JWT HMACSHA256加密出来的数据为什么有下划线和-

最新推荐文章于 2024-07-31 09:36:11 发布
最新推荐文章于 2024-07-31 09:36:11 发布
阅读量241 收藏 2
点赞数 7
分类专栏: 技术分享 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41925187/article/details/140685404
版权

在JWT(JSON Web Token)中,HMACSHA256加密的结果经过了Base64编码处理,而Base64编码的输出会根据Base64 URL安全规范进行进一步处理。通常的Base64编码结果中可能包含+和/字符,这些字符在URL中可能会导致问题。因此,Base64 URL安全编码会将+替换为-,/替换为_,以确保生成的JWT可以安全地包含在URL中。

下面是一个简要的过程说明:
1. HMACSHA256加密:

  • 原始数据使用HMACSHA256算法进行加密,得到一个二进制的哈希值。

2. Base64编码:

  • 将二进制哈希值进行Base64编码。标准的Base64编码可能会产生+和/字符。

3. Base64 URL安全编码:

  • 将Base64编码的字符串进行URL安全处理,即将+替换为-,/替换为_,并去掉尾部可能存在的=填充字符。

因此,最终JWT中的签名部分会包含-和_字符,这就是为什么你会在JWT中看到这些字符的原因。

示例
假设你有一个JWT,其签名部分是通过HMACSHA256算法生成的。这个签名在编码之前是byte[]

在进行Base64编码之后(未URL安全处理前),结果可能是:

DFdsMFu/VzPkUUS1eu/Kwyzvc6vSQ+x/HI3wEut72cU=

进行Base64 URL安全处理后,结果将是:

DFdsMFu_VzPkUUS1eu_Kwyzvc6vSQ-x_HI3wEut72cU

可以看到,+变成了-,而/变成了_,尾部的=被去掉了。

总结
JWT中的下划线_和横线-是由于Base64 URL安全编码规范而产生的,这是为了确保JWT在URL中使用时不会出错。

xy7053
关注
专栏目录
JWTJWT+HA256加密 Token验证
weixin_30457465的博客
03-25 1177
目录 Token验证 传统的Token验证 JWT+HA256验证 回到顶部 Token验证   最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token ...
HmacSHA256加密算法实现
Jack.Zhai的博客
01-11 1063
在许多Api调用的时候都会有对请求字符串拼接并生成签名的要求,下面整理了几个常用编程语言的实现方法。
【项目实战】HS256HMAC 加密算法
最新发布
本本本添哥
07-31 1000
HMAC,是一种基于密钥和哈希函数的消息认证码算法。HMAC,是一种使用密钥的散列算法。HMAC,用于验证数据的完整性和验证发送者的身份。HMAC,结合了密钥和消息内容,生成一个固定长度的认证码(摘要)。HMAC,结合了哈希函数(如SHA-256)和密钥,以产生一个固定长度的认证码(摘要)这个认证码(摘要)可以用于验证消息的完整性和确认消息是否由拥有密钥的发送方发送。这个认证码(摘要)用于验证消息的完整性和发送者的身份。
php base64编码地址栏含有下划线解决
qinshi501的博客
12-26 2080
php传递参数如果是一个url,就需要转化下传输,使用php的bs64编码来进行编码,发现编码后的数据带有下划线,浏览器不识别 只能进行转化改版bs64转码解码方法 。 首先我们看下bs64的编码方法 staticconstcharbase64_table[]={ 'A','B','C','D','E','F','G','H','I','J','K',...
JWT加密详解
qq_37647812的博客
10-07 4077
JWT采用的加密方式是非常安全的,我们可以使用JWT的payload部分加密来进行鉴权,并且这种方式相对于传统的cookie与session认证方式更为安全。HS256使用HMAC 算法,RS256使用RSA 证书,且输入的 jwk 和 x5c 可以使用不同的公钥证书。2、CSRF攻击,攻击者可以通过伪造一个请求,再把假的JWT传过去,这时后台就会认为该用户已经登录,攻击者就可以做一些非法的事情。2、无状态:JWT本身是无状态的,每个请求的Token都是独立的,减少了Server的开销。
HMAC-SHA256
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
09-28 2万+
散列函数它被认为是一种单向函数——根据函数输出的结果,极难回推输入的数据。散列函数把消息数据打乱混合,压缩成散列值(摘要),使得数据量变小。SHA-256由美国国家安全局研发,是SHA-2下细分出的一种算法,属于SHA算法之一,是SHA-1的后继者。SHA-256(Secure Hash Algorithm 256,安全散列算法256)是散列函数(或哈希函数)的一种,对于任意长度的消息,SHA256都会产生一个256-bit(32-byte数组)的哈希值,称作消息摘要。
jwt hmacsha256加密
10-28
HMAC SHA256是一种对称加密算法,它使用相同的密钥进行加密和解密。在JWT中,密钥被称为“Secret”,它是服务端存储的一个秘密字符串。在签名过程中,先将头部和载荷使用Base64编码后拼接成一个字符串,然后使用HMAC...
微信小程序:HMAC-SHA256加密算法
12-20
用于微信小程序中所需要的SHA256加密,放在小程序里面使用,不用改动
JWT的RS256和HS256签名算法Demo.zip
03-23
- 在JWT中,HS256算法使用服务端的共享秘密作为密钥,将头部(Header)、负载(Payload)和这个密钥一起通过SHA-256进行哈希运算,生成签名(Signature)。 - 这种方法的安全性依赖于共享秘密的安全存储,如果密钥...
lua-resty-jwtJWT为伟大的Openresty
02-03
标题"lua-resty-jwtJWT为伟大的Openresty"表明了本文将探讨如何使用lua-resty-jwt库在Openresty(一个基于Nginx和Lua的高性能Web平台)中处理JSON Web Tokens (JWT)。JWT是一种安全的身份验证和授权机制,常用于...
Base64编码及其作用
Thinking_CT的博客
08-13 430
Base64编码的作用:由于某些系统中只能使用ASCII字符。Base64就是用来将非ASCII字符的数据转换成ASCII字符的一种方法。它使用下面表中所使用的字符与编码。 而且base64特别适合在http,mime协议下快速传输数据。 base64其实不是安全领域下的加密解密算法。虽然有时候经常看到所谓的base64加密解密。其实base64只能算是一个编码算法,对数据内容进行编码
使用JWT创建Token和验证Token
qq_38966550的博客
10-27 431
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
JWT极简版
2301_78443418的博客
01-02 634
/开始验证,如果验证失败会报错,建议用try catch环绕。return JWT.create().withHeader(objectObjectHashMap)//加头。.withClaim("id",id)//加内容。System.out.println("jwt验证");//进行加密,创建jwt。//验证jwt是否合法。
JWT 详解
weixin_59842401的博客
05-27 272
导入依赖生产JWT的token运行生产JWT,尽管我们的payload信息没有变动。
JWT总结
m0_62422842的博客
05-25 4200
JWT是什么 全称Json Web Token。是跨域身份认证的一种方式。JWT的声明一般是用来身份提供者与服务提供者之间传递被认证的用户身份信息。便于从服务器获取到资源。它也可以用来记录用户信息。与token不同的是,它不用查询数据库,只要在服务端使用密钥完成校验就行。 JWT的原理 服务器认证以后,就会生成一个json对象,并发回给用户。例如 { "姓名": "张三", "角色": "管理员", "到期时间": "2018年7月1日0点0分" } 之后,客户端再与服务端通讯的时候
JWT 进阶 -- JJWT
热门推荐
小浩子的博客
07-28 4万+
jwt是什么?JWTs是JSON对象的编码表示。JSON对象由零或多个名称/值对组成,其中名称为字符串,值为任意JSON值。JWT有助于在clear(例如在URL中)发送这样的信息,可以被信任为不可读(即加密的)、不可修改的(即签名)和URL - safe(即Base64编码的)。jwt的组成 Header: 标题包含了令牌的元数据,并且在最小包含签名和/或加密算法的类型 Claims: Claim
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值