JWT(JSON Web Token)的工作原理与安全实践

于 2024-08-15 07:00:00 发布
阅读量228 收藏 5
点赞数 1
文章标签: json 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq836869520/article/details/141067466
版权

JWT(JSON Web Token)的工作原理与安全实践

大家好,我是微赚淘客返利系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!

JWT简介

JSON Web Token(JWT)是一种基于JSON的轻量级身份验证和授权标准(RFC 7519)。它允许在各方之间以JSON对象的形式安全地传输信息。

JWT的组成

JWT由三部分组成:Header(头部)、Payload(负载)和Signature(签名)。

Header
{
  "alg": "HS256",
  "typ": "JWT"
}

Header通常包含两部分:token的类型和所使用的签名算法。

Payload

Payload部分存放实际需要传递的数据。

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

这里sub表示主题,name表示用户名,iat表示签发时间。

Signature

Signature用于验证消息在传输过程中未被篡改。

package cn.juwatech.jwt;

import io.jsonwebtoken.*;

public class JwtTokenUtil {
    private String secretKey = "your-secret-key";

    public String createToken(String username) {
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(now)
                .signWith(SignatureAlgorithm.HS256, secretKey)
                .compact();
    }

    public String getUsernameFromToken(String token) {
        Claims claims = Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(token)
                .getBody();
        return claims.getSubject();
    }
}

JWT的工作原理

  1. 签发:服务器在用户登录成功后,生成一个包含用户信息的JWT,并发送给客户端。
  2. 存储:客户端可以选择将JWT存储在Cookie或者LocalStorage中。
  3. 发送:客户端在每次请求中将JWT发送给服务器,通常放在Authorization头部中。
  4. 验证:服务器接收到JWT后,使用相同的密钥验证其合法性,并从中获取用户信息。

JWT的安全实践

密钥管理

密钥应该保持机密,不应该硬编码在代码中或存储在客户端。

使用HTTPS

使用HTTPS可以防止JWT在传输过程中被拦截。

令牌续期

使用短期的JWT,并在服务器端实现令牌续期机制。

避免存储敏感信息

即使JWT被加密,也不应该存储敏感信息。

使用标准库

使用成熟的库来处理JWT的生成和验证,避免自己实现。

结语

JWT是一种简单而强大的身份验证和信息传输方式。通过本文的介绍和代码示例,读者应该能够理解JWT的工作原理以及如何安全地使用它。正确实施JWT可以提高应用的安全性和用户体验。

本文著作权归聚娃科技微赚淘客系统开发者团队,转载请注明出处!

微赚淘客系统@聚娃科技
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT(Json Web Token)的原理、渗透与防御
ElsonHY的博客
05-16 2416
JWT(Json Web Token)的原理、渗透与防御。
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
JWTJSON Web Token)的基本原理
2401_84153285的博客
05-13 899
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
JSON Web Token原理深入理解
氷的博客
03-25 526
JWT全称Json Web Token,翻译为JSON格式的网络令牌,很多时候又简称为Token(JWTToken的一种实现方式)。它要解决的问题,就是为多种终端设备,提供统一的、安全的令牌格式。因此,JWT只是一个令牌格式而已,你可以把它存储到Cookie,也可以存储到localstorage,没有任何限制!同样的,对于传输,你可以使用任何传输方式来传输JWT,一般来说,我们会使用HTTP请求头(Authorization)来传输它。比如,当登录成功后,服务器可以给客户端响应一个JWT
什么是 JWTJson Web Token
wjiaman
10-27 990
一、身份认证  常见的服务器端身份认证机制有两种,分别为: 1.基于 session 的认证机制  HTTP 是一种无状态的协议,这意味着若无登录态维持机制,则每次请求时都需要提交用户名与密码进行身份验证,而 session 机制就是用于在服务器端记录用户的登录状态。  session 是一串在服务器生成的字符串,用以唯一地标识一个用户。第一次身份验证后,服务器生成一串字符串并将字符串保存在服务端,同时将该字符串写入返回的响应头(Cookie字段)。浏览器在收到字符串后,将该字符串保存为 Cookie。同一
JWTJson Web Token)详解
Vinjcent
09-09 1347
JSON Web TokenJWT)is an open standard()that defines a compact and self-contained way for securely transmitting information between parties as a JSON object.This information can be verified and trusted because it is digitally signed. JWTs can be signed us
Json web tokenJWT)攻防
网安君的博客
05-09 922
JWT介绍 JSON Web Tokens,是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。它是一种用于双方之间传递安全信息的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的、自包含的方法,从而使通信双方实现以JSON对象的形式安全的传递信息。 “令牌使用私人秘密或公钥/私钥进行签名。例如,服务器可以生成具有“以管理员身份登录”声明的令牌并将其提供给客
JWT技术--JSON Web Token
热门推荐
qq_25046827的博客
04-07 1万+
一、JWT简介 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 使用方式:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 作用:类似session保持登录状态的办法,通过token来代表用户身份。 Authorization (授权) : 这是使用J
Session和JWTJSON Web Token)的对比
pumpkin84514的博客
05-21 535
Session和JWTJSON Web Token)都是用于用户身份验证和授权的机制,但它们的工作原理、存储位置、可扩展性和安全性等方面有所不同。综上所述,选择Session还是JWT取决于具体应用场景的需求,如安全性要求、扩展性需求以及是否需要跨域支持等。
JWT(JSON Web Token)原理
zhangsan_716的博客
12-02 3041
JWT(JSON Web Token)原理 JWT是目前流行的跨域身份验证解决方案。 这里给大家介绍JWT的原理和用法。 跨域身份验证 Internet服务无法与用户身份验证分开。 传统模式过程如下: 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话(session)中。 3.服务器向用户返回session_id,session信息都会写入...
什么是 JWT -- JSON WEB TOKEN
学Java,找哪吒
04-02 2096
一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 二、起源 说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。 三、
JWT(json web token)包
01-22
JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上...
JWT-JSON Web Token實作分享1
08-08
JSON Web TokenJWT)是一种基于 token 的身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端身份验证中,传统的基于...
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT可用于身份验证、授权,以及...
评论如何批量获取,如何获得回复评论,大家相互交流
最新发布
lfsysc的博客
08-13 466
print(f'\t{count}{recom_addr}【{recom_user}】回复说:"re{recom_text}"')print(f'{com_addr}【{com_user}】说:"{com_text}"有{com_repl}回复:')
vue3使用pnpm运行项目但是运行不起来
一个努力不被优化的程序员
08-12 174
重新创建项目,将老项目的package.json,vite.config.ts,src等文件拖拽替换。删除node_modules重新下:文字编译乱码,utf-8可能解析处理问题。(如果哪位知道为什么会这样或者怎么解决麻烦留言下)运行项目的时候发现根本运行不起来了。删除node_modules重新下。尝试过创建.npmr文件。创建.npmr:不管用。
(自用)交互协议设计——protobuf序列化
weixin_44155149的博客
08-11 437
protobuf是一种比json和xml等序列化工具更加轻量和高效的,性能比json和xml真的强很多,毕竟google出品。
Gson:深入理解与实战应用
Aaron_945的博客
08-11 367
当Gson的默认序列化/反序列化行为不满足需求时,可以通过实现和接口来自定义序列化/反序列化逻辑。// 自定义序列化器 public static class PersonSerializer implements JsonSerializer < Person > {// 自定义格式 return jsonObject;
前程无忧 阿里227滑块 分析
ff2766958292的博客
08-12 836
前程无忧,227滑块,sign,227
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值