Json Web Token

已于 2022-12-31 16:03:27 修改
阅读量174 收藏
点赞数
分类专栏: Java Web 文章标签: json
于 2022-12-13 17:42:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38074398/article/details/128237625
版权
JWT(Json Web Token)是一种用于身份验证和信息交换的开放标准。它由Header、Payload和Signature三部分组成,采用紧凑、URL安全的格式。JWT可以实现无状态认证,支持跨域访问,并且数据量小,传输速度快。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

JWT是什么

JWT:Json Web Token,本质为一个字符串。可以应用于:

  1. 授权:登陆验证。将服务端响应的JWT Token携带在在每个请求的Authorization进行登陆验证
  2. 信息交换:利用公钥、密钥对,可以进行签名,将信息数据在多方之间安全的进行数据传递。且基于Header与Payload部分进行签名计算,还可以验证内容是否被篡改

组成部分

Header:描述JWT元数据的Json对象。
  1. alg表示签名使用的算法,默认为HMAC SHA256(写为HS256)
  2. typ表示令牌的类型,JWT令牌则写为JWT
{
    "alg": "HS256",
    "typ": "JWT"
}
Payload:有效载荷,JWT的主体部分。Json结构,表明需要传递的数据。

七个默认可选字段:

  • iss(issuer):发行人

  • iat(issued at):发布时间

  • exp(expiration):到期时间

  • sub(subject):主题

  • aud(audience):用户

  • nbf(not before):在此之前不可用

  • jti:JWT ID用于标识JWT Token

除此之外,可指定自定义字段,一般会把用户的非敏感数据放入到Payload中,例:

{
  "sub" : "test",
  "name": "CQQ",
  "job" : "developer"
}
Signature:对Header & Payload部分经过Base64处理后的数据,通过Header中指定算法生成签名数据,用于确保数据不会被篡改。

如何确定数据没有被篡改:Base64解开Header & Payload的明文数据,JWTString中其余的数据则为签名数据,服务器会存储一个不公开的密钥,通过该密钥进行:

HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

将结果与刚刚得到的签名数据进行一致性对比。

完整的JWT String

JWTString=Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

JWT的类别

  1. nonsecure JWT:不签名,不安全
  2. JWS:
  3. JWE:Payload部分加密
类别全称说明
JWSJSON Web Signature structure消息会被签名,payload只是简单的base64加密。可防止篡改,但不防止被查看。
JWEJSON Web Encryption structure消息会被签名 & 加密,没有钥匙无法解密消息。可防止篡改、查看。

优势

JWT基于Token认证方式对比传统的Session认证方式:

  1. 跨域:因为不应用Cookie,更好的支持跨域访问
  2. 简洁:JWT Token数据量小,故传输速度也快
  3. 适用于多端:对于不支持Cookie机制的客户端,基于请求头携带的Token的机制可以更好的支持
  4. 无状态:相比传统的Session机制,不需要在服务器存储用户信息及状态。这些数据都在客户端进行存储,节省服务器资源

实际应用

Java版本的基于JWT的登录验证:gitee

JWT-Json web token加解密(HMAC256)-用于单点分布式登录
Angellsing的博客
12-24 2062
1.什么是JWT jwt 全称json web token 为了在网络就用环境进行传递声明而执行的一种基于json 的开放标准,JWT应用于分布式单点登录系统,身份提供者和服务提供者之产传递认证用户信息 2.JWT认证流程 用户输入用户名密码进行登录 登录服务进行登录信息验证 登录服务通过验证颁发给用户一个Token 客户端保存token,每次请求带上token 业务服务验证token,读取信息 3.JWT组成 头部,载荷,签名 三个部份用.分隔 4.代码部份 4.1依赖 <dependency&
ctfhub-web-json web token
m0_52484587的博客
08-25 1226
在JWTHelper类的decode()中,如果输入公匙正确,并且后面的if语句正确,那么就会就会显示flag。同时 公匙要HS256加密。如果我们想要获得flag,我们发送的 token 不为空 并且发送的 cookie 为PUBLIC_KEY 也就是公码。从题目中可以知道必须要成为admin才可以得到flag,而我们是guest,所以我们可以试试把签名设置为空。注:因为采用了none算法 签名部分可以为空,header部分是定义加密算法的就可以不用。使用破解的秘钥“eqcv”,进行HS256加密
Android-一个Java库专注于在Android上提供JsonWebTokenJWT解码
08-13
一个Java库,专注于在Android上提供Json Web Token(JWT)解码
JWT 签名算法的选择:HS256、RS256、ES256 和 ED25519 的对比与应用
最新发布
2201_75798391的博客
03-01 940
在构建基于 JWT(JSON Web Token)的认证系统时,选择合适的签名算法至关重要。不同的算法在安全性、性能和适用场景上各有优劣。本文将详细介绍常见的 JWT 签名算法(HS256、RS256、ES256 和 ED25519),并对比它们的特点、优缺点和适用场景,帮助你选择最适合的算法。JWT 通常使用签名算法来确保 Token 的完整性和真实性。:对称加密算法。:非对称加密算法。:基于椭圆曲线的加密算法。ED25519:现代椭圆曲线签名算法。
JWT (Json Web Token)教程
dayformyjob
01-10 5238
JWT(Json Web Token)是实现token技术的一种解决方案,JWT由三部分组成: header(头)、payload(载体)、signature(签名)。 头 JWT第一部分是header,header主要包含两个部分,alg指加密类型,可选值为HS256、RSA等等,typ=JWT为固定值,表示token的类型。。 { "typ": "JWT", "a
2024年网络安全防护-JSON WEB TOKEN讲解与实战_jsonwebtoken 规范
2303_79055586的博客
05-02 833
然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。另一种做法是,跨域的时候,JWT 就放在 POST 请求的数据体里面。写成一行,就是下面的样子。
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
JWT(json web token)包
01-22
JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上...
JSON Web Token (前端与后端对话密钥生成文件)
06-28
token 生成文件,用于前后端数据传输时发送的密钥(暗语)。 直接解压后引用该文件即可 -- 后端在收到第一次请求的时候调用 私有的(p开头的) -- 前端发来密钥的时候调用 公用的进行判断是否正确 你也可以自己...
Json Web Token(JWT)介绍与基本使用详解及完整源码示例
11-05
Json Web Token(JWT)是一种轻量级的身份验证和授权机制,广泛应用于Web应用程序,特别是单页应用(SPA)和微服务架构中。JWT通过在客户端和服务器之间传递JSON编码的信息来实现用户认证,无需在服务器端存储会话...
Android token JJWT
dengfuma的专栏
10-24 500
Android开发领域,JJWT(Java JWT,即Java Json Web Token)库是一个流行的工具,用于处理JSON Web Tokens(JWTs)。JWT是一种轻量级的、自包含的、基于JSON的用于双方之间安全传输信息的简洁的、URL安全的令牌标准。然而,需要注意的是,直接搜索“Android JJWT”可能不会找到专门为Android设计的JJWT库,因为JJWT主要是一个Java库,而Android虽然基于Java,但有其特定的环境和限制。使用JJWT库提供的API来生成JWT。
JSON Web Token 的学习记录
2303_79193769的博客
09-20 2022
接下来是对JWT(json web token)的一个简单学习,有不足希望评论补充在下面我将会对HS256 和 RSA 是两种不同的数字签名算法来实现Jwt进行一个介绍和实现本文简单介绍了一下HS256 和 RSA签名算法,以及jwt的一个使用(RSA签名算法生成)代码部分只对RSA进行了实现。相对于RSA算法,少来对于私钥和公钥的一个获取;HS256使用相同的密钥进行签名和验证,发送方和接收方必须共享该密钥。const (//私钥// 过期时间 1天// 生成token
推荐:JSON Web Token Swift 实现库
gitblog_00014的博客
05-17 452
推荐:JSON Web Token Swift 实现库 JSONWebToken.swiftSwift implementation of JSON Web Token (JWT).项目地址:https://gitcode.com/gh_mirrors/js/JSONWebToken.swift 在构建安全的Web应用时,身份验证和授权是核心部分,而JSON Web Tokens(JWT)提供了...
JWT和OAuth2.0
Kard的博客
12-31 1万+
JWT是一种认证协议,提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。SSO私钥加密token。应用端公钥解密token。 OAuth2.0是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。
42.JSON Web Token认证
木子七的博客
10-10 169
JSON Web Token认证介绍 简称JWT认证,一般用于用户认证 JWT是一种相当新的标准,可用于基于token的身份验证 与内置的TokenAuthentication方案不同,JWT不需要使用数据库来验证令牌 优势:相较于传统的token,无需再服务端保存 基于传统token简单的实现认证 #传统的token认证 1.用户登录服务端返回token,并将token保存在服务端(缓...
android 中使用jwt token(json web token)--java
MINGZHNGLEI的专栏
04-11 8445
android 和 java 中使用jwt  首先说下为什么要写这篇博客,由于项目的需求,我发现在国类一般都不怎么去用,在baidu上搜了一大堆发现都没有相关的例子,就给大家贡献出来,希望以后有人需要用的时候在国内能看到,提供给需要用的人去用,如果需要转载,请表明转载处,谢谢。 其次说下  为什么要使用jwt,让网络数据更加安全,以防其他一些人无意恶搞 在这里简单说下:jwt是一
JWT(JSON Web Token)原理简介
热门推荐
xunileida的专栏
10-07 4万+
原文:http://www.fengchang.cc/post/114 参考了一下这篇文章:https://medium.com/vandium-software/5-easy-steps-to-understanding-json-web-tokens-jwt-1164c0adfcec 原理说的非常清楚。总结如下: 首先这个先说这个东西是什么,干什么用的,一句话说:就是这是一种认证机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值