前不久研究websocket时发现port-swigger出了新的靶场，一看，发现是关于jwt安全的，刚好来总结回忆一下JWT简介Jsonwebtoken(JWT)，是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（RFC7519）RFC7519:https://datatracker.ietf.org/doc/html/rfc7519他定义了一种紧凑且自包含的方式，用于在各方之间安全地传输信息作为JSON对象，特别适用于分布式站点的单点登录（SSO）场景JWT与cookie/session的异同● JWT与cookie/session一样，都是作用于前后端认证● cookie

前不久研究websocket时发现port-swigger出了新的靶场，一看，发现是关于jwt安全的，刚好来总结回忆一下JWT简介Jsonwebtoken(JWT)，是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（RFC7519）RFC7519:https://datatracker.ietf.org/doc/html/rfc7519他定义了一种紧凑且自包含的方式，用于在各方之间安全地传输信息作为JSON对象，特别适用于分布式站点的单点登录（SSO）场景JWT与cookie/session的异同● JWT与cookie/session一样，都是作用于前后端认证● cookie

概述JWT，JavaWebToken，通过JSON形式作为Web应用中的令牌，用于在各方之间安全地将信息作为JSON对象传输，在数据传输过程中还可以完成数据加密、签名等相关处理JWT的作用如下：授权：一旦用户登录，每个后续请求将包括JWT，从而允许用户访问该令牌允许的路由，服务和资源信息交换：JSONWebToken是在各方之间安全地传输信息的好方法，因为可以对JWT进行签名，此外，由于签名是使用标头和有效负载计算的，因此还可以验证内容是否篡改传统的Session认证1.认证方式http协议本身是一种无状态协议，这就意味着如果用户向我们的应用提供了用户名和密码进行认证，那么下次请求时还需再作一

概述JWT，JavaWebToken，通过JSON形式作为Web应用中的令牌，用于在各方之间安全地将信息作为JSON对象传输，在数据传输过程中还可以完成数据加密、签名等相关处理JWT的作用如下：授权：一旦用户登录，每个后续请求将包括JWT，从而允许用户访问该令牌允许的路由，服务和资源信息交换：JSONWebToken是在各方之间安全地传输信息的好方法，因为可以对JWT进行签名，此外，由于签名是使用标头和有效负载计算的，因此还可以验证内容是否篡改传统的Session认证1.认证方式http协议本身是一种无状态协议，这就意味着如果用户向我们的应用提供了用户名和密码进行认证，那么下次请求时还需再作一

概述JWT，JavaWebToken，通过JSON形式作为Web应用中的令牌，用于在各方之间安全地将信息作为JSON对象传输，在数据传输过程中还可以完成数据加密、签名等相关处理JWT的作用如下：授权：一旦用户登录，每个后续请求将包括JWT，从而允许用户访问该令牌允许的路由，服务和资源信息交换：JSONWebToken是在各方之间安全地传输信息的好方法，因为可以对JWT进行签名，此外，由于签名是使用标头和有效负载计算的，因此还可以验证内容是否篡改传统的Session认证1.认证方式http协议本身是一种无状态协议，这就意味着如果用户向我们的应用提供了用户名和密码进行认证，那么下次请求时还需再作一

概述JWT，JavaWebToken，通过JSON形式作为Web应用中的令牌，用于在各方之间安全地将信息作为JSON对象传输，在数据传输过程中还可以完成数据加密、签名等相关处理JWT的作用如下：授权：一旦用户登录，每个后续请求将包括JWT，从而允许用户访问该令牌允许的路由，服务和资源信息交换：JSONWebToken是在各方之间安全地传输信息的好方法，因为可以对JWT进行签名，此外，由于签名是使用标头和有效负载计算的，因此还可以验证内容是否篡改传统的Session认证1.认证方式http协议本身是一种无状态协议，这就意味着如果用户向我们的应用提供了用户名和密码进行认证，那么下次请求时还需再作一

DjangoRESTframeworkJWT在用户注册或登录后，我们想记录用户的登录状态，或者为用户创建身份认证的凭证。我们不再使用Session认证机制，而使用JsonWebToken认证机制。Jsonwebtoken(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC7519).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者（客户端）和服务提供者（服务端）间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于身份

DjangoRESTframeworkJWT在用户注册或登录后，我们想记录用户的登录状态，或者为用户创建身份认证的凭证。我们不再使用Session认证机制，而使用JsonWebToken认证机制。Jsonwebtoken(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC7519).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者（客户端）和服务提供者（服务端）间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于身份

目录DRFJWT认证（二）django中快速使用JWT如何签发？如何认证？定制签发token返回格式JWT源码分析签发源码分析认证源码分析签发源码内的其他两个类自定义User表，签发token普通写法，视图类写序列化类中写逻辑自定义认证类补充：HttpRequest.METADRFJWT认证（二）上篇中对JWT有了基本的认知，这篇来略谈JWT的使用签发：一般我们登录成功后签发一个token串，token串分为三段，头部，载荷，签名1）用基本信息公司信息存储json字典，采用base64算法得到头字符串2）用关键信息存储json字典，采用base64算法得到荷载字符串，过期时间，用户id，用户名

目录DRFJWT认证（二）django中快速使用JWT如何签发？如何认证？定制签发token返回格式JWT源码分析签发源码分析认证源码分析签发源码内的其他两个类自定义User表，签发token普通写法，视图类写序列化类中写逻辑自定义认证类补充：HttpRequest.METADRFJWT认证（二）上篇中对JWT有了基本的认知，这篇来略谈JWT的使用签发：一般我们登录成功后签发一个token串，token串分为三段，头部，载荷，签名1）用基本信息公司信息存储json字典，采用base64算法得到头字符串2）用关键信息存储json字典，采用base64算法得到荷载字符串，过期时间，用户id，用户名