2. 程式人生 > >Rust : Json Web Token

Rust : Json Web Token

阿新 發佈:2018-11-25

JWT的原理

見相關資料:
https://zhuanlan.zhihu.com/p/27370773
https://zhuanlan.zhihu.com/p/43094841

原理:

三部分:頭部(header)載荷(payload)簽證(sign)

其中載荷中:
標準中註冊的宣告:
iss:jwt簽發者
sub:jwt所面向的使用者
aud:接收jwt的一方
exp:jwt的過期時間,這個過期時間必須大於簽發時間
nbf:定義在什麼時間之前,該token都是不可用的
iat:jwt的簽發時間
jti:jwt的唯一身份標識,避免重複



JWT的相關特點

優點
> 不需要儲存在伺服器的session中,更容易擴充套件伺服器由於使用者資訊可以放入token中,所以可以少了一次資料庫 / 快取的查詢操作,有更好的效能不需要預防CSRF的攻擊

不足
> token一經洩露或者被盜取,將會暴露該使用者

建議

> token的過期時間,不宜過長
> 非常重要的操作,需要手機驗證碼,支付密碼等二次驗證作為保險 
> 儘量使用 https


https://zhuanlan.zhihu.com/p/43094841
// Header
{
  "alg": "HS256",
  "typ": "JWT"
}

// Payload負載: iss(簽發者),exp(過期時間戳), sub(面向的使用者), aud(接收方), iat(簽發時間)
{
  "iss": "a.com",
  "exp": "1d",
  "http://a.com": true,
  "company": "A",
  "awesome": true
}

// Signature
HS256(Base64(Header) + "." + Base64(Payload), secretKey)

// JWT
JWT = Base64(Header) + "." + Base64(Payload) + "." + $Signature

Rust中JWT的庫見https://github.com/Keats/jsonwebtoken。
相關庫的樣例程式碼如下:

use std::{thread, time};
extern crate jsonwebtoken as jwt;
#[macro_use]
extern crate serde_derive;

use jwt::errors::ErrorKind;
use jwt::{decode, encode, Algorithm, Header, Validation};

#[derive(Debug, Serialize, Deserialize)]
struct Claims {
    sub: String,
    company: String,
    exp: usize,
}

fn main() {
    let sleep_seconds = time::Duration::from_secs(1000);
    let my_claims = Claims {
        sub: "
 
[email protected]".to_owned(),
        company: "ACME".to_owned(),
        exp: 10000000000,
    };
    let key = "secret";

    let mut header = Header::default();
    header.kid = Some("signing_key".to_owned());
    header.alg = Algorithm::HS512;

    let token = match encode(&header, &my_claims, key.as_ref()) {
        Ok(t) => t,
        Err(_) => panic!(), // in practice you would return the error
    };
    println!("token:{:?}", token);

    let token_data =
        match decode::<Claims>(&token, key.as_ref(), &Validation::new(Algorithm::HS512)) {
            Ok(c) => c,
            Err(err) => match *err.kind() {
                ErrorKind::InvalidToken => panic!(), // Example on how to handle a specific error
                _ => panic!(),
            },
        };
    println!("claims:{:?}", token_data.claims);
    println!("header:{:?}", token_data.header);
    println!("jwt, i am learning it!");
    thread::sleep(sleep_seconds);
}

相關推薦

Rust : Json Web Token

JWT的原理 見相關資料: https://zhuanlan.zhihu.com/p/27370773 https://zhuanlan.zhihu.com/p/43094841 原理: 三部分:頭部(header)載荷(payload)簽證(sign)

使用json web token

undefined this dmi ber sub 數據庫 說明 nat publish 由來 做了這麽長時間的web開發,從JAVA EE中的jsf,spring,hibernate框架,到spring web MVC,到用php框架thinkPHP,到現在的nodej

[轉]八幅漫畫理解使用JSON Web Token設計單點登錄系統

漫畫 響應 嘗試 占用 tao 自己的 解碼 -a 發送 上次在《JSON Web Token - 在Web應用間安全地傳遞信息》中我提到了JSON Web Token可以用來設計單點登錄系統。我嘗試用八幅漫畫先讓大家理解如何設計正常的用戶認證系統,然後再延伸到單點登錄系統

利用Redis撤銷JSON Web Token產生的令牌

redis數據庫 pre 是否 pop 實例 撤銷 logo send .post 利用Redis撤銷JSON Web Token產生的令牌 作者:chszs。版權全部。未經允許,不得轉載。博主主頁:http://blog.csdn.net/chszs

什麽是JWT(JSON WEB TOKEN

加密 string style 直接 協議 策略 ade aud images 什麽是JWT Json web token(JWT)是為了網絡應用環境間傳遞聲明而執行的一種基於JSON的開發標準(RFC 7519),該token被設計為緊湊且安全的,特別適用於分

JWT--JSON WEB TOKEN

hmac 授權 消費者 隨著 相關 數據 cors 服務器端 容易 轉自簡書 http://www.jianshu.com/p/576dbf44b2ae 什麽是JWT Json web token (JWT), 是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標

JWT(JSON WEB TOKEN) / oauth2 / SSL

bash 字符 維護 ssl 信息 簡單 角色 ron 保存會話 1: JWT:   為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準((RFC 7519).該token被設計為緊湊且安全的,特別適用於分布式站點的單點登錄(SSO)場景。JWT的聲明一般被用來

JWT JSON Web Token

bubuko 可靠的 分組 使用 dig pan alt 可靠 stringify JWT(JSON Web Token) 允許我們使用JWT在用戶和服務器之間傳遞安全可靠的信息的規範。 JWT由三個部分組成:header(頭部)、payload(載荷)、signature

深入淺出JWT(JSON Web Token )

sha 安全 nature 調試器 orm 攔截 們的 登錄 長度限制 1. JWT 介紹 JSON Web Token(JWT)是一個開放式標準(RFC 7519),它定義了一種緊湊(Compact)且自包含(Self-contained)的方式,用於在各方之間以JSON

Json Web Token(JWT)

.json import form hid color 執行 加密方法 isa dep Json web token (JWT),是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準((RFC 7519)。該token被設計為緊湊且安全的,特別適用於分布式站點的

JSON Web Token的使用(轉載)

過期 多臺 hcm 完整 協議 客戶端 word https協議 rod 定義JSON Web Token(JWT)是一個非常輕巧的規範。這個規範允許我們使用JWT在用戶和服務器之間傳遞安全可靠的信息。適用場景1、用於向Web應用傳遞一些非敏感信息。例如完成加好友、下訂單的

[認證授權] 2.OAuth2授權(續) & JWT(JSON Web Token)

har 表示 一個 wii body 是什麽 ibm 其他 user 1 RFC6749還有哪些可以完善的? 1.1 撤銷Token 在上篇[認證授權] 1.OAuth2授權 中介紹到了OAuth2可以幫我們解決第三方Client訪問受保護資源的問題,但是只提供了如何獲

JSON Web Token - 在Web應用間安全地傳遞信息

tps 數據 symbol 五個 example 分享 不可 什麽 attr JSON Web Token(JWT)是一個非常輕巧的規範。這個規範允許我們使用JWT在用戶和服務器之間傳遞安全可靠的信息。 讓我們來假想一下一個場景。在A用戶關註了B用戶的時候,系統發郵件給B用

JWT (JSON WEB Token)正確使用場景

頁面包含 eth token 生成 example 各類 場景 bottom container https://www.jianshu.com/p/af8360b83a9f 講真,別再使用JWT了! ThoughtWorks中國 2017.08.16 08

Json Web Token(JWT)詳解

再次 即使 設備 系統 客戶 利用 fck 第三方服務 ont 什麽是Json Web Token Json web token (JWT), 是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準((RFC 7519).該token被設計為緊湊且安全的,特別

API安全驗證之JWT(JSON WEB TOKEN) OLCMS

假如www.olcms.com/getUserInfo獲取使用者資訊,你怎麼知道當前使用者是誰?有人說登陸時候我把他UID寫入session了,如果是API介面,沒有session怎麼辦,那麼就需要把UID帶到引數裡面,如果直接帶裡面,安全怎麼辦?所以我們需要加密成別人看不懂的字串,這就是JWT(JSON W

JSON Web Token實戰篇——基於koa開發WEB後臺認證機制

今天來說說JSON Web Token,JSON Web Token(縮寫 JWT)是目前最流行的跨域認證解決方案。關於它的介紹,可以看阮一峰的這篇文章JSON Web Token 入門教程 工作流程 這裡直接使用官網的圖 知道了JWT的原理後,我們來看一下如何基於koa開發web

理解JWT(JSON Web Token)認證及python實踐

原文:https://segmentfault.com/a/1190000010312468?utm_source=tag-newest 幾種常用的認證機制 HTTP Basic Auth HTTP Basic Auth 在HTTP中,基本認證是一種用來允許Web瀏覽器或其他客戶端程式在請求時

JWT(Json Web Token)框架 jjwt 教程

JSON Web Token(JWT)是一個非常輕巧的規範。這個規範允許我們使用JWT在使用者和伺服器之間傳遞安全可靠的資訊。和 Cookie-Session 的模式不同,JSON Web Token(JWT)使用 Token 替換了 SessionId 的資源訪問和狀態的保持。基於JWT

基於 Token 的身份驗證:JSON Web Token

最近了解下基於 Token 的身份驗證,跟大夥分享下。很多大型網站也都在用,比如 Facebook,Twitter,Google+,Github 等等, 比起傳統的身份驗證方法,Token 擴充套件性更強