jwt的构成部分

已于 2023-08-05 23:04:39 修改
阅读量1k 收藏 2
点赞数 2
分类专栏: springsecurity 文章标签: java
于 2023-08-05 21:46:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiang2360/article/details/132124975
版权

一、 JWT 组成结构

JSON Web Tokenv由三部分组成,它们之间用点 . 连接。这三部分分别是:

  • Header
  • Payload
  • Signature

完整 JWT 结构如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MTYxNDIzMDIsInVzZXJuYW1lIjoiamFjayJ9.l9kjzYelZJXrD7MxKhR2p3vjcEi6JBsmPVY9uxmG2zY

1. Header

JWT 的头部包含两部分信息:

  • typ:token 类型,这里是 JWT
  • alg:加密算法名称, 通常直接使用 HMAC SHA256

{

  'typ': "JWT",

  'alg': "HS256"

}

 最后,用 Base64URL 对这个 JSON 对象编码就得到 JWT 的第一部分。

2. Payload

Payload 部分用来存放业务需要传递的数据。JWT 规定了7个官方字段,供选用。

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):接收 JWT 的一方
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):唯一标识

除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。

{

  "sub": "1234567890",

  "name": "jiang",

  "iat": 1516239022

}

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把敏感信息(密码,手机号等)放在这个部分。

最后,用 Base64URL 对这个 JSON 对象编码就得到 JWT 的第二部分。

3. Signature

Signature 部分是对前两部分的签名,防止数据篡改

首先,需要指定一个 密钥(secret,这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

HMACSHA256(

  base64UrlEncode(header) + "." +

  base64UrlEncode(payload),

  secret

)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

4. Base64URL

Header 和 Payload 编码采用的是 Base64URL。这个算法跟 Base64 算法基本类似,但有一些小的不同。

JWT 作为一个令牌(token),有些场合可能会放到 URL中(比如 api.example.com/?token=xxx)。

Base64 编码有三个字符 +、/ 和 =,在 URL 里面有特殊含义,所以要被替换掉:= 被省略、+ 替换成 -,/ 替换成 _ 。这就是 Base64URL 算法。

如果需要在 URL 中携带 JWT,secret 也需要使用 Base64URL 编码。具体看官网演示:

https://jwt.io/

 

二、JWT 的使用方式

客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。

此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。

Authorization: Bearer jwt

另一种做法是,跨域的时候,JWT 就放在 POST 请求的数据体里面。

三、JWT 的特点

优点:

  • 语言无关:因为 JSON 的通用性,所以JWT是可以进行跨语言支持的;
  • 因为有了Payload部分,所以 JWT 可以在自身存储一些其它业务逻辑所必要的非敏感信息;
  • 便于传输:JWT 的构成非常简单,字节占用很小,所以它是非常便于传输的;
  • 易于应用的扩展: JWT不需要在服务端保存会话信息, 所以它易于应用的扩展。

缺点:

  • JWT 的最大缺点是,由于服务器不保存 Session 状态,因此无法在使用过程中失效某个 Token,或者更改 Token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
  • JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
  • 为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。

总结: 

一个 JWT(JSON Web Token)由三部分构成,这些部分之间用点 (.) 分隔:

  1. Header(头部):包含 token 的元数据,如 token 类型和使用的哈希算法等信息。

  2. Payload(载荷):包含所要传递的数据,也称为 claims。这些 claims 既可以是预定义的,也可以是自定义的。例如,在你的代码中,你添加了一个名为 "username" 的 claim,并将其值设置为 "jack"。

  3. Signature(签名):用于验证消息的发送者是否是其声称的发送者,并保证消息在传输过程中没有被篡改。签名的生成方法是:先对 header 和 payload 分别进行 Base64Url 编码,然后将它们连接在一起,最后用指定的 secret 和哈希算法对其进行哈希处理。

所以,一个 JWT token 的形式是:

header.payload.signature

这三部分都是 Base64Url 编码的,因此 JWT 是一个可直接在 URL、header 和各种其他地方传输的字符串。

 

jiang2360
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JWT 实战教程
weixin_43145539的博客
03-30 376
JWT 实战教程 注:资料整理自b站up主,编程不良人 1.什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted bec
JWT组成部分
qq_34518487的博客
10-23 8037
头部 一个json字符串,包含当前令牌名称,以及加密算法, {"typ":"JWT","alg":"HS256"} 使用base64加密 eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 载荷 一个json字符创,包含一些自定义的信息, {"sub":"1234567890","name":"John Doe","admin":true} 使用base64加密 eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4
JWT组成部分
qq_44194174的博客
11-25 1万+
JWT jwt底层组成部分 头部: Payload 装载的数据; 验证签名; jwt和token最大的区别: token(在用户登录后会返回一个tokenid,key:tokenid,value:username)依赖于redis查询数据信息,token存放value数据比较安全,jwt不需要依赖于服务器端,将数据信息内容直接存放在客户端(浏览器) JWT组成部分 1.Header(头) 作用:记录令牌类型、签名算法等 例如:{“alg":"HS256","type","JWT} 2.Paylo
JWT组成
qq_44972847的博客
10-23 4987
目录概念组成头部载荷签证最后 概念 JWT(JSON Web Token) 定义:一种信息标准,是json信息加密后生成的token令牌,因此常用于信息交换和授权。 由三部分组成,中间用 . 连接 头部(header) 载荷(payload) 签证(signature)           组成 头部 json信息 {"typ":"JWT","alg":"HS256"} 声明token的类型是JWT,加密算法是HS256 ** HS256 对称算
jwt组成部分
热门推荐
JavaBoy的博客
01-04 1万+
什么是JWT jwt是信息加密的一种方式,一个JWT由三个部分组成:header,payload,signature。分别保存了不同的信息。三个部分JWT中分别对应英文句号分割出来的三个串: header header部分由以下的json结构生成: typ用来标识整个token是一个jwt字符串,alg代表签名和摘要算法,一般签发JWT的时候,只要typ和alg就够了,生成方式是将heade...
JWT组成以及工作原理
ELSA001的博客
01-03 958
JWT组成以及工作原理
什么是JWT
youbo_sun的专栏
03-27 1579
JWT 是什么? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方法,用于在各方之间安全地将信息作为JSON对象传输。 由于此信息是经过数字签名的,因此可以被验证和信任。 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公用/专用密钥对对JWT进行签名。 尽管可以对JWT进行加密以在各方之间提供保密性,但我们将重点关注已签名的令牌。...
JWT安全性第1部分,创建令牌
04-08
JWT由三个部分组成:Header、Payload和Signature。Header通常包含两个部分:token的类型(JWT)和所使用的签名算法(如HS256)。Payload是载荷,存储声明信息,如用户ID、角色等。Signature用于验证JWT的完整性和...
asp.net中用到的JWT身份验证 JWT.dll 下载
08-07
JWT的主要组成部分包括三个部分,由点号(.)分隔: 1. 头部(Header) 2. 载荷(Payload) 3. 签名(Signature) 标题中提到的"JWT.dll"是一个.NET库,它提供了一个方便的方式来处理JWT的生成和验证。在ASP.NET...
jwt在线解密网站,可用于jwt的解码
03-10
理解JWT的工作原理和组成部分对于开发和维护安全的Web应用至关重要,特别是当涉及到用户认证和授权时。正确使用JWT可以有效防止未授权访问,保护用户数据,并确保通信的完整性。同时,由于JWT的自包含性,它们可以在...
jwt组成
qq_41028058的博客
11-18 240
jwt token的格式:header.payload.signature header: 用于存放签名的生成算法 {"alg": "HS512"} payload payload中用于存放用户名、token的生成时间和过期时间 {"sub":"admin","created":1489079981393,"exp":1489684781} signature signature为以header和payload生成的签名,一旦header和payload被篡改,验证将失败 //secret为加密算法的密
JWT详解(组成,工作原理,优缺点,续签问题,删除但有效问题)
最新发布
m0_62201229的博客
11-26 2273
JWT组成,工作原理,优缺点,续签问题等常见问题有较为详细的解析,适合小白快速补充知识
基于JWT的登录流程
qq_38559956的博客
01-02 1128
JWT包含三部分数据: Header:头部,通常头部有两部分内容: 声明类型,这里是JWT 签名算法,自定义 我们会对头部进行base64加密(可解密),得到第一部分数据 Payload:载荷,就是有效数据,一般包含下面信息: 用户身份信息(注意,这里因为采用base64加密,可解密,因此不要存放敏感信息) tokenID:当前这个JWT的唯一标示 注册声明:如token的签发时间,过期...
JWT详解
qq_52030824的博客
03-17 4884
JWT是一种基于数字签名的方式,以JSON格式为数据载体的开发标准。可以在不同的服务终端之安全的传输信息
JWT 简介
weixin_34194317的博客
05-03 171
本文翻译自JWT官方网站对JWT是什么以及能做什么的简介。 JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的...
JWT(JSON web token)的三个组成部分,使用 jwt 鉴权机制
qq_17335549的博客
11-07 1448
JWT
JWT 的结构详解
jll126的博客
07-31 5553
jwt:JSON Web Token 的缩写 由三部分组成:Header(头部)、Payload(负载)、Signature(签名)。 因此,JWT通常如下所示: xxxxx.yyyyy.zzzzz 1 Header(头部) 由令牌的类型(即JWT)和正在使用过的签名算法组成。如: { "alg": "HS256", "typ": "JWT" } 那么,这个JSON是Base64Url编码成JWT的第一部分。 2 Payload(负载) ...
JWT(Json Web Token—)的定义及组成
weixin_30588729的博客
06-27 515
JWT定义及其组成 JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 载荷(Payload) 我们先将用户认证的操作描述成一个JSON对象。其中添加了一些其他的信息,帮助今后收到这个JWT的服务器理解这个JWT。 { "sub": "1...
什么是JWT,由几部分组成
07-17
1. 头部(Header):JWT的头部通常由两部分组成:令牌类型(通常为JWT)和签名算法(例如HMAC SHA256或RSA)等信息,以Base64编码进行表示。 2. 载荷(Payload):载荷是JWT的第二个部分,它包含要传输的数据。载荷...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值