JWT,JWS与JWE区别

最新推荐文章于 2024-08-24 11:33:16 发布
最新推荐文章于 2024-08-24 11:33:16 发布
阅读量7.6k 收藏 14
点赞数 5
分类专栏: jwt token 文章标签: jwt jws jwe 签名 token
原文链接:https://www.jianshu.com/p/50ade6f2e4fd
版权
jwt 同时被 2 个专栏收录
4 篇文章 0 订阅
订阅专栏
token
4 篇文章 1 订阅
订阅专栏

JWT,JWS与JWE区别

原文:https://www.jianshu.com/p/50ade6f2e4fd

随着移动互联网的兴起,传统基于session/cookie的web网站认证方式转变为了基于OAuth2等开放授权协议的单点登录模式(SSO),相应的基于服务器session+浏览器cookie的Auth手段也发生了转变,Json Web Token出现成为了当前的热门的Token Auth机制。

Json Web Token(JWT)

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在两个组织之间传递安全可靠的信息。

官方定义:JSON Web Token (JWT) is a compact URL-safe means of representing claims to be transferred between two parties

JWT Auth

现在网上大多数介绍JWT的文章实际介绍的都是JWS(JSON Web Signature),也往往导致了人们对于JWT的误解,但是JWT并不等于JWS,JWS只是JWT的一种实现,除了JWS外,JWE(JSON Web Encryption)也是JWT的一种实现。
下面就来详细介绍一下JWT与JWE的两种实现方式:
在这里插入图片描述

  • JSON Web Signature(JWS)
    JSON Web Signature是一个有着简单的统一表达形式的字符串:
    JWS

    头部(Header)
    头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。
    JSON内容要经Base64 编码生成字符串成为Header。
    载荷(PayLoad)
    payload的五个字段都是由JWT的标准所定义的。

    • 1 iss: 该JWT的签发者
    • 2 sub: 该JWT所面向的用户
    • 3 aud: 接收该JWT的一方
    • 4 exp(expires): 什么时候过期,这里是一个Unix时间戳
    • 5 iat(issued at): 在什么时候签发的

      后面的信息可以按需补充,项目开发中比较常见的填一些需要的自定义数据,比如用户id或用户名
      JSON内容要经Base64 编码生成字符串成为PayLoad。

    签名(signature)
    这个部分header与payload通过header中声明的加密方式,使用密钥secret进行加密,生成签名。

    JWS的主要目的是保证了数据在传输过程中不被修改,验证数据的完整性。但由于仅采用Base64对消息内容编码,因此不保证数据的不可泄露性。所以不适合用于传输敏感数据。

    而且JWS还经常用于设计用户认证和授权系统,甚至实现Web应用的单点登录(单点登录SSO(Single Sign On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。)。实现原理:在任何一台服务节点上都能够通过解析认证token判断用户是否有权限,并且可以通过token中携带的自定义数据(PayLoad)中的用户信息如用户名或id,得知当前携带这个token请求的用户是谁。

    如果需要可以看下我的下一篇文章介绍 基于JWT规范的JWS实现token认证过程,采用JWT库jose4j,附springboot项目 demo源码下载

  • JSON Web Encryption(JWE)
    相对于JWS,JWE则同时保证了安全性与数据完整性。
    JWE由五部分组成:
    在这里插入图片描述

    具体生成步骤为:

    • 1 JOSE含义与JWS头部相同。
    • 2 生成一个随机的Content Encryption Key (CEK)。
    • 3 使用RSAES-OAEP 加密算法,用公钥加密CEK,生成JWE Encrypted Key。
    • 4 生成JWE初始化向量。
    • 5 使用AES GCM加密算法对明文部分进行加密生成密文Ciphertext,算法会随之生成一个128位的认证标记Authentication Tag。
      6.对五个部分分别进行base64编码。

      可见,JWE的计算过程相对繁琐,不够轻量级,因此适合与数据传输而非token认证,但该协议也足够安全可靠,用简短字符串描述了传输内容,兼顾数据的安全性与完整性。
无、涯
关注
专栏目录
JWT最全知识点-动力节点
weixin_49543720的博客
10-20 1409
一个JWT,应该是如下形式的:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9. TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 这些东西看上很凌乱,但是非常紧凑,并且是可打印的主要用于验证签名的真实性。JWT 解决什么问题?JWT的主要目的是在服务端和客户端之间以安全的方式来转移声明。主要的应用场景如下所
JWTJWEJWS 、JWK 都是什么鬼?还傻傻分不清?
radcb55226的博客
05-03 1631
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取! 一个JWT,应该是如下形式的:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ这些东西看上很凌乱,但是非常紧凑,并且是可打印的主要用于验证签名的真实性。JWT
JWT & JWS & JWE三者区别
weixin_45805339的博客
01-06 2580
JWT & JWS & JWE JWT : Json Web Token Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资...
JWT(JSON WEB TOKEN)详解
最新发布
yjp1240201821的博客
08-24 1811
JWT(JSON WEB TOKEN),本文主要详细讲解了jwt,从其定义、token的理解、结构、使用等等帮助深刻理解jwt
JWTJWEJWS区别
2401_83384536的博客
03-08 796
一个JWT,应该是如下形式的:这些东西看上很凌乱,但是非常紧凑,并且是可打印的主要用于验证签名的真实性。
JWTJWSJWE
喵叔
11-06 1077
以前WEB网站认证方式都是基于传统的服务器session+浏览器cookie的Auth手段,近年来Web网站认证方式逐步转变为基于OAuth2等开放协议的SSO模式。其中Json Web Token(简称JWT) 成为当前热门的Token Auth 机制。 那么什么是JWT呢?JWT是一个轻量级的OAuth2规范,允许我们使用JWT在两个或多个组织之间安全可靠的传递数据。通俗的说JWT其实就是在易碎品外包了层气泡膜,保护数据不会被破坏和破解。 我们通常在网络上所看到的关于JWT讲解的文章大多是讲解的是JWS
3 JWTJWS
Markix的博客
08-29 1292
JSON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间传输信息(Claims)。这些信息以JSON格式定义。 JWT 可以理解为是一个规范。实际上,具体的实现方案有 JWS(JSON Web Signature) 和 JWE(JSON Web Encryption)。......
jose:JSON对象签名和加密框架(JWTJWSJWE,JWA,JWK,JWKSet等)
02-03
如果您真的喜欢那个图书馆,那么您可以帮我几个忙 :clinking_beer_mugs: ! :warning: :warning: :warning: 我们强烈建议您使用新的... JWSJWE对象支持可以编码为JSON的每个输入: string , array , integer ,
一文理解 JWTJWSJWE、JWA、JWK、JOSE
m0_46296826的博客
12-03 8203
关于JsonWebToken的专业名词解释 header JWS JWS(Signed JWT)compact序列化主要生成流程: 结果示例 难点:JWS JSON序列化 JWS JSON 序列化形式(多个签名) 扁平化JWS JSON 序列化形式(单个签名) JSON 序列化与 compact序列化的区别JWS JSON字段含义 payload:base64编码的JWT负载字符串 protected:base64编码的JWS头部字符串,包含的声明受到签名
rhonabwy:JWK,JWKS,JWSJWEJWT C库
02-27
JWT依赖JWSJWE函数,因此它支持与其他2种相同的功能。JWT功能还支持嵌套序列化(JWE嵌套在JWS中或相反)。 用于数字签名和MAC的受支持的加密算法( alg ): “ alg”参数值 数字签名或MAC算法 支持的 HS256 ...
深入了解 Json Web Token 之概念篇
公众号:Java后端
10-19 2750
点击上方Java后端,选择设为星标优质文章,及时送达以下,可能你能够在各大网站上搜到,但是对于JWE 的内容,却鲜有见闻。下文是我读了json web token handle bo...
一文读懂JWT,JWS,JWE
Java笔记虾
11-24 6411
点击上方“后端技术精选”,选择“置顶公众号”技术文章第一时间送达!作者:zh_coderhttps://blog.csdn.net/hellowordapi/article1.JWT是何物,有哪些常用的场景JWT(json web token)是设计一种简洁,安全,无状态的token的实现规范rfc7519,通常用于网络请求方和网络接收方之间的网络请求认证。jwt的常用场景1.1: restful...
Unhandled exception:java.text.ParseException
热门推荐
天天吞吞吐吐跳跳糖
10-14 2万+
最近遇到一个这样的错,在我敲完这两句话后,下面自动跳红线了那么这是怎么回事呢? 解决办法: 在方法声明后加`throws Exception` 为什么要这么写: ”throws“的作用是不在本方法中进程异常处理,而是抛给调用此方法的类中进行处理。 解释:throws后,调用的方法必须进行此调用方法类的异常捕获,也可以继续向上抛出,最后一直到main方法上,此时虽然进行异常上抛,但是如果出现错误...
关于 JWTJWSJWE
u012503481的博客
07-25 7151
JWTJWSJWE 格式与差异介绍
JWTJWT JWS JWE | 结构与生成规则 | 在线JWS解析工具
Juruo@Security
05-04 3681
JWT JWS JWE | 数据结构 | 在线JWS解析工具
Token认证之Jwts原理及使用
piaolaoshi的博客
03-18 9926
Jwts的原理及具体使用方式
JWT完全手册:理解与应用
"JWT完全手册,由Sebastián E....手册还涵盖了更多关于JWT的安全考虑、加密(JSON Web Encryption, JWE)以及不同JWT和OAuth2、OpenID Connect结合使用的实例,对于理解JWT的全面工作原理和最佳实践提供了详尽的指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值