JWT(JSON Web Token)原理、使用方法及使用注意事项

最新推荐文章于 2024-07-12 16:55:56 发布
最新推荐文章于 2024-07-12 16:55:56 发布
阅读量447 收藏
点赞数
分类专栏: 后端系列知识讲解 文章标签: 前端 网络 后端 jwt 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luduoyuan/article/details/133935170
版权

JWT(JSON Web Token)是目前比较流行的一种身份认证解决方式,下面详细的介绍下原理、用法和局限性。

JWT 原理

JWT本质上就是一个字符串,客户端提交账号密码(或其他凭证)到服务器,服务器认证通过以后根据一些规则生成一个字符串并返回给客户端,客户端随后的每次接口请求都将这个字符串传给服务端,服务端拿到这个字符串后经过解析校验,最终获取到用户的身份,服务端是不需要保存这个字符串。

下面是一个常规的 JWT:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.cThIIoDvwdueQB468K5xDc5633seEFoqwxjF_xSJyQQ

可以看出 JWT 是被点`.`分隔成三个部分的字符串。JWT 的三个部分依次如下:

Header(头部)

Payload(负载)

Signature(签名)

基本结构就是`Header.Payload.Signature`。

Header 部分

Header 部分经过解析后是一个 JSON 对象,用来描述 JWT 的元数据,一般结构如下:

{
	"alg": "HS256",
	"typ": "JWT"
}

alg 属性表示签名的算法(algorithm),默认是 HMAC SHA256;typ属性表示 token 的类型(type)。将 JSON 对象使用 Base64URL 算法转成字符串。

Payload

Payload 部分经过解析后也是一个 JSON 对象,用来存放用户身份相关数据。例如:

{
	"sub": "1234567890",
	"name": "路多辛",
	"admin": true
}

将 JSON 对象使用 Base64URL 算法转成字符串。

Signature

Signature 部分是对前两部分的签名,防止数据被篡改。首先需要指定一个密钥(这个密钥必须要存放在服务器端,不能泄露给客户端),然后使用 Header 里面指定的签名算法(默认是 HMAC SHA256)按照下面的公式计算出签名。

HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)

计算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串(每个部分之间用点`.`分隔)后返回给客户端。

使用 JWT 需要注意的点

  1. JWT 的 Payload(载荷)部分是使用 Base64Url 算法进行编码的,而不是加密的。如果 JWT 被截获,是可以被解码的,因此,敏感信息不应该放在 Payload 中。
  2. JWT 的过期时间通常在 Token 生成时就已经设定好了并且服务器端无法使其提前失效,如果 Token 泄露了,攻击者可以在 Token 过期之前进行操作。
  3. JWT 本身包含了认证信息,为了保障安全起见,JWT 的有效期应该设置得比较短。
  4. JWT 通常比其他类似的令牌要大,因为包含了 Header、Payload 和 Signature,会增加一定的网络负载。

路多辛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JWT Token生成及验证
07-16
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛应用...
JWT(java web Token)
01-22
Java Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛...
JWTJson Web Token)的使用
weixin_42679286的博客
07-23 707
1.简洁:JWT Token数据量小,传输速度也很快。2.因为JWT Token是以JSON加密形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。3.不需要在服务端保存会话信息,也就是说不依赖于cookie和session,所以没有了传统session认证的弊端,特别适用于分布式微服务。4.单点登录友好:使用Session进行身份认证的话,由于cookie无法跨域,难以实现单点登录。
jsonwebtoken.sign生成token字符串报错TypeError: Right-hand side of ‘instanceof‘ is not an object
weixin_44061782的博客
03-14 680
解决办法:安装8.5.1版本正常生成。
JSON Web Tokens(JWT)简单使用
持续学习,持续更新
01-01 1857
JWTjson web token),它并不是一个具体的技术实现,而更像是一种标准。JWT规定了数据传输的结构,一串完整的JWT由三段落组成,每个段落用英文句号连接(.)连接,他们分别是:Header、Payload、Signature,所以,常规的JWT内容格式是这样的:AAA.BBB.CCC并且,这一串内容会base64加密;也就是说base64解码就可以看到实际传输的内容。接下来解释一下这些内容都有什么作用。简单理解:jwt本质就是, 把用户信息通过加密后生成的一个字符串。
解密JWTJSON Web Token):深入剖析与全面解读
m0_72410588的博客
07-25 3064
JWT是一种开放标准(RFC 7519),用于在各个应用之间安全地传输信息。它以简洁、自包含的方式在用户和服务器之间传递被声明的信息。JWT通常用于身份验证和信息交换,尤其在分布式系统中广泛使用
JWT最详细教程以及整合SpringBoot的使用(简洁易上手)
小爽帅到拖网速的博客
03-30 1万+
JWT 1、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally sig
cpp-jwt:C ++的JSON Web令牌库
02-05
JSON Web TokenJWT)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。这个信息可以被验证和信任,因为它是数字签名的。cpp-jwt是一个C++库,专门设计用于创建和解析JWT。在这个库的帮助下...
JWT web token
04-26
**JWTJSON Web Token)**是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT 已经被广泛用于认证...
json-web-tokenjwt与基于会话的身份验证
02-15
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT常用于实现身份验证和授权,尤其...
最新版 JJWT:0.12.3 版本使用案例
bigqiangwu的博客
11-29 2153
最新版 JJWT:0.12.3 版本使用案例
安全篇 ━━ JWT的用途和安全探讨,编码解码=\=加密解密
暂时先用这个名字
11-16 3613
什么是JWTJSON WEB TOKENjson格式的网络令牌,所以JWT只是一种token形式,可用来解决传统session的一些弊端。它本身和数据安全没有关系
JWT】快速了解什么是jwt及如何使用jwt
无法自律的人的博客
10-12 773
是一种用于在网络应用间安全传递声明(claim)的开放标准。和。头部主要包含了用于描述 JWT 类型以及所使用的签名算法的信息。载荷包含了需要传递的声明(claim),比如用户身份、权限等信息。签名则是对头部、载荷和一个密钥进行的签名,用于验证数据的完整性。
JWT入门以及常见的登录问题
热门推荐
霁晨晨晨的博客
05-31 3万+
本文主要介绍了JWT是什么,如何使用JWT以及实际开发中可能会遇到的有关JWT登录问题,比如token的续签、续期和登出问题等。
JWT(JSON Web Token )详解及实例
深圳市多克创新科技有限公司
10-31 5315
JSON Web Token (JWT)详解
OpenSNN推文:近期优质博客推荐汇总
最新发布
opensnn的博客
07-12 314
国内个人博客站点众多,涵盖了技术、生活、艺术等多个领域。
更新商品前端接口编写
weixin_55639995的博客
07-12 347
那么在vue运行的时候,会加载所有的ref属性特征的元素还有组件。标签中ref的作用就是将 该组件注册到vue对象的ref属性中。使用插槽,那个scope就是代表着一行的数据。然后里面的选项遍历的是 js定义的数据。如果文字显示过多可以使用 文本隐藏显示。表单绑定还有表单数据的绑定。数据绑定使用的表单绑定状态。写form表单然后封装数据。状态的选择使用的是选择框。副标题使用的是文本域。状态页面使用,下拉框。富文本选择器使用组件。使用后端枚举类型去写。
如何搭建互联网医院系统源码?医疗陪诊APP开发实战详解
meihusdk的博客
07-11 299
希望本文能够为正在或即将从事相关开发的技术人员提供一些参考和帮助。通过不断的努力和创新,我们可以为患者提供更优质的医疗服务,推动医疗行业的数字化转型。
Node多版本管理器NVM安装使用
GongWeiBuQi的博客
07-11 202
安装node很方便,只需要一条命令可以轻松切换node版本可以多版本node并存。
使用JSON Web Token 实现登录的Java代码
05-26
使用 JSON Web Token (JWT) 实现登录的 Java 代码如下: 首先,需要引入以下依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> ``` 然后,可以编写一个 `JwtUtil` 类来实现 JWT 的生成和解析: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import io.jsonwebtoken.security.Keys; import java.security.Key; import java.util.Date; public class JwtUtil { private static final Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256); public static String generateToken(String subject, long expirationTimeMillis) { Date now = new Date(); Date expirationDate = new Date(now.getTime() + expirationTimeMillis); return Jwts.builder() .setSubject(subject) .setIssuedAt(now) .setExpiration(expirationDate) .signWith(key) .compact(); } public static String parseToken(String token) { Claims claims = Jwts.parserBuilder() .setSigningKey(key) .build() .parseClaimsJws(token) .getBody(); return claims.getSubject(); } } ``` 在上面的代码中,`generateToken` 方法用于生成 JWT,接受一个 `subject` 参数表示用户 ID,和一个 `expirationTimeMillis` 参数表示过期时间(以毫秒为单位)。`parseToken` 方法用于解析 JWT,返回其中的用户 ID。 接下来,可以编写一个简单的登录接口: ```java import org.springframework.http.ResponseEntity; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RestController; @RestController public class LoginController { @PostMapping("/login") public ResponseEntity<String> login(@RequestBody User user) { if (authenticate(user)) { String token = JwtUtil.generateToken(user.getId(), 86400000); return ResponseEntity.ok(token); } else { return ResponseEntity.badRequest().build(); } } private boolean authenticate(User user) { // TODO: 实现验证逻辑 return true; } } ``` 在上面的代码中,`User` 是一个简单的 Java 类,包含一个字符串类型的 `id` 属性。`login` 方法接受一个 `User` 对象作为参数,调用 `authenticate` 方法进行验证。如果验证通过,则使用 `JwtUtil.generateToken` 方法生成 JWT 并返回;否则返回错误响应。 最后,可以编写一个使用 JWT 进行身份验证的接口: ```java import org.springframework.http.ResponseEntity; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RequestHeader; import org.springframework.web.bind.annotation.RestController; @RestController public class UserController { @GetMapping("/user") public ResponseEntity<String> getUser(@RequestHeader("Authorization") String authorizationHeader) { String token = authorizationHeader.substring(7); String userId = JwtUtil.parseToken(token); // TODO: 根据用户 ID 查询用户信息并返回 return ResponseEntity.ok("User ID: " + userId); } } ``` 在上面的代码中,`getUser` 方法接受一个名为 `Authorization` 的请求头,其中包含 JWT。首先从请求头中获取 JWT,并调用 `JwtUtil.parseToken` 方法解析其中的用户 ID。然后根据用户 ID 查询用户信息并返回。 注意,在实际应用中,需要对 JWT 进行安全性考虑,比如使用 HTTPS 协议传输、设置较短的过期时间、使用更复杂的密钥等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路多辛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值