基于token认证的JWT方案

电玩女神 2023-06-07 12:16 30阅读 0赞

2014年的时候做移动APP开发，那时候的后端就是纯接口类型的服务。前后端进行安全校验及认证是通过token机制来做的。

## 基本思路： ##

1.  app提交用户名、密码进行登录
2.  后端校验用户名密码，生成token返回给前端，有时也会保存token到用户表或者保存到全局Map中
3.  toekn的生成规则一般是Base64(uid+(MD5(u\_pwd+secret)))
4.  前端拿到token之后，保存到localstrage中
5.  前端再请求的时候要把token放到header来过来
6.  后端有一个验证过滤器，会统一校验所有的请求，取出token进行校验
7.  **去到token后base64解码，然后根据用户id查询用户密码，结合密钥secret重新生成token判断和发过来的token是否一致**

**如果toekn后端保存到了用户表对应的字段或者全局Map中，在校验的时候就直接拿用户id到map或者表中去查token判断和传过来的是否一致。**

这种方案基本摆脱了session的依赖，但是后端服务还是保存了token相关信息，并没有做到完全的无状态化。

## JWT ##

网上关于JWT（JSON WEB TOKEN）的介绍博文非常多，这里不过多赘述，我重点记录一下自己的理解。

JWT的格式如

>     Header.Payload.Signature

生成规则如下

HMACSHA256(
      base64UrlEncode(header) + "." +
      base64UrlEncode(payload),
      secret)

使用的时候，基本和我上述的使用流程一样，区别在于校验规则以及后端的处理。

1.  后端按照加密规则生成token值返回给前端
2.  前端每次请求的时候都要把token带过来
3.  后端同样需要有过滤器对token进行验证
4.  **验证方式是先解码token,然后取出Header和Payload，使用密钥secret按照加密规则生成token**，校验token是否有效

最大区别在于，JWT的规范不要求后端保存相关信息，生成token的规则以及需要的数据在发过来的的token中可以取到。但基本上思路还是一致的，只是相对而言JWT更加规范一些。

参考文献

[JSON Web Token 入门教程][JSON Web Token]

[JSON Web Token]: http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

发表评论取消回复

表情：

评论列表（有 0 条评论，30人围观）

还没有评论，来说两句吧...

相关阅读

相关 JWT(JSON Web Token)认证

文章目录一 JWT简介 1.1 JWT定义 1.2 JWT的用法二选择JWT的缘由 2.1 基于传统的Sessio

朱雀/ 2024年03月26日 14:53/ 0 赞/ 196 阅读

相关 JWT 实现登录认证 + Token 自动续期方案！

> 过去这段时间主要负责了项目中的用户管理模块，用户管理模块会涉及到加密及认证流程，加密已经在前面的文章中介绍了，可以阅读用户管理模块：如何保证用户数据安全。今天就来讲讲认证功

秒速五厘米/ 2023年09月23日 14:09/ 0 赞/ 239 阅读

相关使用JWT实现Token认证

为什么使用JWT？随着技术的发展，分布式web应用的普及，通过session管理用户登录状态成本越来越高，因此慢慢发展成为token的方式做登录身份校验，然后通过toke

今天药忘吃喽~/ 2023年07月24日 03:06/ 0 赞/ 52 阅读

相关 java实现基于JWT的token认证

java实现基于JWT的token认证 1.引入依赖 2.创建JWT工具类 3.创建JWT注解类 4.创建用于JWT验证的拦截器 5.在Sp

痛定思痛。/ 2023年07月14日 12:59/ 0 赞/ 31 阅读

相关使用JWT实现Token认证

为什么使用JWT？随着技术的发展，分布式web应用的普及，通过session管理用户登录状态成本越来越高，因此慢慢发展成为token的方式做登录身份校验，然后通过toke

我不是女神ヾ/ 2023年06月09日 11:27/ 0 赞/ 104 阅读

相关基于token认证的JWT方案

2014年的时候做移动APP开发，那时候的后端就是纯接口类型的服务。前后端进行安全校验及认证是通过token机制来做的。基本思路： 1. app提交用户名、密码进行

电玩女神/ 2023年06月07日 12:16/ 0 赞/ 31 阅读

相关基于JWT的Token认证

1、什么是JWT JSON Web Tokens，是一种开发的行业标准规范RFC 7519。广泛的用在系统的认证和数据交换方面。 2、JWT结构 JWT 由三个部

ゝ一世哀愁。/ 2022年11月04日 08:50/ 0 赞/ 369 阅读

相关 FastAPI JWT token认证

项目目录结构： app ├── config.py ├── dependencies.py ├── main.py ├── model

Love The Way You Lie/ 2022年10月17日 00:48/ 0 赞/ 115 阅读

相关 spring cloud基于JWT的token认证实践

header里面放Authorization，Authorization里面放的就是token，就相当于每次发送请求的时候，拦截器都会拦截一次你的请求，把你请求头部的Autho

r囧r小猫/ 2022年02月27日 12:03/ 0 赞/ 350 阅读

相关使用JWT实现Token认证

为什么使用JWT？随着技术的发展，分布式web应用的普及，通过session管理用户登录状态成本越来越高，因此慢慢发展成为token的方式做登录身份校验，然后通过toke

墨蓝/ 2021年11月27日 06:22/ 0 赞/ 556 阅读