JWT验证原理

最新推荐文章于 2024-05-14 19:10:29 发布
最新推荐文章于 2024-05-14 19:10:29 发布
阅读量4.9k 收藏 10
点赞数 4
分类专栏: JavaWeb

一、什么是JWT?

JSON Web Token(JWT),是一个开放安全的行业标准,用于多个系统之间传递安全可靠的信息.

JWT是什么样子的结构?

JSON Web Token说到底也是一个token字符串,它由三部分组成,头部、载荷与签名。 
如下图 红色的为Header,指定token类型与签名类型,紫色的为载荷(playload),存储用户id等关键信息,最后蓝色的为签名,保证整个信息的完整性,可靠性.

这里写图片描述

头部(Header) 
JWT的头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这可以被表示成一个JSON对象。

{
  "typ": "JWT",
  "alg": "HS256"
}
  •  

在这里,我们说明了这是一个JWT,并且我们所用的签名算法是HS256算法。

对它进行Base64编码,之后的字符串就成了JWT的Header(头部)。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

载荷(playload) 
在载荷(playload)中定义了以下属性

iss: 该JWT的签发者 
sub: 该JWT所面向的用户 
aud: 接收该JWT的一方 
exp(expires): 什么时候过期,这里是一个Unix时间戳 
iat(issued at): 在什么时候签发的

也可以用一个JSON对象来描述 
将上面的JSON对象进行[base64编码]可以得到下面的字符串。这个字符串我们将它称作JWT的Payload(载荷)。

eyJpc3MiOiIyOWZmMDE5OGJlOGM0YzNlYTZlZTA4YjE1MGRhNTU0NC1XRUIiLCJleHAiOjE1MjI0OTE5MTV9

签名(Signature) 
在官方文档中是如下描述的

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)
  • 即如下操作 

将上面的两个[base64编码]后的字符串都用句号.连接在一起(头部在前),就形成了如下字符串

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiIyOWZmMDE5OGJlOGM0YzNlYTZlZTA4YjE1MGRhNTU0NC1XRUIiLCJleHAiOjE1MjI0OTE5MTV9

最后,我们将上面拼接完的字符串用HS256算法进行加密。在加密的时候,我们还需要提供一个密钥(secret)。那么就可以得到我们加密后的内容 
P-k-vIzxElzyzFbzR4tUxAAET8xT9EP49b7hpcPazd0 
这个就是我们JWT的签名了

签名的目的 
最后一步签名的过程,实际上是对头部以及载荷内容进行签名。一般而言,加密算法对于不同的输入产生的输出总是不一样的。

所以,如果有人对头部以及载荷的内容解码之后进行修改,再进行编码的话,那么新的头部和载荷的签名和之前的签名就将是不一样的。而且,如果不知道服务器加密的时候用的密钥的话,得出来的签名也一定会是不一样的。

服务器应用在接受到JWT后,会首先对头部和载荷的内容用同一算法再次签名。那么服务器应用是怎么知道我们用的是哪一种算法呢?别忘了,我们在JWT的头部中已经用alg字段指明了我们的加密算法了。

如果服务器应用对头部和载荷再次以同样方法签名之后发现,自己计算出来的签名和接受到的签名不一样,那么就说明这个Token的内容被别人动过的,我们应该拒绝这个Token,返回一个HTTP 401 Unauthorized响应。

JWT是一个怎样的流程? 
先上个官方文档的图 
这里写图片描述
流程如下:

  1. 客户端使用账户密码请求登录接口
  2. 登录成功后服务器使用签名密钥生成JWT ,然后返回JWT给客户端
  3. 客户端再次向服务端请求其他接口时带上JWT
  4. 服务端接收到JWT后验证签名的有效性.对客户端做出相应的响应

为什么要使用JWT?

与Session的区别

session实际上是基于cookie来传输的,最重要的session信息是存储在服务器的,所以服务器每次可以通过cookie中的sessionId获取到当前会话的用户,对于单台服务器这样做没问题,但是对于多台就涉及到共享session的问题了,而且认证用户的增多,session会占用大量的服务器内存.

jwt是存储在客户端的,服务器不需要存储jwt,jwt里面有用户id,服务器拿到jwt验证后可以获得用户信息.也就实现了session的功能,但是相比session,jwt是无状态的,其不与任何机器绑定,只要签名秘钥足够的安全就能保证jwt的可靠性.

JWT方案中token的安全问题 
token被劫持

按照JWT的流程,jwt是存储在客户端的,服务器不需要存储jwt;客户端每次发送请求时携带token,然后到服务端验证token是否正确,是否过期,然后解码出携带的用户信息。根据以上流程 
如果token在传输过程被攻击者截取了,那么对方就可以伪造请求,利用窃取的Token模拟正常请求,实现用户的正常操作,而服务器端对此完全不知道,因为JWT机制是无状态的。 
我们要明白JWT解决的是认证与授权的问题,上述劫持或者类似的中间人攻击是JWT不可避免的,也是其他认证与授权方式不可避免的,想避免可以使用HTTPS

 

江东橘子
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
什么是 JWT? 如何基于 JWT 进行身份验证
JavaMonsterr的博客
07-08 3466
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。Token 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则 。并且, 使用 Token 认证可以有
jwt 原理
weixin_48334703的博客
10-05 1874
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
JWT学习笔记_01:概念+为什么+认证流程+优缺点
耿鬼不会笑的博客
01-27 743
JWT学习笔记_上篇 本文基于B站UP主 【编程不良人】 视频教程 【 JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案】 进行整理记录,仅用于个人学习/交流使用 视频连接:https://www.bilibili.com/video/BV1i54y1m7cP 官方资料:http://www.baizhiedu.xin JWT学习笔记上篇: JWT学习笔记下篇: 目录标题JWT学习笔记_上篇一、什么是JWT二、JWT能做什么三、为什么使用JWT基于传统的Session认证基
JWT令牌技术实现登录校验
最新发布
fjf_666的博客
05-14 1003
介绍JWT令牌会话技术实现登录校验
JWT认证原理
热门推荐
houmenghu的博客
08-11 3万+
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和明码会通过HTTP头传递。 在发送之前是以用户名追加一个冒号然后串接上口令,并将得出的结果字符串再用Base64算法编码。 例如 用户名是Aladdin、口令是open s...
基于JWT实现简单的用户登陆验证(超详细)
weixin_47025166的博客
06-20 9059
基于JWT实现简单的用户登陆验证
JWT Token生成及验证
07-16
JWT Token在C#中的生成与验证涉及到JWT标准的原理、C#库的使用以及安全实践。理解并正确实施这些概念,对于构建安全、高效的Web应用至关重要。通过`JWTToken`这个压缩包文件,你可能可以找到更多关于JWT在C#中的具体...
浅谈ASP.NET Core 中jwt授权认证的流程原理
12-20
1,快速实现授权验证 ...下面来创建一个 ASP.NET Core 项目,尝试添加 JWT 验证功能。 1.1 添加 JWT 服务配置 在 Startup.cs 的 ConfigureServices 方法中,添加一个服务 // 设置验证方式为 Bearer Tok
jwt:使用jwks端点的JWT验证程序
05-15
在这个场景中,`jwt:使用jwks端点的JWT验证程序`指的是一个专门处理使用JWKS来验证JWT的JavaScript库或方法。 JWT的工作原理是,服务器在用户成功登录后会签发一个JWT,包含用户信息,并通过加密确保数据安全。...
springboot集成jwt
01-25
**SpringBoot集成JWT详解** ...集成SpringBoot和JWT的过程涉及多个组件,理解它们的工作原理和相互作用至关重要,这有助于构建安全、高效的身份验证系统。在实际开发中,还需要结合具体业务需求进行定制化调整。
JWT验证
weixin_34345753的博客
07-04 1852
理解 JSON Web Token(JWT验证 JSON Web Token认证的操作指南 在本文中,我们将了解JSON Web Token的全部内容。 我们将从JWT的基本概念开始,然后查看其结构,最后创建一个简单的服务器,它将获取一些数据并将其插入到JWT中。 什么是JSON Web Token?为什么我们需要它? JSON Web Token(JWT)是一种安全,紧凑且...
JWT原理
子冉冰清的博客
09-26 6360
JWT原理 jwt原理和使用 JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。 一、JWT原理: 参考文章:https://www.jianshu.com/p/180a870a308a 1、传统的登录方式: 浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每
JWT校验
Monster
03-08 2133
1. 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 通俗说:\color{#FF3030}{通俗说:}通俗说: 在数据传输过程中还可
一步步教你实现JWT认证和授权
weixin_52533007的博客
08-11 2572
本博主将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主!也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远!JWT认证(JSON Web Token authentication)是一种基于Token的身份验证机制。它使用JSON Web Token(JWT)作为身份验证的凭据,并通过对JWT进行验证来确认用户的身份和授权用户访问受保护的资源。大家不要把三者想的太复杂session是诞生并保存在服务器那边的,由服务器主导一切。
JWT身份验证
qq_39940634的博客
12-20 957
因为jwt本身无状态,后端完全可以将redis这一层的存储都直接干掉,纯依赖jwt的特性来完成身份鉴权,但是由于它的无状态,后端减少存储压力是一个好处,同样也是一个弊端,后端失去了token的管控权限,如果我们希望提前失效某些用户身份,则无法支持。用户每次请求时,依然是沿用之前的session方式的校验逻辑,再Filter层,从请求头中,获取Cookie,找到对应的jwt,然后尝试根据jwt获取对应的用户信息。3 后端接收到用户的请求,从请求头中获取jwt,然后进行校验,通过之后,才响应相关的接口;
jwt
遥是此间桃花庵
10-10 388
文章目录1.JWT是什么2.为什么使用JWT3.JWT的工作原理4. JWT组成5.jwt实现验证: 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2.为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3.JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName...
用户登录 JWT原理剖析 JWT与单点登录实例解释
看花容易绣花难
05-01 3094
首先从用户的登录原理和实现讲起,然后引申出JWT的登录方式,在详细的讲解了JWT原理之后我们会通过案例讲解JWT是如何保存用户信息。
JWT工作原理流程图
08-26
但是,我可以为你提供一个文字描述的JWT工作原理流程。 JWT(JSON Web Token)的工作原理主要包含三个步骤: 1. 认证:用户在登录时,使用用户名和密码向服务器发送身份验证请求。服务器验证用户的凭据,并生成一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值