JWT详解

最新推荐文章于 2024-07-30 19:15:15 发布
最新推荐文章于 2024-07-30 19:15:15 发布
阅读量500 收藏 3
点赞数 1
分类专栏: SSO 文章标签: JWT详解 JWT SSO
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_finder/article/details/103450712
版权
本文详细介绍了JWT(JSON Web Token)的原理和数据结构,包括Header、Payload和Signature三部分,以及Base64URL编码。JWT作为一种无状态的身份认证方式,提供了跨域认证的解决方案。文中还提到了JWT在实际应用中的Maven依赖和实现代码。
摘要由CSDN通过智能技术生成

1、JWT介绍

定义:JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案
JWT官网:https://jwt.io/

由于HTTP协议是无状态的,如果想判定一个接口是否被认证后访问,就需要借助cookie或者session会话机制进行判定,但是由于现在的系统架构不止一台服务器,此时要借助数据库或者全局缓存做存储,这种方案受限太多。
JWT提供提供了一种更好的方案,由令牌发布者发布令牌,其他服务持有令牌,当接口访问时需要提供令牌,并由令牌发布者去验证这个令牌。优点是简单快捷、不需要依赖任何第三方就能实现身份认证,缺点是任何持有令牌的用户都可以认证通过。

2、JWT的数据结构

正常的JWT数据结构如下:
截图
JWT是一段字符串,中间由.分割为三部分。
分别是
Header:头部
Payload:负载
Payload:负载
JWT的格式即为:Header.Payload.Signature

2.1、Header头部

Header部分是一个JSON对象,描述JWT的元数据。
格式如下:
{
“alg”: “HS256”,
“typ”: “JWT”
}
alg属性表示签名的算法(algorithm),默认值为HMAC SHA256(HS256);
typ属性表示这个令牌(token)的类型,JWT的令牌值为"JWT"。

2.2、Payload负载

Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段。
iss (issuer):签发人

exp (expiration time):过期时间

sub (subject):主题

aud (audience):受众

nbf (Not Before):生效时间

iat (Issued At):签发时间

jti (JWT ID):编号
除了官方字段还可以使用withClaim(“name”, name)定义私有字段。
例如
{
“name”:“zhansan”
}

注意:JWT默认是明文展示,任何人都可以读取到,所以此处不要放私密信息。

2.3、Signature签名

Signature 部分是对前两部分的签名,防止数据篡改。
指定一个密钥(secret),使用Header里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
HMACSHA256(base64UrlEncode(header) + “.” +base64UrlEncode(payload),secret);
得到签名后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用(.)分隔,并返回给用户。

2.4、Base64URL字符串编码

上文提到Header和Payload字符编码采用的是Base64URL,和Base64算法类似。Base64算法中还有"+","/","=“字符串,在URL里面有特殊含义,所以要被替换掉:”=“省略、”+“替换成”-","/“替换成”_",这就是Base64URL算法。

3、JWT实现应用

Maven依赖

<dependency>
     <groupId>com.auth0</groupId>
     <artifactId>java-jwt</artifactId>
     <version>3.8.0</version>
</dependency>

实现代码

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com
最低0.47元/天 解锁文章
A_finder
关注
专栏目录
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
SpringBoot+SpringSecurity+jwt整合详解 SpringBoot是当前最流行的Java框架之一,它提供了便捷的方式来构建基于Web的应用程序。然而,在构建Web应用程序时,安全性是不可忽视的重要方面。因此,本文将详细介绍如何...
JWT介绍
weixin_44195615的博客
06-01 2387
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),该token被设计为紧凑且安全的, 特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息, 以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT官网:https://jwt.io/ 一、JWT的构成 header 头部 payl.
JWTUtils工具
weixin_64443786的博客
07-13 5093
JWT
JWT详细解析
最新发布
m0_65224643的博客
07-30 2554
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为的,特别。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
jwt (json web token) + springboot
qq_45812181的博客
09-04 913
jwt官网 :https://jwt.io/ jwt 官网介绍 jwt就是一json串,且该串不需要服务器保存,一旦生成 不可撤销、不可删除,在到达设置的过期时间之前一直都有效。 jwt的作用 一言以蔽之:作为数据安全校验,且该条数据不是完全加密,而是采用的部分加密。 没有加密的部分是用来做传递信息的(如允许被外界识别的用户类型、用户名),加密的那部分才是用来做校验的。 可以把token放在请求头中或者cookie中。 认证流程 首先,前端通过Web表单将用户名和密码发送到后端的接口。这一过程一般是
JWT(Json Web Token)介绍
mijichui2153的博客
04-25 1721
前言:JWT(JSON Web token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。JWT是REST API中经常使用的一种机制。 JWT是一种由Header、PayLoad和Key计算并组合得到的数字令牌。简单点说就是一个字符串,由三部分组成,分别是:头部(Header)、载荷(PayLoad)、签名(sign)。 一、各部分介绍及使用体验 Header: Header为JSON格式,用于描述关于该JWT的最基本的信息,例如类型以及签名采用的算法.
JWT官网中文简介
weixin_41905047的博客
02-25 879
jwt全称是JSON WEB TOKEN:JSON Web TOKEN(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输JSON对象信息。此信息可以被验证和信任,因为它是数字签名的。JWT可以使用秘钥(如:使用HMAC算法)或公钥/私钥对(如:使用RSA或ECDSA)进行签名。
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
thinkphp框架使用JWTtoken的方法详解
10-16
本篇文章将深入介绍在ThinkPHP框架中使用JWT进行身份验证和授权的细节,并详细说明JWT的结构、优势以及如何生成和验证JWT token。 首先,让我们理解JWT到底是什么。JWT,全称为JSON Web Token,是一个开放标准(RFC...
详解JWT token心得与使用实例
10-16
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT token 在现代 web 应用...
springboot集成jwt
01-25
**SpringBoot集成JWT详解** SpringBoot是一个轻量级的Java框架,它简化了Spring应用程序的创建和部署。JWT(Json Web Token)则是一种用于在各方之间安全地传输信息的开放标准,广泛应用于身份验证和授权场景。在...
详解Django配置JWT认证方式
09-16
在本文中,我们将深入探讨如何在Django框架中配置JSON Web Token(JWT)认证。JWT是一种轻量级的身份验证机制,允许服务器通过一个令牌(token)来确认客户端的身份,而无需在每次请求时发送用户名和密码。Django ...
详解使用JWT实现单点登录(完全跨域方案)
10-16
JSON Web Token(JWT)是一种流行的轻量级身份验证和授权机制,常用于实现单点登录(Single Sign-On, SSO)系统,特别是在完全跨域的场景下。JWT允许用户在多个相关应用或服务之间共享认证信息,而无需多次登录。...
Django rest framework jwt的使用方法详解
09-18
Django Rest Framework JWT 是一种基于 JSON Web Token (JWT) 的认证和授权机制,适用于构建 RESTful API。JWT 是一种安全的、无状态的、令牌化的身份验证方式,它允许服务提供商在客户端和服务器之间传递经过签名的...
PHP jwt类库
07-31
**PHP JWT类库详解** JWT(JSON Web Token)是一种轻量级的身份验证机制,用于在分布式系统中安全地传输信息。它通过一个紧凑的、自包含的方式,让两方能够交换信息并验证其真实性,而无需共享秘密。PHP社区中有多...
JWT简介
Lyndon的专栏
09-21 404
JWT简介
jwt超详细配置和教程
欲买桂花同载酒,终不似少年游
07-03 3479
认证方式传统使用session就是前端cookie保存一个sessionid,下次发送请求会自动携带认证流程暴露问题session保存在内存中,用户越多,内存负载越大分布式应用的话限制了负载均衡能力cookie被截获容易收到跨站请求伪造攻击在前后端分离系统中更加痛苦也就是说前后端分离在应用解耦后增加了部署的复杂性。通常用户一次请求就要转发多次。如果用session 每次携带sessionid到服务器,服务器还要查询用户信息。同时如果用户很多。
一起重新全面认识JWT-Json Web Token
谙忆-陈浩翔
02-20 1352
一起重新全面认识JWT-Json Web Token 文章目录概述应用场景JWT认证过程JWT的数据结构headerpayloadsignatureJWT的用法JWT的优缺点最后 概述 最近学习了一下JWT,全名为Json Web Token,是一种自包含令牌。 在这里,我整理了一下网上资源。在文章最后,有一个使用Java实现JWT生成和验证的完整案例。 简单的说,就是基于JSON,在web环境下传输一个规定格式的字符串令牌。 广义上讲JWT,这是一个Web安全传输信息方式。狭义上来说,直接指传递的令牌字符
Springboot集成JWT详解:优点、构成与实战应用
本文将深入介绍Springboot如何集成和整合JWT(Json Web Token),这是一种常用的身份验证和授权机制。JWT将用户信息加密在token中,使得服务器无需存储用户凭据,仅需验证token的合法性。 首先,我们来理解JWT的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值