Json Web Token

最新推荐文章于 2020-12-06 14:10:23 发布
最新推荐文章于 2020-12-06 14:10:23 发布
阅读量301 收藏
点赞数
文章标签: JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39489635/article/details/76070658
版权

Token Auth机制

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

JWT通过用户发送用户名和密码给服务器,服务器验证通过之后,生成签名的token给客户端。客户端存储这个token,之后请求帐号相关的信息时带上token,服务端验证token之后,进行相应的处理。

相比cookie的优势

支持跨域站点访问

Cookie是不允许垮域访问的,可以通过设置顶级域名的方式实现部分跨域,但是跨站点的访问仍然不支持。

Token没有站点的限制,跨域站点的时候仍旧能够使用。

安全性更高

不需要考虑对CSRF(跨站请求伪造)的防范;

相比session的优势

节省服务器空间

session验证方式需要在服务端保存每个session,会占用服务器空间。如果单纯用DB存储,还有性能上的劣势;用redis等存储则不太经济。

Token方式将成本分摊到各个客户端,所需要的仅仅是一个解编码的过程。

JWT的组成

JWT由三部分组成,分别是头部、载荷和签名。三个部分中间用点分隔开,并且都使用 Base64 编码。

总体JWT示例:

eyJ0eXAiOiAiSldUIiwiYWxnIjogIkhTMjU2In0.eyJpc3MiOiAiaGFybGV5IiwiaWF0IjogMTUwMDk1NTk1MCwiZXhwIjogMTUwMDk1Nzk4NywidXNlcl9pZCI6ICI3ODk4IiwidXNlcl9yb2xlIjoiQWRtaW4ifQ.b0998815569be8f4ca8518030c3d586cc5bdff12dd7ad0004a1c38fa735ce18a

头部(Header)

header 部分主要包括两部分,一个是 Token 的类型,另一个是使用的算法,
比如Token类型是 JWT,使用的算法是 HS256。

{
"typ": "JWT",
"alg": "HS256"
}

经过base64编码之后的值为
eyJ0eXAiOiAiSldUIiwiYWxnIjogIkhTMjU2In0

有效载荷(payload)

有效载荷内部的数据可以自己定义,JWT规范也给出了一些标准字段,比如

  • iss: 该JWT的签发者
  • sub: 该JWT所面向的用户
  • aud: 接收该JWT的一方
  • exp(expires): 什么时候过期,这里是一个Unix时间戳
  • iat(issued at): 在什么时候签发的
  • jti(JWT ID): 唯一的JWT ID

比如payload内容如下:

{
    "iss": "harley",
    "iat": 1500955950,
    "exp": 1500957987,
    "user_id": "7898",
    "user_role": "Admin"
}

base64加密后的结果为 eyJpc3MiOiAiaGFybGV5IiwiaWF0IjogMTUwMDk1NTk1MCwiZXhwIjogMTUwMDk1Nzk4NywidXNlcl9pZCI6ICI3ODk4IiwidXNlcl9yb2xlIjoiQWRtaW4ifQ

签名(signature)

签名部分保证了token的安全性,signature的生成过程依赖前两部分的内容。
将Header和payload连接在一起,得到

eyJ0eXAiOiAiSldUIiwiYWxnIjogIkhTMjU2In0.eyJpc3MiOiAiaGFybGV5IiwiaWF0IjogMTUwMDk1NTk1MCwiZXhwIjogMTUwMDk1Nzk4NywidXNlcl9pZCI6ICI3ODk4IiwidXNlcl9yb2xlIjoiQWRtaW4ifQ

将上面拼接完的字符串用HS256算法进行加密。在加密的时候,还需要提供一个密钥。假设密钥为secret,那么就可以得到我们加密后的内容b0998815569be8f4ca8518030c3d586cc5bdff12dd7ad0004a1c38fa735ce18a

加在后面得到完成JWT

JWT安全性

JWT最后的签名部分对Header和payload进行了加密,如果Header和payload被篡改,最后的signature必然是不一样的。 由于加密时的secret是保密的,篡改者无法得到正确的签名。

但同时要注意的是,由于header和payload部分并未加密,所以不能把敏感信息放入其中。

harleyliu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT Token存储在Cookie还是LocalStorage
cjl969911737的博客
07-28 8740
JWT 是将web 应用无状态化的一种方式。 1. 首先拿到JWT Token HTTP/1.1 POST /token Host: galaxies.com Content-Type: applic...
JSON Web Token
changhenshui1990的博客
08-14 273
一:JSON WEB TOKEN 是什么 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 二:应用场景 1.Authorization(授权):这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的...
jwt-demo token实战
12-06
jwt_token关于web项目的实战代码,绝对可用,导入eclipse中即可运行
JavaWebToken相关jar包
11-24
Java后台,生成和校验JavaWebToken时,需要用到此jar。
websocket里面添加Token
热门推荐
邹毅的专栏
09-29 8万+
websocket协议在握手阶段借用了HTTP的协议,但是在JavaScript websocketAPI中并没有修改请求头的方法。 var token='dcvuahsdnfajw12kjfasfsdf34' send发送参数 var ws = new WebSocket("ws://" + url + "/webSocketServer"); ws.onopen=function(...
Web QCTF-WrtieUp-2018
大方子
08-20 2486
========================================= 个人收获: 1.php是弱类型语言  xx==xx 或者xx===xx存在被绕过可能 2.python 和404   要想到Flask jinja injection(SSTI) 3.python序列化后的格式类似于: a:5:{s:4:"name";s:6:"张三";s:3:"age";s:2:"22...
jwt, json web token
while(True): print('adorable')
12-06 403
用于登录,session的替代品。
JSON Web Token (前端与后端对话密钥生成文件)
06-28
token 生成文件,用于前后端数据传输时发送的密钥(暗语)。 直接解压后引用该文件即可 -- 后端在收到第一次请求的时候调用 私有的(p开头的) -- 前端发来密钥的时候调用 公用的进行判断是否正确 你也可以自己...
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
详解JSON Web Token 入门教程
10-18
主要介绍了详解JSON Web Token 入门教程,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Json web token
05-10
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT被广泛用于认证和授权场景,...
JWT-JSON Web Token實作分享1
08-08
JSON Web Token 实现分享 JSON Web TokenJWT)是一种基于 token 的身份验证机制,它可以提供一种无状态、可扩展、安全的身份验证方式。下面将详细介绍 JWT 的实现和使用。 为什么需要 Web Token? 在服务器端...
Licode 信令 流程
Dawn9527的博客
03-30 4020
Step 1:获取erizoController 地址 send:https://192.168.12.66:3004/createTokenresponse:“eyJ0b2tlbklkIjoiNWFiZGYyYmMzNjNhNzhhZmYwNzhiYTZiIiwiaG9zdCI6IjE5Mi4xNjguMTIuNjY6ODA4MCIsInNlY3VyZSI6dHJ1ZSwic2lnbmF0dXJ...
网络传入安全jwts
weixin_30481087的博客
03-19 439
使用json web token 发表于Aug 13 2014 由来 做了这么长时间的web开发,从JAVA EE中的jsf,spring,hibernate框架,到spring web MVC,到用php框架thinkPHP,到现在的nodejs,我自己的看法是越来越喜欢干净整洁的web层,之前用jsf开发做view层的时候,用的primefaces做的界面显示,虽然prim...
spring websocket 接口 校验token问题
yhtppp的专栏
03-14 1万+
spring 集成websocket,接口校验token时,遇到个问题,记录一下; 1、前端JS跨域请求,携带cookie,校验token, Android手机端,有的内置浏览器,跨域请求,携带cookie失效,导致无法校验token; 浏览器同源策略: https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-ori...
基于Token认证的WebSocket连接
weixin_33937499的博客
10-31 1万+
概要 WebSocket作为一种支持浏览器与服务器全双工通信的协议,对于复杂的前端应用,在交互体验和性能的改进上,是一种非常合适的解决方案。随着WebSocket更多地应用于生产开发,安全也成为了必须要关注的问题。 关于安全有一个可能的误区是:如果用户通过了web应用的认证(登录了系统),建立的WebSocket连接,就也是经过认证的。实际上,这是两个完...
JWT token心得与使用实例
God Liao On The Way
06-20 6万+
本文你能学到什么?token的组成 token串的生成流程。 token在客户端与服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码JWT token的组成头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符
Json Web Token身份认证
william的博客
05-17 552
用户身份认证一般有5种方式 HTTP Basic authentication在发送请求时在HTTP头中加入authentication字段,将用Base64编码的用户名和密码作为值,每次发送请求的时候都要发送用户名和密码,实现比较简单。 Cookies向后台发送用户名和密码,在用户名和密码通过验证后,保存返回的Cookie作为用户已经登录的凭证,每次请求时附带这个Cookie Si...
基于Springboot的在线英语阅读平台的设计与实现论文
最新发布
07-16
传统方式管理信息存在诸多不足,如耗时较长、数据错误率高、错误数据更正困难以及数据检索繁琐费力。因此,通过在计算机上部署在线英语阅读分级平台软件,可以充分发挥其高效的信息处理能力,从而规范信息管理流程,使管理工作更加系统化和程序化。同时,该平台的有效应用还能助力管理人员准确快速地处理信息。 在开发工具的选择上,在线英语阅读分级平台经过慎重考虑,为便于开发实现,选用了IDEA作为开发工具,并采用Mysql作为数据库工具。以此为基础搭建开发环境,实现在线英语阅读分级平台的各项功能,包括管理员对用户和新闻公告的管理。 作为一款基于软件开发技术设计实现的应用系统,在线英语阅读分级平台在信息处理方面表现出色,无论是数据添加、数据维护和统计,还是数据查询等处理需求,该平台都能轻松应对。
json web token
05-16
JSON Web Token (JWT) 是一种用于在网络上安全地传输信息的开放标准。它是一种基于 JSON 格式的轻量级身份验证和授权机制,通常用于在客户端和服务器之间传递身份信息。JWT 包含了一些被称为声明的信息,这些声明...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值