Jeton d'autorisation utilisant l'exemple de jeton WEB JSON

https://proglib.io/p/jwt-for-dummies/
https://proglib.io/p/jwt-for-dummies/

Bonne journée, cher lecteur. Dans cet article, j'essaierai de parler de l'une des méthodes d'autorisation les plus populaires (aujourd'hui) dans diverses applications client-serveur - le jeton d'autorisation. Et nous l'envisagerons en utilisant l'exemple de l'implémentation la plus populaire - JSON Web Token ou JWT.






introduction

, : . - .





- , , , . , , - , , %user_name%, , .





, . , - , - . 





: , , , - .





. , HTTP( HTTPS) , HTTP , , , : , , . , - JSON Web Tokens (JWT). ( ), , .





. JSON Web Tokens (JWT) , JWT , .





JSON Web Token (JWT) — (RFC 7519) , JSON. 









( ) , , ID, , . , .





, JWT. , , , , . 2 : access token refresh token ( , access token). , , . , API access token. , , ( , , ), , , . JSON Web Tokens.





https://habr.com/ru/post/336082/
https://habr.com/ru/post/336082/

. , JWT , :





  1. (header)





  2. (playload)





  3. (signature)









funnytorimage.pw
funnytorimage.pw





. , , , JWT. JSON ,  Base64-URL  :





eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

:





{"alg":"HS256","typ":"JWT"}
      
      







: alg typ. typ , , JWT , , JWT(2.0), JWT. alg . HMAC SHA-256, , , HS256. , . , , JWT, , RS256. - . .





. - JSON , , base64.  (playload) :





eyJ1c2VyX2lkIjoxLCJleHAiOjE1ODEzNTcwMzl9

JSON :





{"user_id":1,"exp":1581357039}
      
      



. , :





iss - , .





user_id - , .





, exp. , ( , ). , , , . , is_admin is_preferUser, , , . , , , , . JWT.





, , . - (). : , , , , , , , ( alg ), HMAC-SHA256, ( , ) . , base64, . . API , , . , , , , , . , , , %user_name% .





Refresh Token

- , refresh token. , - . , 10-30 . : , , . , : . , , , %user_name%, access token , . . access token refresh token. ( ) . access token refresh token , , - , , - . refresh token , , , , . .





Conclusion

Dans cet article, j'ai essayé d'examiner en détail le travail des applications client-serveur avec un jeton d'accès, en utilisant spécifiquement le jeton Web JSON (JWT) comme exemple. Encore une fois, je voudrais noter avec quelle facilité comparative, mais en même temps une bonne fiabilité, le token permet de résoudre les problèmes d'authentification et d'autorisation, qui l'ont rendu si populaire. Merci pour votre temps.





Liens utiles

  1. 5 étapes faciles pour comprendre les jetons Web JSON (JWT)





  2. JWT - comme moyen sécurisé d'authentifier et de transférer des données





  3. Sécuriser les applications React Redux avec des jetons JWT





  4. Pourquoi ai-je besoin d'un jeton d'actualisation s'il existe un jeton d'accès?












All Articles