JSON Web Token - 在Web应用间安全地传递信息

最新推荐文章于 2022-05-22 22:56:51 发布
最新推荐文章于 2022-05-22 22:56:51 发布
阅读量299 收藏
点赞数 1
分类专栏: WEB 文章标签: JWT web应用 安全 web json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/one_orange/article/details/53912680
版权
定义

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

JWT的组成

一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。

载荷(Payload)

我们先将上面的添加好友的操作描述成一个JSON对象。其中添加了一些其他的信息,帮助今后收到这个JWT的服务器理解这个JWT

{
    "iss": "John Wu JWT",
    "iat": 1441593502,
    "exp": 1441594722,
    "aud": "www.example.com",
    "sub": "jrocket@example.com",
    "from_user": "B",
    "target_user": "A"
}
  • iss: 该JWT的签发者
  • sub: 该JWT所面向的用户
  • aud: 接收该JWT的一方
  • exp(expires): 什么时候过期,这里是一个Unix时间戳
  • iat(issued at): 在什么时候签发的
头部(Header)

JWT还需要一个头部,头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。

{
  "typ": "JWT",
  "alg": "HS256"
}

这一部分又叫做签名。

这里写图片描述

签名的目的

最后一步签名的过程,实际上是对头部以及载荷内容进行签名。一般而言,加密算法对于不同的输入产生的输出总是不一样的。对于两个不同的输入,产生同样的输出的概率极其地小(有可能比我成世界首富的概率还小)。所以,我们就把“不一样的输入产生不一样的输出”当做必然事件来看待吧。

所以,如果有人对头部以及载荷的内容解码之后进行修改,再进行编码的话,那么新的头部和载荷的签名和之前的签名就将是不一样的。而且,如果不知道服务器加密的时候用的密钥的话,得出来的签名也一定会是不一样的。

ssss

JWT的适用场景

我们可以看到,JWT适合用于向Web应用传递一些非敏感信息。例如在上面提到的完成加好友的操作,还有诸如下订单的操作等等。

其实JWT还经常用于设计用户认证和授权系统,甚至实现Web应用的单点登录。在下一次的文章中,我将为大家系统地总结JWT在用户认证和授权上的应用。如果想要及时地收到下一篇文章的更新,您可以在下方订阅我的半月刊:)

咸味小鱼干
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(转)JWT(JSON Web Token) ——教程
CaseyWei
09-22 432
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理和用法。 一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 ses
JWT(JSON Web Token )详解及实例
深圳市多克创新科技有限公司
10-31 5500
JSON Web Token (JWT)详解
使用token机制来验证用户的安全性-b
weixin_34088838的博客
07-14 4263
登录的业务逻辑{    http:是短连接.         服务器如何判断当前用户是否登录?        // 1. 如果是即时通信类:长连接.    // 如何保证服务器跟客户端保持长连接状态?         // "心跳包" 用来检测用户是否在线!用来做长连接!   http:短连接使用token 机制来验证用户安全性         // token 值: 登录令牌! 用来...
网站系统安全 AJAX 安全传输为什么要用 Token
书写人生
05-20 600
摘要: Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位 不久前,我在在前后端分离实践中提到了基于 Token 的认证,现在我们稍稍深入一些。 通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Token? 而要回答这个问题很简单——因为它能解决问题! 可以解决哪些问题呢? Token 完全由应用管理,所以它可以避开同.
JWT-Json Web Token-目前最流行跨域身份验证解决方案
最新发布
04-25
JWT是为了在网络应用环境传递声明而执行的一种基于JSON的开放标准该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录场景。JWT的声明一般被用来在身份提供者和服务提供者传递被认证的用户身份信息,...
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
js代码-JWT(json-web-token-认识与学习
07-16
JSON Web Token (JWT) 是一种安全的身份验证和授权机制,常用于Web应用中实现状态less的用户认证。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature),这三部分通过Base64编码后用点(.)分隔。...
json-web-token:jwt与基于会话的身份验证
02-15
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之传输信息作为JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT常用于实现身份验证和授权,尤其...
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT可用于身份验证、授权,以及...
JWT(Json Web Token):一种在Web应用中安全传递信息的规范
马靖的个人技术博客
05-12 2999
文本将介绍一种在Web应用中安全传递信息的方式,称为JWT。本文内容是对JWT官网介绍说明的英文翻译而来,由于本文英文水平有限,如有错误,还请指出,谢谢。What is JSON Web Token?JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way fo...
Token安全
weixin_30673611的博客
06-28 229
token相对安全加密算法 http://blog.csdn.net/q8649912/article/details/52370565 关于文章的理解 1 sessionid 这个名词应该理解为:一个http客户端在服务端的一个标识,仅此而已,他唯一性的标识了一个客户端,但是其作用却很关键,他的关键作用在于token的生成。 2 真实的http登陆请求详细过程(非前后端分离...
token暴露安全吗_在Web 开发中,如何保证设计的接口安全性
weixin_31741271的博客
12-29 1632
Web 开发中,如何保证设计的接口安全性发布时:2018-07-21 09:02,浏览次数:745, 标签:Web接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:Token授权机制:用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器...
JWT令牌详细解读
。。。。
07-05 3064
什么是JWT令牌 JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌。 JWT的使用场景: 一种情况是webapi,类似之前的阿里云播放凭证的功能 另一种情况是多web服务器下实现无状态分布式身份验证 JWT官网有一张图描述了JWT的认证过程 官网 地址 : https://jwt.io/ JWT的作用: JWT 最重要的作用就是对 token信息的防伪作用 JWT的原理: 一个JWT由三个部分组成:JWT头、有效载荷、签名哈希 最后由这三者组
JSON Web Token -Web 应用安全地传递信息
ShangRudy的专栏
04-12 199
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之传递安全可靠的信息。 让我们来假想一下一个场景。在 A 用户关注了 B 用户的时候,系统发邮件给 B 用户,并且附有一个链接“点此关注 A 用户”。链接的地址可以是这样的 1 https://your.awesome-app.com/make-friend/?from_user=B&target_user=A 上面的 URL 主要通过.
web——token的使用方法
shanyuecom的博客
05-22 1615
一、为什么要使用token: 1.token完全有应用管理,它可以避开同源策略。 2.token可以避免CSRF攻击。 3.token可以是无状态的,可以在多个服务共享。 二、token的作用: 1.防止表单重复提交。 2.身份验证,识别用户权限等。 三、token的基本使用: 使用基于token的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,验证用户名与密码 验证成功后,服务端会签发一个token,再把这个token发送给
C# 通过URL读取网络文件内容
Salted___Fish__的博客
09-09 3557
@C# 通过URL读取网络文件内容 //网络文件地址 string file_url = @"https://www......"; //实例化唯一文件标识 Uri file_uri = new Uri(file_url); //返回文件流 Stream stream = WebRequest.Create(file_uri).GetResponse().GetResponseStream(); //实例化文件内容 StreamReader file_content = new Stream
JWT(Json Web Token- API的用户认证详解
jcjx0315的博客
02-26 756
 JWT(Json Web Token- API的用户认证在JavaScript前端技术大行其道的今天,我们通常只需在后台构建API提供给前端调用,并且后端仅仅设计为给前端移动App调用。用户认证是Web应用的重要组成部分,基于API的用户认证有两个最佳解决方案 —— OAuth 2.0 和 JWT(JSON Web Token)。1、JWT定义及其组成JWT(JSON Web Token)是一...
JWT token心得与使用实例
热门推荐
God Liao On The Way
06-20 6万+
本文你能学到什么?token的组成 token串的生成流程。 token在客户端与服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码JWT token的组成头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符
json web token
05-16
JSON Web Token (JWT) 是一种用于在网络上安全地传输信息的开放标准。它是一种基于 JSON 格式的轻量级身份验证和授权机制,通常用于在客户端和服务器之传递身份信息。JWT 包含了一些被称为声明的信息,这些声明可以用于验证身份和授权访问特定资源。JWT 通常包含三个部分:头部、载荷和签名。头部包含了令牌的元数据,载荷包含了用户身份信息,签名则用于验证令牌的真实性。JWT 通常与 OAuth2 和 OpenID Connect 等身份认证和授权协议一起使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值