JWT 的结构

已于 2022-04-10 19:35:18 修改
阅读量1.7k 收藏 2
点赞数
分类专栏: JWT 文章标签: java 后端 分布式 网络安全
于 2022-04-08 21:52:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51976820/article/details/124051844
版权

JWT 的结构

令牌的组成:

  1. 标头(Header)
  2. 有效载荷(Payload)
  3. 签名(Signature)
    • 因此,JWT 通常如下所示:xxxxx.yyyyy .zzzzz Header.Payload.Signature

1、标头(Header)

标头通常由两部分组成︰令牌的类型(即 JWT )和所使用的签名算法,例如 HNAC SHA256 或 RSA 。它会使用 Base64 编码组成 JWT 结构的第一部分。

注意: Base64 是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一种加密过程。

{
    "alg" : "HS256",
    "typ" : "JWT"
}

alg:加密算法 HS256:这是 JWT 推荐的也是默认的加密算法(签名算法)

2、有效载荷(Payload)

令牌的第二部分是有效负载,其中包含声明。声明是有关实体(通常是用户信息)和其他数据的声明。同样的,它会使用 Base64 编码组成 JWT 结构的第二部分

{
    "sub" : "1234567890",
    "name" : "John Doe",
    "admin" : true
}

注意:不要在 Payload 中存放用户的敏感信息(比如:密码);因为令牌的第一部分和第二部分都是用 Base64 编码的

3、签名(Signature)

前面两部分都是使用 Base64 进行编码的,即前端可以解开知道里面的信息。Signature 需要使用编码后的 header 和 payload 以及我们提供的一个密钥,然后使用 header 中指定的签名算法(HS256)进行签名。签名的作用是保证 JWT 没有被篡改过

如:HIMACSHA256(base64UrlEncode(header) + “.” + base64Ur1Encode(payload) ,secret);

签名目的:

最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改,再进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的。

信息安全问题:

在这里大家一定会问一个问题: Base64是一种编码,是可逆的,那么我的信息不就被暴露了吗?

是的。所以,在JWT中,不应该在负载里面加入任何敏感的数据在上面的例子中,我们传输的是用户的User ID。这个值实际上不是什么敏﹐感内容,一般情况下被知道也是安全的。但是像密码这样的内容就不能被放在JWT中了。如果将用户的密码放在了JWT中,那么怀有恶意的第﹐三方通过Base64解码就能很快地知道你的密码了。因此JWT适合用于向Web应用传递一些非敏感信息。JWT还经常用于设计用户认证和授权系统,甚至实现Web应用的单点登录。

4、组合

JWT组成

  • 输出是三个由点分隔的Base64-URL字符串,可以在 HTML 和 HTTP 环境中轻松传递这些字符串,与基于XMNL的标准(例如 SANL)相比,它更紧凑。
  • 简洁(Compact)可以通过 URL,POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快
  • 自包含(Self-contained)负载中包含了所有用户所需要的信息。避免了多次查询数据库
    在这里插入图片描述

上一篇:JWT 简介
下一篇:JWT实现及工具类编写(使用jwt)

bit-apk-code
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JWT-校验
生面别开
07-12 1504
JWT就相当于自己定义的Token,JWT是在服务端根据秘钥加密后生成的字符串,然后经过BASE64加密输出,现在前后端分离的web项目用的挺多的,根据自己的项目情况来。JWT字符串由三部分组成:header.payload.signature(header+payload+secret)这里就不再详细介绍了,直接看代码: class Program { static...
从头搭架构SpringCloud(六):权限认证spring security + oauth2 +jwtjwtjwt加密
摩尔__摩尔的博客
07-02 330
JWT,全称是Json Web Token,是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权; JWT的token包含三部分数据: Header:头部,JWT 头描述了 JWT 元数据,是一个 JSON 对象通常头部有两部分信息,它的格式如下: 声明类型,这里是JWT 加密算法,自定义 json{“alg”:“HS256”,“typ”:“JWT”} alg 属性表示签名所使用的算法,JWT 签名默认的算法为 HMAC SHA256 , alg 属性值 HS256
jwt常见的加密算法
smarthome_man的博客
02-11 7634
JWT:是客户端和服务器进行数据安全传输的一种标准 JWT的组成是由头,负载,签名组成 头:指定的签名的加密算法方式 负载:自定义信息内容 签名:头部Base64通过加密算法和密钥生成的 作用:防止令牌信息被篡改 JWT令牌优点: 1、jwt基于json,非常方便解析 2、可以在令牌中自定义丰富的内容,易扩展; 3、通过非对称加密算法及数字签名技术。 常见的加密算法: 加密算法的种类: 1、可逆加密算法 加密后,密文可以解密得到原文 一般用于签名和认证。私钥服务器保存, 用来加密, 公钥客户拿着用于对于令牌
JWT加密详解
qq_37647812的博客
10-07 3337
JWT采用的加密方式是非常安全的,我们可以使用JWT的payload部分加密来进行鉴权,并且这种方式相对于传统的cookie与session认证方式更为安全。HS256使用HMAC 算法,RS256使用RSA 证书,且输入的 jwk 和 x5c 可以使用不同的公钥证书。2、CSRF攻击,攻击者可以通过伪造一个请求,再把假的JWT传过去,这时后台就会认为该用户已经登录,攻击者就可以做一些非法的事情。2、无状态:JWT本身是无状态的,每个请求的Token都是独立的,减少了Server的开销。
jwt的组成部分
JavaBoy的博客
01-04 1万+
什么是JWT jwt是信息加密的一种方式,一个JWT由三个部分组成:header,payload,signature。分别保存了不同的信息。三个部分在JWT中分别对应英文句号分割出来的三个串: header header部分由以下的json结构生成: typ用来标识整个token是一个jwt字符串,alg代表签名和摘要算法,一般签发JWT的时候,只要typ和alg就够了,生成方式是将heade...
JWT加密解密算法
qq_35531985的博客
04-30 7390
JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它将使用数字签名(密钥)记性加密解密。 什么时候使用JWT Authorization (授权) : 这是JWT最常见的使用场景,一旦用户登录后,后面每个请求都将包含JWT,用户将被允许访问该令牌允许的路由、服务和资源。单点登录是JWT应用的一个场景,并且JWT可以轻松的跨域使用。 Information Exchange (
JWT(java web token)的基本使用
LC的博客
01-13 1797
JWT(java web token) JWT包含三部分: Header 头部 Payload 负载 Signature 签名 其结构看起来是这样的 Header.Payload.Signature。 #JWT的组成 ##Header 在header中通常包含了两部分:token类型和采用的加密算法。{ “alg”: “HS256”, “typ”: “JWT”} 接下来对这部分内容使用 Base64Url 编码组成了JWT结构的第一部分。 ##Payload 它包含了claim, Claim是一些实体(通常
JWT学习笔记
01-21
JWT结构 JWT由三部分组成: 1. 标头(Header):通常由两部分组成:令牌的类型(即JWT)和所使用的加密算法。 2. 有效载荷(Payload):包含用户的信息,例如用户ID、用户名、角色等。 3. 签名(Signature):...
JWT 网关TOKEN 加密
05-15
在现代Web应用中,安全是至关重要的,尤其是涉及到用户身份...此外,由于JWT结构,我们可以将载荷部分进行AES加密,然后将加密后的结果与其他部分一起签名,形成一个安全的加密JWT,从而实现对系统无侵入的安全升级。
JWT 生成Token及验证.PDF
08-22
JWT结构 JWT 包含了使用 . 分隔的三部分:Header、Payload 和 Signature。 1. Header 头部 Header 中通常包含了两部分:token 类型和采用的加密算法。例如:{ "alg": "HS256", "typ": "JWT" }。然后对这部分内容...
基于JWT.NET的使用(详解)
08-28
2. JWT结构 JWT一般由三段构成,用.号分隔开,第一段是header,第二段是payload,第三段是signature。 3. Header(头部) header承载两部分信息:声明类型和加密算法。通常直接使用HMAC SHA256,其它还有RS256等...
Spring Cloud OAuth2和JWT保护微服务.docx
01-12
本文详细介绍了 Spring Cloud OAuth2 和 JWT 保护微服务的实现方法,从 JWT结构、特点、认证流程到 auth-service 工程的构建等多方面进行阐述,为读者提供了一个完整的 Spring Cloud OAuth2 和 JWT 保护微服务的...
JWT:我应该使用哪种签名算法?
farway000的博客
09-02 2120
JWT:我应该使用哪种签名算法?JSON Web Token (JWT) 可以使用许多不同的算法进行签名:RS256、PS512、ES384、HS1;当被问及他们想使用哪一个时,您就会明白...
JWT组成的部分
qq_44194174的博客
11-25 1万+
JWT jwt底层组成部分 头部: Payload 装载的数据; 验证签名; jwt和token最大的区别: token(在用户登录后会返回一个tokenid,key:tokenid,value:username)依赖于redis查询数据信息,token存放value数据比较安全,jwt不需要依赖于服务器端,将数据信息内容直接存放在客户端(浏览器) JWT组成的部分 1.Header(头) 作用:记录令牌类型、签名算法等 例如:{“alg":"HS256","type","JWT} 2.Paylo
3. jwt的数据结构
weixin_39563769的博客
11-19 492
JWT的数据结构: 典型的结构是以 ‘ . ’来划分的三部分字符串,比如说: A.B.C A : header头信息 B : payload(有效载荷,记录的是用户的非隐私数据,可以减少数据库的访问) C : Signature【签名】就是把header + payload + 密匙进行加密以后的密文数据 传递数据的时候,header,payload也会进行加密,而签名就是在前面的加密基础之上再次进行加密. header: 在这三部分数据中,只有payload可以考虑不传任何数据,其余的两部分是..
JWT的加密算法有哪些,它们之间有什么区别?
最新发布
eeeeeeeeei的博客
03-25 899
在选择JWT的加密算法时,需要根据系统的具体需求和安全要求来决定使用哪种算法。对于需要跨多个服务或不信任环境传输的Token,推荐使用非对称加密算法,如RS256或ES256。JWT(JSON Web Token)支持多种加密和签名算法,这些算法用于确保Token的安全性和数据的完整性。
jwt的加密原理,和token的简单操作
热门推荐
qq_51705526的博客
04-03 1万+
1. 两种token认证方式 传统的token认证 用户登录,服务端给前端返回token,并将token保存在服务端。 以后用户再来访问时,需要携带token,服务端获取token后再去数据库获取token做校验。 JWT的token认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问时,需要携带token,服务端获取token做校验 两种认证方式对比: jwt相对于传统的token认证,无需将token保存在服务端。 因为HTTP request 本身是stateless的,所
JWT结构
张俊杰 的博客
10-22 1977
数据格式是这样的 header.payload.signature jwt里面的内容可以用在前端上,比如说payload里面包含的用户名(name),你可以直接显示在前端,不需要在后端查询了 ,注意每个数据中间都用 点 分割开来 用户解码获取里面的数据再重新加密生成的jwt不能通过后端的验证通过,因为用户不知道后端签发jwt时候用的哪个密钥. 1.header header描述了应用于jwt的密码操作,以及jwt的附加属性, header extends 了map集合,所以可以根据自己的需求put内
jwt及加密算法
Leon_Jinhai_Sun的博客
02-10 7715
JWT 简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:https://jwt.io GitHub上jwt的java客户端:https://github.com/jwtk/jjwt 数据格式 JWT包含三部分数据: Header:头部,通常头部有两部分信息: 声明类型,这里...
JWT结构, JWT可以篡改吗, JWE听说过吗
12-08
因此,JWT结构可以表示为:`<头部>.<载荷>.<签名>`。 JWT是可以被篡改的,特别是在签名算法被设定为none的情况下,攻击者可以修改载荷中的信息,然后重新生成签名,使得JWT通过验证。因此,在使用JWT时,应该选择...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

bit-apk-code

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值