JWT、Token、MD5

最新推荐文章于 2024-10-07 21:26:35 发布
最新推荐文章于 2024-10-07 21:26:35 发布
阅读量1.5k 收藏 12
点赞数
分类专栏: JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GLOAL_COOK/article/details/116401882
版权
本文详细介绍了JWT(Json Web Token)与传统Token的区别,JWT的组成(Header、Payload、Signature)及其作用,阐述了JWT的优缺点和应用场景。同时提到了MD5在JWT中的角色,以及手写JWT的简单示例和注销机制,强调了JWT的有效期管理和安全性问题。
摘要由CSDN通过智能技术生成

Session、cookie、Token可看:session、cookie、token 详解

一、传统的Token

传统的token(也叫令牌)

jwt只是生成token用的

在这里插入图片描述在这里插入图片描述传统的Token,例如:用户登录成功生成对应的令牌,key为令牌 value:userid,隐藏了数据真实性 ,同时将该token存放到redis中,返回对应的真实令牌给客户端存放。
客户端每次访问后端请求的时候,会传递该token在请求中,服务器端接收到该token之后,从redis中查询如果存在的情况下,则说明在有效期内,如果在Redis中不存在的情况下,则说明过期或者token错误。

二、jwt(json web token)

JSON WEB Token JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
jwt 官网:
https://jwt.io/

jwt和Token的区别

在这里插入图片描述

JWT组成的部分

小demo:

在这里插入图片描述

运行后得到了一个jwt:
在这里插入图片描述

把这串字符串复制到jwt官网进行解析:

在这里插入图片描述

1.Header(头)

作用:记录令牌类型、签名算法等 例如:{“alg":“HS256”,“type”,"JWT}

2.Payload(有效载荷)

作用:
就是存放jwt存放的数据内容
携带一些用户信息 例如
{
“userId”:“1”, //存放在客户端,不安全
“username”:“mayikt”
}

在这里插入图片描述

3.Signature(签名)

作用:防止Payload、Token被篡改、确保安全性 例如 计算出来的签名,一个字符串,就算MD5加密而已

1.第一部分:header (头部)
{
Typ=“jwt” —类型为jwt
Alg:“HS256” --加密算法为hs256
}
2.第二部分:playload(载荷) 携带存放的数据 用户名称、用户头像之类 注意铭感数据不要存 标准中注册的声明 (建议但不强制使用) :
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp:jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti:jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
3.第三部分:Signature(签名)

在这里插入图片描述

可能你就会问了,那么别人在你浏览器获取你的payload怎么办?答案:就算你获取了payload那么你也只能模拟,篡改不了的,因为他有签名的:

在这里插入图片描述

三、JWT优缺点

优点:

  1. 无需再服务器存放用户的数据,减轻服务器端压力
  2. 轻量级、json风格比较简单
  3. 跨语言
    缺点:
    jwt一旦生成后期无法修改:
  4. 无法更新jwt有效期
  5. 无法销毁一个jwt
    jwt 90天以后过期 提前60天过期(这种就改不了,因为jwt存在客户端,后期无法修改的。这是Token就有点优势了,因为token存在redis,你只要把redis清除了就可以改了

四、JWT的应用场景

前端分离项目、(移动app、小程序、H5)
Base64
Base64不是加密和解密 主要是 编码和解码 基于64个可打印字符来表示二进制数据
https://baike.baidu.com/item/base64/8545775?fr=aladdin
https://base64.us/
header 头部:
{
“typ”:“jwt”,
“alg”:“HS256”
}
ewoidHlwIjoiand0IiwKImFsZyI6IkhTMjU2Igp9
playload 存放的数据
{
“userName”:“mayikt”,
“age”:“28”
}
cGxheWxvYWQ=
secret=Base64(header .playload)
https://base64.us/

五、MD5:

在这里插入图片描述

六、简单手写jwt 和破解

获取到盐就可以破解了,所以盐一定不要被别人知道

import com.alibaba.fastjson.JSONObject;
import org.apache.commons.codec.digest.DigestUtils;
import org.apache.commons.codec.digest.Md5Crypt;

import java.io.UnsupportedEncodingException;
import java.util.Base64;

public class JWTDemo04 {
   

    public static void main(String[] args) throws UnsupportedEncodingException {
   
        String jwtSecret="mayikt"; //盐存在服务器中的
        // jwt jwtHeader
        JSONObject jwtHeader = new JSONObject();
        jwtHeader.put
最低0.47元/天 解锁文章
618GLOAL_COOK2237
关注
专栏目录
JWT 网关TOKEN 加密
05-15
MD5和SHA等散列函数虽然不可逆,但主要用于数据完整性校验,不适合用于加密;数字签名算法,如RSA,用于验证信息的完整性和发送者的身份,但加解密过程复杂,速度较慢;对称加密算法如DES和AES,因其高效的加解密...
JWTMD5与登录机制详解
uuukkyo的博客
08-02 863
通过JWTMD5以及有效的登录机制,我们能够在Web应用中实现更安全、高效的用户身份验证和数据传输。尽管安全是一个持续演进的过程,但是采用这些现代安全技术可以大大提升Web应用的安全性和用户体验,为开发者和用户提供更可靠的保障。通过本文的介绍,希望读者能够对JWTMD5以及登录机制有更深入的理解,并在实际应用中运用这些技术来增强其Web应用的安全性。
数据库拓展---MD5
凯大爷
09-01 255
> MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。MD5由美国密码学家罗纳德·李维斯特(Ronald Linn Rivest)设计,于1992年公开,用以取代MD4算法。这套算法的程序在 RFC 1321 标准中被加以规范。1996年后该算法被证实存在弱点,可以被加以破解,对于需要高度安全性的数据,专家一般建议改用其他算法,如SHA-2。2
JwtToken
最新发布
ajsbxi的博客
10-07 368
在计算机领域,令牌是一种代表某种访问权限或身份认证信息的令牌。它可以是一串随机生成的字符或数字,用于验证用户的身份或授权用户对特定资源的访问。
微服务实战(十七)微服务Token的实现: MD5简易TokenJwtJwt结合AES加密
看山不是山
03-13 7429
关于Token (令牌) 说起令牌,仿佛回到了封建时代,一掏出令牌,其他人都知道你是什么身份了。 而在web系统中,前后端的业务交互也往往需要附带身份数据,先姑且把这个数据统称为Token (令牌) 。 面向有状态HTTP请求:在前后端不分离的模式下,这个Token实际上是 jsessionId,存储在前端的cookies中,后端根据请求者cookies里的jsesssionId获取到服务...
【密码学】MD5、UUID,加盐,JWT的理解与使用范例
m0_70083523的博客
12-17 2829
UUID 是通用唯一识别码(Universally Unique Identifier)的缩写,是一种软件建构的标准,亦为开放软件基金会组织在分布式计算环境领域的一部分。其目的,是让分布式系统中的所有元素,都能有唯一的辨识信息,而不需要通过中央控制端来做辨识信息的指定。如此一来,每个人都可以创建不与其它人冲突的UUID。在这样的情况下,就不需考虑数据库创建时的名称重复问题。
SpringSecurity+JWT+自定义MD5加盐值校验
qq_42264638的博客
05-05 2383
SpringSecurity+JWT+自定义MD5加盐值校验
重定向和转发,用户登陆操作,MD5介绍,token的作用,接口,Cookie,Session,编辑配置类,数据的自动填充创建时间/修改时间,事务说明,全局异常的处理机制,正则表达式
鬼道迷踪的博客
08-07 925
1.1 转发问题 说明: 用户访问服务器,但是目标服务器无法处理该请求,由服务器内部将请求交给其他服务器处理. 这个过程称之为转发. 1.2 重定向问题 说明: 用户访问服务器,但是目标服务器无法处理该请求,目标服务器返回一个能够处理请求的网址.由用户再次发起请求,访问服务器获取数据. 1.3路由关键字 1. redirect 路由的重定向 需求: 要求用户访问 "/"根目录 要求重定向到 "/user"请求路径中. 2.修改前端服务器端口号 脚手架 参数里修改在任务里 ...
koa+jwt实现token验证与刷新功能
10-16
const psdMd5 = crypto.createHash('md5').update(user.password).digest('hex'); if (user.password === psdMd5) { const token = jwt.sign(user, secret, { expiresIn: '1h' }); ctx.body = { token }; } } ...
SpringBoot集成JWT实现token验证的流程
10-15
加密算法如MD5、SHA和HMAC等在JWT中起到重要作用。例如,HMAC是一种基于密钥的哈希算法,用于确保消息在传输过程中未被篡改,常用于接口签名验证。 总的来说,SpringBoot集成JWT提供了安全、高效的身份验证解决方案...
ThinkPHP5.1之JWT扩展包
03-07
ThinkPHP5.1框架专用JWT扩展包,解压至extend目录即可使用,支持自动验证账号密码并生成token,自动验证请求参数中的token合法性,支持自定义token负载,更多用法详见README.md文件。
sa-token封装了一下
03-15
它可能是JWT(JSON Web Token)或者其他自定义格式,包含用户的标识和其他元数据,确保安全的用户交互。 【压缩包子文件的文件名称列表】: 1. mvnw.cmd:这是Spring Boot项目的命令行启动脚本,用于在Windows环境...
什么是Cookie、Session、TokenJWT
qq_26622469的博客
02-05 279
作者:秋天不落叶 https://juejin.im/post/5e055d9ef265da33997a42cc 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接...
jwt以及加密完善博客系统
m0_69468924的博客
03-17 1389
jwt以及加密完善博客系统
深入探究JWT:令牌的魔法,你需要了解的一切
Reische的博客
10-16 60
整理下工作中常用到的加密解密算法 和 使用场景一、Base64和UrlBase64二、Md5 + salt二、对称加密四、非对称加密这节整理 MD5MD5+salt基本介绍、使用场景及特点,以及java实现机制(文末附代码,需要的自取哈)二、Md5 + salt。
使用token+MD5+JWT实现登录注册
m0_55746729的博客
07-01 2089
使用token+MD5+JWT实现登录注册
接口开发规范(RESTful api)和token(令牌),md5使用
weixin_58139900的博客
12-19 3439
目录 优点: 常用方法规范 路由如何定义 根据RESTful 进行接口开发 接口文档组成 Token使用 什么是JWT? 【了解】 token的使用规则 本地客户端(浏览器是常见客户之一 )存储技术有三种:【重点】 使用步骤 uuid和md5 API: API(Application Programming Interface,应用程序接口)是一些预先定义的接口(如函数、HTTP接口),或指软件系统不同组成部分衔接的约定。 RESTful规范,是目前一种比较流行的互联网软件设计规.
令牌工具类(Jwt)和 Md5随机盐值加密
m0_54597180的博客
01-30 548
令牌工具类(Jwt
token的理解
xiaoxinshuaiga的博客
06-13 1729
此问题简单至极,以php举例。但和session不一样,和cookies有点接近,设计这个是为了解决cookies传值麻烦的问题。首先在登陆的过程中,用户向服务端提交数据应有username、password、client_keyphp在服务端拿到这些数据之后,用校验算法获取校验值,如md5。(ps:不加密码是不行的,否则用户修改密码后之前的还是可以快捷登陆,这不坑人吗)$salt是一个加密key...
jwtmd5加密的区别
09-21
JWT(JSON Web Token)和MD5加密是两种完全不同的概念和用途。 JWT是一种用于在用户和服务器之间传递安全可靠信息的开放标准。它是一种基于JSON的令牌,由三部分组成:头部、载荷和签名。头部包含用于指定签名算法的信息,载荷包含实际传输的数据,签名用于验证数据的完整性和真实性。JWT主要用于身份验证和授权。 而MD5加密是一种常用的哈希算法,它将任意长度的数据映射成固定长度的哈希值。MD5加密后的结果是不可逆的,即无法通过哈希值还原出原始数据。MD5主要用于对密码等敏感信息进行加密处理,在数据传输或存储过程中提高安全性。 所以,JWTMD5加密的区别在于:JWT是一种用于在用户和服务器之间传递信息的开放标准,用于身份验证和授权;而MD5加密是一种哈希算法,用于对数据进行加密处理。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值