json web token 的生成过程和原理

最新推荐文章于 2024-07-22 15:00:00 发布
最新推荐文章于 2024-07-22 15:00:00 发布
阅读量855 收藏
点赞数
文章标签: json web

JSON Web Token (JWT)在web应用间安全地传递信息,允许我们使用JWT在用户和服务器之间传递安全可靠的消息。
假如当A用户关注了B用户的时候,系统发送邮件给B用户,并且附有一个链接“点此关注A用户”。链接的地址可以是这样的

https://your.awesome-app.com/make-friend/?from_user=B&target_user=A

主要通过URL来描述,这样做就要求B用户一定要先登录的,JWT允许我们简化这个流程,让B用户不用登录就可以完成这个操作。
JWT的组成
一个JWT实际上就是一个字符串,由三部分组成,头部header,消息体playload,与签名sign。
JWT 的头部header就是json格式:
{
“typ”:“JWT”,
“alg”:“HS256”,
“exp”:1491066992916
}
其中typ是type的简写,代表是JWT的类型,加密方式是HS256,exp代表是当前时间。对他也要进行base64的编码,之后的字符串就成了JWT的header(头部)

JWT的消息体playload
{

“iss”:“companyname”,
“iat ”:1441593502,
“exp”:141594722,
“aud”: “www.example.com”,
“sub”: “irocket@example.com”,
“from_user”: “B”,
“target_user” :”A”
}
这五个字段都是由JWT的标准所定义的
iss: 该JWT的签发者
sub:该JWT所面向的用户
aud:接受该JWT的一方
exp:什么时候过期,这里也是一个时间戳
iat:什么时候签发的,也是一个时间戳
同样将json对象进行base64的编码,解密的时候要拿字段的key值获取value

JWT的签名sign的组成
最后是签名,签名的生成就是把header和playload编码后的字符串用.连接起来,(头部在前),再把拼接起来的字符串配合密钥进行HMAC SHA-256算法加密,最后再次使用base64编码,这就拿到了签名sign,最后将header和playload和sign用.连接起来,就生成整个JWT了
于是,我们就可以将邮件中的URL改成

https://your.awesome-app.com/make-friend/?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

这样就可以安全地完成添加好友的操作了!
服务器应用在接受到JWT后,会首先对头部和载荷的内容用同一算法再次签名。那么服务器应用是怎么知道我们用的是哪一种算法呢?别忘了,我们在JWT的头部中已经用alg字段指明了我们的加密算法了。

如果服务器应用对头部和载荷再次以同样方法签名之后发现,自己计算出来的签名和接受到的签名不一样,那么就说明这个Token的内容被别人动过的,我们应该拒绝这个Token,返回一个HTTP 401 Unauthorized响应

信息会暴露?
是的。

所以,在JWT中,不应该在载荷里面加入任何敏感的数据。在上面的例子中,我们传输的是用户的User ID。这个值实际上不是什么敏感内容,一般情况下被知道也是安全的。

但是像密码这样的内容就不能被放在JWT中了。如果将用户的密码放在了JWT中,那么怀有恶意的第三方通过Base64解码就能很快地知道你的密码了。
JWT的适用场景:
其实JWT还经常用于设计用户认证和授权系统,甚至实现Web应用的单点登录
检验简介:
加密:
比如要加密验证的是userid字段,首先按前面的格式组装json消息头header和消息体playload,按header.playload组成字符串,再根据密钥和HS256加密header.playload得到sign签名,最后得到jwtToken为header.playload.sign,在http请求中的url带上参数想后端服务请求认证。
解密:
后端服务校验jwtToken是否有权访问接口服务,进行解密认证,如校验访问者的userid,首先
用将字符串按.号切分三段字符串,分别得到header和playload和sign。然后将header.playload拼装用密钥和HAMC SHA-256算法进行加密然后得到新的字符串和sign进行比对,如果一样就代表数据没有被篡改,然后从头部取出exp对存活期进行判断,如果超过了存活期就返回空字符串,如果在存活期内返回userid的值。
http://blog.leapoahead.com/2015/09/06/understanding-jwt/

pokendemon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JSON Web Tokens的实现原理
12-24
前言 最近在做一个Python项目的改造,将python项目重构为Java项目,过程中遇到了这个知识点,觉得这个蛮实用的,所以下班后回来趁热打铁写下这篇总结,希望后面的人能够有所借鉴,少走弯路。 一、优势简介 JSON Web Tokens简称jwt,是rest接口的一种安全策略。本身有很多的优势: 解决跨域问题:这种基于Token的访问策略可以克服cookies的跨域问题。 服务端无状态可以横向扩展,Token可完成认证,无需存储Session。 系统解耦,Token携带所有的用户信息,无需绑定一个特定的认证方案,只需要知道加密的方法和密钥就可以进行加密解密,有利于解耦。 防止跨站点脚本攻击
jsonwebtoken原理
qq_21522331的博客
10-31 226
阮一峰
深入解析 JWT(JSON Web Tokens):原理、应用场景与安全实践
最新发布
Karka_的博客
07-22 842
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在Web 应用程序和服务之间尤其流行用于身份验证和信息交换。JWT 本身包含了所有必要的信息。一个 JWT 通常包含用户身份验证信息、token 的发行者、过期时间等。由于其较小的体积,JWT 可以通过 URL、POST 参数或在 HTTP 头中发送,这使得其在网络环境中传输非常高效。
Json web token (JWT)原理
Song_Of_Sea海歌同学的博客
08-16 2070
JWT01、什么是JWT:02、JWT作用:02-1、3个特性02-2、多点登陆03、JWT实现原理03-1、jwt令牌(token值)其实就是一个字符串03-2、三段组成03-2.1 第一段字符串,称之为**头信息(header)**03-2.2 第二段字符串,称之为**载荷(payload)**03-2.3 第三段字符串,称之为**签名(signature)**04、结语: 01、什么是JWT: Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准
json web token原理和使用
饶一熊的博客
03-21 363
jwt原理和使用 JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。 1.jwt认证流程 在项目开发中,一般回按照上图所示的过程进行认证,即:用户登陆成功之后,服务端给用户浏览器返回一个token,以后用户浏览器要携带token再去向服务端发送请求,服务端校验token的合法性,合法...
JSON Web Token (JWT)生成Token及解密实战
茅坤宝骏氹的博客
04-25 5624
转载自 JSON Web Token (JWT)生成Token及解密实战昨天讲解了JWT的介绍、应用场景、优点及注意事项等,今天来个JWT具体的使用实践吧。从JWT官网支持的类库来看,jjwt是Java支持的算法中最全的,推荐使用,网址如下。https://github.com/jwtk/jjwt下面来看看如何使用jjwt来实现JWT token生成与解密,主要用到sha512算法来演示。1、导...
JSON Web Token (前端与后端对话密钥生成文件)
06-28
token 生成文件,用于前后端数据传输时发送的密钥(暗语)。 直接解压后引用该文件即可 -- 后端在收到第一次请求的时候调用 私有的(p开头的) -- 前端发来密钥的时候调用 公用的进行判断是否正确 你也可以自己...
php-jwt:JWT(JSON Web Token生成器、解析器、验证器和验证器的 PHP 实现
05-29
PHP-JWT 是一个用 PHP 编程语言编写的包,用于编码(生成)、解码(解析)、验证和验证 JWT(JSON Web 令牌)。 它提供了一个流畅、易于使用和面向对象的界面。 由确认。 文档 版本号 2.xx (LTS) 1.xx(不支持) ...
详解JSON Web Token 入门教程
10-18
JSON Web Token(JWT)是网络上广泛使用的跨域认证解决方案。它是一种开放标准(RFC 7519),定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象的形式安全地传输信息。这些信息可以被验证和信任,因为它们...
JWT-JSON Web Token實作分享1
08-08
JSON Web Token 实现分享 JSON Web Token(JWT)是一种基于 token 的身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端...
php实现JWT(json web token)鉴权实例详解
01-03
JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
JWT(JSON Web Token)的基本原理
道阻且长,行则将至。
09-19 1915
JWT(JSON Web Token)的基本原理 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案 一、跨域认证的问题 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session_id,找到前期保存的数据,由此得
JSON Web Token原理深入理解
氷的博客
03-25 538
JWT全称Json Web Token,翻译为JSON格式的网络令牌,很多时候又简称为Token(JWT是Token的一种实现方式)。它要解决的问题,就是为多种终端设备,提供统一的、安全的令牌格式。因此,JWT只是一个令牌格式而已,你可以把它存储到Cookie,也可以存储到localstorage,没有任何限制!同样的,对于传输,你可以使用任何传输方式来传输JWT,一般来说,我们会使用HTTP请求头(Authorization)来传输它。比如,当登录成功后,服务器可以给客户端响应一个JWT。
JWT(JSON Web Token)原理简介
u014545085的博客
07-26 296
原理说的非常清楚。总结如下: 首先这个先说这个东西是什么,干什么用的,一句话说:就是这是一种认证机制,让后台知道请求是来自于受信的客户端。 那么从这个角度而言,这个东西跟浏览器的cookie是一个作用,好比我在一个网站登录了,就可以往这个网站发送restful请求,请求的同时会捎带上cookie,后台检查这个cookie发现你是合法的,才响应你的请求。 只不过这里JWT的原理不同,但基本上最顶层的原理还是非常简单: 这个图中有三个主体: user, application server和auth
Python 生成 JWT(json web token) 及 解析方式
python学习者的博客
12-23 3637
一.python 对于 jwt 的实现, 目前已经存在了一些第三方的库, 相信学习过 python 的程序猿都知道 itsdangerous 这个库了, 它的底层原理就是基于 jwt 进行实现的 这里需要进行提醒的是: itsdangerous (使用固定密钥/字符串进行加密, jwt 有多种加密方式, 这只是其中一种, 建议先去了解一下)所生成token 仍然是可以被破译从而看到 jwt 的...
json web token 生成 token 代码教程 《《《 用于web前端+ node
北芒的博客
06-30 654
资料查询 npm 官网资料 中文版介绍(无使用方法) 下载使用到的包 yarn add jsonwebtoken /或/ npm install jsonwebtoken 导入需要的包 var jwt = require('jsonwebtoken'); var fs = require("fs") var path = require("path") 开始创建 token 共有 4 种写法,任选其一 { foo: 'bar' } 是你要解析的数据(对象形式..
token生成过程
weixin_34126557的博客
01-17 241
客户端登录会拿到token,然后去登录游戏服务器 了解GUID 可以了解http://blog.sina.com.cn/s/blog_5c8d13830100gku3.html // obviously this is the windows version #ifdef GUID_WINDOWS Guid GuidGenerator::newGuid() { GUID new...
Json Web Token详解
kevin8736的专栏
05-13 3190
Understanding JWT JSON Web Tokens (JWT) are a standard way of representing security claims between the add-on and the Atlassian host product. A JWT token is simply a signed JSON object which contai
JSON Web Token (JWT)生成Token及解密实战。
weixin_34361881的博客
01-15 369
昨天讲解了JWT的介绍、应用场景、优点及注意事项等,今天来个JWT具体的使用实践吧。 从JWT官网支持的类库来看,jjwt是Java支持的算法中最全的,推荐使用,网址如下。 https://github.com/jwtk/jjwt 下面来看看如何使用jjwt来实现JWT token生成与解密,主要用到s...
JSON Web Token 案例
05-30
下面是一个JSON Web Token的示例: 假设有一个用户Alice,她的用户名是alice,密码是password,服务器在验证了她的身份后,生成一个JWT作为她的身份认证信息。JWT的Header如下: ``` { "alg": "HS256", "typ": ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值