(关于JWT kid安全部分后期整理完毕再进行更新~2023.05.16)
JWT的原理、渗透与防御
含义
JWT全称为Json web token,是为了在网络应用环境间传递声明而执行的一中基于JSON的开放标准。常用于分布式站点的单点登录。
JWT的声明一般被用在客户端与服务端之间传递身份认证信息,便于向服务端请求资源。
(我理解就是token验证的一种数据格式)
原理
-
客户端提交用户名密码等信息到服务端请求登录,服务端在验证通过后前发一个具有时效性的token,将token返回给客户端
-
客户端收到token后会将token存储在cookie或localStorage中
-
随后客户端每次请求都会携带这个token,服务端收到请求后校验该token并在验证通过后返回对应资源
JWT的起源
有需求必然有其存在的道理,关于JWT的出现要先理解一下什么是传统session认证。
session认证
解决http协议本身并不能记录状态问题,session在每一次会话开始时产生,用于存放会话信息,每个session以键值对的方式生成(session_id=session),将session_id以cookie的形式(set-cookie)返回给客户端,客户端再次请求时携带session_id,服务端根据session_id使用对应的session作为认证信息为客户端响应对应服务。文章来源:https://www.toymoban.com/news/detail-447554.html
听起来好像和JWT的原理差不多?不都是每一次会话的身份信息服务端发给客户端,存储在cookie当中,只是存储格式的差异么,一个是键值对,一个是json(严谨来说json也是键值对)。不急文章来源地址https://www.toymoban.com/news/detail-447554.html
到了这里,关于JWT(Json Web Token)的原理、渗透与防御的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!