JSON Web Token 的学习记录

已于 2024-09-20 19:35:22 修改
阅读量2k 收藏 33
点赞数 42
文章标签: 学习
于 2024-09-20 16:48:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_79193769/article/details/142381551
版权

提示:非常简单,建议别看

前言

接下来是对JWT(json web token)的一个简单学习,有不足希望评论补充

在下面我将会对HS256 和 RSA 是两种不同的数字签名算法来实现Jwt进行一个介绍和实现

一、JWT是什么?

JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

二、HS256 和 RSA签名算法

1.HS256

HS256(HMAC SHA-256)是一种对称加密签名算法,广泛用于生成和验证 JWT(JSON Web Token)。它使用单个密钥进行加密和解密,确保数据完整性和认证。

  • 类型:对称加密
  • 密钥管理:使用相同的密钥进行签名和验证,发送方和接收方必须共享该密钥。
  • 消息哈希:将头部和负载与密钥结合,使用 SHA-256 哈希算法生成哈希值。
  • 签名:将哈希值附加到 JWT 的最后,形成完整的 JWT。

优缺点:

优点:

  • 简单高效:计算速度快,适合高并发场景。

  • 适合小规模应用:密钥管理相对简单。

缺点:
  • 密钥安全:密钥一旦泄露,攻击者可伪造有效的 JWT。
  • 不支持分布式环境:不适合需要多个服务验证的场景。 

2.RSA

RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,广泛用于数据加密和数字签名。它基于大素数分解的数学难题,确保安全性。

  • 类型:非对称加密
  • 密钥管理:使用一对密钥:公钥和私钥。私钥用于签名,公钥用于验证。

优缺点:

  • 优点

    • 具备较高的安全性,公钥和私钥分离。
    • 广泛应用,支持多种标准。

  • 缺点

    • 加密和解密速度较慢。
    • 对于大数据,通常只用于加密对称密钥

三、代码部分

    

  1.引用包:

import (
	"crypto/rsa"
	"crypto/x509"
	"encoding/pem"
	"fmt"
	"github.com/golang-jwt/jwt/v4"
	"io/ioutil"
	"log"
	"time"
)

 2.生成Jwt(RSA)

// 生成token
func GetJwtToken(payload string, private *rsa.PrivateKey) (string, error) {
	//创建了一个新的 jwt.MapClaims 类型的变量
	claims := make(jwt.MapClaims)
	//当前时间
	iat := time.Now().Unix()
	//过期时间
	claims["exp"] = iat + seconds
	//生效时间
	claims["iat"] = iat
	// 自定义字段  我们存储的数据
	claims["payload"] = payload
	//使用 HS256 签名算法创建一个新的 JWT 对象
	token := jwt.New(jwt.SigningMethodRS256)
	//claims 是一个 jwt.MapClaims 类型的对象,它包含了 JWT 的过期时间(exp)、生效时间(iat)和自定义的 payload 字段。
	//将自定义的声明(Claims)设置到 JWT 对象中
	token.Claims = claims
	//使用私钥对 JWT 对象进行签名,生成一个 JWT 字符串
	return token.SignedString(private)
}

3.解析Jwt

// 解析token
func ParseJwToken(tokenString string, publicKey *rsa.PublicKey) (string, error) {
	// 尝试解析传入的JWT字符串,使用提供的密钥进行验证
	token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
		// 返回用于验证签名的密钥
		return publicKey, nil
	})
	// 如果解析成功且JWT有效,则提取自定义声明字段'payload'的值
	if claims, ok := token.Claims.(jwt.MapClaims); ok && token.Valid {
		// 提取payload字段的值并返回,如果提取失败则返回error
		return claims["payload"].(string), nil
	}
	return "", err
}

4.从本地获取私钥PrivateKey

// 加载私钥
func LoadPrivate() (*rsa.PrivateKey, error) {
	// 读取私钥文件
	file, err := ioutil.ReadFile("private.pem")
	if err != nil {
		return nil, fmt.Errorf(err.Error())
	}
	// 从包含PEM编码的私钥文件中解码出私钥
	p, _ := pem.Decode(file)
	// 检查解码是否成功,以及解码出的是否是RSA私钥
	if p == nil || p.Type!= "RSA PRIVATE KEY" {
		// 如果解码失败或类型不正确,返回错误
		return nil, fmt.Errorf("failed to parse private key")
	}
	// 将解码后的私钥解析为PKCS8格式的RSA私钥
	pub, err := x509.ParsePKCS8PrivateKey(p.Bytes)
	// 如果解析过程中发生错误,返回错误
	if err!= nil {
		return nil, err
	}
	return pub.(*rsa.PrivateKey), nil
}

5.从本地加载公钥PublicKey

// 加载公钥
func LoadPublicKey() (*rsa.PublicKey, error) {
	// 读取公钥文件
	file, err := ioutil.ReadFile("public.pem")
	if err != nil {
		return nil, fmt.Errorf(err.Error())
	}
	p, _ := pem.Decode(file)
	if p == nil || p.Type != "PUBLIC KEY" {
		return nil, fmt.Errorf("failed to parse public key")
	}
	pub, err := x509.ParsePKIXPublicKey(p.Bytes)
	if err != nil {
		return nil, fmt.Errorf(err.Error())
	}
	return pub.(*rsa.PublicKey), nil
}

6.入口文件main.go

func main() {
	private, err := LoadPrivate()
	if err != nil {
		fmt.Println("加载私钥失败", err)
		return
	}
	publicKey, err := LoadPublicKey()
	if err != nil {
		log.Fatalf("加载公钥失败: %v", err)
	}
	payload := "这是我的有效负载"
	token, err := GetJwtToken(payload, private)
	if err != nil {
		log.Fatalf("生成JWT失败: %v", err)
		return
	}
	fmt.Println("生成的JWT:", token)
	// 解析JWT
	parsedPayload, err := ParseJwToken(token, publicKey)
	if err != nil {
		log.Fatalf("解析JWT失败: %v", err)
	}
	fmt.Println("解析的负载:", parsedPayload)
}

最后是我们的一个运行效果:

总结

本文简单介绍了一下HS256 和 RSA签名算法,以及jwt的一个使用(RSA签名算法生成)

代码部分只对RSA进行了实现。

对于HS256:

相对于RSA算法,少来对于私钥和公钥的一个获取;HS256使用相同的密钥进行签名和验证,发送方和接收方必须共享该密钥。

下面是一个使用HS256算法的一个Jwt生成:

const (
	//私钥
	secretKey = "private_key "
	// 过期时间 1天
	seconds = 86400
)

// 生成token
func GetJwtToken(payload string) (string, error) {
	//创建了一个新的 jwt.MapClaims 类型的变量
	claims := make(jwt.MapClaims)
	//当前时间
	iat := time.Now().Unix()
	//过期时间
	claims["exp"] = iat + seconds
	//生效时间
	claims["iat"] = iat
	// 自定义字段  我们存储的数据
	claims["payload"] = payload
	//使用 HS256 签名算法创建一个新的 JWT 对象
	token := jwt.New(jwt.SigningMethodHS256)
	//claims 是一个 jwt.MapClaims 类型的对象,它包含了 JWT 的过期时间(exp)、生效时间(iat)和自定义的 payload 字段。
	//将自定义的声明(Claims)设置到 JWT 对象中
	token.Claims = claims
	//使用私钥对 JWT 对象进行签名,生成一个 JWT 字符串
	return token.SignedString(secretKey)
}

  到此结束!!!                                                

莫忘笙
关注
【项目实战】HS256 和 HMAC 加密算法
本本本添哥
07-31 1946
HMAC,是一种基于密钥和哈希函数的消息认证码算法。HMAC,是一种使用密钥的散列算法。HMAC,用于验证数据的完整性和验证发送者的身份。HMAC,结合了密钥和消息内容,生成一个固定长度的认证码(摘要)。HMAC,结合了哈希函数(如SHA-256)和密钥,以产生一个固定长度的认证码(摘要)这个认证码(摘要)可以用于验证消息的完整性和确认消息是否由拥有密钥的发送方发送。这个认证码(摘要)用于验证消息的完整性和发送者的身份。
实战指南:Spring Boot 3.x 与JJWT 0.9.x到0.12.5版本升级,使用HS256算法生成JWT
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
07-01 1281
本实战指南旨在帮助开发者在Spring Boot 3.x应用中,从JJWT 0.9.x升级至0.12.5版本,有效地实现JWT生成并使用HS256算法进行加密。通过详细的示例和指导,您将了解如何应对升级带来的变化,并优化JWT在安全认证中的应用。
JWT(auth0):RS256非对称加密算法实现Token的签发、验证
西门阿浪的博客
05-31 6396
前言  日常开发中,客户端与服务器通常采用HTTP协议进行通信,但HTTP是没有状态的,无法记录用户的身份信息和行为。  会话跟踪技术是一种在客户端与服务器间保持HTTP状态的解决方案,我们所熟知的有Cookie + Session、URL重写、Token等。  Cookie在浏览器保存SessionID、Session实际内容保存在服务端,目前的项目都是前后端分离 + 微服务,所以会面临Session共享问题,随着用户量的增多,开销就会越大。URL重写又是通过明文传输,不安全容易被劫持。   Toke.
令牌易破解
总有人间一两风,填我十万八千梦
03-28 5275
目录 一. 漏洞描述 二. 案例条件 三. 漏洞修复 一. 漏洞描述 由于认证机制如cookie、token等,直接由账号密码组成、或账号密码经过简单加密生成,导致令牌简单可被爆破。 二. 案例条件 Jwt令牌 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供...
JWT 签名算法的选择:HS256、RS256、ES256 和 ED25519 的对比与应用
最新发布
2201_75798391的博客
03-01 874
在构建基于 JWTJSON Web Token)的认证系统时,选择合适的签名算法至关重要。不同的算法在安全性、性能和适用场景上各有优劣。本文将详细介绍常见的 JWT 签名算法(HS256、RS256、ES256 和 ED25519),并对比它们的特点、优缺点和适用场景,帮助你选择最适合的算法。JWT 通常使用签名算法来确保 Token 的完整性和真实性。:对称加密算法。:非对称加密算法。:基于椭圆曲线的加密算法。ED25519:现代椭圆曲线签名算法。
JWT签名算法
weixin_30745641的博客
08-17 1814
JWT签名算法 JWT签名算法中,一般有两个选择,一个采用HS256,另外一个就是采用RS256。 签名实际上是一个加密的过程,生成一段标识(也是JWT的一部分)作为接收方验证信息是否被篡改的依据。 RS256 (采用SHA-256 的 RSA 签名) 是一种非对称算法, 它使用公共/私钥对: 标识提供方采用私钥生成签名, JWT 的使用方获取公钥以验证签名。由于公钥 (与私钥...
JWTJWT+HA256加密 Token验证
weixin_30457465的博客
03-25 1236
目录 Token验证 传统的Token验证 JWT+HA256验证 回到顶部 Token验证   最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token ...
JWT+RSA鉴权
weixin_50195609的博客
03-20 600
目录 1、JWT 1.1 JWT简介 1.2JWT数据格式 2、登录和鉴权流程:JWT+HS256算法 3、RSA非对称加密 4、登录和鉴权流程:JWT+RSA 4.1RSA工具类 4.2JWT工具类 1、JWT 1.1 JWT简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:JSON Web Tokens - jwt.io (JWT,生成Token加密字符串的一个标准或格式!)...
什么是 JWTJson Web Token
wjiaman
10-27 1374
一、身份认证  常见的服务器端身份认证机制有两种,分别为: 1.基于 session 的认证机制  HTTP 是一种无状态的协议,这意味着若无登录态维持机制,则每次请求时都需要提交用户名与密码进行身份验证,而 session 机制就是用于在服务器端记录用户的登录状态。  session 是一串在服务器生成的字符串,用以唯一地标识一个用户。第一次身份验证后,服务器生成一串字符串并将字符串保存在服务端,同时将该字符串写入返回的响应头(Cookie字段)。浏览器在收到字符串后,将该字符串保存为 Cookie。同一
jwt(json web token)
prigilm的博客
11-04 506
Python之jwt(json web token) 一、什么是jwt 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token(本质就是token)认证机制。 jwt全称json web token,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准 ((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间
talk-jwt:慕尼黑 NodeJS 用户组关于 JSON Web Token 的闪电演讲
07-01
JSON Web Token (JWT) 目前是 IETF 草案。 它定义了一个紧凑的 URL 安全令牌结构,允许在两方之间传输声明。 JWT 可以进行数字签名、MAC 化和/或加密以防止回火。 揭示.js 使用 HTML 轻松创建精美演示文稿的框架。...
什么是Json web token (JWT),session,token,优点,缺陷
weixin_64875794的博客
02-23 803
JWT ---------------------------------------- Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息。 传统的session认证 基于session认证所显露的问题 Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户
JWTJSON Web Token
21空间的博客
07-26 1054
JWTJSON Web Token)是一种用于在各方之间作为 JSON 对象安全地传输信息的紧凑、URL 安全的方式。JWT 由于其紧凑和自包含的特点,非常适合于在移动设备等资源受限的环境中使用。
jsonwebtoken使用HS256生成token失败
m0_46165586的博客
01-31 509
怀疑是私钥没有读取到,发现将PRIVATE_KEY 替换为普通字符串与algorithm删除,使用默认的加密。 - 默认加密算法使用的是HS256为对称加密` ` 发现我的写法是没有问题的,token就是生成失败,然后使用try-catch包裹代码就发现错误了! 如果你使用RS256算法,那么你的私钥或秘密(secret)必须至少有2048位。小于这个大小的密钥可能不安全,容易被破解。
C++ token JWT HS256 生成token和验证token
dxmcu的专栏
03-21 1450
使用到的类库 jsoncpp:用于json数据操作 boost:智能指针和正则表达,如果是C++11以上版本可以替换成C++11的智能指针和正则表达式 CryptoPP:大名鼎鼎的免费的C++加解密类库,Crypto++几乎涵盖了所有的加解密算法 以上类库是可以跨平台使用 代码 宏定义请参看负载均衡权重系数算法 C++中的se_std.h 头文件 #include <string...
Spring Boot 整合 JWT
kiingking的博客
07-11 411
JSON Web Tokens (JWT) 是一种用于身份验证和授权的开放标准。JWT 是一个自包含的令牌,它在客户端和服务端之间传输时包含了所有必要的信息,这使得 JWT 成为了无状态应用的理想选择,尤其是在分布式环境中。
JWT的加密算法有哪些,它们之间有什么区别?
eeeeeeeeei的博客
03-25 1850
在选择JWT的加密算法时,需要根据系统的具体需求和安全要求来决定使用哪种算法。对于需要跨多个服务或不信任环境传输的Token,推荐使用非对称加密算法,如RS256或ES256JWTJSON Web Token)支持多种加密和签名算法,这些算法用于确保Token的安全性和数据的完整性。
JWT总结
m0_62422842的博客
05-25 4298
JWT是什么 全称Json Web Token。是跨域身份认证的一种方式。JWT的声明一般是用来身份提供者与服务提供者之间传递被认证的用户身份信息。便于从服务器获取到资源。它也可以用来记录用户信息。与token不同的是,它不用查询数据库,只要在服务端使用密钥完成校验就行。 JWT的原理 服务器认证以后,就会生成一个json对象,并发回给用户。例如 { "姓名": "张三", "角色": "管理员", "到期时间": "2018年7月1日0点0分" } 之后,客户端再与服务端通讯的时候
JWT Token 使用 RS256 和 ES256 签名
热门推荐
yuanjian0814的博客
06-17 1万+
JWT Token 使用 RSA256 和 ES256 签名使用 RS256 签名创建 RSA256 密钥创建和验证 JWT Token使用 ES256 加密创建 ES256 密钥创建和验证 JWT Token 使用 RS256 签名 … 创建 RSA256 密钥 安装 openssl 服务,执行如下指令生成密钥对。 # 创建私钥 openssl genrsa -out rsa_private.pem 2048 # 创建公钥 openssl rsa -in rsa_private.pem -outform
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值