官网说明:Json web token (JWT), 是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于JSON的开放标准((RFC 7519).定义了⼀种简洁的,⾃包含的⽅法⽤于通信双⽅之间以JSON对象的形式安全的传递信息。因为数 字签名的存在,这些信息是可信的,JWT可以使⽤HMAC算法或者是RSA的公私秘钥对进⾏签名
简化说明:通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。
JWT组成
1.标头(Header)
2.有效载荷(Payload)
3.签名(Signature)
Header
标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如HMAC SHA256或RSA。它会使用 Base64 编码组成 JWT 结构的第一部分。
注意:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一种加密过程。
{
"alg": "HS256",
"typ": "JWT"
}
Payload
令牌的第二部分是有效负载,其中包含声明。声明是有关实体(通常是用户)和其他数据的声明。
存放信息的地方,可以把⽤户 ID 等信息放在这⾥
同样的,它会使用 Base64 编码组成 JWT 结构的第二部分
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
Signature
前两部分均使用 Base64 编码,前端可以解开知道内部的信息。
Signature 需要使用编码后的 header 和 payload 以及我们提供的一个密钥,然后使用 header 中指定的签名算法(HS256)进行签名。签名的作用是保证 JWT 没有被篡改过
HMACSHA256(base64UrlEncode(header)
+ "." +
base64UrlEncode(payload),secret);
放在一起——JWT
是三个由点分隔的Base64-URL字符串,可以在HTML和HTTP环境中轻松传递这些字符串,与基于XML的标准(例如SAML)相比,它更紧凑。长度跟加密算法和私钥有关
- 简洁(Compact)
可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快 - 自包含(Self-contained)
负载中包含了所有用户所需要的信息,避免了多次查询数据库
签名的目的
最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被窜改。
1、如果对头部以及负载的内容解码之后进行修改,再进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。
2、如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的。
在线解密网站
https://www.box3.cn/tools/jwt.html
JWT与传统Token认证对比
1、传统Token认证
1、客户端去授权服务器申请令牌
2、申请令牌后,携带令牌访问资源服务器
3、资源服务器访问授权服务器校验令牌合法性
4、授权服务器返回验证结果
5、校验成功返回用户信息给资源服务器
6、资源服务器接收校验成功结果,返回资源给客户
传统授权方法的问题:
用户每次请求资源服务,资源服务都需要携带令牌访问认证服务去校验令牌的合法性,并根据令牌获取⽤户的相关信息,性能低下。
2、JWT认证
以利⽤公钥私钥完成对令牌的加密
如果加密解密成功,则表示令牌合法,允许访问资源服务器的资源
如果加密解密失败,则表示令牌无效不合法,不允许访问资源服务器资源。
JWT使用
公钥和私钥
授权中心和资源中心持有私钥和公钥
私钥颁发令牌
公钥验证令牌
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
