jwt及加密算法

最新推荐文章于 2024-03-25 20:43:57 发布
最新推荐文章于 2024-03-25 20:43:57 发布
阅读量7.4k 收藏 12
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leon_Jinhai_Sun/article/details/104251716
版权

JWT

简介

JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:https://jwt.io

GitHub上jwt的java客户端:https://github.com/jwtk/jjwt

 

数据格式

JWT包含三部分数据:

  • Header:头部,通常头部有两部分信息:

    • 声明类型,这里是JWT

    我们会对头部进行base64编码,得到第一部分数据

  • Payload:载荷,就是有效数据,一般包含下面信息:

    • 用户身份信息(注意,这里因为采用base64编码,可解码,因此不要存放敏感信息)

    • 注册声明:如token的签发时间,过期时间,签发人等

    这部分也会采用base64编码,得到第二部分数据

  • Signature:签名,是整个数据的认证信息。一般根据前两步的数据,再加上服务的的密钥(secret)(不要泄漏,最好周期性更换),通过加密算法生成。用于验证整个数据完整和可靠性

生成的数据格式:token==个人证件 jwt=个人身份证

可以看到分为3段,每段就是上面的一部分数据

 

JWT交互流程

流程图:

步骤翻译:

  • 1、用户登录

  • 2、服务的认证,通过后根据secret生成token

  • 3、将生成的token返回给浏览器

  • 4、用户每次请求携带token

  • 5、服务端利用公钥解读jwt签名,判断签名有效后,从Payload中获取用户信息

  • 6、处理请求,返回响应结果

因为JWT签发的token中已经包含了用户的身份信息,并且每次请求都会携带,这样服务的就无需保存用户信息,甚至无需去数据库查询,完全符合了Rest的无状态规范。

 

非对称加密

加密技术是对信息进行编码和解码的技术,编码是把原来可读信息(又称明文)译成代码形式(又称密文),其逆过程就是解码(解密),加密技术的要点是加密算法,加密算法可以分为三类:

  • 对称加密,如AES

    • 基本原理:将明文分成N个组,然后使用密钥对各个组进行加密,形成各自的密文,最后把所有的分组密文进行合并,形成最终的密文。

    • 优势:算法公开、计算量小、加密速度快、加密效率高

    • 缺陷:双方都使用同样密钥,安全性得不到保证

  • 非对称加密,如RSA

    • 基本原理:同时生成两把密钥:私钥和公钥,私钥隐秘保存,公钥可以下发给信任客户端

      • 私钥加密,持有私钥或公钥才可以解密

      • 公钥加密,持有私钥才可解密

    • 优点:安全,难以破解

    • 缺点:算法比较耗时

  • 不可逆加密,如MD5,SHA

    • 基本原理:加密过程中不需要使用密钥,输入明文后由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,无法根据密文推算出明文。

RSA算法历史:

1977年,三位数学家Rivest、Shamir 和 Adleman 设计了一种算法,可以实现非对称加密。这种算法用他们三个人的名字缩写:RSA

Leon_Jinhai_Sun
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
《国密算法》--支持国密 hmac-sm3 算法jwt 库。.zip
03-06
个人实战积累的成果,基于国密算法的总结,希望可以帮到您 亲们下载我任何一个付费资源后,即可私信联系我免费下载其他相关资源哦~ 个人实战积累的成果,基于国密算法的总结,希望可以帮到您 亲们下载我任何一个付费资源后,即可私信联系我免费下载其他相关资源哦~ 个人实战积累的成果,基于国密算法的总结,希望可以帮到您 亲们下载我任何一个付费资源后,即可私信联系我免费下载其他相关资源哦~ 个人实战积累的成果,基于国密算法的总结,希望可以帮到您 亲们下载我任何一个付费资源后,即可私信联系我免费下载其他相关资源哦~
JWT加密详解
qq_37647812的博客
10-07 2490
JWT采用的加密方式是非常安全的,我们可以使用JWT的payload部分加密来进行鉴权,并且这种方式相对于传统的cookie与session认证方式更为安全。HS256使用HMAC 算法,RS256使用RSA 证书,且输入的 jwk 和 x5c 可以使用不同的公钥证书。2、CSRF攻击,攻击者可以通过伪造一个请求,再把假的JWT传过去,这时后台就会认为该用户已经登录,攻击者就可以做一些非法的事情。2、无状态:JWT本身是无状态的,每个请求的Token都是独立的,减少了Server的开销。
jwt常见的加密算法
smarthome_man的博客
02-11 7526
JWT:是客户端和服务器进行数据安全传输的一种标准 JWT的组成是由头,负载,签名组成 头:指定的签名的加密算法方式 负载:自定义信息内容 签名:头部Base64通过加密算法和密钥生成的 作用:防止令牌信息被篡改 JWT令牌优点: 1、jwt基于json,非常方便解析 2、可以在令牌中自定义丰富的内容,易扩展; 3、通过非对称加密算法及数字签名技术。 常见的加密算法加密算法的种类: 1、可逆加密算法 加密后,密文可以解密得到原文 一般用于签名和认证。私钥服务器保存, 用来加密, 公钥客户拿着用于对于令牌
JWT加密算法有哪些,它们之间有什么区别?
最新发布
eeeeeeeeei的博客
03-25 716
在选择JWT加密算法时,需要根据系统的具体需求和安全要求来决定使用哪种算法。对于需要跨多个服务或不信任环境传输的Token,推荐使用非对称加密算法,如RS256或ES256。JWT(JSON Web Token)支持多种加密和签名算法,这些算法用于确保Token的安全性和数据的完整性。
JWT令牌的使用以及一些算法
01-20
Base64 编码 :字节数组(文本或其他格式)64个字符的表示形式 -解码 : 散列算法  散列函数生成信息的摘要(数据的指纹。唯一标识),摘要信息长度固定 MD5,SHA-128,SHA-256  数据完整性的校验, 秒传,先发散列值,判断服务器是否存在 散列值无法变成原始数据(不可逆) 密码在数据库的存储,散列函数+盐  不能找回密码,只能重置  加密算法  对称密钥(一个密钥) 非对称密钥(公钥,私钥)  SSH ,HTTPS JWT  官网:https://jwt.io/ 令牌是在用户验证通过后颁发给用户的身份标示,之后请求只需携带令牌,令牌中用户的标示,不存储敏感信息, 如何防止
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
json web token for C# dll文件,亲测可用,直接添加引用即可
JWT加密解密算法
qq_35531985的博客
04-30 7342
JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它将使用数字签名(密钥)记性加密解密。 什么时候使用JWT Authorization (授权) : 这是JWT最常见的使用场景,一旦用户登录后,后面每个请求都将包含JWT,用户将被允许访问该令牌允许的路由、服务和资源。单点登录是JWT应用的一个场景,并且JWT可以轻松的跨域使用。 Information Exchange (
AntDesign Pro + .NET Core 实现基于JWT的登录认证
ting2909的博客
04-25 164
修改ASP.NET Core后端代码 “JwtSetting”: { “SecurityKey”: “xxxxxxxxxxxx”, // 密钥 “Issuer”: “agileconfig.admin”, // 颁发者 “Audience”: “agileconfig.admin”, // 接收者 “ExpireSeconds”: 20 // 过期时间 s } 在appsettings.json文件添加jwt相关配置。 public class JwtSetting { static JwtSetting(
JWT加密算法原理及实现
禅与计算机程序设计艺术
10-03 1072
作者:禅与计算机程序设计艺术 1.简介 JSON Web Token(JWT)是一个开放标准(RFC7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息。该规范允许用户将登录 credentials 和 session state 作为 JSON 对象进行加密,这些信息可以被验证但无
4、聊聊常见的加密与JWT
划水的小白白
09-28 2522
文章目录一、加密算法/编码二、JWT:2.1 概念:2.2 确认网站使用JWT:2.3 实际例子:2.4 结构(三部分):2.5 攻击思路:2.6 其他: 一、加密算法/编码 常见的: md5(大多数网站已经开始加盐) SHA-1、2、256等(与md5同属于哈希算法) AES(加密模式、填充、数据库、密码、偏移量),可选以上5种方法对内容进行加密,且输出可以选base64与hex(16进制)两种。 假设一串特殊的base64解码(密文中存在“
JWT的RS256和HS256签名算法Demo.zip
03-23
最近需要使用JWT_RS256做签名校验,网上相关的资源比较少,所以写了JWT的常用的两种签名密钥Demo,希望对JWT的小白们有帮助
JwtDemo.rar
05-26
用非对称RS256签名算法方式生成JWT格式的签名的ID Token,用私钥加密,公钥解密的方式。此附件包含为.net方式的源码示例
JWT&对称加密&非对称加密
小宝儿的学习之路
03-01 9770
JWT JWT原理图: JWT的数据结构 jwt头:JWT头部分是一个描述JWT元数据的JSON对象 有效载荷:七个默认字段+自定义私有字段 签名=HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload),secret JWT由头部(header)载荷(payload)签证(sign)三部分构成 jwt的头部包含两部...
利用JWT生成Token的原理及公钥和私钥加密和解密的原则
Aplumage的专栏
10-13 1万+
开篇: 实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成的Token.JWT生成的Token有什么好处呢? 安全性比较高,加上密匙加密而且支持多种算法。 携带的信息是自定义的,而且可以做到验证token是否过期。 验证信息可以由前端保存,后端不需要为保存token消耗内存。 小知识:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一种加密过程。 什么是JWT? JSON Web...
JWT 的结构
m0_51976820的博客
04-08 1767
JWT 的结构
JWT的Java使用 (JJWT)
热门推荐
qq_37636695的博客
02-05 9万+
相信网络上面讲解JWT是什么,由什么组成的文章已经很多了,本文主要讲解JWT在Java中的使用,为了初次看到JWT的同学不会一脸懵逼,还是会说一下什么是JWT. 本文主要从以下几个方面说 什么是JWTJWT的组成 为什么要使用JWT 在Java中如何使用JWT 1.什么是JWT Json web token (JWT), 是为了在网络应用
JWT
f2634825250的博客
05-27 77
JWT有三个部分 一. JWT头 //JWT头部分是一个JSON对象, 如 { "alg" : "HS256", //一般默认未HS256 "tyoe" : "jwt" } 然后使用Base64 URL算法将上述JSON对象转换为字符串保存 二. 有效载荷 //有效载荷部分是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据 //JWT指定七个默认字段供选择。 iss:发行人 exp:到期时间 sub:主题 aud:用户 nbf:在此之前不可用 iat:发布时间 jti:
【转载】JWT的签名算法选择研究
异想之旅的博客
03-21 1714
本文转载自:http://www.bewindoweb.com/301.html | 三颗豆子,原作者允许转载。 一、背景 JWT(Json Web Token,RFC 7519)是常用的轻量级授权认证手段,常用于Web服务校验客户端身份。JWT分为三部分: Header:头部,明文,比如密钥IDkid、或者签名算法alg等等 Payload:内容,明文,包含了业务的信息,比如可以加入一些不敏感的clientId等字段 Signature:签名,利用“加密算法”对JWT进行签名,保证没有被篡改过 值得注
php实现jwt的rs256加密算法
05-25
实现JWT的RS256加密算法需要使用PHP的openssl扩展,以下是一个简单的示例代码: ```php <?php // 生成JWT Token function generateToken($payload, $privateKey) { // JWT 头部 $header = array( "alg" => "RS256", "typ" => "JWT" ); // JWT 载荷 $payload = json_encode($payload); // JWT 签名 $headerEncoded = base64UrlEncode(json_encode($header)); $payloadEncoded = base64UrlEncode($payload); $data = $headerEncoded . '.' . $payloadEncoded; $signature = ''; openssl_sign($data, $signature, $privateKey, OPENSSL_ALGO_SHA256); $signatureEncoded = base64UrlEncode($signature); // JWT Token $jwtToken = $headerEncoded . '.' . $payloadEncoded . '.' . $signatureEncoded; return $jwtToken; } // 验证JWT Token function verifyToken($jwtToken, $publicKey) { $jwtParts = explode('.', $jwtToken); if (count($jwtParts) != 3) { return false; } $headerEncoded = $jwtParts[0]; $payloadEncoded = $jwtParts[1]; $signatureEncoded = $jwtParts[2]; $header = json_decode(base64UrlDecode($headerEncoded), true); if (!isset($header['alg']) || $header['alg'] !== 'RS256') { return false; } $payload = json_decode(base64UrlDecode($payloadEncoded), true); if (!$payload) { return false; } $data = $headerEncoded . '.' . $payloadEncoded; $signature = base64UrlDecode($signatureEncoded); // 验证签名 $verifyResult = openssl_verify($data, $signature, $publicKey, OPENSSL_ALGO_SHA256); if ($verifyResult === 1) { return true; } else { return false; } } // Base64 URL 编码 function base64UrlEncode($data) { $urlsafe = strtr(base64_encode($data), '+/', '-_'); return rtrim($urlsafe, '='); } // Base64 URL 解码 function base64UrlDecode($data) { $data = strtr($data, '-_', '+/'); $dataLen = strlen($data) % 4; if ($dataLen) { $data .= str_repeat('=', 4 - $dataLen); } return base64_decode($data); } // 读取私钥 $privateKey = openssl_pkey_get_private("file://path/to/private_key.pem"); // 读取公钥 $publicKey = openssl_pkey_get_public("file://path/to/public_key.pem"); // 生成Token $payload = array( "sub" => "1234567890", "name" => "John Doe", "iat" => 1516239022 ); $jwtToken = generateToken($payload, $privateKey); echo "JWT Token: " . $jwtToken . "\n"; // 验证Token $verifyResult = verifyToken($jwtToken, $publicKey); if ($verifyResult) { echo "Token 验证成功\n"; } else { echo "Token 验证失败\n"; } ``` 在以上示例代码中,`generateToken` 函数用于生成JWT Token,`verifyToken` 函数用于验证JWT Token。`base64UrlEncode` 和 `base64UrlDecode` 分别用于进行Base64 URL编码和解码。请注意,需要将私钥和公钥保存在文件中,并且需要指定正确的文件路径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值