JWT(auth0):RS256非对称加密算法实现Token的签发、验证

最新推荐文章于 2025-03-01 16:17:03 发布
最新推荐文章于 2025-03-01 16:17:03 发布
阅读量6.3k 收藏 22
点赞数 4
分类专栏: Java 文章标签: java jwt 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/China_Snail/article/details/117413515
版权
本文介绍了JWT的结构和执行逻辑,强调了使用JWT时选择RS256非对称加密算法的重要性。讨论了活跃用户与Token的有效期策略,提出accessToken与refreshToken的双Token方案。还详细讲解了如何在Java中使用auth0库进行JWT的签发和验证,包括密钥对生成和Token的签发、校验过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述

前言

 日常开发中,客户端与服务器通常采用HTTP协议进行通信,但HTTP是没有状态的,无法记录用户的身份信息和行为。

在这里插入图片描述

 会话跟踪技术是一种在客户端与服务器间保持HTTP状态的解决方案,我们所熟知的有Cookie + Session、URL重写、Token等。

 Cookie在浏览器保存SessionID、Session实际内容保存在服务端,目前的项目都是前后端分离 + 微服务,所以会面临Session共享问题,随着用户量的增多,开销就会越大。URL重写又是通过明文传输,不安全容易被劫持。

Token的优势:

  • Token支持跨域访问,Cookie不可以跨域访问。
  • Token支持多平台,Cookie只支持部分web端。

What is JWT ?

 JWT的全称是Json Web Token,是一种基于JSON的、用于在网络上声明某种主张的令牌(token)规范。

 官方解释:
官方解释

JWT由三部分组成:hand、payload、signature,各部分通过 ‘ . ’ 连接

xxxx . yyyy . zzzz

1、HEAD

 头部是一个JSON对象,存储描述数据类型(JWT)和签名算法(HSA256、RSA256),通过Base64UrlEncode编码后生成head 。

编码:
eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9

解码:
{
   
  "alg": "RS256",
  "typ": "JWT"
}

2、PAYLOAD

 负载存放一些传输的有效声明,可以使用官方提供的声明,也可以自定义声明。同样通过Base64UrlEncode编码后生成payload。声明可以分为三种类型:

  1. Registered claims:
     官方预定义的、非强制性的但是推荐使用的、有助于交互的声明(注意使用这些声明只能是三个字符)。
名称 作用
iss (issuer) 签发人
sub (subject) 主题
aud (audience) 受众
exp (expiration time) 过期时间
nbf (Not Before) 生效时间
iat (Issued At) 签发时间
jti (JWT ID) 编号

  1. Public claims:
     保留给JWT的使用者自定义。但是需要注意避免使用IANA JSON Web Token Registry中定义的关键字。

  2. Private claims:
     保留给JWT的使用者自定义,用来传送传输双方约定好的消息。((—_—)是不是没搞懂public claims和private claims的区别,阿浪也不知道)

编码:
eyJhdWQiOiLopb_pl6jpmL_mtaoiLCJkYXRhIjoiXCLopb_pl6jpmL_mtapcIiIsImlzcyI6IkhBTkdIVUFfQURNSU4iLCJleHAiOjE2MjIzNjA4NDEsImlhdCI6MTYyMjM2MDg0MX0

解码:
{
   
  "aud": "西门阿浪",
  "data": "\"西门阿浪\"",
  "iss": "HANGHUA_ADMIN",
  "exp": 1622360841,
  "iat": 1622360841
}

3、SIGNATURE

 数据签名是JWT的核心部分,构成较为复杂,且无法被反编码。

HS256加密:
signature = HMACSHA256( base64UrlEncode(header) + "." +base64UrlEncode(payload), secret );
			
RS256加密:      
signature = RSASHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload), publicKey, privateKey)

signature可以选择对称加密算法或者非对称加密算法,常用的就是HS256、RS256。

  • 对称加密: 加密方和解密方利用同一个秘钥对数据进行加密和解密。

  • 非对称加密: 加密方用私钥加密,并把公钥告诉解密方用于解密。

在这里插入图片描述

4、JWT执行逻辑


 逻辑清晰明了,用户首次登陆时,通过传输账号密码验证身份,验证成功后,服务器生成Token响应用户。用户后续请求只需要传送Token,服务器只需对Token进行校验来确认身份。

双Token 保证 活跃用户

活跃用户

 Token用于身份认证时,如果有效期设置太长,泄露了会不安全。如果设置太短,用户频繁的重新登陆,程序员的祖坟有可能不保。那如何界定有效时间呢?这就要引入一个概念:用户的活跃性。

 系统把用户分为活跃用户和不活跃用户,对于不活跃用户,token过期后需要重新登陆,因为使用频率较低,token失活后重新登陆,他的感受没有那么强烈。

 活跃用户在token过期后,不应该直接登陆,而是要根据他的活跃时间来判定是否重新激活token,当符合条件时,直接激活Token,带给用户最好的体验。

若token有效期时长为at,活跃用户时长计为rt,且用户每次操作客户端后活跃时间都与之同步刷新。

<
最低0.47元/天 解锁文章
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
C++实现web token加密生成验证
一个大佬的博客
08-20 867
【代码】C++实现web token加密验证
RS256加密JWT生成、验证
热门推荐
张林强的专栏
04-16 2万+
最近项目上由于集成需求,需要实现单点登录,经过考虑后选择了JWTRS256公私玥加密方式实现,搜索后发现基于RS256实现不太多,大多基于HS256对称加密,加密解密用同一SecretKey,泄漏后安全方面彻底崩坏,有些提到RS256的都是一些支离破碎的代码,没有什么参考价值。经过google,加上自己的整理,关键demo代码整理如下:import junit.framework.TestCa...
Oauth2---JWT非对称加密 的公钥和私钥、验证token是否合法
awodwde的博客
02-20 3785
非对称加密算法需要两个密钥: 公开密钥 和 私有密钥。 公钥和私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。 甲方 生成一对密钥,将公钥公开,需要向甲方发送信息的其他角色(乙方)使用公钥对机密信息进行加密之后发送给甲方。甲方再利用自己的私钥对加密后的信息进行解密 私钥签名令牌 公钥验证 (项目中的JWT原理) 张三有两把钥匙,一把是公钥,另一把是私钥。 张三把公钥送给他的朋友们----李四、王五、赵六----每人一把。 李四要给张三写一封保密的信。她写完后用张三的公钥加密,就可.
JWT 签名算法的选择:HS256RS256、ES256 和 ED25519 的对比与应用
最新发布
2201_75798391的博客
03-01 875
在构建基于 JWT(JSON Web Token)的认证系统时,选择合适的签名算法至关重要。不同的算法在安全性、性能和适用场景上各有优劣。本文将详细介绍常见的 JWT 签名算法(HS256RS256、ES256 和 ED25519),并对比它们的特点、优缺点和适用场景,帮助你选择最适合的算法。JWT 通常使用签名算法来确保 Token 的完整性和真实性。:对称加密算法。:非对称加密算法。:基于椭圆曲线的加密算法。ED25519:现代椭圆曲线签名算法。
Java JWT 技术详解与实践指南
m0_37825219的博客
02-03 339
Java JWT 技术详解与实践指南
JWT-RS256.rar
06-15
命令生成JWT-RS256非对称加密公钥和私钥串,费了很大的力气在网上搜索,在这里贡献了,如果对你有用,记得点赞,谢谢。
JWT Token 使用 RS256 和 ES256 签名
yuanjian0814的博客
06-17 1万+
JWT Token 使用 RSA256 和 ES256 签名使用 RS256 签名创建 RSA256 密钥创建和验证 JWT Token使用 ES256 加密创建 ES256 密钥创建和验证 JWT Token 使用 RS256 签名 … 创建 RSA256 密钥 安装 openssl 服务,执行如下指令生成密钥对。 # 创建私钥 openssl genrsa -out rsa_private.pem 2048 # 创建公钥 openssl rsa -in rsa_private.pem -outform
JWTRS256和HS256签名算法Demo.zip
03-23
最近需要使用JWT_RS256做签名校验,网上相关的资源比较少,所以写了JWT的常用的两种签名密钥Demo,希望对JWT的小白们有帮助
jwt RS256 通过公钥验证token
qq_31546841的博客
07-02 5535
private static String public_Key = "-----BEGIN PUBLIC KEY-----" + "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnzyis1ZjfNB0bBgKFMSv" + "vkTtwlvBsaJq7S5wA+kzeVOVpVWwkWdVha4s38XM/pa/yr47av7+z3VTm...
SpringBoot - 集成Auth0 JWT
Maggieq8324的博客
08-19 5672
目录前言 说说JWT,先说下互联网服务常见的两种用户认证方式:session认证与Token认证 session认证 传统的Session认证的大体流程可以表示为用户提供用户名和密码登录后由服务器存储一份用户登录信息并传递给浏览器保存为Cookie,并在下次请求中根据Cookie来识别用户,但这种方式缺陷明显: - Session都是保存在内存中,随着认证用户的增多,服务端的开销明显增大 - 保存在内存中的Session限制了分布式的应用 - Cookie容易被截获伪造
jwt-auth:Spring Boot Jwt身份验证
02-18
Header通常包含JWT类型(JWT)和加密算法(如HS256)。Payload存储实际的声明,如用户ID、角色等,但不应存储敏感信息,因为它是可解码的。Signature则是前两部分与一个秘密(通常是服务器知道的密钥)通过指定的...
DotNetCoreJwtRs256:.Net Core JWT(Json Web令牌)算法RS256
03-28
DotNetCoreJwtRs256:.Net Core JWT(Json Web令牌)算法RS256
jwt解析验证token-RS256
大数据爱好者
11-06 2444
package com.irootech.customercloud.common.util; import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwsHeader; import io.jsonwebtoken.Jwt; import io.jsonwebtoken.Jwts; import org.apache.commons.cod...
php rs256,用 RS256 算法验证 JWTJWT:JSON Web Token
weixin_28267011的博客
03-21 414
再去验证一下用 RS256 算法签发的这个 JWT .. 验证要用到公钥内容 ... 可以先添加一个 publicKey ,用一下 fs 的 readFileSync 读一下 ./config/public.key 这个文件里的东西 ..验证用的是 jsonwebtoken 的 verify 方法 .. 先把要验证token 交给它 ... 这个 token 是用 RS256 算法签发...
私钥加密RS256
qq_35860612的博客
10-12 1665
package com.ruijie.fangcloud.service.impl; import com.ruijie.fangcloud.util.ApplicationContextUtil; import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.apache.commons.io.IOUtils; import or.
jose4j+RS256、jjwt+RS256两种方式生成与校验jwt
weixin_42765596的博客
05-20 2877
一、什么是jwt http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html 二、使用RS256非对称加密 RS256和HS256的区别: JWT签名算法中,一般有两个选择,一个采用HS256,另外一个就是采用RS256。 签名实际上是一个加密的过程,生成一段标识(也是JWT的一部分)作为接收方验证信息是否被篡改的依据。 RS256 (采用SHA-256RSA 签名) 是一种非对称算法, 它使用公共/私钥对: 标识提供方采用私
JWT RS256加解密、JWK获取PublicKey和PrivateKey、从已存在公私钥加解密JWT
badboy_fzk的博客
07-29 2万+
JWT的简介就没什么必要了,https://jwt.io/官网在这, 直接重点, 在alg=RS256时, 怎么从现有的JWK中获取到公私钥?拿到公私钥后如何加密解密? 背景是在使用kong网关时, 使用jwt插件遇到的问题. https://mkjwk.org/ jwk在线生成https://jwt.io/ jwt官网http://jwt.calebb.net/ jwt反解 背景, 从其他网关切换到kong后, 有关jwt的配置需要从现有的jwk配置获取, jwk的形式如下...
JWT 实战教程
weixin_43145539的博客
03-30 425
JWT 实战教程 注:资料整理自b站up主,编程不良人 1.什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted bec
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值