JWT(JSON Web Token)简介

最新推荐文章于 2024-01-29 13:40:56 发布
最新推荐文章于 2024-01-29 13:40:56 发布
阅读量230 收藏
点赞数 1
分类专栏: java技能提升
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TreeShu321/article/details/100046318
版权

文章目录

一、JWT是什么

JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

二、跨域认证问题

互联网服务离不开用户认证,一般流程如下:

  1. 用户向服务器发送用户名和密码。
  2. 服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。
  3. 服务器向用户返回一个 session_id,写入用户的 Cookie。
  4. 用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。
  5. 服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。

这种模式的问题在于,扩展性(scaling)不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。

一种解决方案是 session 数据持久化,写入数据库或别的持久层。各种服务收到请求后,都向持久层请求数据。这种方案的优点是架构清晰,缺点是工程量比较大。另外,持久层万一挂了,就会单点失败。

另一种方案是服务器索性不保存 session 数据了,所有数据都保存在客户端,每次请求都发回服务器。JWT 就是这种方案的一个代表。

三、JWT原理

JWT原理,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样

{
  "姓名": "张三",
  "角色": "管理员",
  "到期时间": "2018年7月1日0点0分"
}

以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名(详见后文)。

服务器就不保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展。

四、JWT数据结构

实际返回给前端JWT数据结构是这样

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6I kpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7Hg Q

是一个很长的字符串,中间以(.)分割。注意JWT没有换行的

JWT三部分如下:

Header(头部)
Payload(负载)
Signature(签名)

1、header(头部)

header典型的由两部分组成:token的类型(“JWT”)和算法名称(比如:HMAC SHA256或者RSA等等)。


{
  "alg": "HS256",
  "typ": "JWT"
}

然后,用Base64对这个JSON编码就得到JWT的第一部分

2、Payload(负载)

JWT的第二部分是payload,它包含声明(要求)。声明是关于实体(通常是用户)和其他数据的声明。声明有三种类型: registered, public 和private

  • Registered claims : 这里有一组预定义的声明,它们不是强制的,但是推荐。比如:iss (issuer), exp (expiration time), sub (subject), aud (audience)等。
  • Public claims : 可以随意定义。
  • Private claims : 用于在同意使用它们的各方之间共享信息,并且不是注册的或公开的声明。
    官方给了7个字段供选用
iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号

除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

注意,不要在JWT的payload或header中放置敏感信息,除非它们是加密的。

3、Signature

Signature 部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
看一张官网的图就明白了:
在这里插入图片描述

五、JWT是如何工作的

在认证的时候,当用户用他们的凭证成功登录以后,一个JSON Web Token将会被返回。此后,token就是用户凭证了,你必须非常小心以防止出现安全问题。一般而言,你保存令牌的时候不应该超过你所需要它的时间。

无论何时用户想要访问受保护的路由或者资源的时候,用户代理(通常是浏览器)都应该带上JWT,典型的,通常放在Authorization header中,用Bearer schema。

header应该看起来是这样的:

Authorization: Bearer

服务器上的受保护的路由将会检查Authorization header中的JWT是否有效,如果有效,则用户可以访问受保护的资源。如果JWT包含足够多的必需的数据,那么就可以减少对某些操作的数据库查询的需要,尽管可能并不总是如此。

如果token是在授权头(Authorization header)中发送的,那么跨源资源共享(CORS)将不会成为问题,因为它不使用cookie。

鸣谢:
http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html https://www.cnblogs.com/cjsblog/p/9277677.html

境里婆娑
关注
专栏目录
JWT-基于token的认证方式
学习
06-20 884
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 起源 认证是用来判断用户身份。 为了避免每次都要重新认证,可以在认证成功后创建会话,
什么是 JWT -- JSON WEB TOKEN
qq_41288473的博客
03-05 232
1.什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 2.JWT的由来 要说JWT,我们就应该先来讨论基于token的认证和传统的s
JWT(Json Web Token—)的定义及组成
weixin_30588729的博客
06-27 515
JWT定义及其组成 JWTJSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 载荷(Payload) 我们先将用户认证的操作描述成一个JSON对象。其中添加了一些其他的信息,帮助今后收到这个JWT的服务器理解这个JWT。 { "sub": "1...
什么是JWTJSON Web Token)?
wzxue1984的博客
07-07 443
它通过数字签名来验证信息的合法性,并且具有自包含性,即它包含了足够的信息以供验证和识别。总结来说,JWT是一种安全的令牌传输方式,适用于跨系统间进行身份验证和授权,并提供了简便性、可扩展性和安全性等优势。JWT通常由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。1. 无状态:服务器不需要在后端存储用户的会话信息,因为令牌中已经包含了所有必要的信息。3. 安全性:使用密钥对JWT进行签名,确保数据的完整性和真实性。2. 服务器验证用户身份,并返回一个包含JWT的令牌。
JWT(JSON WEB TOKEN)是什么
枫秀天涯的博客
12-26 722
JWT(JSON WEB TOKEN)是什么 JSON Web Token(JWT)是一种开放标准RFC 7519 ,他定义了一种压缩、独立的JSON对象,可以安全地将信息以JSON对象的形式传递给各方。这个信息可以被验证和信任,因为他是通过数字签名的。JWTs签名可以通过一个私钥(使用HMAC算法)或者使用RSA的公钥/私钥对签名。 首先解释一些概念: Compact:由于
JWT(json web token)包
01-22
JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上...
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
JWTJSON Web Token):JWT简介与原理.docx
最新发布
08-28
JWTJSON Web Token):JWT简介与原理.docx
JWT-JSON Web Token實作分享1
08-08
JSON Web TokenJWT)是一种基于 token 的身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端身份验证中,传统的基于...
JWT(Json Web Token)
weixin_65549694的博客
06-07 318
今天对这个知识做了一个简单的了解,做一个小的总结,梳理思路,便于日后复习。首先JWT简单的说就是用来代替session的。之前的登录信息都保存在session中,那么JWT为什么可以代替session,也就是说,和session相比,JWT的优点是什么呢?那么JWT到底是怎么一回事呢?那么就看看它的构成:那么每部分都具体是什么呢?1.Header JWT头是一个描述JWT元数据的JSON对象,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令牌的类型,JWT令牌统
浅谈JWTJson Web Token
lans_g的博客
08-30 581
JWT,在HTTP通信过程中,进行身份认证。它是一种开放标准,一种规范化之后的 JSON 结构的 TokenJWT 自身包含了身份验证所需要的所有信息,因此我们的服务器不需要存储 Session 信息。增加了系统的可用性和伸缩性,大大减轻了服务端的压力。...
一文详解 JSON Web TokenJWT
SongYu的博客
03-03 464
一、什么是 JWTJSON Web TokenJWT)是一个开放标准,它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为 JSON 对象传输。 二、JWT 的使用场景 以下是使用 JWT 的一些情况: 授权:这是使用 JWT 的最常见方案。用户登录后,每个后续请求都将包含 JWT,从而允许用户访问该 token 允许的路由、服务和资源。 信息交换:JWT 是在各方之间安全地传输信息的一种好方法。因为可以对 JWT 进行签名(例如,使用公钥/私钥对),所以你可以确定发件人是可信任的人,并且
JWT(JSON Web Token)详解
qq_41644069的博客
11-09 751
1.JWT是什么? JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
深入解析JWT,从根源上保障你的网络安全
瓦罗兰特顶级C位的博客
01-29 1083
行走江湖多年,多次辗转面试,JWT是经常被问到的,这也验证了企业对网络安全的重视程度,本篇博客以通俗简洁的图文讲解方式,让JWT印在你的脑海里,在以后企业开发还是面试都能很好的帮到你。
JWT简介及使用
weixin_43994244的博客
09-07 3460
JWT认证使用
为什么要学jwt,能解决什么问题
rambler_designer
04-16 1805
一句话: 前后端交互过程中使用的token就是通过jwt生成的 一、JWT能做什么 授权 这是jwt最常用的一个功能, 也就是用户登录成功以后给用户颁发一个token(令牌),使用这个token令牌可以访问后台的接口,【单点登录广泛使用了jwt】 加密 通过jwt可以对参数进行签名, 后端可以通过设置拦截器验证参数的签名, 如果验证通过才真正进入后台进行处理 二、为什么选择jwt,sess...
深入理解JWT的使用场景和优劣
热门推荐
爱琴孩的博客
05-06 3万+
前言 前面简单介绍了JWT的基础只是和简单的小Demo,但是对于JWT的应用场景和优缺点掌握的还够,这些东西只有自己实践过才能搞清楚其中的细节。在网上看到一个大佬对这块讲的比较好,就转载过来一起学习下。 原文链接 编码,签名,加密 这些基础知识简单地介绍下,千万别搞混了三个概念。在 jwt 中恰好同时涉及了这三个概念,笔者用大白话来做下通俗的讲解(非严谨定义,供个人理解) 编码(en...
JWT身份认证优缺点分析以及常见问题解决方案
weixin_41924879的博客
10-20 1152
JWT身份认证优缺点分析以及常见问题解决方案 Token 认证的优势 相比于 Session 认证的方式来说,使用 token 进行身份认证主要有下面四个优势: 1.无状态 token 自身包含了身份验证所需要的所有信息,使得我们的服务器不需要存储 Session 信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。但是,也正是由于 token 的无状态,也导致了它最大的缺点:当后...
JWT(JSON Web Token)原理
zhangsan_716的博客
12-02 3089
JWT(JSON Web Token)原理 JWT是目前流行的跨域身份验证解决方案。 这里给大家介绍JWT的原理和用法。 跨域身份验证 Internet服务无法与用户身份验证分开。 传统模式过程如下: 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话(session)中。 3.服务器向用户返回session_id,session信息都会写入...
json web token
05-16
JSON Web Token (JWT) 是一种用于在网络上安全地传输信息的开放标准。它是一种基于 JSON 格式的轻量级身份验证和授权机制,通常用于在客户端和服务器之间传递身份信息。JWT 包含了一些被称为声明的信息,这些声明...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

境里婆娑

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值