JWT详解(组成,工作原理,优缺点,续签问题,删除但有效问题)

已于 2024-04-25 19:50:34 修改
阅读量1.6k 收藏 18
点赞数 35
文章标签: 中间件 安全 json authing 前端 后端 网络
于 2023-11-26 14:32:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62201229/article/details/134620676
版权

JWT详解

JWT官网

avatar

什么是JWT

JWT的全称是Json Web Token。是基于RFC 7519开放标准的,它定义了一种紧凑且独立的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。此信息可以用作验证和相互信任,因为它是经过数字签名的。JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。

JWT由三部分组成:Header(标头),Payload(有效载荷),Signature(签名),中间用点分开,即

Header.Payload.signature

我们可以使用jwt.io.Debugger去解码,验证和生成JWT令牌.

avatar

Header(标头)

Header通常由两部分组成:令牌的类型(JWT)和所使用的签名算法(如HMAC SHA256或RSA)。

{
  "alg": "HS256",
  "typ": "JWT"
}

然后,这个JSON被Base64Url编码,形成JWT的第一部分。

Payload(有效载荷)

Payload包含声明。声明是关于实体(通常是用户)和附加数据的声明(claims),一般存放一些不敏感的信息,比如用户名、权限、角色等

声明(claims)也分为三种:Registered claim,Public claims和Private claims.

  • Registered claim(已注册声明):其中包含了一组官方定义好的推荐的声明(共7个),有

    1. iss (issuer):签发人
    2. exp (expiration time):过期时间
    3. sub (subject):主题
    4. aud (audience):受众
    5. nbf (Not Before):生效时间
    6. iat (Issued At):签发时间
    7. jti (JWT ID):编号

  • Public claims(公开声明):声明名称可以由使用JWT的人员随意定义.然而,为了防止冲突,任何新的声明名称都应该要么在IANA“JSON Web令牌声明”注册中心注册,要么得包含防撞(冲突)名称.

  • Private claims(私有声明):JWT的生产者和消费者一致同意使用的不是已注册声明和公开声明的声明.私有声明可能会发生冲突,应该小心使用.

例如:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后,这个JSON被Base64Url编码,形成JWT的第二部分。

应当注意的是,对于已签名的令牌,这些信息虽然受到保护,不会被篡改,但任何人都可以读取。除非经过加密,否则不要将机密信息放入JWT的有效载荷或标头元素中。

Signature(签名)

要创建签名部分,您必须获取编码的标头、编码的有效载荷、秘钥、标头中指定的算法,并对其进行签名。

例如,如果要使用HMAC SHA256算法,则将以以下方式创建签名:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

签名用于验证消息在发送过程中没有更改,在使用私钥签名的令牌的情况下,它还可以验证JWT的发送者是否就是它所说的那个人。

JWT是如何工作的?

在认证的时候,当用户用他们的凭证成功登录以后,一个JWT将会被返回。此后,token 就是用户凭证了,你必须非常小心以防止出现安全问题。一般而言,你保存令牌的时候不应该超过你所需要它的时间。

无论何时用户想要访问受保护的路由或者资源的时候,用户代理(通常是浏览器)都应该带上 JWT,典型的,通常放在 Authorization header 中,用 Bearer schema。

header 应该看起来是这样的:

Authorization: Bearer JWT

服务器上的受保护的路由将会检查 Authorization header 中的 JWT 是否有效,如果有效,则用户可以访问受保护的资源。如果 JWT 包含足够多的必需的数据,那么就可以减少对某些操作的数据库查询的需要,尽管可能并不总是如此。

如果 token 是在授权头(Authorization header)中发送的,那么跨源资源共享 (CORS) 将不会成为问题,因为它不使用 cookie。

JWT认证流程如下:

avatar

  1. 用户登录账号,客户端发送 POST 请求,将用户名和密码发送到服务器。
  2. 服务器会验证用户的登录信息(用户名、密码),校验成功的时候会使用 JWT 算法,生成一个 token (已签名的 token)。
  3. 服务器返回给客户端 HTTP 200 状态码,并且会将生成的 token 放在请求头中(header),并不能放在请求体(body)中。客户端一般会将接收到的 token 存储在浏览器的 localstorage,cookie 或者 sessionstorage 。
  4. 当客户端之后再向服务器发送请求的时候,都会携带上 token (当然也可以将 token 放在 cookie 中自动发送,但是这样不能跨域发送)。最好的做法是将 token 放在 http 的头信息中的 Authorization 字段中(这是官方文档建议的做法)。
  5. 当服务器接收到请求的时候,接收到了 token 信息,这时候 JWT 进行反向验证,验证对应的 token 是否正确。
  6. 当服务器交验完毕后,会产生两种情况:第一种情况就是校验成功,返回给客户端 HTTP 200 状态码和客户端所需要的数据;第二种情况就是校验失败,这个时候会返回给客户端 HTTP 401 状态码,Not authorized。
JWT的优缺点

  • 无状态:JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。

  • 单点登录友好:使用 Session 进行身份认证的话,实现单点登录,需要我们把用户的 Session 信息保存在一台电脑上,并且还会遇到常见的 Cookie 跨域的问题。但是,使用 JWT 进行认证的话, JWT 被保存在客户端,不会存在这些问题。

  • 有效避免了 CSRF 攻击:CSRF 攻击需要依赖 Cookie ,Session 认证中 Cookie 中的 SessionID 是由浏览器发送到服务端的,只要发出请求,Cookie 就会被携带。借助这个特性,即使黑客无法获取你的 SessionID,只要让你误点攻击链接,就可以达到攻击效果.JWT一般会选择存放在 localStorage 中。前端的每一个请求后续都会附带上这个 JWT,整个过程压根不会涉及到 Cookie。

  • 不可控:我们想要在JWT有效期内废弃一个JWT或者更改它的权限的话,并不会立即生效,通常需要等到有效期过后才可以。

JWT身份认证常见问题及解决办法
注销登录等场景下JWT还有效

  1. 将JWT存入内存数据库
    将 JWT存入数据库中,Redis 内存数据库在这里是不错的选择。如果需要让某个 JWT 失效就直接从 Redis 中删除这个 JWT 即可。但是,这样会导致每次使用 JWT 发送请求都要先从 DB 中查询 JWT 是否存在的步骤,而且违背了 JWT 的无状态原则。

  2. 黑名单机制
    使用内存数据库比如 Redis 维护一个黑名单,如果想让某个 JWT 失效的话就直接将这个 JWT 加入到 黑名单 即可。然后,每次使用 JWT 进行请求的话都会先判断这个 JWT 是否存在于黑名单中。缺点和第一种方案相同。

  3. 修改密钥(Secret)
    我们为每个用户都创建一个专属密钥,如果我们想让某个 JWT 失效,我们直接修改对应用户的密钥即可。但是,这样相比于前两种引入内存数据库带来了危害更大:

    • 如果服务是分布式的,则每次发出新的 JWT 时都必须在多台机器同步密钥。为此,你需要将密钥存储在数据库或其他外部服务中,这样和 Session 认证就没太大区别了。

    • 如果用户同时在两个浏览器打开系统,或者在手机端也打开了系统,如果它从一个地方将账号退出,那么其他地方都要重新进行登录,这是不可取的

  4. 保持令牌的有效期限短并经常轮换
    很简单的一种方式。但是,会导致用户登录状态不会被持久记录,而且需要用户经常登录。

JWT的续签问题

  1. 类似于Session认证中的做法
    假设服务端给的 JWT 有效期设置为 30 分钟,服务端每次进行校验时,如果发现 JWT 的有效期马上快过期了,服务端就重新生成 JWT 给客户端。客户端每次请求都检查新旧 JWT,如果不一致,则更新本地的 JWT。这种做法的问题是仅仅在快过期的时候请求才会更新 JWT ,对客户端不是很友好。

  2. 每次请求都返回新JWT
    这种方案的的思路很简单,但是,开销会比较大

  3. JWT有效期设置到半夜
    这种方案是一种折中的方案,保证了大部分用户白天可以正常登录,适用于对安全性要求不高的系统。

  4. 用户登录返回两个JWT

    第一个是 accessJWT ,它的过期时间为JWT本身的过期时间比如半个小时,另外一个是refreshJWT它的过期时间更长一点比如为 1 天。客户端登录后,将 accessJWT 和 refreshJWT 保存在本地,每次访问将 accessJWT 传给服务端。服务端校验 accessJWT 的有效性,如果过期的话,就将 refreshJWT 传给服务端。如果有效,服务端就生成新的 accessJWT 给客户端。否则,客户端就重新登录即可。

    这种方案的不足是:

    • 需要客户端来配合;
    • 用户注销的时候需要同时保证两个 JWT 都无效;
    • 重新请求获取 JWT 的过程中会有短暂 JWT 不可用的情况(可以通过在客户端设置定时器,当 accessJWT 快过期的时候,提前去通过 refreshJWT 获取新的 accessJWT)。
References

  1. JWT官方文档:本文开头有

  2. JavaGuide

  3. JSON Web Token 入门教程

欢迎访问我的个人博客网站Levitate Gu

levitgu
关注
  • 35
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
JWT 实战教程
weixin_43145539的博客
03-30 362
JWT 实战教程 注:资料整理自b站up主,编程不良人 1.什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted bec
SpringBoot使用Jwt处理跨域认证问题的教程详解
08-19
SpringBoot使用Jwt处理跨域认证问题的教程详解 SpringBoot使用Jwt处理跨域认证问题是目前前后端开发中常见的问题,本文将详细介绍如何使用Jwt处理跨域认证问题。 首先,为什么需要用户认证呢?原因是由于HTTP协议...
jwt组成
qq_41028058的博客
11-18 227
jwt token的格式:header.payload.signature header: 用于存放签名的生成算法 {"alg": "HS512"} payload payload中用于存放用户名、token的生成时间和过期时间 {"sub":"admin","created":1489079981393,"exp":1489684781} signature signature为以header和payload生成的签名,一旦header和payload被篡改,验证将失败 //secret为加密算法的密
JWT组成
qq_44972847的博客
10-23 4484
目录概念组成头部载荷签证最后 概念 JWTJSON Web Token) 定义:一种信息标准,是json信息加密后生成的token令牌,因此常用于信息交换和授权。 由三部分组成,中间用 . 连接 头部(header) 载荷(payload) 签证(signature)           组成 头部 json信息 {"typ":"JWT","alg":"HS256"} 声明token的类型是JWT,加密算法是HS256 ** HS256 对称算
JWT组成的部分
热门推荐
qq_44194174的博客
11-25 1万+
JWT jwt底层组成部分 头部: Payload 装载的数据; 验证签名; jwt和token最大的区别: token(在用户登录后会返回一个tokenid,key:tokenid,value:username)依赖于redis查询数据信息,token存放value数据比较安全jwt不需要依赖于服务器端,将数据信息内容直接存放在客户端(浏览器) JWT组成的部分 1.Header(头) 作用:记录令牌类型、签名算法等 例如:{“alg":"HS256","type","JWT} 2.Paylo
JWT组成以及工作原理
ELSA001的博客
01-03 925
JWT组成以及工作原理
JWT身份认证优缺点分析以及常见问题解决方案.docx
10-26
JWT身份认证优缺点分析以及常见问题解决方案.docx
springboot整合JWT框架,解决Token验证问题
最新发布
06-24
2、存在问题 1、session保存在服务端,客户端访问高并发时,服务端压力大。 2、扩展性差,服务器集群,就需要 session 数据共享。 二、JWT简介 JWT(全称:JSON Web Token),在基于HTTP通信过程中,进行身份认证。 1...
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于...
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
SpringBoot+SpringSecurity+jwt整合详解 SpringBoot是当前最流行的Java框架之一,它提供了便捷的方式来构建基于Web的应用程序。然而,在构建Web应用程序时,安全性是不可忽视的重要方面。因此,本文将详细介绍如何...
jwt的构成部分
jiang2360的博客
08-05 895
一、 JWT 组成结构JSON Web Tokenv由三部分组成,它们之间用点连接。完整 JWT 结构如下:1. Header"JWT""HS256"最后,用 Base64URL 对这个 JSON 对象编码就得到 JWT 的第一部分。2. PayloadPayload 部分用来存放。JWT 规定了7个官方字段,供选用。除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。注意,JWT 默认是不加密的,任何人都可以读到,所以不要把敏感信息(密码,手机号等)放在这个部分。
JWT原理构成与使用(带案例简单易懂)
王涛涛的博客
09-25 1532
JWT原理构成与使用 项目架构 开发模式:前后端分离 前端框架:VUE 后端框架:Django REST framework 功能部分:管理员登录,数据统计,用户管理,商品管理,订单管理,权限管理 主要技术 : JWT用户认证 ,CORS跨域 跨域CORS 我们的前端后端分别是两个不同的端口 位置 域名 前端服务 www.meiduo.site:8080 后端服务 www.m...
JWTJSON web token)的三个组成部分,使用 jwt 鉴权机制
qq_17335549的博客
11-07 1111
JWT
jwt,token生成,续约,注销操作浅谈
u010772230的专栏
12-23 7460
JWT JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案 原理 JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,由客户端来保存登录信息。此后,客户端每次与服务器通信,都要带上这个 JWT。生成的token可以放在HTTP 请求的头信息Authorization字段里面,也可以放在 POST 请求的数据体里面。当然也可以把它放在 Cookie...
漫谈JWT
abc_1114的博客
07-18 85
一、JWT简介【对于了解JWT的童鞋,可以直接跳到最后】 咱们就不弄那些乱七八糟的概念,就简单点说一下JWT是什么、有什么和能干什么 1、 JWT概念和作用 JWT全称为json web token,说白了是什么呢? 就仅仅只是一个字符串而已,例如: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiSm9obiBEb2UiLC...
SpringBoot整合JWT Token
歪桃的博客
01-12 6960
在文章之前,我们先介绍几个概念 OAuth2、JWT,Spring Security、Spring Security OAuth2 OAuth2:Open Authorization,是一种授权协议,是规范,不是技术实现。 JWTJSON Web Token,是一种具体的Token实现框架。 Spring Security:前身是 Acegi Security ,能够为 Spring企业...
JWT详解
qq_52030824的博客
03-17 4222
JWT是一种基于数字签名的方式,以JSON格式为数据载体的开发标准。可以在不同的服务终端之安全的传输信息
JWT机制原理及实战指南
yan_dk的专栏
05-02 973
介绍 JWTJSON Web Token,开放的、行业标准(RFC 7519),用于网络应用环境间安全传递声明。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所须的声明信息。 特点: 跨语言:支持主流语言 自包含:包含必要的所有信息,如用户信息和签名等 易传递:很方便通过HTTP头部传递 具体来说: JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次 JWT 不加密的情况下,不能
JWT(JSON Web Token)详解
qq_41644069的博客
11-09 673
1.JWT是什么? JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
OIDC定义、原理、特点、面临问题优缺点、应对策略
06-03
OIDC(OpenID Connect)是一个建立在OAuth2.0协议之上、用于身份认证的开放标准。它的原理是通过OAuth2.0协议中的授权码模式,在用户授权的情况下,将用户身份信息返回给客户端应用程序。OIDC使用JSON Web Token(JWT)对用户信息进行编码并进行传输。 OIDC的特点包括: 1. 安全性高:使用JWT进行身份认证,保证了数据的安全性; 2. 实现简单:基于OAuth2.0协议,易于实现; 3. 适用范围广:适用于各种不同的应用程序和设备。 OIDC面临的问题包括: 1. 安全问题:由于OIDC使用JWT进行身份认证,如果JWT被篡改,可能会导致用户信息泄露; 2. 可扩展性问题:OIDC的标准在不断更新,但是现有的实现可能无法与新标准兼容; 3. 用户体验问题:用户需要在每个客户端应用程序中进行身份认证,可能会降低用户体验。 OIDC的优点包括: 1. 安全性高:使用JWT进行身份认证,保证了数据的安全性; 2. 实现简单:基于OAuth2.0协议,易于实现; 3. 适用范围广:适用于各种不同的应用程序和设备; 4. 可以提高用户体验:用户只需要进行一次身份认证即可在多个应用程序中使用。 OIDC的缺点包括: 1. 安全问题:由于OIDC使用JWT进行身份认证,如果JWT被篡改,可能会导致用户信息泄露; 2. 可扩展性问题:OIDC的标准在不断更新,但是现有的实现可能无法与新标准兼容; 3. 用户体验问题:用户需要在每个客户端应用程序中进行身份认证,可能会降低用户体验。 应对OIDC面临的问题,可以采取以下策略: 1. 加强安全措施:加强JWT的加密和签名,防止JWT被篡改; 2. 及时更新标准:及时更新OIDC标准,确保现有实现与新标准兼容; 3. 提高用户体验:采用单点登录(SSO)技术,让用户只需要进行一次身份认证即可在多个应用程序中使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值