jwt原理

最新推荐文章于 2024-08-17 17:43:52 发布
最新推荐文章于 2024-08-17 17:43:52 发布
阅读量189 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51946387/article/details/109455884
版权

JWT原理

JWT是Auth0提出的通过对JSON进行加密签名来实现授权验证的方案,编码之后的JWT看起来是这样的一串字符:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

分为三段,通过解码可以得到

1. 头部(Header)

  1. // 包括类别(typ)、加密算法(alg);

  2. {

  3. "alg": "HS256",

  4. "typ": "JWT"

  5. }

jwt的头部包含两部分信息:

  • 声明类型,这里是jwt

  • 声明加密的算法 通常直接使用 HMAC SHA256

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

2. 载荷(payload)

 

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

标准中注册的声明 (建议但不强制使用) :

  • iss: 该JWT的签发者,一般是服务器,是否使用是可选的;

  • iat(issued at): 在什么时候签发的(UNIX时间),是否使用是可选的;

  • exp(expires): 什么时候过期,这里是一个Unix时间戳,是否使用是可选的;

  • aud: 接收该JWT的一方,是否使用是可选的;

  • sub: 该JWT所面向的用户,userid,是否使用是可选的;

其他还有:

  • nbf (Not Before):如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟;,是否使用是可选的;

  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明 :
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明 :
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

 

  1. // 包括需要传递的用户信息;

  2. { "iss": "Online JWT Builder",

  3. "iat": 1416797419,

  4. "exp": 1448333419,

  5. "aud": "www.gusibi.com",

  6. "sub": "uid",

  7. "nickname": "goodspeed",

  8. "username": "goodspeed",

  9. "scopes": [ "admin", "user" ]

  10. }

将上面的JSON对象进行base64编码可以得到下面的字符串。这个字符串我们将它称作JWT的Payload(载荷)。

  1. eyJpc3MiOiJPbmxpbmUgSldUIEJ1aWxkZXIiLCJpYXQiOjE0MTY3OTc0MTksImV4cCI6MTQ0ODMzMzQxOSwiYXVkIjoid3d3Lmd1c2liaS5jb20iLCJzdWIiOiIwMTIzNDU2Nzg5Iiwibmlja25hbWUiOiJnb29kc3BlZWQiLCJ1c2VybmFtZSI6Imdvb2RzcGVlZCIsInNjb3BlcyI6WyJhZG1pbiIsInVzZXIiXX0

  2.  

  3. 信息会暴露:由于这里用的是可逆的base64 编码,所以第二部分的数据实际上是明文的。我们应该避免在这里存放不能公开的隐私信息。

3. 签名(signature)

  1. // 根据alg算法与私有秘钥进行加密得到的签名字串;

  2. // 这一段是最重要的敏感信息,只能在服务端解密;

  3. HMACSHA256(

  4. base64UrlEncode(header) + "." +

  5. base64UrlEncode(payload),

  6. SECREATE_KEY

  7. )

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)

  • payload (base64后的)

  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

  1. // javascript

  2. var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

  3.  

  4. var signature = HMACSHA256(encodedString, 'secret'); // pq5IDv-yaktw6XEa5GEv07SzS9ehe6AcVSdTj0Ini4o

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJPbmxpbmUgSldUIEJ1aWxkZXIiLCJpYXQiOjE0MTY3OTc0MTksImV4cCI6MTQ0ODMzMzQxOSwiYXVkIjoid3d3Lmd1c2liaS5jb20iLCJzdWIiOiIwMTIzNDU2Nzg5Iiwibmlja25hbWUiOiJnb29kc3BlZWQiLCJ1c2VybmFtZSI6Imdvb2RzcGVlZCIsInNjb3BlcyI6WyJhZG1pbiIsInVzZXIiXX0.pq5IDv-yaktw6XEa5GEv07SzS9ehe6AcVSdTj0Ini4o
sick-别
关注
jwt 原理
weixin_48334703的博客
10-05 1953
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
JWT
xieminglu的博客
09-07 485
知识点: 1、服务端如何利用jwt生成token令牌 2、客户端如何接收jwt生成的令牌 3、与传统的session机制差异在哪 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发...
COOKIE使用以及sessions使用和优缺点
weixin_51118163的博客
10-05 328
COOKIE使用以及sessions使用和优缺点 https://www.cnblogs.com/xiaonq/p/11094480.html 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信
JWT(JSON Web Tokens)详解:原理、应用与安全性
最新发布
qq_51321722的博客
08-17 985
在现代Web开发中,身份验证和授权是构建安全应用的重要基石。JWT(JSON Web Tokens)作为一种轻量级的身份验证和授权解决方案,因其简洁性、自包含性和易于在不同系统间传输的特性而备受青睐。本文将深入解析JWT原理、应用场景以及安全性考虑,帮助您更好地理解和应用JWT
Node.JS如何实现JWT原理
10-14
4. **JWT原理** JWT由三部分组成:Header、Payload和Signature。Header包含了算法和JWT类型,Payload包含声明(如用户ID、过期时间等),Signature是通过Header和Payload的Base64URL编码值以及一个秘密(secret)...
JWT原理解析与实现
weixin_46120888的博客
12-26 4450
1.Token与Session优缺点概述 1.1 Session的由来 在登录一个网站进行访问时由于HTTP协议是无状态的就是说一次HTTP请求后他就会被销毁,比如我在www.a.com/login里面登录了,然后你就要访问别的了比如要访问www.a.com/index但是你访问这个网站你就得再发一次HTTP请求,至于说之前的请求跟现在没关,不会有任何记忆,这次访问会失败,因为无法验证你的身份。所以你登录完之后每次在请求上都得带上账号密码等验证身份的信息,但是你天天这么带,那太麻烦了。那还可以这样,把我第一
JWT原理
a_369488977的博客
11-02 174
JWT原理 JWT是Auth0提出的通过对JSON进行加密签名来实现授权验证的方案,编码之后的JWT看起来是这样的一串字符: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9. TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 分为三段,通过解码可以得到 1. 头部(Header) // 包
JWT原理
子冉冰清的博客
09-26 7362
JWT原理 jwt原理和使用 JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。 一、JWT原理: 参考文章:https://www.jianshu.com/p/180a870a308a 1、传统的登录方式: 浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每
JWT原理解析
诺浅的专栏
05-14 2143
什么是JWT JSON Web Token(JWT),是一个开放安全的行业标准,用于多个系统之间传递安全可靠的信息. 为什么会有JWT 在很久很久以前…常见的访问模式是这种的。 这个时候因为用户都是通过电脑上的浏览器访问服务端,而由于浏览器有cookie机制,服务端有session机制,所以这个流程是行得通的,伪流程如下 随着乔布斯时代的来临,智能手机,微信小程序等用户终端越来越多,服务端需要...
JWT原理及其数据结构
Carson073的博客
11-21 733
1. 摘要 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理,用法和详细的数据结构。 2. JWT的定义 Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提...
JWT原理学习
我是渣渣
11-07 1193
恩么么,用着用着就想知道实现对不对,我也想知道,然后就有了这个。。。。。。 开发前的思考 我们通过调用,发现引入的是一个对象,这个对象对外暴露了两个方法,encode和decode, 我们通过encode创建token,使用decode效验token。 下边是实现 // 1.创建对象,并暴露出两个方法 let jwt = { decode (token, secret) { ...
JWT(JSON Web Token)原理、应用与安全性分析
ronshi的博客
02-22 731
JWT(JSON Web Token)原理、应用与安全性分析
jwt原理&现象及使用
m0_60375943的博客
11-17 3201
一:jwt原理 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 例:jwt就相当于学校的出入证,只有持有出入证的人才能进行出入 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 以session来举例,session是储存在服务器的,如果是按服务器来储存数据的话,那么服务器会占用很大的一个内存,而存储在客户端就解决了这个问题 3. JWT的工作原理 传统开发对资源的访问限制利用session完成图解 jwt
springboot集成jwt原理
05-20
Spring Boot集成JWT(JSON Web Token)的主要原理是: 1. 创建一个Spring Boot应用程序并添加所需的依赖项,例如Spring Security和JJWT。 2. 创建一个JWT工具类,它将负责创建和验证JWT令牌。在这个类中,你需要定义一个密钥,用于加密和解密令牌。 3. 配置Spring Security以使用JWT作为身份验证令牌。在这一步中,你需要创建一个Spring Security配置类,并将JWT过滤器添加到过滤器链中。 4. 创建一个控制器类,该类将接收HTTP请求并使用JWT进行身份验证。在这个类中,你需要使用JWT工具类来解析和验证JWT令牌。 5. 在客户端应用程序中,你需要将JWT令牌包含在每个HTTP请求的头部中,以便服务器能够验证身份并授权访问。 总体来说,Spring Boot集成JWT的过程主要涉及到创建JWT工具类、配置Spring Security和创建控制器类。在这个过程中,需要注意的是,安全性需要得到充分考虑,包括密钥的安全存储和令牌的有效期等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值