JWT学习笔记

最新推荐文章于 2024-03-24 15:36:03 发布
最新推荐文章于 2024-03-24 15:36:03 发布
阅读量3.5k 收藏 2
点赞数
分类专栏: 学习笔记 JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a201577f0546/article/details/79365338
版权

为一个自娱自乐的项目开发WebAPI的时候,我尝试使用了Token验证机制。
对于我这样一个菜鸟来说,Token的验证机制在我理解中十分简单:
先使用用户名和密码登录系统,服务器会返回一个字符串,约定好这个字符串就是系统出入的通行令牌
客户端之后除了登录操作的所有请求只要带上这个字符串,系统就会放行。
好,到现在就明白了,“Token”在当时的我看来只是一个字符串,我只需要保证这个字符串一人一个不重样即可。
于是我就使用了GUID(全局变量标识符)来充当Token。但是使用过程中就有了问题。这个Token是生成了而且不重样,可我怎么确立它和用户之间的对应关系?于是我想到把Token存到用户表中,假设用户带着Token访问更新用户信息的API,服务器拿到Token去查询用户表,进而找到对应的用户名。至此我就知道了这个Token是哪位用户的了。拿着这个用户名,就可以更新该用户的表项了。那么其它的API也是这个这样,首先第一件事要做的就是去查询数据库找到对应的用户名,才能进行其他的操作。
按照我的思路的话,这个方式虽然麻烦一点,但是还是能实现功能的。
另一个观于Token的常见要求是,它得能设置有效期,总不能一个Token用一辈子吧。于是我又往用户表加了一列过期时间,每次验证Token都要从数据库中拿出到期时间与当前时间做比较来判断是不是过期了。

JWT的基本概念

JWT(Json Web Token)本质上是一种Token的设计规范。用于实现Token机制的Token说到底也就是个字符串,重点是这个字符串该怎么写才会比较合理。我试过用GUID来充当这个Token实现简单的Token身份验证机制,完全没问题。可就是用起来有点别扭。而JWT就是一种更加合理的组织Token字符串的方式。
它使用JSON格式,总体分为三个大块:Header .Payload. Signature,分别承担各自的责任。

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

Signature

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

整体结构为:
header (base64)+payload (base64)+Signature
有关那些Claim的说明官网上有详细介绍。

接下来从Signature出发看看可以挖到什么知识。↓

关于Signature

前两部分的处理都十分简单,关于Signature的处理有点让人眼花缭乱,特别是我这种对密码技术一无所知的小白。
关于这个最后一部分我有过一点误解:以为使用SHA-256进行处理以后就可以看做是对JWT加密了别人就看不到了。其实并不是这样的。
首先要声明,最后一部分“签名”并不是对Token进行加密处理。而HS256也不是一般意义上的加密函数,它的全称是
HMAC using SHA-256,这牵扯到的就多了。

要理解它首先要知道一下几个概念:

1. 单向散列函数:

单向散列函数也称信息摘要函数(Message Digest Function),哈希(Hash)函数或者杂凑函数。

它是其余两个概念的基础。现在不考虑具体实现,把这个概念当成一个黑箱

输入:任意长度消息(可以是1bit 、1K、1M,甚至可以100G)
输出:一串固定长度的数据(散列值,也称消息摘要,指纹)

单向散列函数工作原理

单项散列函数有如下几种特性:

  1. 根据任意长度消息得出的散列值长度是固定的。
  2. 散列值计算时间短
  3. 不同的消息有不同的散列值(如果两个不同消息的散列值相同,那就称为发生碰撞
  4. 根据散列值无法还原消息(单向性,只能从消息到散列值,反之不成立)

关于单向散列函数的应用,很常见的一个就是文件的校验
这里写图片描述

图片中所使用的哈希函数是 SHA-1(也有使用MD5的)。有了它就看可以确定下载的文件是不是被动过手脚。因为软件在发布的时候会同时公布它散列值,正在下载的软件也可以计算散列值,两个散列值相同就说明是同一个软件。

常见的单项散列函数:
MD4(Message Digest 4)
MD5(Message Digest 5)
SHA-1
SHA-256 数字代表散列值长度为256bit
SHA-384
SHA-512

2. MAC 消息认证码

MAC:Message Authentication Code 即消息认证码 它可以确认消息完整性并进行认证。

输入:消息+发送者以及接收者之间共享的密钥

注:与单项散列函数不同之处就是它多了一个密钥的参与

输出:固定长度的数据,称为MAC值

注:这就跟单向散列函数一样了

消息验证码工作原理

确切来说它指的是一种认证机制。这种机制有多种实现方法,单项散列函数就是其中之一。
使用单向散列函数(也称Hash函数)实现的消息认证码就称为 HMAC,其中H就是Hash的意思。
一次解决了单项散列函数虽然可以检测到篡改(完整性),但是却没有办法识别伪装的问题。

注:无法识别伪装是因为如果有第三者假装其中一方发消息,另一方根本无从知晓这个消息是不是对方发来的。

3.HMAC 哈希消息认证码

上面也提到了,HMAC就是使用了单项散列函数来构造消息认证码的一种方法(RFC2104)。根据它所使用的散列函数不同,就出现了如下这么多种 HMAC

HMAC 算法备注
HS256HMAC using SHA-256
HS384HMAC using SHA-384
HS512HMAC using SHA-512

注:使用消息认证码是无法保证消息的机密性的,它只能保证消息被正确的传送了。例如 传送的完整消息格式为 “123456”+“消息验证码”,消息验证码的作用就是在对方收到消息之后可以根据验证码来验证 “123456”是没有被修过的。至于机密性,那需要对“123456”进行加密,而这不关消息验证码什么事。

消息认证码有两个无法解决的问题:

  • 对第三方证明
  • 防止否认

数字签名可以解决上述问题,但是这与JWT 关系不大
现在我明白了,被在JWT中被称为 “Signature 签名”的部分,其实是前两部分的消息认证码(MAC),官方称之为数字签名我觉的其实并不怎么准确。在JWT中密钥并不与客户端共享,其为服务器独有。这样一来只有服务器可以发Token,而客户端因为缺少密钥而无法伪造 Token。服务器会对每个请求里面的Token用密钥来算MAC值来验证这个Token是不是自己发出去的。

而且为了确保Token不是一直有效,还要加一些时间戳来限制

Reserverd claims说明
exp(Expiration time)是一个时间戳,代表这个JWT的过期时间
nbf(Not Before)是一个时间戳,代表这个JWT生效的开始时间,意味着在这个时间之前验证JWT是会失败的
iat(Issued at)是一个时间戳,代表这个JWT的签发时间
jti(JWT ID)是JWT的唯一标识

这些时间戳可以让服务器知道这个Token有没有过期。

关于所谓JWT的安全性

对于Token的安全性,其实我觉得没什么好说的,Token实质上就是一个由服务器签发的无法伪造的令牌。JWT能够保证令牌无法伪造就已经足够安全了。至于什么“黑客拿到了令牌怎么办,要是有中间人劫持,拦截了怎么办”之类的安全问题,并不是JWT的锅,而是传输协议的锅。HTTP协议 明文传输信息而造成的安全问题,JWT能有什么责任?最简单的方法就是换HTTPS协议喽。

使用JWT来进行用户身份认证

这里写图片描述

C#中怎么生成JWT格式的Token

JWT在各个平台都有已经封装好的库可以使用
在.NET平台下有如下几个命名空间可以引用:

using System.Security.Claims;
using System.IdentityModel.Tokens.Jwt;
using Microsoft.IdentityModel.Tokens;

微软把这些类全都开源放在在Github上面可以供研究其实现过程

关于JWT的Claim

Reserverd claims说明
iss(Issuser)代表这个JWT的签发主体
sub(Subject)代表这个JWT的主体,即它的所有人
aud(Audience)代表这个JWT的接收对象
exp(Expiration time)是一个时间戳,代表这个JWT的过期时间
nbf(Not Before)是一个时间戳,代表这个JWT生效的开始时间,意味着在这个时间之前验证JWT是会失败的
iat(Issued at)是一个时间戳,代表这个JWT的签发时间
jti(JWT ID)是JWT的唯一标识

哈希算法

  1. |alg 参数|Digital Signature or MAC 算法|
    |:————————-:|:———————————————–:|
    |HS256|HMAC using SHA-256 hash algorithm|
    |HS384| HMAC using SHA-384 hash algorithm|
    |HS512| HMAC using SHA- 5 12 hash algorithm|
    |RS256|RSASSA using SHA-256 hash algorithm|
    |RS384|RSASSA using SHA- 384 hash algorithm|
    |RS512| RSASSA using SHA-512 hash algorithm|
    |ES256|ECDSA using P-256 curve and SHA-256 hash algorithm|
    |ES384| ECDSA using P- 384 curve and SHA-384 hash algorithm|
    |ES512|ECDSA using P-521curve and SHA-512 hash algorithm|
    |none| No digital signature or MAC value included|

参考资料
JWT实现token-based会话管理
MAC算法
廖雪峰Python

「已注销」
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
jwt解析token HS256算法
大数据爱好者
11-07 1万+
package com.irootech.customercloud.common.util; import com.google.gson.Gson; import com.irootech.customercloud.bean.UserRegReporBean; import io.jsonwebtoken.Claims; import io.jsonwebtoken.JwtBuilder;...
JWT签名算法
weixin_30745641的博客
08-17 1689
JWT签名算法 JWT签名算法中,一般有两个选择,一个采用HS256,另外一个就是采用RS256。 签名实际上是一个加密的过程,生成一段标识(也是JWT的一部分)作为接收方验证信息是否被篡改的依据。 RS256 (采用SHA-256 的 RSA 签名) 是一种非对称算法, 它使用公共/私钥对: 标识提供方采用私钥生成签名, JWT 的使用方获取公钥以验证签名。由于公钥 (与私钥...
JWT总结
m0_62422842的博客
05-25 4050
JWT是什么 全称Json Web Token。是跨域身份认证的一种方式。JWT的声明一般是用来身份提供者与服务提供者之间传递被认证的用户身份信息。便于从服务器获取到资源。它也可以用来记录用户信息。与token不同的是,它不用查询数据库,只要在服务端使用密钥完成校验就行。 JWT的原理 服务器认证以后,就会生成一个json对象,并发回给用户。例如 { "姓名": "张三", "角色": "管理员", "到期时间": "2018年7月1日0点0分" } 之后,客户端再与服务端通讯的时候
安全之剑:深度解析 Apache Shiro 框架原理与使用指南
最新发布
繁依Fanyi的博客
03-24 1474
Apache Shiro是一个强大且易用的Java安全框架,提供了身份验证、授权、密码学和会话管理等功能。它被广泛用于保护各种类型的应用程序,包括Web应用、RESTful服务、移动应用和大型企业级应用。使用Shiro,你可以将安全性集成到应用程序中而不必担心复杂的实现细节。Apache Shiro作为一款强大且灵活的Java安全框架,为我们提供了全面的安全性解决方案。通过本文的介绍,你应该对Shiro的基本原理、使用方法以及一些高级功能有了初步的了解。
生成JWT格式的token
zhangdonghang
01-22 2529
JWT简介 JWT是json web token缩写 它将用户信息加密到token里,服务器不保存任何用户信息 服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证 于token的身份验证可以替代传统的cookie+session身份验证方法 JWT组成 header部分 { "alg": "HS256", "typ": "JWT" } //对应base64U...
JWT(java web token)的基本使用
LC的博客
01-13 1607
JWT(java web token) JWT包含三部分: Header 头部 Payload 负载 Signature 签名 其结构看起来是这样的 Header.Payload.Signature。 #JWT的组成 ##Header 在header中通常包含了两部分:token类型和采用的加密算法。{ “alg”: “HS256”, “typ”: “JWT”} 接下来对这部分内容使用 Base64Url 编码组成了JWT结构的第一部分。 ##Payload 它包含了claim, Claim是一些实体(通常
基于JWT的Token认证机制(一)
热门推荐
睁眼看世界
11-14 1万+
简介           JSON Web Token(JWT)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对其进行签名。 JWT的组成      
JWT学习笔记1
08-03
背景了解户身份认证的种式、session验证1、客户端使户名和密码请求登录2、服务端接收请求,验证信息,成功后,在当前对话(session)保存相关数据,如户、
fe-note:前端学习笔记
05-03
前端学习笔记HTMLCSSJavaScriptECMAScriptWeb APIIndexedDBWebWorkerWebSocketVueVue 学习基础Vue 框架原理Vue 最佳实践VuexReactReact 基础React HooksTypeScriptTypeScript 基础浏览器BrowserDOMEventTarget微信...
Tingyu-Notes:一套开发级JAVA设计语言学习笔记。所有笔记已更新于微信公众号
05-13
A Wonderful learning-Java-Blog一套开发级JAVA设计语言学习笔记。所有笔记已更新于微信公众号<汀雨笔记>:red_heart:资源较多已同步到gitee: 2021-1-29 |:sparkles: 特性:rainbow: 鉴权-安全:gear: 操作系统:...
exp:工作中总结的经验和自制(大部分)教程和学习笔记
07-23
开发管理 工作流程和方法 参照对开发的工作进行规范,涉及工作流程,工作方法,代码规范,工作完成定义和项目状况确认这几个方面。 提交commit 在提交每个commit的时候,根据填写...JWT Token 测试 Jmeter使用方法培训-
JWT的RS256和HS256签名算法Demo.zip
03-23
最近需要使用JWT_RS256做签名校验,网上相关的资源比较少,所以写了JWT的常用的两种签名密钥Demo,希望对JWT的小白们有帮助
JSON WEB TOKEN (JWT)
HUDCHSDI的博客
06-12 637
什么是JWT 就是token JWT是一种规范。用来生成一种紧凑安全的token,由三部分组成。 1 Header header主要是两部分信息 声明类型 加密算法 数据如下 { 'typ':'JWT', 'alg':'HS256' } 然后进行base64加密结果如下 eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 2 payload payload 是我们to...
springboot实现jwt HS256加密及验证
qq_45632313的博客
10-13 5016
最近项目需要用到类似access token进行加解密、验签的需求,本人在此做个小笔记记录一下,以供他人参考。 一共会用到2中加解密,HS256 和 RS256,本文只是对 HS256做个备注,好了直接上代码,先引入jar包 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1&lt
JWTJWT+HA256加密 Token验证
weixin_30457465的博客
03-25 1148
目录 Token验证 传统的Token验证 JWT+HA256验证 回到顶部 Token验证   最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token ...
JWT学习流程及使用
m0_62356399的博客
07-19 595
然而,Session 是在服务器端的,而 JWT 是在客户端的。因为 JWT 可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。单点登录是现在广泛使用的 JWT 的一个特性,因为它的开销很小,而且可以轻松地跨域使用。JWT 一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。JWT,即 JSON Web Token,定义了一种紧凑的、自包含的方式,用于在网络应用环境间以 JSON 对象安全地传输信息。
JWT安全学习笔记
zr1213159840的博客
04-19 1625
JWT安全学习笔记 什么是JWTJWT全称Json Web Token是一种跨域验证身份的方案,JWT不加密传输的数据,但是能够通过数字签名来验证数据未被篡改。 JWT的组成 JWT分为三部分,头部(Header),声明(claims),签名(signature),三个部分以英文句号.隔开。JWT的内容以Base64URL进行了编码。 头部和声明是由base64url加密的。签名是整合头部和声明利用密钥进行加密的结果。 (在HTTP传输过程中,Base64编码中的"=“,”+“,”/"等特殊URL编码
python将jwths256加密——pyjwt
素质云笔记
01-13 2703
加载对应的库: $ pip install pyjwt 文档地址在: https://pyjwt.readthedocs.io/en/stable/ 一个非常简单的例子: >>> import jwt >>> encoded_jwt = jwt.encode({"some": "payload"}, "secret", algorithm="HS256") >>> print(encoded_jwt) eyJ0eXAiOiJKV1QiLCJhbGciOi
hutool jwt
08-12
Hutool是一个Java工具库,而JWT是一用于认证和授权的标准化方法。Hutool中提供了对JWT的支持,可以方便地进行JWT的生成、解析和验证操作。 要在Hutool中使用JWT,你需要添加Hutool的依赖包到你的项目中。具体使用方法如下: 1. 添加Maven依赖(如果你使用Maven构建项目): ```xml <dependency> ***</dependency> ``` 2. 创建JWT对象并设置相关参数: ```java // 密钥 String secret = "your_secret_key"; // 创建JWT对象 Jwt jwt = JwtUtil.createJwt() .setAlgorithm(JwtAlgorithm.HS256) // 设置算法 .setSecret(secret) // 设置密钥 .setPayload("your_payload") // 设置载荷(可以是一个JSON字符串) .setExpiresAt(DateUtil.offsetMinute(new Date(), 30)); // 设置过期时间 // 生成JWT字符串 String jwtStr = jwt.generate(); ``` 3. 解析和验证JWT: ```java // 解析JWT字符串 Jwt jwt = JwtUtil.parseJwt(jwtStr); // 获取载荷信息 String payload = jwt.getPayload(); // 验证JWT是否有效 boolean isValid = jwt.validate(); ``` 这样,你就可以在Hutool中使用JWT进行认证和授权操作了。希望能对你有所帮助!如果有更多问题,请继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值