如何保证JWT token 的安全性和用户登录状态的保存

时间: 2023-02-09 09:42:15 浏览: 153

django使用JWT保存用户登录信息

### Django 使用 JWT 保存用户登录信息详解 #### 一、JWT 概念及应用场景 JWT (JSON Web Token) 是一种开放标准（RFC 7519），它定义了一种无状态、自包含的机制，用于在各方之间以 JSON 对象的形式安全地传输信息。这种信息可以被验证和信任，因为它是数字签名的。JWT 的典型用途是作为 Web 应用程序之间的用户登录凭证，但也可用于其他目的，如服务与服务之间的通信。 **特点：** 1. **无状态性：**JWT 不依赖数据库或其他服务器状态来验证其有效性。 2. **紧凑性：**JWT 通常比 JSON 格式更小，因为它不包含空白字符，并且使用 URL 安全的 Base64URL 字符集。 3. **安全性：**JWT 可以使用密钥（对称算法）或公私钥对（非对称算法）进行签名。 #### 二、JWT 在 Django 中的应用在 Django 中集成 JWT 主要有以下几个步骤： 1. **安装 djangorestframework-jwt：** ```bash pip install djangorestframework-jwt ``` 2. **配置 Django settings.py 文件：** ```python REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_jwt.authentication.JSONWebTokenAuthentication', # JWT 认证 'rest_framework.authentication.SessionAuthentication', # 管理后台使用 'rest_framework.authentication.BasicAuthentication', ), } JWT_AUTH = { # 导包：import datetime 'JWT_EXPIRATION_DELTA': datetime.timedelta(days=1), # JWT 有效时间 } ``` 3. **生成 JWT：** Django 使用 `djangorestframework-jwt` 来生成 JWT。具体操作如下： ```python from rest_framework_jwt.settings import api_settings jwt_payload_handler = api_settings.JWT_PAYLOAD_HANDLER # 生成 payload 部分的方法 jwt_encode_handler = api_settings.JWT_ENCODE_HANDLER # 生成 JWT 的方法 # user：登录的用户对象 payload = jwt_payload_handler(user) # 生成 payload, 得到字典 token = jwt_encode_handler(payload) # 生成 JWT 字符串 ``` 生成 JWT 后，可以通过 JSON 字符串的方式返回给前端。 4. **前端保存 JWT：** 前端有两种方式储存数据：`localStorage` 和 `sessionStorage`。它们的主要区别在于： - `localStorage`：持久化数据存储；不同页面数据共享。 - `sessionStorage`：临时存储，关闭页面或浏览器后会被清除。（注意：读取 `sessionStorage` 的数据时，仅当前页面（窗口）有效）例如： ```javascript sessionStorage.setItem('token', token); // 保存数据 var token = sessionStorage.getItem('token'); // 读取数据 sessionStorage.clear(); // 清除所有 sessionStorage 保存的数据 sessionStorage.removeItem('token'); // 删除特定键值 ``` 5. **前端发送 JWT：** 前端可以通过请求头把 JWT 带上，传给服务端。例如使用 Axios 发送请求： ```javascript var config = { headers: { // 请求头 'Authorization': 'JWT ' + this.token // JWT 后面有一个空格！ }, }; axios.get('http://api.example.com/data', config) .then(response => { console.log(response.data); }) .catch(error => { console.error(error); }); ``` 6. **校验 JWT：** 服务端接收到 JWT 后会对其进行校验。如果 JWT 被篡改或者已经过期，则校验失败。这部分功能通常由 `djangorestframework-jwt` 自动处理。 #### 三、总结使用 JWT 进行用户身份验证是一种高效、安全的方法。通过将用户信息编码到 JWT 中，可以减少与服务器的交互次数，提高应用性能。在 Django 中，使用 `djangorestframework-jwt` 插件可以方便地实现 JWT 的签发、保存和校验过程。这种方法非常适合需要频繁身份验证的 RESTful API 场景，也适用于移动应用等客户端。此外，JWT 的自包含特性使得它非常适合跨域资源共享（CORS）和分布式系统中的身份验证。

JWT (JSON Web Token) 是一种常用的用于在后端 API 与客户端之间传递身份验证信息的方式。为了保证 JWT 的安全性，你可以采用以下几种方法： 1. 使用 HTTPS：JWT 会在客户端和服务端之间通过 HTTP 协议传输，所以为了防止中间人攻击，你应该使用 HTTPS 保护 JWT 的传输过程。 2. 使用长期有效的 JWT：JWT 可以指定一个有效期，在这段时间内 JWT 仍然有效。为了防止 JWT 被暴力破解，你应该尽量设置 JWT 的有效期较长，比如几个月或者几年。 3. 在 JWT 中存储有限的信息：JWT 可以存储一些有限的信息，比如用户 ID。为了防止 JWT 中存储的敏感信息被泄露，你应该尽量在 JWT 中只存储有限的信息。 4. 使用加盐哈希加密算法：JWT 中的签名部分是为了验证 JWT 的完整性和真实性的。为了防止 JWT 被篡改，你应该使用加盐哈希加密算法，比如 HMAC-SHA256 或者 PBKDF2。 5. 在服务端保存 JWT 的黑名单：当用户退出登录或者 JWT 过期时，你可以将 JWT 加入黑名单，防止 JWT 被再

阅读全文

如何保证JWT token 的安全性和用户登录状态的保存

相关推荐

thinkphp框架使用JWTtoken的方法详解

JWT token 的安全性和用户登录状态的保存代码

详解JWT token心得与使用实例

JWT 生成Token实战验证

SpringBoot集成JWT实现token验证-源码

Spring Boot与JWT框架整合，实现无状态Token认证

JWT Token的持久化存储解决方案

JWT认证流程详解：从用户登录到生成Token

权限管理项目实战：基于JWT的Token认证与无状态会话管理

基于JSON Web Token（JWT）的单点登录实现

jwt token自动续期

jwttoken的原理

jwt token的区别

2009-2023年上市公司企业客户ESG数据-最新出炉.zip

++i和i++d的区别.docx

本文以竞赛心态的调整为开端，以常数时间优化为基础，以数学分析与猜想为指导思想，. 以非完美算法为主要策略，以搜索为最后的万能策略

电调测试程序 https://blog.csdn.net/weixin-45902229/article/details/121

percona-xtrabackup-2.4.28-1.ky10.x86-64.rpm

Pluto+: 开源SDR设备的使用指南及调制解调教程

最新推荐

Java 多用户登录限制的实现方法

SpringBoot+Vue+Redis实现单点登录(一处登录另一处退出登录)

2009-2023年上市公司企业客户ESG数据-最新出炉.zip

++i和i++d的区别.docx

本文以竞赛心态的调整为开端，以常数时间优化为基础，以数学分析与猜想为指导思想，. 以非完美算法为主要策略，以搜索为最后的万能策略

IEEE 14总线系统Simulink模型开发指南与案例研究

管理建模和仿真的文件

【数据安全黄金法则】：R语言中party包的数据处理与隐私保护

Takagi-Sugeno模糊控制方法的原理是什么？如何设计一个基于此方法的零阶或一阶模糊控制系统？

STLinkV2.J16.S4固件更新与应用指南