一加Ace2 Pro官宣:普及16G內存 引領24G
一加官方今天繼續為本月發布的新機一加Ace2 Pro帶來預熱,公布了內存方面的信息。“淘汰 8GB ,12GB 起步,16GB 普及,24GB 引領,還有呢?#一加Ace2Pro#,2023 年 8 月,敬請期待。”同時
我們在做應用系統時避免不了用戶的認證授權,說簡單點就是:認證你是誰,授權你有什么權限。在這里先來談談用戶的認證,目前常用的認證方式有兩種:基于session認證、基于token認證。
JWT(JSON Web Token)是一個開放的行業標準(RFC 7519),自身包含了身份驗證所需要的所有信息,因此我們的服務器不需要存儲用戶Session信息。這顯然增加了系統的可用性和伸縮性,大大減輕了服務端的壓力。可以看出JWT更符合設計RESTful API時的Stateless(無狀態)原則。并且使用JWT認證可以有效避免CSRF攻擊,因為JWT一般是存在在localStorage中,使用JWT進行身份驗證的過程中是不會涉及到Cookie的。
圖片
JWT本質上是一組字串,通常是這樣的:xxxxx.yyyyy.zzzzz,通過(.)切分成三個為Base64編碼的部分:
使用Header里面指定的簽名算法(默認是 HMAC SHA256)生成。
示例:
圖片
可以通過https://jwt.io對上述JWT進行解碼,解碼之后便可得到Header、Payload、Signature這三部分。Header和Payload都是JSON格式的數據,Signature由Payload、Header和Secret(密鑰)通過特定的計算公式和加密算法得到。
圖片
通常由兩部分組成。
示例:
圖片
JSON形式的Header被轉換成Base64編碼,成為JWT的第一部。
包含了三種類型的聲明。
下面是一些常見的注冊聲明:
示例:
圖片
Payload部分默認是不加密的,一定不要將隱私信息存放在 Payload 當中!!!
JSON 形式的Payload被轉換成Base64編碼,成為JWT的第二部分。
對前兩部分的簽名,作用是防止JWT(主要是payload)被篡改。簽名的生成需要用到:Header+Payload、存放在服務端的密鑰(一定不要泄露出去)、簽名算法。簽名的計算公式如下:
圖片
算出簽名以后,把 Header、Payload、Signature三個部分拼成一個字符串,每個部分之間用"點"(.)分隔,這個字符串就是JWT。
在基于JWT進行身份驗證的的應用程序中,服務器通過 Payload、Header和Secret(密鑰)創建JWT并將JWT發送給客戶端。客戶端接收到JWT之后,會將其保存在Cookie或者localStorage里面,以后客戶端發出的所有請求都會攜帶這個令牌。
圖片
簡化后的步驟如下:
1.用戶向服務器發送用戶名、密碼以及驗證碼用于登陸系統。
2.如果用戶用戶名、密碼以及驗證碼校驗正確的話,服務端會返回已簽名的Token,也就是JWT。
3.用戶以后每次向后端發請求都在Header中帶上這個JWT。
4.服務端檢查JWT并從中獲取用戶相關信息。
兩點建議:
1.建議將JWT存放在localStorage中,放在Cookie中會有CSRF風險。
2.請求服務端并攜帶JWT的常見做法是將其放在HTTP Header的Authorization字段中(Authorization:Bearer Token)
服務器返回簽名之后,即使JWT被泄露或者截獲,黑客也沒辦法同時篡改Signature、Header、Payload。
這是為什么呢?因為服務端拿到JWT之后,會解析出其中包含的Header、Payload 以及Signature。服務端會根據Header、Payload、密鑰再次生成一個Signature。拿新生成的Signature和JWT中的Signature作對比,如果一樣就說明Header和Payload沒有被修改。
不過,如果服務端的秘鑰也被泄露的話,黑客就可以同時篡改Signature、Header、Payload了。黑客直接修改了Header和Payload之后,再重新生成一個Signature就可以了。
?注意:密鑰一定保管好,一定不要泄露出去。JWT安全的核心在于簽名,簽名安全的核心在密鑰。
1.使用安全系數高的加密算法。
2.使用成熟的開源庫,沒必要造輪子。
3.JWT存放在localStorage中而不是Cookie中,避免CSRF風險。
4.一定不要將隱私信息存放在Payload當中。
5.密鑰一定保管好,一定不要泄露出去。JWT安全的核心在于簽名,簽名安全的核心在密鑰。
6.Payload要加入exp(JWT的過期時間),永久有效的JWT不合理。并且JWT的過期時間不易過長。
- 優點
1.無狀態:自身攜帶用戶信息,不需要在服務器上保存session信息。
2.可有效避免CSRF攻擊:CSRF攻擊需要依賴Cookie,然而JWT選擇存放在localStorage中,因此非法鏈接無法獲取JWT。
- 缺點
1.不可控:就比如說,我們想要在JWT有效期內廢棄一個JWT或者更改它的權限的話,并不會立即生效,通常需要等到有效期過后才可以。再比如說,當用戶Logout的話,JWT也還有效。
在“約定優于配置,配置優于編碼”的開發理念下,通過Apollo配置中心,程序員不需要每次更改線上配置都要重新發布服務,成功實現了將配置與編碼解耦,為線上服務變更配置提供了解決方案。
本文鏈接:http://www.www897cc.com/showinfo-26-52590-0.html一文讀懂JWT
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
上一篇: 微服務開發,這十個點你要知道
下一篇: 15個跨平臺的VS Code插件
Copyright ? 2016-2023 天津谷騏科技有限公司 版權所有 sitemap.xml
違法及侵權請聯系:2376512515@qq.com 津ICP備18001702號
津公網安備 12010102000574號