博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
JWT(Json web token)
阅读量:6028 次
发布时间:2019-06-20

本文共 1101 字,大约阅读时间需要 3 分钟。

首先了解一下JWT使用过程:

Token 是服务器端在验证客户端user_id/pwd 没问题后, 签发给客户端的, 作为标示该用户的一个令牌, 之后客户端就使用该令牌和服务器端进行交互.  
Token的根本作用:
就一点: 用于服务器端标示是哪个用户的请求
JWT 安全吗?
基本上很安全, 否则就没有人用了, 具体分析:
1. JWT 令牌可以防止信息伪造, 服务器在生成token中的signature部分, 可以使用一些高级的加密算法, 比如使用HMAC算法 + Secret key, 因为Secret key是只有服务器知道, 所以别人仿造不了. 随意仿造, JWT token的完整性就改变了.
2. JWT 令牌可以防止重放攻击. JWT不好伪造, 如果整个token被人直接套牌不也可以吗? token中增加失效期设置, 这样就缩小了重放攻击的窗口.
3. token 作为 http head的 authentication 取值, 本身是明文的, 可以上 https, 这样 token 也被加密了. 在公网下, https是必须的, 尤其是登录环节, 明文提交用户名/密码明文太可怕了.
关于防止被套牌, 除了增加失效期属性, 还可以做进一步工作, 具体为:
  客户端请求令牌时候, 不仅需要提交 user_id/pwd, 而且需要提交一个 device_id, 也就是说 user_id对应一个有效的令牌, 同时在server端的user表中将token和device_id都存下来, 如果下次客户端来自其他设备, 查询 user表中的token和device_id, 如果请求中的token或device_id和user表不一致, 清空user表的token, 即在服务器端强制标记该token失效.
  除非安全要求很严, 否则不推荐这么复杂的作法,JWT的token本来可以在server端通过算法验证的, 不需要查询数据表, 而现在引入了数据表, 如果觉得这个方式丑陋, 可以持久化到redis而不是user表中.
 

================================

更多文档  
================================
基于Token的WEB后台认证机制 http://www.cnblogs.com/xiekeli/p/5607107.html
JSON Web Token (JWT) 简介 https://mozillazg.github.io/2015/06/hello-jwt.html
jwt官网 https://jwt.io

你可能感兴趣的文章
Java虚拟机调优
查看>>
Python之路--------->print&input
查看>>
C++ 容器vector的范例学习
查看>>
Windows 8的圣战
查看>>
第六天 选择与循环语句
查看>>
MIME文件类型格式--汇总
查看>>
Windows server 2008 处理多用户在登陆时显示问题
查看>>
Oracle 触发器使用实例
查看>>
php emoji utf8转unicode
查看>>
fstab挂载表
查看>>
我的友情链接
查看>>
ERROR: Failed to load /usr/local/ERL_LIBS_FILE/esdl/rebar.config
查看>>
大家欢迎关注
查看>>
docker 异常:“fork/exec /proc/self/exe: no such file”
查看>>
Configure DHCP-relay on Cisco ASA
查看>>
随机点名1
查看>>
chcon命令 selinux 配置等
查看>>
fail2ban防止暴力破解
查看>>
跟互联力量学Asp.net MVC3-安装和创建
查看>>
在vmware esx平台创建windows 2003 server群集时无法找到共享磁盘的解决方法
查看>>