茶叶网站建设策划书,做电商网站多少钱,网站访问找不到域名怎么回事,h5网站和响应式网站区别目录
一、什么是JWT
二、JWT令牌和Cookie客户端、Session服务端对比
三、特点与注意事项
四、使用场景
优点#xff1a;
五、结构组成 一、什么是JWT
JWT#xff08;JSON Web Token#xff09;是一种用于在网络应用间传递信息的开放标准#xff08;RFC 7519#x…目录
一、什么是JWT
二、JWT令牌和Cookie客户端、Session服务端对比
三、特点与注意事项
四、使用场景
优点
五、结构组成 一、什么是JWT
JWTJSON Web Token是一种用于在网络应用间传递信息的开放标准RFC 7519。它以 JSON 格式存储被加密后的信息通常用于验证和身份认证。这是token验证的一种令牌。叫身份验证令牌。在前后端分离的架构中常用。
白话文理解 在以前用cookie认证时候会把状态信息什么的储存在服务器里面随着用户越来越多会造成服务器的压力。那么jwt就出来了你什么时候来我什么时候给你颁发一个认证授权访问的令牌就好不会储存在服务器里面。啪给你盖章通过认证了你可以带着这个令牌请求去访问我们服务器的资源了。 官网的网址 二、JWT令牌和Cookie客户端、Session服务端对比 简单介绍cookie和Session 服务器会为每个用户创建一个唯一的会话标识这个标识会存储在客户端的 Cookie 中。实际的会话数据则存储在服务器上可以存储用户的登录状态、购物车内容等信息。Session 通常使用内存或数据库来存储会话数据。 jwt和cookie都是用于验证用户身份和维护会话状态的机制。
1.储存位置 cookie是储存在客户端浏览器中的小型文本文件由服务器在响应中设置会把会话的各种信息都存在服务器中,会造成服务器的压力。大型的项目要分布式处理负载均衡就会不方便因为把认证信息储存在了单一的服务器上面。 jwt令牌是无状态的随时访问随时给令牌认证一次性的所以单点登录很适合。不会给服务器造成压力。
2.安全性 Cookie 存储在客户端容易受到跨站脚本攻击XSS和跨站请求伪造攻击CSRF等安全威胁。 令牌可以使用 HTTPS 加密传输可以防止在传输过程中的窃听和篡改提高了安全性。
3. 跨域 默认情况下Cookie 在同一域名下共享但有限制。 令牌可以在不同域名下共享通过跨域资源共享CORS等机制提供了更大的灵活性。
4.负担
cookie全部域名都发送到服务端会造成服务端的压力jwt令牌可以根据需要发送。
总的来说虽然 Cookie 和令牌都可以用于身份验证和会话管理但由于令牌的安全性和灵活性更高以及更适合现代 Web 应用的需求令牌机制如 JWT在很多情况下被更广泛地采用。 三、特点与注意事项
JWT 具有轻量、可传递、自包含、易于验证等特点使其成为在不同系统间安全传递信息的一种有效方式。然而使用 JWT 时仍需注意安全性问题特别是保护秘密密钥、适当的有效期设置等。 这是可被破译的里面放一些公开可以看的信息就好。不要放敏感信息比如密码等。
四、使用场景
它主要用于在不同实体之间安全地传输信息通常用作身份验证和授权的方式。 JWT 在许多应用中广泛使用特别是在无状态的分布式系统中如单页应用、移动应用和微服务。它可以在令牌中包含有关用户的信息并通过数字签名或加密来验证和保护令牌的完整性。JWT 适用于需要跨多个服务进行验证和授权的场景。 身份验证Authentication 用户登录后服务器生成一个包含用户信息的 JWT然后将 JWT 发送给客户端。客户端之后在每个请求中携带该 JWT服务器可以校验 JWT 的有效性来认证用户。 授权Authorization JWT 可以包含用户的权限信息服务器可以根据 JWT 中的权限信息控制用户对资源的访问。 信息交换Information Exchange 在不同的应用之间传递信息由于 JWT 包含了一定的信息可以用于安全地传递数据。 单点登录Single Sign-OnSSO 在多个应用间共享用户登录状态用户只需要登录一次即可访问多个应用。
优点
因为是json传输的可以跨语言使用还能在中间的载荷位置放一些不敏感的信息字节占用小传输方便不会保存在服务器里面容易扩展分布式。 五、结构组成
结构示例
a.b.c 一个 JWT 由三部分组成头部Header、载荷Payload和签名Signature。每个部分都是使用 Base64 编码的 JSON 对象它们一起形成了完整的 JWT。 头部Header 头部通常由两部分组成令牌的类型JWT和所使用的加密算法如 HMAC SHA256 或 RSA。 载荷Payload 载荷包含了需要传递的信息可以是用户的一些身份信息、权限、角色等。载荷是经过 Base64 编码的 JSON 数据。 签名Signature 签名部分使用了头部和载荷以及一个秘密密钥通过指定的加密算法进行加密。签名的目的是为了确保 JWT 没有被篡改同时也可以验证发送者的身份。
简单来说头部里面记录的是使用的是什么加密算法、和令牌的类型即jwt。
载荷里面记录的是含有三大声明注册声明iss发行者、exp到期时间、sub主题、sub受众。公开声明、私有声明这三个声明都是非必要的如果不声明载荷里面也会自动生成数据代替载荷。
签名就是在头部和载荷已经使用了加密算法后再对他们进行加密签名保证他们的数据不会被篡改。
有什么问题都可以评论区留言看见都会回复的
如果你觉得本篇文章对你有所帮助的多多支持吧
点赞收藏评论当然也可以点击文章底部的红包或者订阅付费文章创作支持一下了。抱拳了
