JWT(JSON Web Token)原理、使用方法及使用注意事项

最新推荐文章于 2025-04-23 16:19:42 发布
最新推荐文章于 2025-04-23 16:19:42 发布
阅读量524 收藏
点赞数
分类专栏: 后端系列知识讲解 文章标签: 前端 网络 后端 jwt 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luduoyuan/article/details/133935170
版权
本文详细介绍了JWT(JSONWebToken)的工作原理,包括Header、Payload和Signature的构成,以及使用中的注意事项,如不存储敏感信息、合理设置有效期和考虑网络性能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

JWT(JSON Web Token)是目前比较流行的一种身份认证解决方式,下面详细的介绍下原理、用法和局限性。

JWT 原理

JWT本质上就是一个字符串,客户端提交账号密码(或其他凭证)到服务器,服务器认证通过以后根据一些规则生成一个字符串并返回给客户端,客户端随后的每次接口请求都将这个字符串传给服务端,服务端拿到这个字符串后经过解析校验,最终获取到用户的身份,服务端是不需要保存这个字符串。

下面是一个常规的 JWT:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.cThIIoDvwdueQB468K5xDc5633seEFoqwxjF_xSJyQQ

可以看出 JWT 是被点`.`分隔成三个部分的字符串。JWT 的三个部分依次如下:

Header(头部)

Payload(负载)

Signature(签名)

基本结构就是`Header.Payload.Signature`。

Header 部分

Header 部分经过解析后是一个 JSON 对象,用来描述 JWT 的元数据,一般结构如下:

{
	"alg": "HS256",
	"typ": "JWT"
}

alg 属性表示签名的算法(algorithm),默认是 HMAC SHA256;typ属性表示 token 的类型(type)。将 JSON 对象使用 Base64URL 算法转成字符串。

Payload

Payload 部分经过解析后也是一个 JSON 对象,用来存放用户身份相关数据。例如:

{
	"sub": "1234567890",
	"name": "路多辛",
	"admin": true
}

将 JSON 对象使用 Base64URL 算法转成字符串。

Signature

Signature 部分是对前两部分的签名,防止数据被篡改。首先需要指定一个密钥(这个密钥必须要存放在服务器端,不能泄露给客户端),然后使用 Header 里面指定的签名算法(默认是 HMAC SHA256)按照下面的公式计算出签名。

HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)

计算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串(每个部分之间用点`.`分隔)后返回给客户端。

使用 JWT 需要注意的点

  1. JWT 的 Payload(载荷)部分是使用 Base64Url 算法进行编码的,而不是加密的。如果 JWT 被截获,是可以被解码的,因此,敏感信息不应该放在 Payload 中。
  2. JWT 的过期时间通常在 Token 生成时就已经设定好了并且服务器端无法使其提前失效,如果 Token 泄露了,攻击者可以在 Token 过期之前进行操作。
  3. JWT 本身包含了认证信息,为了保障安全起见,JWT 的有效期应该设置得比较短。
  4. JWT 通常比其他类似的令牌要大,因为包含了 Header、Payload 和 Signature,会增加一定的网络负载。

JWTjson web token)认证实现【Playload 存储自定义对象】
专注于计算机研发知识和资讯分享
12-09 1524
会将空转为字符串“null”生成jwt:sign(
什么是JWTJSON Web Token
ThisIsClark
02-11 837
JWTJSON Web Token)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象的形式安全地传输信息。它简化了身份验证和授权的过程,提高了系统的可扩展性和性能。然而,在使用JWT时,也需要注意密钥管理、敏感信息保护、令牌过期时间等安全问题,以确保系统的整体安全性。JWT的这种机制避免了传统Session机制中的状态管理问题,使得服务器可以无状态地处理请求,提高了系统的可扩展性和性能。这部分内容也经过Base64编码后形成JWT的第二部分。
JWTJson Web Token)的使用
weixin_42679286的博客
07-23 1037
1.简洁:JWT Token数据量小,传输速度也很快。2.因为JWT Token是以JSON加密形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。3.不需要在服务端保存会话信息,也就是说不依赖于cookie和session,所以没有了传统session认证的弊端,特别适用于分布式微服务。4.单点登录友好:使用Session进行身份认证的话,由于cookie无法跨域,难以实现单点登录。
jsonwebtoken.sign生成token字符串报错TypeError: Right-hand side of ‘instanceof‘ is not an object
weixin_44061782的博客
03-14 956
解决办法:安装8.5.1版本正常生成。
JSON Web Tokens(JWT)简单使用
持续学习,持续更新
01-01 1999
JWTjson web token),它并不是一个具体的技术实现,而更像是一种标准。JWT规定了数据传输的结构,一串完整的JWT由三段落组成,每个段落用英文句号连接(.)连接,他们分别是:Header、Payload、Signature,所以,常规的JWT内容格式是这样的:AAA.BBB.CCC并且,这一串内容会base64加密;也就是说base64解码就可以看到实际传输的内容。接下来解释一下这些内容都有什么作用。简单理解:jwt本质就是, 把用户信息通过加密后生成的一个字符串。
解密JWTJSON Web Token):深入剖析与全面解读
m0_72410588的博客
07-25 3192
JWT是一种开放标准(RFC 7519),用于在各个应用之间安全地传输信息。它以简洁、自包含的方式在用户和服务器之间传递被声明的信息。JWT通常用于身份验证和信息交换,尤其在分布式系统中广泛使用
JWT最详细教程以及整合SpringBoot的使用(简洁易上手)
小爽帅到拖网速的博客
03-30 2万+
JWT 1、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally sig
JWT Token生成及验证
07-16
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛应用...
一文精通JWT Token、ID Token、Access Token、Refresh Token
FeelTouch Labs
02-21 1735
用于授权访问资源,任何 Bearer 持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密 key。一个 Bearer 代表授权范围、有效期,以及其他授权事项;一个 Bearer 在存储和传输过程中应当防止泄露,需实现 Transport Layer Security (TLS);一个 Bearer 有效期不能过长,过期后可用 Refresh Token 申请更新。
JWT(java web Token)
01-22
Java Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛...
最新版 JJWT:0.12.3 版本使用案例
bigqiangwu的博客
11-29 3230
最新版 JJWT:0.12.3 版本使用案例
安全篇 ━━ JWT的用途和安全探讨,编码解码=\=加密解密
暂时先用这个名字
11-16 3820
什么是JWTJSON WEB TOKENjson格式的网络令牌,所以JWT只是一种token形式,可用来解决传统session的一些弊端。它本身和数据安全没有关系
JWT入门以及常见的登录问题
热门推荐
霁晨晨晨的博客
05-31 4万+
本文主要介绍了JWT是什么,如何使用JWT以及实际开发中可能会遇到的有关JWT登录问题,比如token的续签、续期和登出问题等。
JWT】快速了解什么是jwt及如何使用jwt
无法自律的人的博客
10-12 1385
是一种用于在网络应用间安全传递声明(claim)的开放标准。和。头部主要包含了用于描述 JWT 类型以及所使用的签名算法的信息。载荷包含了需要传递的声明(claim),比如用户身份、权限等信息。签名则是对头部、载荷和一个密钥进行的签名,用于验证数据的完整性。
JWT(JSON Web Token )详解及实例
深圳市多克创新科技有限公司
10-31 6259
JSON Web Token (JWT)详解
jwt-auth根据token反解析出用户信息
WXiangQian
08-10 2783
token解密使用authenticate方法,注意要先setToken: use Tymon\JWTAuth\JWTAuth; class VerifySign extends JWTAuth { public function getUserInfo($token) { $this->setToken($token); $user = $this->authenticate(); reutrn $user;
注意!JWT不是万能的,入坑需谨慎!
ITMuch的专栏
11-10 2719
点击上方"IT牧场",选择"设为星标"技术干货每日送达!越来越多的开发者开始学习JWT技术并在实际项目中运用JWT来保护应用安全。一时间,JWT 技术风光无限,很多公司的应用程序也开始使用 JWTJson Web Token)来管理用户会话信息。本文将从JWT的基本原理出发,分析在使用JWT构建基于 Token 的身份验证系统时需要谨慎对待的细节。任何技术框架都有自身的局限性,...
第三节:核心概念高频题-v-for中key的作用与index的隐患
最新发布
qq_40860137的博客
04-23 580
作用:辅助Diff算法高效复用DOM节点,避免不必要的渲染 问题:列表动态增删时,index作为key可能导致元素错位或状态混乱
Vite + Flowbite + Svelte 实战:打造现代化高效前端应用
道路永不止步
04-23 932
通过本文的实战演练,我们学习了如何使用Vite、Flowbite和Svelte构建现代化前端应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路多辛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值