jwt认证基本原理

最新推荐文章于 2024-05-29 07:30:00 发布
最新推荐文章于 2024-05-29 07:30:00 发布
阅读量300 收藏
点赞数 1
分类专栏: jwt 文章标签: jwt cookie java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_45794437/article/details/117326641
版权

JWT的原理与解析

简介

Json web token (JWT)一串用Base64编码的json字符串,放在请求头(Header)中一串数据。一般用于单点登录。

组成

三部分:第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 放一些我们要访问的信息),第三部分是签证(signature).

格式:header.payload.signature

  • header

jwt的头部承载两部分信息:一般默认即可

  • 声明加密的算法(singnature处用到) 通常直接使用 HMAC SHA256
  • 声明类型,这里是jwt
{
  "alg": "HS256",
  "typ": "JWT"
}

  • payload

    用来放一些有效信息,如用户名,等

    {
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

不要将敏感信息放入,尤其是密码 ,因为Base64不是保密的,是一个公开的算法,有人一旦截取了你的请求就可以得到你的信息

  • signature

    HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload)+
  your-256-bit-secret
)

    Base64编码后的header和payload在加上一串密钥(一串字符串),如上面的格式,然后用HS256(看自己选择,官方推荐用这个)算法加密后在一Base64形式加密

    • HS256是一种hash散列算法,不可逆,所以即使被截取到了token也无法获取有效信息

生成和检验原理

  1. 我们第一次登录,把账号密码发到服务器去验证。
  2. 随后服务器就会返回一个token给我们,此时jwt就会保存在我们本地
  3. 以后每次登录我们的请求头就会附带这个token
  4. 服务器校验,将获取到的token中Base64加密后的header拿出来,反向解码,得到里面的算法类型,然后用该算法将Base64加密后的header和payload加上服务器本地的密钥三部分组成的字符串编码,然后与收到的token第三部分比较,如果相同就通过,不相同就是该token无效

只要第三方不知道密钥是什么,他即使改了header和payload他也无法将signature改对,毕竟少了一串字符串怎么肯能使得用hash散列算法得到结果一样。

在这里插入图片描述

浪迹深渊
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
jwt 原理
weixin_48334703的博客
10-05 1896
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
COOKIE使用以及sessions使用和优缺点
weixin_51118163的博客
10-05 309
COOKIE使用以及sessions使用和优缺点 https://www.cnblogs.com/xiaonq/p/11094480.html 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信
一文读懂JWT认证含使用教程
最新发布
八戒的博客
05-29 1185
***///自定义密钥/*** 生成 Token* @param map 自定义的载荷数据* @return 返回 Token*///1.设置过期时间(默认 1 天过期)//2.创建 jwt builder,添加自定义的载荷数据//3.生成 TokenString token = builder.withExpiresAt(instance.getTime()) //过期时间// sign/*** 验证 Token 合法性*/try {
JWT认证原理
qixiang_chen的博客
06-28 771
基于HTTP协议的软件认证方式有很多,鉴于HTTP协议无状态性,所有的认证方式必须解决HTTP请求有状态性问题,也就是如何创建一个HTTP上下文,将区分哪些HTTP请求来自同一用户操作。传统解决方式是生成HTTP会话,并将会话ID存放在客户端浏览器中的Cookie或者URL重写这两种方式,伴随系统实现方式变化,越来越多的系统使用前后端分离的架构,系统遭受XSS,XSRF攻击的可能性也越大。现在JWT认证被广泛应用。下面介绍JWT认证原理: Json web token (JWT), 根据官网的定义,是为了在
JWT认证标准原理 及在微服务系统中的设计及实现
Buynow_Zhao的博客
05-31 6413
引言 最近一直在思考微服务架构下的最佳授权方式,于是JWT便出现在了我的视野中,通过对其原理的学习及在项目中的实践我想这便是我想要的答案,本文将阐述JWT 背景原理,以及提及我在开发系统过程中通过API网关来进行JWT鉴权实现过程,下图展示了系统的架构及JWT认证所处位置;介绍 JWT (JSON Web Token) 是一套特别流行于分布式系统采用的授权标准 ,在采用加...
jwt认证原理
weixin_52596593的博客
10-12 922
有时候我们可能需要自己定义用户表这时候再直接用dif-jwt快速方法就不行了,我们需要自己写token第一步再models中定义user表并数据迁移第二步在视图中自己写登陆接口try:# 获取username、password# 使用用户存在再使用djagnorestframework-jwt模块提供的签发token的函数,生成tokenreturn Response({'code':100,'msg':'登录成功','token':token})# 获取不到用户抛异常。
java jwt 统一认证
11-08
Java JWT(JSON Web Token)统一认证是一种常见的身份验证机制,广泛应用于现代Web应用程序和服务中。JWT是一种轻量级的身份...无论是初学者还是经验丰富的开发者,都能从中受益,快速地将JWT认证集成到自己的应用中。
netCore3.1 WebApi 使用JWT 授权认证使用实例
01-21
首先,让我们了解JWT基本原理JWT由三部分组成:头部、载荷和签名。头部和载荷都是JSON对象,通过Base64编码,而签名则是通过头部、载荷以及一个密钥通过特定算法计算得出,用于验证令牌的完整性和防止篡改。 要...
golang的HTTP基本认证机制实例详解
09-21
在生产环境中,应考虑更安全的认证机制,如OAuth2、JWT(JSON Web Tokens)或其他基于令牌的身份验证。 总之,Golang中的HTTP基本认证机制提供了一种快速验证用户身份的方法,但需要注意其安全性问题。在实际开发中...
drf_jwt_demo.zip
06-08
这个压缩包包含了一整套用于理解和实践JWT认证的源代码,尽管已经存在相关的Python包,如`djangorestframework-jwt`,但此示例可能更有利于深入学习JWT的内部工作原理。 JWT是一种安全的身份验证机制,它允许用户...
JWT Token生成及验证
07-16
### JWT Token的基本构成 JWT由三部分组成,每部分由点(.)分隔: 1. **头部(Header)**:通常包含令牌的类型(JWT)和使用的签名算法(如HS256或RS256)。 2. **载荷(Payload)**:包含声明(claims)。声明是...
jwt原理
m0_51946387的博客
11-02 180
JWT原理 JWT是Auth0提出的通过对JSON进行加密签名来实现授权验证的方案,编码之后的JWT看起来是这样的一串字符: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9. TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 分为三段,通过解码可以得到 1. 头部(Header) // 包
jwt
qq_43588771的博客
08-18 216
jwtJWT是什么实例后端前端 JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 JWT的精髓在于:“去中心化”,数据是保存在客户端的。 JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “2018-08-...
JWT验证原理
michael1112的专栏
08-22 5013
一、什么是JWT? JSON Web Token(JWT),是一个开放安全的行业标准,用于多个系统之间传递安全可靠的信息. JWT是什么样子的结构? JSON Web Token说到底也是一个token字符串,它由三部分组成,头部、载荷与签名。  如下图 红色的为Header,指定token类型与签名类型,紫色的为载荷(playload),存储用户id等关键信息,最后蓝色的为签名,保证整个信...
JWT认证原理及使用
Jaylon Wang的专栏
02-20 1518
JWT认证原理及使用 一、JWT原理:   参考文章:https://www.jianshu.com/p/180a870a308a   1、传统的登录方式:     浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每次请求都会带上cookie,服务端根据c...
JWT认证原理,流程
weixin_45557544的博客
11-06 4480
JWT1,什么是jwt官网翻译:通俗解释:2,JWT能做什么2.1,授权 1,什么是jwt 官网 翻译: jsonwebtoken(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的,自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的,jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/秘钥对进行签名 通俗解释: JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息
jwt 认证
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-13 8488
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。1. 基于token的认证当用户成功登录系统并成功验证有效之后,服务器会利用某种机制产生一个token字符串,这个token中可以包含很多信息,例如来源IP,过期时间,用户信息等, 把这个字符串下发给客户端,客户端在之后的每次请求中都携带着这个token,携带方式其实很自由,无论是cookie方式...
JWT
xieminglu的博客
09-07 475
知识点: 1、服务端如何利用jwt生成token令牌 2、客户端如何接收jwt生成的令牌 3、与传统的session机制差异在哪 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发...
DRF JWT认证实战与原理解析
文档详述了JWT的背景、构成、工作原理,以及在drf项目中的具体应用步骤,包括安装、基本使用、自定义返回格式、自定义User表和认证类等高级实践。" JWT(Json Web Token)是一种轻量级的身份认证协议,广泛用于API...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值