【JWT】关于JWT

最新推荐文章于 2024-07-09 00:47:55 发布
最新推荐文章于 2024-07-09 00:47:55 发布
阅读量187 收藏
点赞数
分类专栏: Java 文章标签: JWT 认证 Token 跨域认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hc1017/article/details/86002763
版权

【JWT】关于JWT

JWT介绍

Json Web Token(JWT) 是一种开放标准 (RFC 7519) ,定义了在交互双方间,使用JSON对象以一种紧凑且独立的方式安全传输信息。消息可以通过数字签名进行验证和信任。JWT可以使用Secret(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。

虽然JWT可以加密以在各方之间提供保密,但我们将专注于签名Token。 签名Token可以验证其中包含的声明的完整性,而加密Token则隐藏其他方的声明。 当使用公钥/私钥对签署Token时,签名还证明只有持有私钥的一方是签署私钥的一方。

JWT使用场景

以下是JSON Web令牌有用的一些场景:

  • 认证
  • 信息交换

JWT结构

在压缩的格式中,JWT包含三个部分,使用点(.)分隔:

  • Header(头部)
  • Payload(负载)
  • Signature(签名)
    因此,JWT通常如下所示
    xxxxx.yyyyy.zzzzzheader.payload.signature

Header

头部通常包含两个内容:Token类型和使用的签名算法,如HMAC SHA256 或RSA.
例如:

{
  "alg": "HS256",
  "typ": "JWT"
}

该JWT头部为Base64Url编码格式。

Payload

JWT Token 的第二个部分为包含声明的Payload, 声明表明这个Token实体(通常为用户)和附加数据。即用来存放实际需要传递的数据。Payload有三种声明:registered, public,和private。

  • Registered claims:这些是一组预定义的声明,它们不是强制性的,但是建议使用,以提供一组有用的,可互操作的声明。 其中一些是:iss(发行人),exp(到期时间),sub(主题),aud(观众)等。

  • Public claims:这些可以由使用JWT的人随意定义。 但是为避免冲突,应在IANA JSON Web Token注册表中定义它们,或者将其定义为包含防冲突命名空间的URI。

  • Private claims:这些是为在同意使用它们的各方之间共享信息而创建的自定义声明,既不是注册声明也不是公开声明。
    例如:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

该JWT第二部分Payload为Base64Url 编码格式。

JWT 规定了7个官方字段,供选用。

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):受众
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):编号

Signature

要创建签名部分,必须采用编码header,编码的有效负载,秘密,header中指定的算法,并对其进行签名。
例如,如果要使用HMAC SHA256算法,将按以下方式创建签名:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

该签名用于验证消息在此过程中未被更改,并且,在使用私钥签名的令牌的情况下,它还可以验证JWT的发件人是否是它所声称的人。

关于Base64URL

Header 和 Payload 串型化的算法是 Base64URL。这个算法跟 Base64 算法基本类似,但有一些小的不同。

JWT 作为一个令牌(token),有些场合可能会放到 URL(比如 api.example.com/?token=xxx)。Base64 有三个字符+、/和=,在 URL 里面有特殊含义,所以要被替换掉:=被省略、+替换成-,/替换成_ 。这就是 Base64URL 算法。

如何使用JWT

在认证过程中,在身份验证中,当用户使用其凭据成功登录时,将返回JSON Web令牌。 由于令牌是凭证,因此必须非常小心以防止出现安全问题。 一般情况下,不应该将令牌保留的时间超过要求。

当用户访问一个受保护的路径或资源时,用户代理发送JWT,通常放在 HTTP 请求的头信息Authorization字段里面。

Authorization: Bearer <token>

JWT 的几个特点

  1. JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。
  2. JWT 不加密的情况下,不能将秘密数据写入 JWT。
  3. JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
  4. JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token
    的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
  5. JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT
    的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
  6. 为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。
hf寒沨
关注
专栏目录
JWT(json web token认证实现【Playload 存储自定义对象】
iOS逆向与安全
12-09 1369
会将空转为字符串“null”生成jwt:sign(
java jwt payload_深入了解java-jwt生成与校验
weixin_42459078的博客
02-13 880
什么是 JWT这里是jwt 官方地址,想了解更多的可以在这里查看。jwt 全称是JSON Web Token,从全称就可以看出 jwt 多用于认证方面的。这个东西定义了一种简洁的,自包含的,安全的方法用于通信双方以 json 对象的形式传递信息。其中简洁,安全,传递信息和 web 系统非常契合。jwt 实际上就是一个字符串,由以下三个部分构成(通过.分隔):Header 头部Payload 负载S...
JWT原理解析与实战通杀(附带POC)
最新发布
LCW991207的博客
07-09 1027
JWT原理解析与实战通杀(附带POC) 奉天安全团队(www.ftsec.cn)-Liku 奉天出品,必属精品。
php jwt payload,对于JWT的简单理解(php)
weixin_42127754的博客
03-10 1081
JWT(Json Web Token),其实就是一种token设计规范,由头部(Header)、载荷(Payload)、签名(Signatrue)组成。一:Header通常由两部分组成:令牌的类型(即JWT)和正在使用的签名算法(如HMAC SHA256)$header = {"alg": "HS256","typ": "JWT"}使用base64_encode编码json,得到的则是JWT的he...
jwt是什么?php jwt类封装和使用
不知道起什么名字
10-23 925
JWT是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。 JWT由三个部分组成:header.payload.signature header部分: { "alg": "HS256", "typ": "JWT" } 对应base64UrlEncode编码为:eyJhb.
java jwt payload_一张图了解javaJwt
weixin_39755824的博客
02-16 544
1.什么是javaJwt?JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.JWT.IO allows you to decode, verify and generate JWT.https://jwt.io/jav...
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
asp.net中用到的JWT身份验证 JWT.dll 下载
08-07
ASP.NET中的JWT(JSON Web Tokens)身份验证是一种广泛采用的安全机制,用于在Web应用程序中实现无状态的身份验证。JWT是一个开放标准(RFC 7519),定义了一种紧凑、自包含的方式来安全地在各方之间传输信息作为...
lua-resty-jwtJWT为伟大的Openresty
02-03
标题"lua-resty-jwtJWT为伟大的Openresty"表明了本文将探讨如何使用lua-resty-jwt库在Openresty(一个基于Nginx和Lua的高性能Web平台)中处理JSON Web Tokens (JWT)。JWT是一种安全的身份验证和授权机制,常用于...
gin-jwt:JWT Gin中间件框架
04-28
用于Gin框架的JWT中间件 这是框架的中间件。 它使用提供jwt身份验证中间件。 它提供了其他处理程序功能以提供将生成令牌的login api和可用于刷新令牌的其他refresh处理程序。 安全问题 简单的HS256 JWT令牌暴力...
java jwt payload_java使用jwt实现登录认证
weixin_42323064的博客
02-13 1458
什么是JWT?JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。此信息可以验证和信任,因为它是数字签名的。JWTs可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名jwt常见使用场景授权:这是使用JWT最常见的场景。一旦用户登录,随后的每个请求都将包括JWT,允许用户...
JSON Web 令牌 (JWT)攻击_jwt payload 用户id,2024年最新全网最具深度的三次握手、四次挥手讲解
2301_82243558的博客
04-09 583
1.1 生成密钥:首先,需要生成一个密钥(secret key),这个密钥只有发送方和接收方知道。1.2 签名:在JWT中,要对头部和有效载荷进行签名,首先将头部和有效载荷进行Base64编码,得到两个字符串,分别记为header_base64和payload_base64。
JSON Web 令牌 (JWT)攻击_jwt payload 用户id(1),2024年最新给后辈的一点建议
2401_83739434的博客
04-15 726
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
JWT生成的token——中间部分Payload的坑
weixin_29634843的博客
11-13 9275
JWT进行token认证应该都用过,标准的加密(Base64 编码)后的token是这样的三段式的: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiaWQiOiIxMjM0NTY3ODkwIiwiZXhwIjoxNjA1MDAxNzQyLCJpYXQiOjE2MDQ5OTQ1NDIsImp0aSI6IjU5YjI2NDEzLTE4MjMtNDVlZS1iZTI1LTA5M2ZjMjlhMmYzOCJ9.FMpVjuTUSOY5sbYqbJslJCnIvEx
stthjpv:一款针对JWT Payload的安全保护工具
FreeBuf_的博客
06-28 925
一般来说,当我们对JWT令牌(Base64)进行解码时,Payload部分是以明文形式出现的,该工具可以对Payload值进行加密或混淆,以增加他人在解码或分析Payload时的难度。stthjpv是一款针对JWT Payload的安全保护工具,这款工具集多种技术和思想于一身,可以通过不断改变相关参数值来防止Payload被解码,以帮助广大研究人员更好地保护JWT Payload的安全性。除此之外,该工具还能够确保JWT Payload在被解码之后,输出保持一种难以阅读和理解的状态。
读取jwt里负载的信息
左直拳的马桶_日用桶
11-24 2600
众所周知,JWT 的三个部分依次如下:Header(头部) ,元数据描述 Payload(负载) ,传输的数据 Signature(签名),Header + Payload的签名写成一行,就是下面的样子所谓读取jwt负载的信息,就是读取payload里的信息。
php 后端实现JWT认证方法
weixin_33978016的博客
09-03 301
JWT是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。JWT由三个部分组成:header.payload.signature 以下...
JWT
Lucky_LXG的博客
04-05 776
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。 简洁(Compact): 可以通过URL,POST参数或者在HTTP hea
SpringBoot整合JWT实战指南
"在SpringBoot应用中使用JWT的实践指南" 在现代Web开发中,安全性是至关重要的,尤其是在构建RESTful API时。JSON Web TokenJWT)作为一种轻量级的身份验证机制,被广泛应用于SpringBoot项目中。JWT允许在不存储...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值