el_*_*yan 8 authentication restful-authentication jwt
除了结构和协议之外,我想知道JWT在哪里适合客户端/服务器通信?
Mvd*_*vdD 12
JWT只是一种流行的基于JSON的安全令牌格式.
JWT令牌不是为了取代会话cookie而发明的.它们主要用于保护Web API(请求数据).另一方面,会话cookie用于Web应用程序,您可以在其中登录用户并自动发送每个请求(请求页面)的cookie.
作为承载认证方案的一部分,JWT令牌包含在授权HTTP头中.使用承载方案身份验证的主要优点是它不容易受到CSRF攻击,因为您的脚本需要将令牌显式附加到请求,并且可以跨域使用(与cookie不同).
承载方案身份验证确实需要HTTPS连接,因为只要令牌有效,任何设法窃取令牌的人都可以使用它来访问API.
OAuth2等安全协议使用JWT令牌来保护API.OpenID Connect使用JWT令牌对Web应用程序进行身份验证,但将令牌存储在cookie中.
由于JWT令牌由颁发者(进行身份验证的服务器)进行数字签名,因此可以在不与服务器再次通信的情况下对其进行验证.
这是一个令牌只有服务器可以生成,并可以包含数据的有效载荷。
JWT有效负载可以包含用户ID之类的内容,这样,当客户端向您发送JWT时,您可以确定它是由您发布的,并且您可以看到向谁发布的。
通常,在RESTful API中,服务器不得使用任何类型的会话。
在典型的会话流中,浏览器发送一个包含令牌的cookie,然后将其在服务器上与服务器用来验证用户身份的某些数据进行匹配。
在JWT流中,令牌本身包含数据。服务器解密令牌以仅认证用户。服务器上未存储任何数据。
/signin/signin 返回一个JWTlocalStorage| 归档时间: |
|
| 查看次数: |
3478 次 |
| 最近记录: |