决这个问题,但是在没有JWT的时候,我们一般怎么做呢?一般使用Cookie和Session,流程大体如下所示:

  1. 用户向服务端发送用户名和密码进行验证
  2. 服务端验证之后,相关数据(如用户角色、登录时间等信息)会保存在当前的Session中
  3. 服务端向用户返回一个唯一的session_id,同时在响应请求中设置cookie,属性名为jessionid
  4. 客户端收到之后会保存jessionid,再次请求的时候,会在header中设置,服务端可以从请求头中获取
  5. 服务端验证获取到的sessionid是否存在,即可验证是否是同一用户

使用Cookie和Session这种模式最大的问题之一就是它不支持横向扩展,也就是不支持分布式架构,如果当前只有一台服务器,那就没什么问题,但是在当下的时代,一台服务器往往是不够的,现在绝大多数都是服务器集群。如果是服务器集群,那么在负载均衡的时候就不能保证每次都发送到同一台服务器上,这样的话也就不能验证用户的身份了,但是这对用户是不友好的,用户是感知不到自己的请求发送到了别的服务器上的。

所以这个时候就提出来了让session落库,当一个请求发过来之后,验证服务从数据库去验证用户身份,这样就能让各个服务器正确的验证用户身份信息,但是这样做,依赖性太强,如果这个session数据库挂了,那么整个认证系统都会崩溃。

JWT的面世

因为Cookie和Session的局限性,所以有人提出只让客户端存储数据,服务端不保存任何会话数据,每个请求都被发送回服务器,JWT出现了。

WT官网的一张图,描述的是JWT的认证过程,可以先看看这张图,有个印象:

JWT的概念: 

JWT是Json Web Token的缩写,它将用户信息加密到Token中,服务器不保存任何的用户信息。服务器通过使用保存的密钥验证Token的正确性,只要正确就通过验证。

上面可能很难理解,把它日常化一下就是在没有网络的年代,部门A要申请部门B的某个机器使用权,部门A肯定要先老大打报告,写申请,最后老大签字同意,部门A再拿着这个带有老大签字的这个申请报告去找部门B,部门B才能同意部门A使用,这就是JWT的流程。

JWT的数据结构

JWT总共包含了三个部分:Header头部、Payload负载、Signature签名。这三部分共同生成Token,三部分之间用“.”做分割

JWT 头部

JWT的头部是一个描述JWT元数据的JSON对象,如下所示:

{"alg": "HS256","typ": "JWT"
}

其中的alg:表示的是签名使用的算法,默认为HMAC SHA256(写为HS256),typ:表示的是令牌的类型,JWT的令牌统一写为JWT。

这样的一个Json数据,还需要使用Base64 URL算法将其转为字符串保存。

JWT 负载

负载部分就是JWT的主体内容,同样的也是一个Json对象,它包含了需要传递的数据,但是不能传递敏感数据,因为这部分数据别人也是可以拿到并且解密的。

JWT指定有七个默认字段供选择:

  1. iss:发行人
  2. exp:到期时间
  3. sub:主题
  4. aud:用户
  5. nbf:在此之前不可用
  6. iat:发布时间
  7. jti:JWT ID 用于标识该 JWT

除了默认字段外,我们还可以自定义字段,如下所示:

同样,这部分数据依然是使用Base 64 URL算法转换为字符串加密。

JWT 签名

签名部分是对上面两部分的数据签名,通过指定的算法(在JWT头部指定的算法)生成哈希来确保数据不会被篡改。

一般流程如下:

  1. 在服务器中保存了一个密码(secret),这个密码仅仅保存在服务器中,不对用户开放。
  2. 使用JWT头部指定的签名算法以及服务器中保存的密码(secret)来生成对应的签名
  3. 在计算出签名之后,JWT头、负载、签名,三部分组成一个字符串,每个部分以“.”进行分割,构成JWT对象

JWT的认证流程

  1. 客户端发送信息给服务端,让其进行验证
  2. 服务端验证成功后,返回给客户端一个JWT
  3. 客户端将JWT保存在Cookie或放入HTTP请求的Header Authorization字段中(推荐放在这)
  4. 此后客户端请求的时候都带着JWT去请求服务端,服务端对JWT再进行验证。

 

JWT的缺陷

  1. JWT最大的缺陷就是服务器不会保存会话状态,所以使用期间不能取消令牌或者更改令牌的权限,一旦JWT签发,在有效期内将会一直有效。
  2. 由于JWT不加密,所以JWT不能用来传递敏感数据
  3. 它有着更大的空间占用
  4. 很难应对过期的数据,由于无法废除掉已经颁布的令牌,在令牌过期之前,只能忍受过期的数据

总结

  • 在Web应用中,不能把JWT当作Session使用,绝大多数情况下,传统的cookie-session机制工作得更好
  • JWT适合一次性的命令认证,颁发一个有效期极短的JWT,即使暴露了危险也很小,由于每次操作都会生成新的JWT,因此也没必要保存JWT,真正实现无状态。

 

http://www.yayakq.cn/news/483550/

相关文章:

  • 青岛网站制作流程数字中国建设峰会 官方网站
  • 莆田网站制作公司做的网站如何被百度搜到
  • 宿州网站建设价格微官网制作
  • 网站上做网上支付功能公司画册模板
  • wordpress付费下载功能福州seo推广外包
  • 网站服务商恒一信息深圳网站建设公司1
  • node.js做直播网站网站建设的开发方式知乎
  • 公司静态网站模板下载公司建网站搭建服务器
  • 阿里云主机做网站网络架构 书籍
  • 怎么用2013做网站在凡科网申请的网站设置网页访问密码
  • 在郑州做网站wordpress首页布局怎么修改
  • 网站兼容问题重庆网红打卡点有哪些地方
  • 蓬安网站建设内购券网站开发
  • 网站的收费窗口怎么做图文广告公司取名
  • 成都铁路局贵阳建设指挥部网站WordPress做老用户管理
  • 生成手机网站全球设计网分站
  • 企业网站优化之如何做需求分析潮州外贸网站建设
  • 青岛哪家做网站的公司北京工商注册app下载
  • 汕头网站建设技术外包vr全景网站开发
  • 我有云服务器如何建站网站上不去原因
  • 南宁制作网站的公司flash 好的网站
  • 深圳网站建设开发竞价账户托管公司
  • 专门做评测的网站wordpress jupiter
  • 网站安全性设计菜谱网站 源码
  • 未来中森网站建设无锡有哪些软件开发的公司
  • 兰州网站建设公深圳龙岗有什么好玩的地方
  • 哪些网站做任务可以赚钱的phpmysql网站开发视频
  • 网站违规词处罚做网站的网站建设周期与进度安排
  • asp.net 建立网站公司网站建设计入什么科目
  • 那些做网站的那些软件都叫啥培训机构招生7个方法