JWT: 基于Token的验证
现在SPA(Single Page Application, 单页面应用)和前后端分离已经是主流. 基于Token的验证非常适合这种构架.
Difference between Token-based Auth and Cookie-based Auth
基于Cookie的验证
基于Cookie的验证是有状态的 (stateful). 前后端都要为验证保存状态: 后端要保存active session的信息, 前端要用cookie保存sessionId. 流程如下:
- 用户输入登录信息
- 服务器验证后, 创建session并保存到数据库
- 带着sessionId的cookie保存到浏览器中
- 接下来的所有请求, 后台通过cookie携带的sessionId以找到对应的session.
- 用户登出时, 前后端都要销毁session
基于Token的验证
近些年SPA, web API, 和IoT(Internet of Things, 物联网)的崛起带动了基于Token的验证, 通常就是指JWT(Json Web Token)
JWT是无状态的(stateless), 后端不必保存有关session的信息. 后端只需要验证每次请求中携带的Token即可验证请求的真实性.
Token通常以Bearer {JWT}
的形式保存在Authentication header中, 也可以放到POST body或query parameter中.
流程如下:
- 用户输入登录信息
- 服务器验证后, 返回一个签名(signed)的token. 该token存储在前端, 通常在localStorage中, sessionStorage或cookie也可以.
- 接下来的请求中token被加到Authentication Header中, 或者POST body / query parameter中.
- 后台解码JWT, 若token合法, 则处理请求
- 用户登出后, token从前端销毁, 无需与后端交互.
基于Token的验证的优势
无状态, 可扩展, 解耦合
基于Token的验证是无状态的, 后端无需存储状态. 每个token自己都保存了足够的验证所需要的信息.
后台的任务只剩下对token签名和验证token两项. 如果使用auth0之类的第三方服务进行token签名, 后台则只需要验证token.
跨域问题
Cookie适用于单域名或者子域名的情况, 但是跨域的话就麻烦了. 基于Token的验证则不关心域名.
在JWT中存储数据
使用Cookie时, 你只保存一个sessionId. 但是你可以在Token中保存一些别的元数据. JWT文档中规定了一些预留/共有/私有的claim(声明, 即JWT的字段). 这意味着你可以在JWT中保存诸如userId, expiration, email, permission之类的信息.
性能
基于Cookie的验证需要依赖数据库保存session信息, 查询数据库往往比验证token要耗时得多. 而且JWT允许你存储一些常用信息, 比如用户权限, 这样又省去一些数据库查找开销.
移动设备
原生平台上, cookie的使用会遇到一些问题/限制. 但是Token在iOS或者Android上实现都非常简单. 对IoT设备这种没有cookie store概念的终端, Token更是最佳选择.
常见问题
JWT大小
JWT最大的问题是大小. 最小的JWT也比存储sessionId的cookie要大. 因此不要向JWT中加入太多claim.
JWT的存储
最常见的是存储在localStorage中. 但是localStorage中的数据无法被另一个域名或者子域名访问.
存在cookie中的一个问题是, cookie的最大尺寸是4kb, 你无法保存很多claim.
存在sessionStorage的话, 一旦用户关闭浏览器, 登录信息就被清空了.
XSS和XSRF攻击
要注意Cross Site Scripting (XSS)和Cross Site Request Forgery (XSRF or CSRF)两种攻击.
XSS攻击发生在当用户可以在你的网站/app运行自己的代码的时候. 常见情况就是你不对用户输入进行清理, 导致用户输入的恶意代码被执行. Angular等常见的框架会自动清理用户输入, 阻止用户代码的执行. 如果你没用具有这类功能的框架, 你可以选择一些插件比如caja.
对于XSRF攻击, 如果你用localStorage就不用担心. 但是如果你用cookie的话, 就要防范这类攻击. XSRF的攻击方式和解决方法见这里.
让token有较短的过期时间, 可以确保当token被偷时, 它没多久就会失效. 另外你可以维护一个被盗token的黑名单. 最后, 终极大招就是修改签名算法, 这样所有的token都会失效, 所有用户都要重新登录. 这是非正常时期的手段, 轻易勿用.
Token会被编码, 但不会被加密
Token中的header和payload是base64url编码的(注意不是base64), 它本身是用HMACSHA256算法进行签名的. 这意味着, 你存储在payload中的信息是公开的, 非加密的. 所以绝不要在token中存储密码之类的隐私信息.
如果你非要存储隐私信息, 可以使用JWE(JSON Web Encryption), 它让token无法被除了服务器以外的所有人解读. JOSE提供了一个很好的JWE框架, 还有对很多流行框架如NodeJS和Java的SDK.
参考
- Cookies vs Tokens: The Definitive Guide
- Express, Passport and JSON Web Token (jwt) Authentication for Beginners
- Web Authentication Methods Explained
- Cookies vs Tokens: The Definitive Guide
作者:柳正来
链接:https://www.jianshu.com/p/000f5896d6fd
來源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。
JWT: 基于Token的验证相关推荐
- jwttoken解码_JWT: 基于Token的验证
现在SPA(Single Page Application, 单页面应用)和前后端分离已经是主流. 基于Token的验证非常适合这种构架. Difference between Token-based ...
- 基于Token的验证方式(JWT简笔)
主要原理 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token(服务端可以吧token保存在数据库或者redis中),再把这个 Token 发送 ...
- SpringBoot集成JWT实现Token登录验证
目录 1.1 JWT是什么? 1.2 JWT主要使用场景 1.3 JWT请求流程 1.4 JWT结构 二,SpringBoot集成JWT具体实现过程 2.1添加相关依赖 2.2自定义跳出拦截器的注解 ...
- jwt生成token和验证token以及获取playload的数据,实现token拦截
jwt实现流程: 1.添加依赖: <dependency><groupId>com.auth0</groupId><artifactId>java-jw ...
- JWT生成token和验证的简单实现
给客户提供数据接口时,要求使用jwt生成token实现token认证 首先引入依赖: <!-- JWT --> <dependency><groupId>com.a ...
- JWT,springboot整合JWT完成token的验证,token的使用,java架构师技术栈
/** @author dugt1998@163.com @date 2020/11/8 12:40 */ public class JWTUtils { //签名 自己项目中的签名 private ...
- java实现登录验证机制的技术_基于token的登陆验证机制
session简介 做过Web开发的程序员应该对Session都比较熟悉,Session是一块保存在服务器端的内存空间,一般用于保存用户的会话信息. 用户通过用户名和密码登陆成功之后,服务器端程序会在 ...
- 用户数据表设计借鉴 浅谈数据库用户表结构设计,第三方登录 基于 Token 的身份验证
最近对用户数据表的设计比较感兴趣,看到了两篇比较好的文章. 浅谈数据库用户表结构设计,第三方登录 转载于: https://www.cnblogs.com/jiqing9006/p/5937733.h ...
- token验证_java基于token的身份验证?读完之后,大部分程序员收藏了...
什么是token? token相当于是一个令牌,在用户登录的时候由服务器端生成(基于用户名.时间戳.过期时间.发行者等信息进行签名),然后发放给客户端,客户端将令牌保存,在以后需要登录验证的请求中都需 ...
最新文章
- 我终于加上博士大佬的微信!攒了近百个技术问题,一口气解决!(文末有福利)...
- AI学高数达到MIT本科水平,学了微积分线性代数概率论等6门课,不光能做题还能出题...
- IDEA小技巧:Debug条件断点
- 【网址收藏】linux namespace和cgroup
- CentOS7下搭建yum仓库
- 公共语言运行库(CLR)和中间语言(IL)(一)
- no cortex-m sw device found_SW大模块水箱桂林厂家图纸
- 合数分解1(C语言)
- rabbitmq视频教程,面试官:
- 【繁琐工作自动化】pandas 处理 excel 文件
- Django 查询表的几种方式
- 随机森林matlab实现
- 浅谈Java栈内存和堆内存
- 什么是OEM、ODM、OBM
- 200道常见java知识点总结,问题+答案(转)
- lch 儿童围棋课堂 启蒙篇 (李昌镐 著)
- 贴吧防删图应该怎么学?【万能的小胡】
- 向量检索milvus之一:以图搜图
- 手把手教你使用Travis CI自动部署你的Hexo博客到Github上
- 苹果cms8整合dplayer播放器
热门文章
- html设置根rem,经过js动态设置根元素的rem方案
- 注册app短信验证平台_短信验证码平台能免费测试吗?怎么测试?
- java 毫秒转为日期_java将毫秒转化为日期
- php前面有人排队,PHP实现打印类(实现队列排队打印)
- linux磁盘管理原理,Linux操作系统中磁盘存储区管理的原理与技巧
- python面向对象类属性_python面向对象之类属性和类方法案例分析
- java lambda表达式_恕我直言你可能真的不会java第1篇:lambda表达式会用了么?
- python数据挖掘主要特点_【Python数据挖掘】第六篇--特征工程
- 【vue插件篇】vue-form-check 表单验证
- 通过 “函数对象”看javascript函数