jwt 介绍

最新推荐文章于 2024-07-12 16:55:56 发布
最新推荐文章于 2024-07-12 16:55:56 发布
阅读量1.4k 收藏 25
点赞数 38
分类专栏: 浏览器 interview 文章标签: jwt 前端 网络 身份验证 node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40147756/article/details/135250528
版权

目录

身份验证相关内容:
浏览器 cookie 的原理(详)
session 原理

1,jwt 的出现

浏览器 cookie 的原理(详)这篇文章中介绍了身份验证的步骤:

在这里插入图片描述

简单来说,如果身份验证通过 session 完成,那【出入证】就是一个 cookie 信息,内容是 sessionId。但还有其他的问题需要解决:

问题

随着前后端分离的发展,一个产品的终端可能不止是浏览器,还有桌面应用、智能家居等设备。

在这里插入图片描述
通过上图中可以看到:这些设备都会和同一个服务器通信,一般都是 http 协议。

通常不同的产品线会有自己的服务器,产品内部数据一般和自己的服务器交互。但中心服务器仍有存在的必要,因为产品之间总会有数据需要共享。

这个中心服务器至少承担着认证和授权的功能,比如登录:各种设备发送消息到中心服务器,中心服务器响应一个【出入证】(令牌信息)。

问题来了:其他的设备还能使用 cookie 传递令牌信息吗?

虽然 cookie 简单来说就是一个消息头,但浏览器有完善的管理机制:比如自动保存和自动发送,还有相应的安全机制等。但其他设备上的 cookie 机制就需要手动处理了。

jwt 的出现就是为了解决这个问题。

2,jwt 介绍

全称为 json web token,目的:为不同的终端设备提供统一的、安全的令牌格式。

在这里插入图片描述
令牌信息在传输时就是一个字符串而已,而 jwt 是令牌格式。这个字符串可以简单理解为:对一些特殊信息做了编码和加密,来达到身份验证的目的。

所以对这个字符串来说,

  • 在客户端的存储位置没有限制,放到 cookielocalStorage、pc 文件、手机文件中都可以。
  • 传输方式也没有限制。一般来说,会使用消息头来传输它:

比如登录成功后,服务器可以给客户端响应一个 jwt令牌:

POST /api/login HTTP/1.1 200 OK
...
set-cookie: token=jwt令牌
authorization: bearer jwt令牌
...

{..., token:jwt令牌}

它可以出现在响应的任何位置,或是同时出现在多个位置。
以上面的响应为例,就是为了充分利用浏览器的 cookie 机制,同时为了照顾其他设备,所以也出现在了响应头 authorization 和响应体中。

虽然没有明确的要求应该如何附带到请求中,但通常都会如下的格式(OAuth2附带 token 的一种规范格式):

GET /api/resources HTTP/1.1
...
authorization: bearer jwt令牌
...

整体交互流程:

在这里插入图片描述

3,jwt 令牌的组成

为了保证令牌的安全性,jwt 令牌由3个部分组成:

  1. header,头部,记录令牌的类型和签名算法。
  2. payload,负载,记录主体信息,比如用户信息。
  3. signature,签名,按头部的签名算法对整个令牌签名,作用:保证令牌不被伪造和篡改。

完整格式为 header.payload.signature。举例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb28iOiJteW5hbWUiLCJpYXQiOiIxNzAzNzc2NjM3In0._UuiFQ-rF8DZdheGE79LA46nfACrn2IiFPckUay7lQI

3.1,header

格式为 json 对象:

{
  "alg":"HS256",
  "typ":"JWT"
}
  1. alg 签名算法,默认是 HMAC SHA256 写成 HS256(对称加密算法);也可以使用 RS256(非对称加密算法)。
  2. typ 令牌类型,固定为 JWT

接着将 json 对象使用 base64 url 编码。

base64 url 不是加密算法,而是一种编码格式,它是在 base64 编码的基础上对 =+/ 这3个字符做特殊处理(=被省略,+替换为 -/ 替换为 _),因为 jwt 可能也会在 url 中传输。
base64 是使用64个可打印字符来表示一个二进制数据。

nodejs 需要借助第三方库实现,比如 base64url

const base64url = require("base64url");

const a = base64url.encode(
  JSON.stringify({
    alg: "HS256",
    typ: "JWT",
  })
);
console.log(a); // eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

const b = base64url.decode("eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9");
console.log(b);

3.2,payload

jwt 的主体信息,也是一个 json 对象,包含以下内容:

{
  "ss""发行者", // 可以是公司名字,也可以是服务名称
  "iat""发布时间",
  "exp""到期时间",
  "sub""主题", // 该 jwt 的作用
  "aud""受众", // 发放给哪个终端的,可以是终端类型,也可以是用户名称
  "nbf""在此之前不可用", // 一个时间点,在该时间点到达之前,这个令牌是不可用的
  "jti""JWT ID" // jwt的唯一编号,主要是为了防止重放攻击(在某些场景下,用户使用之前的令牌发送到服务器,被服务器正确的识别,从而导致不可预期的行为发生)
}

以上内容只是一个规范,都是可选的。设置了也需要之后验证 jwt 令牌时手动处理才能发挥作用。

而我们可以把需要的信息加进去,比如用户 id 等等。比如:

{
  "foo": "myname", // 自定义信息
  "iat": "1703776637" // 规范的信息
}

同样也需要使用 base64url 编码:

// base64url 编码
const base64url = require("base64url");
const a = base64url.encode(
  JSON.stringify({
    foo: "myname",
    iat: "1703776637",
  })
);
// eyJmb28iOiJteW5hbWUiLCJpYXQiOiIxNzAzNzc2NjM3In0

注意,浏览器提供的 window.btoa 函数只是 base64 编码,并不是base64 url 编码!不会对 =+/ 这3个字符做特殊处理。

window.btoa(JSON.stringify({
  "foo":"myname",
  "iat":"1703776637"
}))
// 'eyJmb28iOiJteW5hbWUiLCJpYXQiOiIxNzAzNzc2NjM3In0='

// 但都可被正常解码,下面2个结果相同
window.atob('eyJmb28iOiJteW5hbWUiLCJpYXQiOiIxNzAzNzc2NjM3In0=')
window.atob('eyJmb28iOiJteW5hbWUiLCJpYXQiOiIxNzAzNzc2NjM3In0')

header 和 payload 都算是明文传输的。所以不要将敏感信息放到 payload 中

3.3,signature

这部分保证了 jwt 不会被篡改或伪造。

生成步骤:将 header 和 payload 的编码结果,使用 header 中指定的加密算法进行加密。

// 上面 header 的编码结果 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
// 上面 payload 的编码结果 eyJmb28iOiJteW5hbWUiLCJpYXQiOiIxNzAzNzc2NjM3In0
const crypto = require("crypto");

function HS256(header, playload) {
  const hmac = crypto.createHmac("sha256", "mykey"); // 创建加密对象,且指定秘钥为 mykey
  hmac.update(`${header}.${playload}`); // 将数据放入加密对象
  return hmac.digest("base64url"); // 编码为 base64url 
}

HS256("eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9", "eyJmb28iOiJteW5hbWUiLCJpYXQiOiIxNzAzNzc2NjM3In0")
// _UuiFQ-rF8DZdheGE79LA46nfACrn2IiFPckUay7lQI

最终将这3部分拼接在一起,得到完整的 jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb28iOiJteW5hbWUiLCJpYXQiOiIxNzAzNzc2NjM3In0._UuiFQ-rF8DZdheGE79LA46nfACrn2IiFPckUay7lQI

node-hmac.digest 参考

4,验证

因为签名使用的秘钥会保存在服务器,所以客户端无法伪造签名来篡改 jwt。

服务器拿到客户端回传的 jwt 之后,除了验证相同之外(比如payload信息被篡改),还需要验证是否过期,受众是否还满足要求等。

最终整体验证流程:

在这里插入图片描述

5,总结

  • jwt本质上是一种令牌格式。它和终端设备无关,同样和服务器无关,甚至与如何传输无关,它只是规范了令牌的格式而已。
  • jwt由三部分组成:header、payload、signature,主体信息在payload。
  • jwt难以被篡改和伪造。这是因为有第三部分的签名存在。所以在秘钥不泄露的前提下,一个验证通过的 jwt token 是值得被信任的。

以上。

下雪天的夏风
关注
  • 38
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Jwt 介绍
weixin_65565181的博客
09-17 110
Testpublic void test1() {// 生成JWT}System.out.println("令牌签发时间:" + sdf.format(d1));System.out.println("令牌过期时间:" + sdf.format(d2));}@Testpublic void test2() {// 解析oldJwt}
Jwt介绍
m0_67477525的博客
09-17 886
*** JWT验证过滤器:配置顺序 CorsFilte->JwtUtilsr-->StrutsPrepareAndExecuteFilter**//*** JWT_WEB_TTL:WEBAPP应用中token的有效时间,默认30分钟*//*** 将jwt令牌保存到header中的key*/// 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。// JWT密匙// 使用JWT密匙生成的加密key。
10-前端显示当前用户-jwt查询接口
minihuabei的博客
08-20 386
2.2.1 需求分析 认证服务对外提供jwt查询接口,流程如下: 1、客户端携带cookie中的身份令牌请求认证服务获取jwt 2、认证服务根据身份令牌从redis中查询jwt令牌并返回给客户端。 2.2.2 API 在认证模块定义 jwt查询接口: @Api(value = "jwt查询接口",description = "客户端查询jwt令牌内容") public interface AuthControllerApi { @ApiOperation("查询userjwt令牌") public JwtR
JWT介绍及演示
qq_58683895的博客
12-08 406
cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。
什么是JWTJWT全称是(Json Web Token)
Romantic丶的博客
04-22 985
Jwt是一种认证协议,常见的用户名、密码登录去请求接口不安全,所以就有了它,就首次或者过期了,才会要求输入用户名密码,之后会对信息加密,并产生一个token(令牌),便于下次访问,服务期内Api资源;私钥加密,应用端公钥解密token。
jwt介绍
daiyu000的博客
04-26 176
session会话保持 客户端浏览器将用户名密码发送到服务器 服务器将用户信息存储在session中,生成一个sessionid 然后服务器将sessionid返回给浏览器,将session存储到cookie 下次请求时携带该cookie发送给服务器 服务器根据sessionid获取到用户信息登陆成功 session存在的问题: 1.占用内存 2.sessionid存储在cookie不安全容易产生csrf问题 3.限制了服务器的扩展 jwt token会话保持 客.
【网页会话技术jwt在springboot实现】
武帝为此的博客
12-01 470
JWT是一种紧凑且自包含的方式,用于在各方之间安全地传输信息。它可以包含用户的身份信息以及其他相关信息,如权限和有效期。JWT的结构通常由三部分组成:Header(头部)、Payload(负载)和Signature(签名)。Header(头部)包含了令牌的元数据,如令牌的类型和使用的签名算法。Payload(负载)包含了实际的数据,如用户ID、用户名和过期时间。Signature(签名)是对Header和Payload的签名,用于验证令牌的真实性和完整性。
[JavaWeb]——JWT令牌技术,如何从获取JWT令牌
Panci_的博客
11-03 916
JWT(JSONWebToken),用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。其实就是通过加密得来的一串字符串。这就是经过编码加密得到的一个JWT令牌,就是一串字符串头部(Header):1.记录令牌的类型 2.加密算法(例如HMAC、RSA等)。负载(Payload):携带自定义信息、默认信息,例如{"id", 1, "username", "name"}
JWT介绍和实践,带demo
03-03
JSON Web Token (JWT) 是一种开放标准(RFC 7519),用于在网络应用环境间安全地传递声明。JWT的设计目标是紧凑且安全,尤其适用于分布式站点的单点登录(SSO)场景。JWT令牌包含了关于认证用户的信息,可以在身份...
17 JWT介绍.mp4
05-15
17 JWT介绍.mp4
jwt简单的介绍和了解
10-27
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT主要应用于身份验证以及授权...
SpringBoot整合JWT
10-09
在本篇文章中,我们将详细介绍如何使用 SpringBoot 和 JWT(JSON Web Token)来实现认证机制。JWT是一种基于 JSON 的令牌,用于认证和授权。下面我们将详细解说 JWT 的组成、使用方法以及与 SpringBoot 的整合。 一...
JWT帮助文档
06-13
Jwt 帮助文档,有详情的介绍,如何使用jwt,欢迎大家下载
区分Cookie&Session&Token&JWT
qq_42324085的博客
04-29 147
申明:本博客仅作为本人的学习笔记,摘抄转载自: 还分不清 Cookie、Session、Token、JWT? - 知乎 认证(Authentication) 用于验证当前用户的身份,证明“你是你自己”(武林客栈的姬无命doge)。应用:每天上下班通过指纹打卡,当你的指纹与系统录入的指纹匹配,就当打卡成功。 互联网中的认证: 用户名密码登录 邮箱发送登陆链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 授权(Authoriz...
网站登录JWT的实现
weixin_34204057的博客
04-28 706
1、关于jwt JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 2、jwt的构成 第一部分我们称它为头部(header),第二部分我们称其为载荷(payload),第三部分是签证(signature)。 ...
JWT在线解码网址和结构介绍
青及笄经验分享
11-02 9243
JWT在线解码网址和结构介绍
JWT学习(ctfshow web入门jwt
qq_45766062的博客
11-20 1256
jwt介绍 ctfshow web入门jwt web345 工具:burp suite,jwt在线解码工具链接 分析:首先看到提示/admin 访问抓包,看到auth,实际上就是jwt: 然后,用在线工具解码:
理解JWT(JSON Web Token)认证及python实践
weixin_34258078的博客
07-23 1192
最近想做个小程序,需要用到授权认证流程。以前项目都是用的 OAuth2 认证,但是Sanic 使用OAuth2 不太方便,就想试一下 JWT 的认证方式。这一篇主要内容是 JWT 的认证原理,以及python 使用 jwt 认识的实践。 几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth 在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提...
OpenSNN推文:近期优质博客推荐汇总
最新发布
opensnn的博客
07-12 321
国内个人博客站点众多,涵盖了技术、生活、艺术等多个领域。
JWT Token验证技术介绍
03-03
JWT(JSON Web Token)是一种用于在网络应用程序之间安全传输信息的开放标准。它以 JSON 为基础并使用数字签名或消息认证码(MAC)来验证信息的完整性和真实性。 JWT 由三个部分组成:头部、载荷和签名。 头部包含 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

下雪天的夏风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值