JWT原理

最新推荐文章于 2024-08-17 17:43:52 发布
最新推荐文章于 2024-08-17 17:43:52 发布
阅读量182 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a_369488977/article/details/109458308
版权
JWT(JSON Web Token)是一种安全认证方式,用于传递信息。它由三部分组成:头部、载荷和签名。头部包含了JWT类型和加密算法;载荷存储有效信息,如签发者、过期时间等;签名则是头部和载荷经过加密后的结果,确保了JWT的安全性。
摘要由CSDN通过智能技术生成

JWT原理

JWT是Auth0提出的通过对JSON进行加密签名来实现授权验证的方案,编码之后的JWT看起来是这样的一串字符:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

分为三段,通过解码可以得到

1. 头部(Header)

  1. // 包括类别(typ)、加密算法(alg);

  2. {

  3. "alg": "HS256",

  4. "typ": "JWT"

  5. }

jwt的头部包含两部分信息:

  • 声明类型,这里是jwt

  • 声明加密的算法 通常直接使用 HMAC SHA256

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

2. 载荷(payload)

 

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

标准中注册的声明 (建议但不强制使用) :

  • iss: 该JWT的签发者,一般是服务器,是否使用是可选的;

  • iat(issued at): 在什么时候签发的(UNIX时间),是否使用是可选的;

  • exp(expires): 什么时候过期,这里是一个Unix时间戳,是否使用是可选的;

  • aud: 接收该JWT的一方,是否使用是可选的;

  • sub: 该JWT所面向的用户,userid,是否使用是可选的;

其他还有:

  • nbf (Not Before):如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟;,是否使用是可选的;

  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明 :
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明 :
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

 

  1. // 包括需要传递的用户信息;

  2. { "iss": "Online JWT Builder",

  3. "iat": 1416797419,

  4. "exp": 1448333419,

  5. "aud": "www.gusibi.com",

  6. "sub": "uid",

  7. "nickname": "goodspeed",

  8. "username": "goodspeed",

  9. "scopes": [ "admin", "user" ]

  10. }

将上面的JSON对象进行base64编码可以得到下面的字符串。这个字符串我们将它称作JWT的Payload(载荷)。

  1. eyJpc3MiOiJPbmxpbmUgSldUIEJ1aWxkZXIiLCJpYXQiOjE0MTY3OTc0MTksImV4cCI6MTQ0ODMzMzQxOSwiYXVkIjoid3d3Lmd1c2liaS5jb20iLCJzdWIiOiIwMTIzNDU2Nzg5Iiwibmlja25hbWUiOiJnb29kc3BlZWQiLCJ1c2VybmFtZSI6Imdvb2RzcGVlZCIsInNjb3BlcyI6WyJhZG1pbiIsInVzZXIiXX0

  2.  

  3. 信息会暴露:由于这里用的是可逆的base64 编码,所以第二部分的数据实际上是明文的。我们应该避免在这里存放不能公开的隐私信息。

3. 签名(signature)

  1. // 根据alg算法与私有秘钥进行加密得到的签名字串;

  2. // 这一段是最重要的敏感信息,只能在服务端解密;

  3. HMACSHA256(

  4. base64UrlEncode(header) + "." +

  5. base64UrlEncode(payload),

  6. SECREATE_KEY

  7. )

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)

  • payload (base64后的)

  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

  1. // javascript

  2. var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

  3.  

  4. var signature = HMACSHA256(encodedString, 'secret'); // pq5IDv-yaktw6XEa5GEv07SzS9ehe6AcVSdTj0Ini4o

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJPbmxpbmUgSldUIEJ1aWxkZXIiLCJpYXQiOjE0MTY3OTc0MTksImV4cCI6MTQ0ODMzMzQxOSwiYXVkIjoid3d3Lmd1c2liaS5jb20iLCJzdWIiOiIwMTIzNDU2Nzg5Iiwibmlja25hbWUiOiJnb29kc3BlZWQiLCJ1c2VybmFtZSI6Imdvb2RzcGVlZCIsInNjb3BlcyI6WyJhZG1pbiIsInVzZXIiXX0.pq5IDv-yaktw6XEa5GEv07SzS9ehe6AcVSdTj0Ini4o
郭金鸣
关注
jwt 原理
weixin_48334703的博客
10-05 1970
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
JWT
xieminglu的博客
09-07 496
知识点: 1、服务端如何利用jwt生成token令牌 2、客户端如何接收jwt生成的令牌 3、与传统的session机制差异在哪 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发...
jwt原理
m0_51946387的博客
11-02 200
JWT原理 JWTAuth0提出的通过对JSON进行加密签名来实现授权验证的方案,编码之后的JWT看起来是这样的一串字符: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9. TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 分为三段,通过解码可以得到 1. 头部(Header) // 包
JWT(JSON Web Tokens)详解:原理、应用与安全性
最新发布
qq_51321722的博客
08-17 1013
在现代Web开发中,身份验证和授权是构建安全应用的重要基石。JWT(JSON Web Tokens)作为一种轻量级的身份验证和授权解决方案,因其简洁性、自包含性和易于在不同系统间传输的特性而备受青睐。本文将深入解析JWT原理、应用场景以及安全性考虑,帮助您更好地理解和应用JWT
COOKIE使用以及sessions使用和优缺点
weixin_51118163的博客
10-05 343
COOKIE使用以及sessions使用和优缺点 https://www.cnblogs.com/xiaonq/p/11094480.html 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信
Node.JS如何实现JWT原理
10-14
4. **JWT原理** JWT由三部分组成:Header、Payload和Signature。Header包含了算法和JWT类型,Payload包含声明(如用户ID、过期时间等),Signature是通过Header和Payload的Base64URL编码值以及一个秘密(secret)...
JWT原理解析与实现
weixin_46120888的博客
12-26 4474
1.Token与Session优缺点概述 1.1 Session的由来 在登录一个网站进行访问时由于HTTP协议是无状态的就是说一次HTTP请求后他就会被销毁,比如我在www.a.com/login里面登录了,然后你就要访问别的了比如要访问www.a.com/index但是你访问这个网站你就得再发一次HTTP请求,至于说之前的请求跟现在没关,不会有任何记忆,这次访问会失败,因为无法验证你的身份。所以你登录完之后每次在请求上都得带上账号密码等验证身份的信息,但是你天天这么带,那太麻烦了。那还可以这样,把我第一
jwt原理及使用
weixin_42469186的博客
05-16 491
是基于Json的一个公开规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是项目。和使用起来就是,由服务端根据规范生成一个令牌(token),并且发放给客户端。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。作用:类似保持登录状态 的办法,通过token来代表用户身份。
Django jwt原理&使用 --- 05
hsw的博客
04-12 202
1,COOKIE使用和优缺点 2,JWT介绍 1,COOKIE使用和优缺点 1、cookie使用原理 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。 5.服...
JWT原理
子冉冰清的博客
09-26 7428
JWT原理 jwt原理和使用 JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。 一、JWT原理: 参考文章:https://www.jianshu.com/p/180a870a308a 1、传统的登录方式: 浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每
JWT原理及其数据结构
Carson073的博客
11-21 744
1. 摘要 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理,用法和详细的数据结构。 2. JWT的定义 Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提...
JWT(JSON Web Token)的基本原理
2401_84153285的博客
05-13 993
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
JWT原理学习
我是渣渣
11-07 1204
恩么么,用着用着就想知道实现对不对,我也想知道,然后就有了这个。。。。。。 开发前的思考 我们通过调用,发现引入的是一个对象,这个对象对外暴露了两个方法,encode和decode, 我们通过encode创建token,使用decode效验token。 下边是实现 // 1.创建对象,并暴露出两个方法 let jwt = { decode (token, secret) { ...
JWT(JSON Web Token)原理、应用与安全性分析
ronshi的博客
02-22 753
JWT(JSON Web Token)原理、应用与安全性分析
jwt原理&现象及使用
m0_60375943的博客
11-17 3288
一:jwt原理 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 例:jwt就相当于学校的出入证,只有持有出入证的人才能进行出入 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 以session来举例,session是储存在服务器的,如果是按服务器来储存数据的话,那么服务器会占用很大的一个内存,而存储在客户端就解决了这个问题 3. JWT的工作原理 传统开发对资源的访问限制利用session完成图解 jwt
springboot集成jwt原理
05-20
Spring Boot集成JWT(JSON Web Token)的主要原理是: 1. 创建一个Spring Boot应用程序并添加所需的依赖项,例如Spring Security和JJWT。 2. 创建一个JWT工具类,它将负责创建和验证JWT令牌。在这个类中,你需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值