【微服务】JWT令牌原理

最新推荐文章于 2023-10-13 11:50:32 发布
最新推荐文章于 2023-10-13 11:50:32 发布
阅读量592 收藏
点赞数
分类专栏: 微服务 文章标签: 微服务 json 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Beans_bag/article/details/125703099
版权

什么是JWT

JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递JSON对象,传递的信息经过数字签名可以被验证和信任。
JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。

JWT令牌示例

在这里插入图片描述

JWT令牌结构

在这里插入图片描述

Header

头部包括令牌的类型(即JWT)及使用的哈希算法。

{
  "typ": "JWT",
  "alg": "HS512"
}

将上边的内容使用base64UrlEncode编码,得到一个字符串就是JWT令牌的第一部分。

String s = "{\"typ\":\"JWT\",\"alg\":\"HS512\"}";
String encodeToString = Base64.getEncoder().encodeToString(s.getBytes());
System.out.println(encodeToString);

Payload

第二部分是负载,内容也是一个JSON对象,它是存放有效信息的地方,它可以存放JWT提供的现成字段,比 如:iss(签发者),exp(过期时间戳), sub(面向的用户)等,也可自定义字段。
此部分不建议存放敏感信息,因为可以解码还原原始内容。

{
  "userInfo": "4028d08181d93e1f0181d93e587e0000",
  "exp": 1657421554
}

Signature

第三部分是签名,此部分用于防止JWT内容被篡改。 这个部分使用base64UrlEncode将前两部分进行编码,编码后使用点(.)连接组成字符串,最后使用header中声明 签名算法进行签名。

HMACSHA512(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload), 
  your-secret
)
  • base64UrlEncode(header):JWT令牌的第一部分。
  • base64UrlEncode(payload):JWT令牌的第二部分。
  • your-secret:签名所使用的密钥。
    JWT三个部分只有第三部分是加密的,通过数字签名机制,我们既可以保证数据完整性,也可以对数据来源进行身份验证。
zhcf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网关与jwt令牌
reShore的博客
09-26 194
跨域 修改网关配置文件 spring: application: name: gateway-notzull-server cloud: gateway: routes: - id: user-server # uri: http://127.0.0.1:9004 uri: lb://user-consumer-fegin predicates: - Path=/user-server/**
JWT令牌的工作原理
qq_16159433的博客
10-26 265
这里写目录标题JSON Web Tokens基于Token的身份认证与基于服务器的身份认证基于服务器的身份认证基于Token的身份认证基于Token的身份认证是如何工作的用Token的好处无状态和可拓展性安全JWT和OAuth的区别 JSON Web Tokens 在认证的时候,当用户用他们的的凭证成功登录以后,一个JSON Web Token将会被返回。此后,用户名和密码就不再是用户的凭证,而token是用户用来访问资源的新凭证了。你必须非常小新以防止出现安全问题。一般而言,你保存令牌的时间不应该超过你所
JWT令牌详细解读
。。。。
07-05 3060
什么是JWT令牌 JWTJSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌JWT的使用场景: 一种情况是webapi,类似之前的阿里云播放凭证的功能 另一种情况是多web服务器下实现无状态分布式身份验证 JWT官网有一张图描述了JWT的认证过程 官网 地址 : https://jwt.io/ JWT的作用: JWT 最重要的作用就是对 token信息的防伪作用 JWT原理: 一个JWT由三个部分组成:JWT头、有效载荷、签名哈希 最后由这三者组
JWT原理详解
前端那些事@时光
09-27 3273
JWT原理详解 随着前后端分离的发展,以及数据中心的建立,越来越多的公司会创建一个中心服务器,服务于各种产品线。 而这些产品线上的产品,它们可能有着各种终端设备,包括但不仅限于浏览器、桌面应用、移动端应用、平板应用、甚至智能家居 实际上,不同的产品线通常有自己的服务器,产品内部的数据一般和自己的服务器交互。 但中心服务器仍然有必要存在,因为同一家公司的产品总是会存在共享的数据,比如用户数据 这些设备与中心服务器之间会进行http通信 一般来说,中心服务器至少承担着认证和授权的功能,例如登录:各种设备发
jwt令牌的运行机制
m0_53726326的博客
05-18 182
常见的属性有:alg(签名加密使用的算法),typ(标识token,默认为JWT),是json字符串类型。
微服务网关gateway集成security
07-13
例如,添加一个`JwtAuthenticationFilter`,用于从请求头中提取JWT令牌并进行验证。 4. **集成OAuth2**:如果项目采用OAuth2进行身份验证,可以配置OAuth2资源服务器,使Gateway能够处理OAuth2的授权流程。这通常...
JWT Token生成及验证
07-16
JWT Token在C#中的生成与验证涉及到JWT标准的原理、C#库的使用以及安全实践。理解并正确实施这些概念,对于构建安全、高效的Web应用至关重要。通过`JWTToken`这个压缩包文件,你可能可以找到更多关于JWT在C#中的具体...
浅谈ASP.NET Core 中jwt授权认证的流程原理
10-15
总之,ASP.NET Core中的JWT授权认证提供了无状态的身份验证机制,适用于分布式系统和微服务架构。通过理解JWT的结构和配置过程,开发者可以创建安全、可扩展的API服务。在实际应用中,还需要考虑安全性最佳实践,如...
JWT学习资料.zip
11-18
理解JWT的工作原理和如何在Spring Boot中集成JWT对于开发安全的Web应用至关重要。这不仅涉及到用户认证,还包括了授权控制,确保只有拥有有效JWT的用户才能访问受保护的资源。通过深入学习和实践,你可以掌握使用JWT...
JWT.zip 示例代码
03-24
在实际开发中,了解JWT的工作原理和最佳实践是至关重要的,包括但不限于选择合适的签名算法、设置合理的过期时间、正确处理刷新令牌等。通过分析JWT.zip中的代码,你可以深入理解JWT的实现细节,并将其应用到自己的...
JWT令牌
qiumin的博客
07-14 3274
jwt令牌,前后端分离场景中常用于不同系统的信息交换,效率高于sesion
了解JWT令牌
qq_48575500的博客
12-31 818
JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象的形式安全地传输信息。此信息可以被验证和信任,因为它是数字签名的。JW T可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。认证流程用户首次登录成功并将用户信息保存到Session中()http协议本身是一种无状态的协议:用户成功登录之后继续发送后续业务请求,但是由于角色权限。
微服务网关gateWay和Jwt令牌
东风麦芽糖
09-28 8225
微服务网关概念详解 gateway跨域配置 过滤配置:host路由、路径匹配过滤、PrefixPath 过滤、StripPrefix过滤、LoadBalancerClient 路由过滤 网关限流、令牌桶、 将令牌信息添加到请求头中 JWT讲解、JWT的构成、JJWT的介绍和使用、创建TOKEN、TOKEN解析、token过期设置 自定义claims载荷信息、gateway鉴权处理
JWT加密详解
qq_37647812的博客
10-07 3438
JWT采用的加密方式是非常安全的,我们可以使用JWT的payload部分加密来进行鉴权,并且这种方式相对于传统的cookie与session认证方式更为安全。HS256使用HMAC 算法,RS256使用RSA 证书,且输入的 jwk 和 x5c 可以使用不同的公钥证书。2、CSRF攻击,攻击者可以通过伪造一个请求,再把假的JWT传过去,这时后台就会认为该用户已经登录,攻击者就可以做一些非法的事情。2、无状态:JWT本身是无状态的,每个请求的Token都是独立的,减少了Server的开销。
Vue.js安装JWT
UserGuan的博客
10-12 1344
--save 是在package.json的【dependencies】里面 --save-dev 是在package.json的【devDependencies】里面 1、进入项目目录下(my-project),执行一下npm语句,在项目的package.json文件中有"jwt-simple": "^0.5.6"就表示安装成功,如图: npm install --save jwt-si......
JWT - 令牌认证(认证流程和原理Jwt 工具类、搭配 Redis 使用)
最新发布
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
MAC 和哈希函数、签名的冤孽(看JWT有感)
math345的博客
06-01 1001
我在看 Json web token (JWT) 的时候,发现网上很多文章对 HMAC 有很多误解,比如在讨论 HMACSHA256/HMACSHA512 时,加密、私钥、签名各种误解混杂在其中。因此写了这篇文章,抛砖引玉。HMAC(Hash-based Message Authentication Code) 是一种基于哈希的消息验证码,由Mihir Bellare、Ran Canetti和Hugo Krawezyk 于1996年提出。这里有2个关键词,一是哈希(即哈希函数),二是验证码。 事实上HMAC
jwt原理&现象及使用
m0_60375943的博客
11-17 2818
一:jwt原理 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 例:jwt就相当于学校的出入证,只有持有出入证的人才能进行出入 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 以session来举例,session是储存在服务器的,如果是按服务器来储存数据的话,那么服务器会占用很大的一个内存,而存储在客户端就解决了这个问题 3. JWT的工作原理 传统开发对资源的访问限制利用session完成图解 jwt
JWT令牌刷新机制
YinRJ的博客
03-28 4462
JWT令牌刷新机制 问题来源 JWT令牌保存在客户端,会存在过期时间,那么如果令牌一直没有变化,那么过期时间也不会发生变化。假设一个JWT令牌的过期时间是5天,但是用户在这5天内一直在使用本系统,那么理论上当到了第五天的时候就应该是自动对这个令牌进行续期操作,而不是让用户重新登录。 解决办法 双令牌机制 设置长短日期的两个令牌,两个令牌都传给客户端,客户端每次携带两个令牌请求 当两个令牌都没有过期的时候,服务端正常验证逻辑 如果短令牌过期,长令牌没有过期,那么服务端重新生成两个新的令牌返回给客户端,客户端
java的JWT令牌微服务网关使用.docx
07-02
总结起来,JWT令牌微服务网关中常用于实现身份验证和授权,而微服务网关作为系统的核心组件,不仅解决了客户端与微服务间的交互问题,还提供了安全、监控、认证和授权的一系列功能,极大地优化了微服务架构的效率...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值