JWT简介

最新推荐文章于 2024-09-17 11:17:48 发布
最新推荐文章于 2024-09-17 11:17:48 发布
阅读量1k 收藏 11
点赞数 13
分类专栏: Spring Security 文章标签: 服务器 linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abc666_666/article/details/139996450
版权

什么是JWT

JSON 网络令牌(JWT)是一项开放标准,它定义了一种紧凑、自足的方式,可在各方之间以 JSON 对象的形式安全地传输信息。由于该信息经过数字签名,因此可以验证和信任。JWT 可以使用密文(HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。虽然 JWT 也可以加密,以在各方之间提供保密性,但我们将重点讨论签名令牌。已签名的令牌可以验证其中所含声明的完整性,而加密令牌则可以向其他方隐藏这些声明。使用公钥/私钥对令牌进行签名时,签名也证明只有持有私钥的一方才是签名方。

何时使用JWT

下面是一些有用的 JWT的应用场景:

- 授权: 这是使用 JWT 的最常见场景。用户登录后,每个后续请求都将包含 JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是目前广泛使用 JWT 的一项功能,因为它的开销很小,而且能在不同域间轻松使用。

- 信息交换: JWT是在各方之间安全传输信息的好方法。由于 JWT 可以签名(例如,使用公钥/私钥对),因此可以确保发送者的真实身份。此外,由于签名是使用标头和有效载荷计算的,因此还可以验证内容是否被篡改。

JWT的结构

JWT包含三部分,各部分之间通过点(.)隔开

  1. 头(Header)
  2. 负载(Payload)
  3. 签名(Signature)

如下所示:

xxxxxx.yyyyyy.zzzzz
Header

标头通常由两部分组成:令牌类型(JWT)和使用的签名算法(如 HMAC SHA256 或 RSA)。

{

  "alg": "HS256",

  "typ": "JWT"

}

这部分 JSON 经 Base64Url 编码后构成 JWT 的第一部分。

Payload

令牌的第二部分是有效载荷,其中包含请求。声明要求是关于实体(通常是用户)和附加数据的声明。有三种类型的声明:注册声明、公共声明和私有声明。

  1. 登记声明: 这些是一组预定义的声明要求,不是强制性的,而是建议性的,目的是提供一组有用的、可互操作的声明要求。其中包括:iss(发布者)、exp(过期时间)、sub(主题)、aud(受众)等。
  2. 公开声明: 使用 JWT 的用户可以随意定义。
  3. 私人声明: 这些是为在同意使用的各方之间共享信息而创建的自定义声明要求,既不是注册声明要求,也不是公开声明要求。
有效载荷示例
{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后对有效负载进行 Base64Url 编码,形成 JSON 网络令牌的第二部分。

签名

要创建签名部分,您必须使用编码后的报文头、编码后的有效载荷、密文、报文头中指定的算法,然后对其进行签名。

例如,如果要使用 HMAC SHA256 算法,签名将按以下方式创建:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

签名用于验证信息在传输过程中是否被更改,如果是用私钥签名的令牌,签名还可以验证 JWT 的发送者是否如其所言。

把所有东西放在一起

输出结果是三个 Base64-URL 字符串,中间用点隔开,可在 HTML 和 HTTP 环境中轻松传递,与基于 XML 的标准(如 SAML)相比更加紧凑。

下面显示的 JWT 已对前面的报头和有效载荷进行了编码,并用密文进行了签名。

如果您想使用 JWT 并将这些概念付诸实践,可以使用 jwt.io Debugger 来解码、验证和生成 JWT。

JWT如何工作?

在身份验证中,当用户使用凭据成功登录时,将返回一个 JWT令牌。由于令牌是凭证,因此必须非常小心以防止出现安全问题。一般来说,保存令牌的时间不应超过所需的时间。

每当用户要访问受保护的路由或资源时,用户代理都应发送 JWT,通常是在使用Bearer模式的授权(Authorization)标头中发送。头的内容应如下所示:

Authorization: Bearer <token>

在某些情况下,这可以是一种无状态授权机制。服务器的受保护路由会检查授权头中是否存在有效的 JWT,如果存在,用户就可以访问受保护的资源。如果 JWT 包含必要的数据,就可以减少某些操作对数据库的查询需求。

请注意,如果通过 HTTP 标头发送 JWT 标记,应尽量避免其过大。有些服务器不接受超过 8 KB 的header。如果你想在 JWT 标记中嵌入过多信息,比如包含用户的所有权限,那么你可能需要其他的替代解决方案。

如果在授权(Authorization) header中发送令牌,跨源资源共享(CORS)就不会有问题,因为它不使用 cookie。

请注意,对于已签名的令牌,令牌中包含的所有信息都会暴露给用户或其他方,尽管他们无法更改这些信息。这意味着您不应该在令牌中包含秘密信息。

面朝大海,春不暖,花不开
关注
专栏目录
JWT 简介
海里鱼的技术博客
09-14 870
JWT 特点 体积小,因而传输速度快 传输方式多样,可以通过URL/POST参数/HTTP头部等方式传输 严格的结构化。它自身(在 payload 中)就包含了所有与用户相关的验证消息,如用户可访问路由、访问有效期等信息,服务器无需再去连接数据库验证信息的有效性,并且 payload 支持为你的应用而定制化。 支持跨域验证,可以应用于单点登录。 JWT是Auth0提出的通过对JSON进行加密签名来实现授权验证的方案,编码之后的JWT看起来是这样的一串字符: eyJhbGciOiJIUzI1NiIsInR5.
JWT简介和使用
A121212789的博客
03-24 1034
在实际的开发中,token不可能一直有效,比如30分钟内一次都没有进行操作,则认证过期,需要重新登录,如果一直在进行请求访问则token一直有效,直到上一次访问距离下一次访问的时间超过了30分钟,则认证过期。有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。在 nimbus-jose-jwt 中,使用 Header 类代表 JWT 的头部,不过,Header 类是一个抽象类,我们使用的是它的子类。
Jwt简介
春花秋月冬雪风,留得残荷听雨声。
01-07 1357
Jwt(Java Web token) 一、 传统的token 1.Session 存放服务器端—Session ID Session示意图 2.Token+Redis token示意图 Session缺点集群无法共享—redis 中 Token类似于Session lD Token依赖于Redis真实token存放value值 使用Token缺点:每次都需要根据token查询真实内容,对服务器端压力就非常大。| Jwt先学习json、token(加密算法对称非对称加密算法) 二、jwt(JSON WE
JWT(JSON Web Token):JWT简介与原理.docx
08-28
JWT(JSON Web Token):JWT简介与原理.docx
intro-spring-angular-shop-fe:Spring Angular JWT简介
04-08
IntroShopFe 该项目是使用版本11.2.4生成的。 开发服务器 为开发服务器运行ng serve 。... 如果您更改任何源文件,该应用程序将自动重新加载。 代码脚手架 运行ng generate component component-name生成一个新的组件...
针对JWT简介与原理,代码实例,以及oauth2+JWT+RSA的集成配置
cpfniliu
01-29 3425
JWT简介, JWT的组成以及工作原理, JWT代码实例, JWT接合RSA实例, 以及oauth2+JWT+RSA的集成配置
【观察】戴尔AI算力加速服务器“焕新上市”,打通AI落地行业“最后一公里”...
申耀的科技观察
09-12 593
今天,在人工智能的推动下,企业数智化转型已进入规模化“倍增创新”的阶段,尤其是以大模型为代表的AI技术加速演进,以及应用场景的不断拓展加深,都让各类AI创新应用如雨后春笋般涌现,并加速惠及千行万业。但与此同时,AI大模型的火热登场,也引爆了智能算力的需求。根据中国信通院发布的《中国算力发展指数白皮书(2023年)》显示,在目前的算力规模中,通用算力规模占比达74%,智能算力规模占比达25%,同比增...
chattr:修改文件的特殊属性
qq_38641599的博客
09-12 983
​chattr​命令用于改变文件的特殊属性,也称为"chattr 属性"。这些属性可以提供额外的安全性和控制,如设置文件为不可修改、只允许在文件末尾添加数据等。‍。
Linux5-echo,>,tail
2301_80339607的博客
09-15 458
选项-f,例如tail -f test.txt,实时跟踪(如果添加数据,这里立即显示,如果要退出追踪,按Ctrl+c)例如:echo "hello world",输出hello world。选项-num,例如tail -5 test.txt,查看末尾5行。echo 'pwd',输出pwd的位置。tail用于查看末尾内容,默认为末尾10行。echo是输出命令,类似printf。例如:tail test.txt。>指把左边内容覆盖到右边。>>把左边内容追加到右边。2.重定向符> >>
通过TensorBoard查看服务器训练过程
记录图像处理中遇到的点点滴滴
09-12 392
在本地查看服务器训练代码过程
Windows电脑A远程连接电脑B
weixin_44750594的博客
09-11 313
3. 打开电脑A,如果默认没有搜索图标出来,可以利用Windows+X调用出搜索命令,之后输入“远程桌面连接”,打开远程桌面把B电脑的IP输入。ip看以无线局域网适配器 WLAN里面的本地链接IPV6地址:X.X.X.X(这是那个地址的格式就是,例如为10.222.1.2)4. 如果电脑B有密码和名字,把电脑的名字和电脑密码输入给A,这样就可以连接。
运维的基本概念:服务器网络基础知识
Echo_Wish的博客
09-12 1035
服务器网络是现代IT系统的基础设施,运维工程师需要掌握这些基础知识,才能有效地管理和维护系统。希望本文能够帮助读者更好地理解运维的基本概念,并提供一些实用的服务器网络管理示例。通过不断学习和实践,运维工程师可以提升自己的技能,为企业的IT系统保驾护航。
怎么选择适合的服务器
2403_86998484的博客
09-14 654
大家都知道,不管是公司还是个人,在数字化浪潮已经席卷全球的环境下,大家对服务器的需求是日渐增长的。很多人在买服务器的时候,多少都有点选择困难,今天我们就来对比下物理服务器和弹性云服务器,看看选哪个更省心。业务规模:如果你的业务还在起步阶段,或者只是想自己倒腾点东西,比如建steam游戏的服务器、建个人博客、论坛等,那么云服务器应该更适合你。想象一下,物理服务器就像你家的老式冰箱,虽然样子有点过时,但性能稳定,用起来心里踏实。而弹性云服务器,就像是你的智能手机,随时随地,想怎么用就怎么用。
如何在Android上实现RTSP服务器
最新发布
乐学吧
09-17 1692
Android上实现RTSP服务器是一个极具挑战的任务,功能设计这块,除了需要支持接编码前音视频数据外,还需要支持对接编码后音视频数据,并实现本地录像、快照等功能组合使用。需要注意的是,就像海康、大华的摄像头一样,对外的并发,一般限于4-8个,Android设备的性能一般来说,可能不足以处理高负载的RTSP服务器,但是小并发模式下,能稳定的运行,就达到设计初衷了。
Linux 防火墙:iptables (二)
shyuu的博客
09-13 1539
SNAT(源网络地址转换)通常用于局域网内的主机共享单个公网 IP 地址接入 Internet,因为私有 IP 地址不能在 Internet 中正常路由。抓取指定网络接口、协议类型、IP 范围以及端口号的基础上对数据进行过滤,并将结果保存到指定文件中用于后续的分析。DNAT 的工作原理是将数据包的目的地址从公网地址转换为局域网内的服务器地址。SNAT 的工作原理是将数据包的源地址从局域网地址转换为公网 IP 地址。进来的要访问 Web 服务的数据包的目的地址转换为。将 iptables 规则文件保存在。
Zabbix自定义监控项与触发器
henanchenxuyuan的博客
09-11 1682
Zabbix 中内置了很多监控参数(Key),我们可以通过在客户端配置文件中定义 key,获取监控对象中的系统、CPU、网络、内存、文件系统等信息。Key(键)是 zabbix 标记 item 的键,是一种标识符。利用 key 可以定义一个监控对象,那么这个监控对象肯定是采集数据的,但是采集数据的时候可能存在很多节点与 server 交互,那么需要具体采集哪个节点,就可以用 key 进行采集。
postgres_fdw访问存储在外部 PostgreSQL 服务器中的数据
不会编程的猫星人
09-14 1317
postgres_fdw访问存储在外部 PostgreSQL 服务器中的数据
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

面朝大海,春不暖,花不开

您的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值