什么是JWT? Token? 如何基于Token进行身份验证?

最新推荐文章于 2024-07-23 17:20:50 发布
最新推荐文章于 2024-07-23 17:20:50 发布
阅读量1.1k 收藏 7
点赞数 1
分类专栏: 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HZ___ZH/article/details/114632081
版权
本文深入探讨JWT(JSON Web Token)及其在身份验证中的应用,包括其构成、签名验证过程和基于Token的鉴权机制。同时讨论了Token认证的优势,如无状态、防止CSRF攻击,并分析了常见的问题,如注销登录后的Token有效性,提出了多种解决方案,如使用内存数据库、黑名单机制和修改密钥。最后,文章对比了JWT与Oauth2.0的区别,帮助理解两者在授权和身份验证中的角色。
摘要由CSDN通过智能技术生成

JWT (JSON Web Token)

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT 本质上就一段签名的 JSON 格式的数据。由于它是带有签名的,因此接收者便可以验证它的真实性。

JWT 由 3 部分构成:

一个 JWT token 是一个字符串,它由三部分组成,头部、载荷与签名,中间用 . 分隔,例如:xxxxx.yyyyy.zzzzz

  • Header :令牌的类型(即 JWT)和正在使用的签名算法(如 HMAC SHA256 或 RSA.)。
{
  "alg": "HS256",
  "typ": "JWT"
}

然后用 Base64Url 编码得到头部,即 xxxxx。
  • Payload(负载):用来存放实际需要传递的数据
载荷中放置了 token 的一些基本信息,以帮助接受它的服务器来理解这个 token。同时还可以包含一些自定义的信息,用户信息交换。

{
  "sub": "1",
  "iss": "http://localhost:8000/auth/login",
  "iat": 1451888119,
  "exp": 1454516119,
  "nbf": 1451888119,
  "jti": "37c107e4609ddbcc9c096ea5ee76c667",
  "aud": "dev"
}

iss (issuer):签发人
sub (subject):主题
aud (audience):受众
exp (expiration time):过期时间
nbf (Not Before):生效时间,在此之前是无效的
iat (Issued At):签发时间
jti (JWT ID):编号

对payload进行Base64编码就得到JWT的第二部分
  • Signature(签名):服务器通过Payload、Header和一个密钥(secret)使用 Header 里面指定的签名算法(默认是 HMAC SHA256)生成。

为了得到签名部分,你必须有编码过的header、编码过的payload、一个秘钥,签名算法是header中指定的那个,然对它们

最低0.47元/天 解锁文章
Y or Z
关注
专栏目录
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行
使用Gin框架集成JWT,源码、详解、面试问题
乐观的阿锡的博客
08-23 1674
使用Gin框架集成JWT,源码、详解、面试问题 一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 二、JWT的组成 1、JWT
jwtToken使用目的及优势
weixin_46649054的博客
06-16 1537
传统的session认证 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。 但是
基于jwttoken验证、原理及流程
最新发布
2401_85239883的博客
07-23 732
就写到这了,也算是给这段时间的面试做一个总结,查漏补缺,祝自己好运吧,也希望正在求职或者打算跳槽的 程序员看到这个文章能有一点点帮助或收获,我就心满意足了。多思考,多问为什么。希望小伙伴们早点收到满意的offer!越努力越幸运!金九银十已经过了,就目前国内的面试模式来讲,在面试前积极的准备面试,复习整个 Java 知识体系将变得非常重要,可以很负责任的说一句,复习准备的是否充分,将直接影响你入职的成功率。
TokenJWT认证
Waller_的博客
02-21 567
为什么用Token 先了解身份验证的演变: 随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,遇到的一个问题就是身份验证会话管理,必须记住登录的用户,也就是必须吧每个用户区分开,因为HTTP请求是无状态的,所以解决办法就是给每个人发送一个回话标识(sessionid)随机字符串,每次大家向我发起HTTP请求的时候,把这个字符串给一并捎过来, 这样我就能区分开谁是谁了. 这样就产...
JWT 身份认证优缺点分析以及常见问题解决方案
Angus
10-08 1383
JWT 身份认证优缺点分析以及常见问题解决方案 之前分享了一个使用 Spring Security 实现 JWT 身份认证的 Demo,文章地址:适合初学者入门 Spring Security With JWT 的 Demo。Demo 非常简单,没有介绍到 JWT 存在的一些问题。所以,单独抽了一篇文章出来介绍。为了完成这篇文章,我查阅了很多资料和文献,我觉得应该对大家有帮助。 相关阅读: ...
关于JWT + Token
nsnydnz的博客
09-25 570
文章目录关于 TokenOAuthOAuth 2.0JWT 关于 Token token 即使是在计算机领域中也有不同的定义,这里我们说的token,是指访问资源的凭据。例如当你调用Google API,需要带上有效 token 来表明你请求的合法性。这个 token 是 Google 给你的,这代表 Google 给你的授权使得你有能力访问 API 背后的资源。 请求 API 时携带 token 的方式也有很多种,通过 HTTP Header 或者 url 参数 或者 google 提供的类库都可以: /
JWT+Token
weixin_67201964的博客
02-29 402
瑞吉外卖的加强版苍穹外卖 初学在瑞吉外卖的基础上使用了JWT+Token实现登录功能 并且用的是手写mapper方法锻炼sql基础能力
什么是 JWT? 如何基于 JWT 进行身份验证
JavaMonsterr的博客
07-08 3550
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 TokenToken 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则 。并且, 使用 Token 认证可以有
koa+jwt实现token验证与刷新功能
10-16
在本文中,我们将深入探讨如何使用Koa2框架和JSON Web Tokens (JWT) 实现用户身份验证与令牌刷新功能。首先,JWT是一种广泛使用的身份验证机制,它允许数据在多个系统间安全传递,同时确保信息的完整性和真实性。 #...
JWT Token生成及验证
07-16
你可以使用它来创建`TokenHandler`实例,然后调用`CreateJwtSecurityToken`方法生成JWT,`ReadJwtSecurityToken`方法进行验证。 4. **JWT生成**:生成JWT时,你需要提供一个签发者(issuer, `iss`)、接收者...
计算机网络之TokenJWT
weixin_52690231的博客
04-27 1597
计算机网络之TokenJWT
session认证机制和JWT token认证机制
qq_42349528的博客
02-21 1026
session认证机制和jwt token认证机制 web开发模式 身份认证
tokenJWT详细介绍
热门推荐
lixianhe的博客
06-28 4万+
tokenJWT详细介绍
jwt+token验证
qq_51127361的博客
09-19 2074
导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId
使用identity+jwt保护你的webapi(二)——获取jwt token
寒冰屋的专栏
10-17 735
目录 前言 开始 配置JWT 结构搭建 service实现 swagger配置 测试一下 最后 参考资料 前言 上一篇已经介绍了identity在web api中的基本配置,本篇来完成用户的注册,登录,获取jwt token。 开始 开始之前先配置一下jwt相关服务。 配置JWT 首先NuGet安装包: <PackageReferenceInclude="Microsoft.AspNetCore.Authentication.JwtBearer"Versio...
jwt退出登录/修改密码时如何使原来的token失效
乾坤未定,你我皆是黑马
11-20 1万+
其实前端删掉这个Token不就行了吗(小声bb 不行,这样即使退出登录后拿着以前的token还是可以访问到。 看了半天,感觉网上没有好的解决方案。真让人头大。如何Logout呢? 既然接口有这个要求,必须实现啊。绞尽脑汁,写一下可行的两种方法,虽然还是挺蠢的。 第一种办法: 登录第一次生成token时,把token存入数据库。每次请求验证一下是不是和数据库的token一样。退出登录时,删掉数据...
什么是JWT?如何生成和验证JWT token
03-10
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准(RFC 7519)。它是一种轻量级的安全传输方式,用于在网络应用间传递声明信息。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。 头部包含了关于令牌的元数据和加密算法的信息,通常由两部分组成:令牌类型(即JWT)和所使用的签名算法(如HMAC SHA256或RSA)。 载荷是JWT的主要内容,包含了一些声明信息,如用户ID、角色、权限等。载荷可以自定义,但建议只包含一些非敏感的信息,因为JWT是可解码的。 签名是对头部和载荷进行加密生成的,用于验证JWT的真实性和完整性。签名需要使用头部中指定的算法和密钥进行生成,接收方可以通过验证签名来确保JWT没有被篡改。 生成JWT token的过程如下: 1. 创建一个包含所需声明信息的JSON对象。 2. 使用Base64编码头部和载荷,形成两个字符串。 3. 将两个字符串用点号连接起来,形成一个未签名的JWT。 4. 使用指定的算法和密钥对未签名的JWT进行签名,生成签名字符串。 5. 将签名字符串添加到未签名的JWT末尾,形成最终的JWT token。 验证JWT token的过程如下: 1. 将接收到的JWT token按点号分割为头部、载荷和签名三部分。 2. 使用相同的算法和密钥对头部和载荷进行签名,生成一个新的签名字符串。 3. 将新生成的签名字符串与接收到的签名进行比较,如果相同,则说明JWT token是有效的。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值