【JWT认证介绍、JWT数据结构、JWT认证流程】

最新推荐文章于 2024-05-29 07:30:00 发布
最新推荐文章于 2024-05-29 07:30:00 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: k8s、服务网格(Service Mesh) 文章标签: java restful json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lsc_2019/article/details/125069624
版权

JWT认证结构

Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

通俗来讲,JWT是一个含签名并携带用户相关信息的加密串,页面请求校验登录接口时,请求头中携带JWT串到后端服务,后端通过签名加密串匹配校验,保证信息未被篡改。校验通过则认为是可靠的请求,将正常返回数据。

什么情况下使用JWT比较适合?

授权: 这是最常见的使用场景,解决单点登录问题。因为JWT使用起来轻便,开销小,服务端不用记录用户状态信息(无状态),所以使用比较广泛;

信息交换: JWT是在各个服务之间安全传输信息的好方法。因为JWT可以签名,例如,使用公钥/私钥对儿 -
可以确定请求方是合法的。此外,由于使用标头和有效负载计算签名,还可以验证内容是否未被篡改。

JWT的数据结构

例子:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiIsImtpZCI6ImU0NzZhNjE3MWE1MjQ3NzNiYzJiNWZhMThhMWFhNDMyIn0.eyJzdWIiOiJxeiIsImlzcyI6InNlcnZpY2UtYXV0aCIsIm5hbWUiOiIwZjczN2IzM2E5YmI0ZjI1YjQxN2JjOTExYmUxZWFhYSIsInR5cGUiOiJpbnRlcm5hbF9zZXJ2aWNlIn0.nmP1ITxiLL_PJFY7DC908RY4–rrfRtYjHcpDFWjjaM
它是一个很长的字符串,中间用点(.)分隔成三个部分。注意,JWT 内部是没有换行的,这里只是为了便于展示,将它写成了几行。在这里插入图片描述

JWT 的三个部分依次如下:

Header(头部)
Payload(负载)
Signature(签名)

Header:

Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。

{
  "alg": "HS256",
  "typ": "JWT"
}

上面代码中,alg属性表示签名的算法(algorithm),默认是
HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。

最后,将上面的 JSON 对象使用 Base64URL 算法(详见后文)转成字符串。

Payload:

Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。

iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号

除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。

这个 JSON 对象也要使用 Base64URL 算法转成字符串。

Signature

Signature 部分是对前两部分的签名,防止数据篡改。
首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是
HMAC SHA256),按照下面的公式产生签名

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出签名以后,把 Header、Payload、Signature三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

Base64URL:

前面提到,Header 和 Payload 串型化的算法是 Base64URL。这个算法跟 Base64 算法基本类似,但有一些小的不同。

JWT 作为一个令牌(token),有些场合可能会放到 URL(比如 api.example.com/?token=xxx)。Base64
有三个字符+、/和=,在 URL 里面有特殊含义,所以要被替换掉:=被省略、+替换成-,/替换成_ 。这就是 Base64URL 算法。

客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。

此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在
HTTP 请求的头信息Authorization字段里面。

Authorization: Bearer <token>

另一种做法是,跨域的时候,JWT 就放在 POST 请求的数据体里面。

JWT认证流程

在这里插入图片描述

仙女肖消乐
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
深入解析 JWTJSON Web Tokens):原理、应用场景与安全实践
gulugulu1103的博客
11-23 3304
JWTJSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在 Web 应用程序和服务之间尤其流行用于身份验证和信息交换。一个 JWT 实际上是将 header、payload 和 signature 三部分分别进行 Base64 编码,然后用点(。在 Web 应用和 API 身份验证中,JWT 的使用非常普遍。例如,用户登录到系统后,系统会创建一个 JWT,并将其发送回用户。
参数传递机制之JWT
三角室专栏
07-02 1080
1. 什么是 JWT JWT 其全称为:JSON Web Token,简单地说就是 JSON 在 Web 上的一种带签名的标记形式。官方的定义如下: JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties. 即:J...
一文读懂JWT认证含使用教程
最新发布
八戒的博客
05-29 1186
***///自定义密钥/*** 生成 Token* @param map 自定义的载荷数据* @return 返回 Token*///1.设置过期时间(默认 1 天过期)//2.创建 jwt builder,添加自定义的载荷数据//3.生成 TokenString token = builder.withExpiresAt(instance.getTime()) //过期时间// sign/*** 验证 Token 合法性*/try {
【六袆-Java】 SpringBoot集成JWT实现token验证的流程图;用户访问某个资源的流程
六祎的博客
11-27 630
实现token验证的流程图 用户访问某个资源的流程图 参考资料 SpringBoot集成JWT实现token验证 - 简书 (jianshu.com)
JWT认证原理、流程,整合springboot实战应用
写代码的渣渣苏
12-17 820
JWT认证原理、流程,整合springboot实战应用
SpringBoot使用Jwt来进行安全验证机制
A169388842的博客
06-19 689
一. HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Auth 二.OAuth OAuth(开放授权)是一个开放的授权标准,允许用户让第三方应用访问该用户在
传参统一jwt加密(坑)
程序员朱永胜
03-16 355
说明 这个涉及到的主要是和前端约定加密方式,我这边主动采用了jwt方式,原因吗就不解释了。 实现起来大致思想就是做拦截,之前尝试了一版注解方式,做了一半想到一个问题。。注解拦截的参数是已经绑定之后的了。。要是自己再去处理的话就会非常麻烦。。 后来果断放弃,想了想还是使用过滤方便,想着只要把请求参数改了不就行了,实际上这样确实是可行的,就是有个坑,得同时修改getParamNames方法,不然参数是绑定不了的 先说实现吧 定义一个过滤器 package com.fedtech.common.filter.jw
JWT介绍
qq_51726114的博客
03-20 956
JWT介绍 JWT工具 JWTJson Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上 JWT最重要的作用就是对 token信息的防伪作用。 JWT的原理, 一个JWT由三个部分组成:公共部分、私有部分、签名部分。最后由这三者组合进行base64编码得到JWT介绍 1、公共部分 主要是该JWT的相关配置参数,比如签名的加密算法、格式.
jwt身份认证介绍
ZKH129的博客
06-11 2456
jwt身份验证介绍及用法
微服务网关与用户身份识别,JWT+Spring Security进行网关安全认证
公众号:该用户快成仙了
08-27 772
JWT+Spring Security进行网关安全认证 JWT和Spring Security相结合进行系统安全认证是目前使用比较多的一种安全认证组合。疯狂创客圈crazy-springcloud微服务开发脚手架使用JWT身份令牌结合Spring Security的安全认证机制完成用户请求的安全权限认证。整个用户认证的过程大致如下: (1)前台(如网页富客户端)通过REST接口将用户名和密码发送到UAA用户账号与认证微服务进行登录。 (2)UAA服务在完成登录流程后,将Session ID作为JWT
JWT认证标准原理以及在微服务系统中的设计及实现
langyichen的博客
04-14 205
eyJ0eXAiOiJKV1QiLCJhbGciOiJIQTI1NiJ9.eyJyb2xlIjpbeyJyb2xlSWQiOjEsInVzZXJuYW1lIjoiemhhb3poYW96aGFvMiJ9XX0=.26d6c858e666ee510eb14640689e1bb121
3. jwt数据结构
weixin_39563769的博客
11-19 498
JWT数据结构: 典型的结构是以 ‘ . ’来划分的三部分字符串,比如说: A.B.C A : header头信息 B : payload(有效载荷,记录的是用户的非隐私数据,可以减少数据库的访问) C : Signature【签名】就是把header + payload + 密匙进行加密以后的密文数据 传递数据的时候,header,payload也会进行加密,而签名就是在前面的加密基础之上再次进行加密. header: 在这三部分数据中,只有payload可以考虑不传任何数据,其余的两部分是..
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用)
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWT的结构
张俊杰 的博客
10-22 2005
数据格式是这样的 header.payload.signature jwt里面的内容可以用在前端上,比如说payload里面包含的用户名(name),你可以直接显示在前端,不需要在后端查询了 ,注意每个数据中间都用 点 分割开来 用户解码获取里面的数据再重新加密生成的jwt不能通过后端的验证通过,因为用户不知道后端签发jwt时候用的哪个密钥. 1.header header描述了应用于jwt的密码操作,以及jwt的附加属性, header extends 了map集合,所以可以根据自己的需求put内
JWTJSON Web Token)的数据结构
堡望的博客
05-23 914
JWT数据结构是 : A.B.C。 由字符点‘.’来分隔三部分数据。 A - header 头信息 B - payload (有效荷载,用于记录用户非隐私数据) C - Signature 签名 header 数据结构: {“alg”: “加密算法名称”, “typ” : “JWT”} alg 是加密算法定义内容,如: HMAC SHA256 或 RSA typ 是 token 类型,这里固定为 JWT。 payload 在 payload 数据块中一般用于记录实体(通常为用户信息)或其他数据的。主要分
JWT详解
weixin_30826761的博客
08-08 579
目录 1.前言 2.JWT数据结构 2.1 Header 2.2 Payload 2.3 Signature 2.4 Base64URL 3. JWT的实现 1.前言 定义:JSON Web...
什么是 JWT? 如何基于 JWT 进行身份验证?
JavaMonsterr的博客
07-08 3504
JWTJSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。Token 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则 。并且, 使用 Token 认证可以有
JWT 的结构
m0_51976820的博客
04-08 1806
JWT 的结构
开源高效的身份验证方案:教你使用JWT认证机制加强Web应用安全
weixin_43263566的博客
09-22 2069
前后端的身份认证 - JWT 认证机制
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

仙女肖消乐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值