JWT基础

最新推荐文章于 2023-11-23 15:01:19 发布
最新推荐文章于 2023-11-23 15:01:19 发布
阅读量507 收藏
点赞数
分类专栏: 跟mark学java 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25221835/article/details/120744348
版权

参考:JWT——概念、认证流程、结构、使用JWT_Guizy-CSDN博客

一、什么是JWT

JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密签名等相关处理。

二、JWT能做什么?

1、授权
这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。
2、信息交换
JSON Web Token是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名(例如,使用公钥/私钥对),所以您可以确保发件人是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否遭到篡改。


三、JWT工作流程

四、JWT结构

JWT令牌 = Header.Payload.Signature

JWT令牌组成 :

  • 1.Header
  • 2.Payload
  • 3.Signature

因此,JWT通常如下所示:xxxxx.yyyyy.zzzzz

1、Header

  • 标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如HMAC SHA256或RSA。它会使用 Base64编码组成 JWT 结构的第一部分`。

  • 注意:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一种加密过程。

如下面是一串token,我们解析一下:

eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJsUnpNWXVwemNZUm9iTnMyZnpqdEtMX3BNZGhSS0JIdnJfTDRHMWpuR3hnIn0
.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
.aIKWuiP9_ENFi_cQBKsMxhuQkU6kkE49xLwYQuFucsctiUaDOnVh45NJ9mFKUlqMIuEzGwihTQoyI2Te8VnmWsCvTzODZHufUQDSYDvnwCXm1R9XBLL4b8x63z_c9_G6In6xspyhzVse5N8BTlzm4Vro0t_5pUltbW5O0_rBKeZ_7aC6nPLR6CQpibR1FFQfoSJO_qavwNudZKKycX4PrIWDRobfeJAWUY-AA3YtNjqlm8s46bcVairHQc98CInvEgSohe7Hz-pkBqXmDKsrQmv-VwQ7G5-LE-IpIr3UAugdUoKeL3J0Z0O2pf4856QsIwYe2dInh22HyNJSBfp9Rw

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9,就是header,我们用base64解析一下,得到:

 

{
	"alg": "RS256",
	"typ": "JWT",
	"kid": "lRzMYupzcYRobNs2fzjtKL_pMdhRKBHvr_L4G1jnGxg"
}

2、Payload

  • 令牌的第二部分是有效负载,其中包含声明。声明是有关实体(通常是用户)和其他数据的声明(存放用户信息的)。同样的,它会使用 Base64 编码组成 JWT 结构的第二部分
{
	"jti": "c57c990a-5d65-4a6b-8521-ef7945b6d799",
	"exp": 1634145967,
	"nbf": 0,
	"iat": 1634110170,
	"iss": "http://iamauth.iamtest.prd.uimpcloud.com/auth/realms/business",
	"aud": "account",
	"sub": "b2590c44-c51b-44d9-8547-70d26510c219",
	"typ": "Bearer",
	"azp": "uimpcloud-frontend",
	"nonce": "65a83d76-e3b3-478f-aa09-91f15939d83e",
	"auth_time": 1634109967,
	"session_state": "3e5f4d55-2f76-46c3-bd41-48e79c9c0de6",
	"acr": "0",
	"allowed-origins": ["*"],
	"realm_access": {
		"roles": ["offline_access", "uma_authorization"]
	},
	"resource_access": {
		"account": {
			"roles": ["manage-account", "manage-account-links", "view-profile"]
		}
	},
	"scope": "openid profile email",
	"email_verified": false,
	"name": "管理员 管",
	"preferred_username": "admin",
	"given_name": "管理员",
	"locale": "zh-CN",
	"family_name": "管"
}

3、Signature
前面两部分都是使用 Base64 进行编码的,即前端可以解开知道里面的信息。Signature 需要使用编码后的 header 和 payload 以及我们提供的一个密钥,然后使用 header 中指定的签名算法(HS256)进行签名。签名的作用是保证 JWT 没有被篡改过
base64(header) . base64(payload) . "#**$s@8ss"(秘钥) -----> 组成 Signature
 

WT令牌 = base64(header) . base64(payload) . Signature

eg :

假如我们的JWT令牌返回给客户端了, 结构为base64(header).base64(payload).aaaaa, aaaaa是签名, 由base64(header) . base64(payload) . 密钥生成的, 客户端此时拿到了这个Token;

jwt会先验签, 客户端拿到token去请求数据, 首先服务端会先将该token的Signature和aaaaa作比对, 如果确实相同, 则该令牌是正确的;

这种做法就是为了防止篡改数据, 如果修改了header, payload, 生成的Signature都和服务端的对不上, 就会验证该令牌是非法的;
 

签名目的


最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改,再进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的。
信息安全问题
在这里大家一定会问一个问题:Base64是一种编码,是可逆的,那么我的信息不就被暴露了吗?

是的。所以,在JWT中,不应该在负载里面加入任何敏感的数据。在上面的例子中,我们传输的是用户的User ID。这个值实际上不是什么敏感内容,一般情况下被知道也是安全的。但是像密码这样的内容就不能被放在JWT中了。如果将用户的密码放在了JWT中,那么怀有恶意的第 三方通过Base64解码就能很快地知道你的密码了。因此JWT适合用于向Web应用传递一些非敏感信息。JWT还经常用于设计用户认证和授权系统,甚至实现Web应用的单点登录。
 

 

一彡十
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于Token的身份验证之JWT基础教程
10-18
JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准...下面这篇文章主要给大家介绍了关于基于Token的身份验证之JWT基础相关资料,文中通过示例代码的非常详细,需要的朋友可以参考下
JWT常用的几种应用场景
Lin_Bolun的博客
01-17 1184
正常的JWT是不涉及服务端存储的,完全靠算法校验token是否有效 当然想要实现某些进阶的控制或校验,就需要搭配一些其他的技术栈实现 比如用户退出登录,要作废某个token,像这样的场景就需要在服务端保存一个token的黑名单 把作废的token保存到黑名单里,后续每一次请求进来,先去黑名单里找一下,如果在黑名单里就拒绝此次请求。 至于保存的黑名单是使用redis还是其他的存储都是可以的 实现异地登录退出就是要结合请求的IP或设备识别号一起生成token,然后保存userid 和 token..
JWT 基础概念详解
m0_53157173的博客
10-19 629
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则。
面试官:谈谈JWT鉴权的应用场景及使用建议?
架构师小秘圈
04-20 3907
作者:mantou叔叔 || 编辑:搜云库技术团队出处:https://dwz.cn/7bikj3yk1. JWT 介绍JSON Web Token(JWT)是一个开放式...
springboot2.3.x整合JWT
胖虎儿的博客
11-28 6159
springboot整合JWT,让我们的校验不再困难
web 开发中jwt的使用
一路奔跑94的博客
04-28 2798
摘要: 在Web应用中,使用JWT替代session并不是个好主意 适合JWT的使用场景 抱歉,当了回标题党。我并不否认JWT的价值,只是它经常被误用。 网友看法: jwt最致命的问题,就是将用户标识明文(base64等同明文)的放在客户端,而且单一依赖同一个secret。一旦secret被泄露,那攻击者就可以毫不费力的冒充所有用户。而不幸的是,secret的保护并不足够:1. 一般作为配...
理解JWT鉴权的应用场景及使用建议
good7ob的博客
10-05 232
JWT(JSON Web Token)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式来安全地在不同实体之间传输信息。JWT通常用于身份验证和鉴权,它由三个部分组成:头部(Header)、负载(Payload)和签名(Signature)。
OAuth2与JWT的区别JWT的适用场景及好处(九)
FAIRYTAIL的博客
08-28 6676
什么是jwtjwt相对于oauth2和session的好处
JWT 总结
凡的博客
03-17 1182
JWT 总结
JWT的原理及实际应用
liaozhixiangjava的博客
10-13 685
定义:JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案JWT官网由于HTTP协议是无状态的,这意味着如果我们想判定一个接口是否被认证后访问,就需要借助cookie或者session会话机制进行判定,但是由于现在的系统架构大部分都不止一台服务器,此时又要借助数据库或者全局缓存 做存储,这种方案显然受限太多。
JWT详解
qq_52030824的博客
03-17 3394
JWT是一种基于数字签名的方式,以JSON格式为数据载体的开发标准。可以在不同的服务终端之安全的传输信息
template-fundamentos-jwt-2021-02-23:JWT基础知识类的基本代码存储库
05-09
[模板]用于更安全身份验证的JWT基础 该存储库不包含完成的代码,而是用于启动类的模板。 JWT被广泛用作身份验证的一种形式,但是,如果我们不具备必要的知识并应用一些良好做法,则这种身份验证形式可能会存在一些...
spring-boot-mongodb-jwt:具有MongoDB和JWT身份验证的Spring Boot项目的基础
02-04
用于具有MongoDB和基于JWT的安全性的项目的Spring Boot基础。 这是具有Spring Boot,MongoDB和已配置JWT安全性的Java项目的快速入门基础。 跑步 下载此基础 在系统中启动MongoDB服务/守护程序 通过Application....
asp.net core api+jwt+swagger CRM管理系统
11-24
导读:本项目为CRM系统的基础管理模块。目前实现了用户,用户组,菜单模块。 用户与用户组分配。菜单模块与用户组授权。 运用框架为 asp.net core API 5.0 +JWT +Swagger。有兴趣的可以与我联系659388913. 前端部分...
基于spring boot+spring security+jwt实现的基础auth机制
05-23
基于spring boot+spring security+jwt实现的基础auth机制。在SpringBootApplication上添加@EnableWebSecurityJwt。同时需要自己实现一个UserDetailsService。
JWT的理解
wxina
04-26 502
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接...
JWT(Json Web Token)的使用
weixin_42679286的博客
07-23 577
1.简洁:JWT Token数据量小,传输速度也很快。2.因为JWT Token是以JSON加密形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。3.不需要在服务端保存会话信息,也就是说不依赖于cookie和session,所以没有了传统session认证的弊端,特别适用于分布式微服务。4.单点登录友好:使用Session进行身份认证的话,由于cookie无法跨域,难以实现单点登录。
JWT基本概念和使用介绍
qiaotl的博客
08-23 2656
通过基本概念介绍和实际项目案例的方式讲解jwt的使用,包括jwt的生成和验证以及如何通过redis来刷新jwt
JWT签名 0.12.3版本
最新发布
weixin_45500120的博客
11-23 704
JWT签名 , 在不需要头信息的情况下, 使用parseSignedClaims方法更加方便使用。
golang jwt
09-21
Golang中的JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。JWT由三部分组成:头部、载荷和签名。头部包含了指定算法和类型的信息,载荷包含了需要传递的数据,签名用于验证数据的完整性和真实性。 在Golang中,有很多关于JWT的包可供使用,其中一个常用的包是`github.com/dgrijalva/jwt-go`。你可以使用以下命令安装该包:`go get github.com/dgrijalva/jwt-go`。 在使用JWT时,你需要了解以下几个基本概念和使用场景: 1. 基础概念:包括发行者、发布时间、到期时间、主题、听众、在此之前不可用和JWT ID等信息。 2. 使用场景:JWT常用于身份验证和授权,可以用于Web应用程序的用户认证、API访问控制等场景。 要在Golang中使用JWT,你可以按照以下步骤进行代码实现和服务测试: 1. 导入`github.com/dgrijalva/jwt-go`包。 2. 创建JWT的头部和载荷,并设置相应的字段值。 3. 使用指定的算法和密钥对JWT进行签名。 4. 将生成的JWT用于身份验证和授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一彡十

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值