简单了解JWT

最新推荐文章于 2023-02-25 10:45:27 发布
最新推荐文章于 2023-02-25 10:45:27 发布
阅读量391 收藏 1
点赞数 1
分类专栏: java 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42524288/article/details/119280019
版权

简单了解JWT

JWT官方文档:https://jwt.io/introduction

1 、JWT官方定义

JWT(Json Web Token)翻译过来是:JSON网络令牌。

它是一个开放标准 ( RFC 7519 ),它定义了一种紧凑且自包含的方式,用于在各方之间作为 JSON 对象安全地传输信息。该信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用秘密(使用HMAC算法)或使用RSAECDSA的公钥/私钥对进行签名

尽管 JWT 可以加密以在各方之间提供保密,但我们将重点关注签名令牌。签名令牌可以验证其中包含的声明的完整性,而加密令牌则对其他方隐藏这些声明。

紧凑:尺寸小,用越少的表示信息。

自包含:有效载荷(Playload)包含有关用户的所有必需信息。

2、什么时候使用JWT

  • 授权:最常用。用户登录后,每个后续请求都将包含 JWT,允许用户访问该令牌允许的路由、服务和资源。特点是开销小,轻松跨域。
  • 信息交换:JTW是一种在各方之间安全传输信息的好方法。因为 JWT 可以被签名——例如,使用公钥/私钥对——你可以确定发件人就是他们所说的那样。此外,由于使用标头和有效负载计算签名,因此您还可以验证内容是否未被篡改。

3、JWT结构

在其紧凑形式中,JSON Web Tokens 由用点 ( .)分隔的三个部分组成,它们是:

  • Header 标题
  • Payload 有效载荷
  • signature 签名

因此,JWT 通常如下所示。

xxxxx.yyyyy.zzzzz

JWT第一部分:Header

Header 通常由两部分组成:令牌的类型,即 JWT,以及正在使用的签名算法,例如 HMAC SHA256 或 RSA。
例如:

{
  "alg": "HS256",
  "typ": "JWT"
}

然后,这个 JSON 被Base64Url编码以形成 JWT 的第一部分。

**JWT第二部分:Payload **

令牌的第二部分是负载,其中包含声明。声明是关于实体(通常是用户)和附加数据的声明。共有三种类型的声明:注册声明公共声明和私人声明。

  • 注册声明:这些是一组预定义的声明,这些声明不是强制性的,而是推荐的,以提供一组有用的、可互操作的声明。其中一些是: iss(发行者)、 exp(到期时间)、 sub(主题)、 aud(受众)

    请注意,声明名称只有三个字符,因为 JWT 是紧凑的。

  • 公共声明:这些可以由使用 JWT 的人随意定义。但是为了避免冲突,它们应该在IANA JSON Web Token Registry中定义或定义为包含抗冲突命名空间的 URI。

  • 私人权利:这些都是使用它们同意并既不是当事人之间建立共享信息的自定义声明注册公众的权利要求。

一个示例有效载荷可能是:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后对有效负载进行Base64Url编码以形成 JSON Web 令牌的第二部分。

请注意,对于已签名的令牌,此信息虽然受到防篡改保护,但任何人都可以读取。除非加密,否则不要将机密信息放在 JWT 的负载或标头元素中。

所以不要将重要的信息,比如密码,放到payload中。

**JWT第三部分:Signature **

要创建签名部分,您必须获取编码的标头、编码的有效载荷、秘密、标头中指定的算法,并对其进行签名。

例如,如果要使用 HMAC SHA256 算法,则签名将通过以下方式创建:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

签名用于验证消息在此过程中没有更改,并且在使用私钥签名的令牌的情况下,它还可以验证 JWT 的发送者是它所说的那个人。

4、一个JWT

输出是三个由点分隔的 Base64-URL 字符串,可以在 HTML 和 HTTP 环境中轻松传递,同时与基于 XML 的标准(如 SAML)相比更加紧凑。

下面显示了一个 JWT,它对前面的标头和有效负载进行了编码,并使用机密进行了签名。

在这里插入图片描述

5、JWT是怎么工作的

大白话,就是说,用户通过账号密码进行登录,服务器验证成功后,生成一个token令牌返回,用户保存好token,在token有效期间,访问时,将token放到请求头中,服务器进行验证,确保能否访问。

在身份验证中,当用户使用其凭据成功登录时,将返回 JSON Web Token。由于令牌是凭证,因此必须非常小心以防止出现安全问题。通常,您不应将令牌保留的时间超过所需的时间。

关于存储令牌(Token)的方式,必须考虑安全因素。

每当用户想要访问受保护的路由或资源时,用户代理应该发送 JWT,通常在使用Bearer模式的Authorization标头中。标题的内容应如下所示:

Authorization: Bearer <token>

在某些情况下,这可以是无状态授权机制。服务器的受保护路由将检查Authorization标头中的有效 JWT ,如果存在,则用户将被允许访问受保护的资源。如果 JWT 包含必要的数据,则可能会减少为某些操作查询数据库的需要,尽管情况并非总是如此。

如果令牌在Authorization标头中发送,跨源资源共享 (CORS) 不会成为问题,因为它不使用 cookie。

请注意,使用签名令牌,令牌中包含的所有信息都会暴露给用户或其他方,即使他们无法更改它。这意味着您不应将秘密信息放入令牌中。

好奇的mao
关注
专栏目录
java-jwt-3.1.0.jar
04-28
java-jwt-3.1.0.jar
什么是JWT?【官方文档翻译】
暮色年华的博客
08-15 573
JWT介绍
JWT 简介(JSON Web Token)【译】
diandiexuan6182的博客
06-15 175
前言 最近在做api鉴权的时候了解到了jwt这个标准协议,非常适合用来做鉴权介质,刚好在jwt.io 网站上就有对jwt的权威简介,这里对原文使用浏览器进行机翻,再人工修改了一些翻译错误并进行适当精简,留作日后回顾。 什么是JSON Web Token? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象...
JWT 中文官方文档
qq_35040959的博客
01-11 3314
JWT官方文档
JWT官网中文简介
weixin_41905047的博客
02-25 888
jwt全称是JSON WEB TOKEN:JSON Web TOKEN(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输JSON对象信息。此信息可以被验证和信任,因为它是数字签名的。JWT可以使用秘钥(如:使用HMAC算法)或公钥/私钥对(如:使用RSA或ECDSA)进行签名。
jwt简单的介绍和了解
10-27
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT主要应用于身份验证以及授权...
简单jwt实现
08-07
JWT(JSON Web Token)是一种轻量级的身份验证和授权机制,广泛应用于Web应用和...通过以上讲解,你应已对PHP环境下的JWT实现有了基本了解。实践中,根据项目的具体需求,合理运用JWT可以有效提升系统的安全性与效率。
JWT简单了解与使用
HBBBOY的博客
10-16 1849
快速了解JWT怎么使用,之后便能利用它制作属于自己的单点登录了
JWT简单了解
minion_banana的博客
04-25 1139
JWT:JSON Web Token 最近看一个项目,用到了JWT做身份验证,在此做一些笔记以及记录,以防止将来忘记,如有错误请指正。 一、JWT原理 JWT的原理是,服务器认证以后生成一个JSON对象,发回给用户,像下面: { "姓名": "张三", "角色": "管理员", "到期时间": "2019年7月1日0点0分" } 以后用户和服务端通信时,...
CatoProject:Cato项目。一个简单jwt身份验证应用程序
03-19
Cato项目是一个基于C#开发的简单JWT(JSON Web Token...通过分析CatoProject,开发者可以学习到如何在C#和ASP.NET Core环境中实施安全的身份验证机制,了解JWT的生成、存储和验证过程,同时加深对Web应用安全性的理解。
JWT快速入门
09-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。
JWT官方安装方法及使用参考
小乔流水仁家的博客
02-22 6021
  一、安装 通过composer安装 运行以下命令以引入最新版本: composer require tymon/jwt-auth 添加服务提供商 将服务提供程序添加到配置文件中的providers数组,config/app.php如下所示: 'providers' =&gt; [ ... Tymon\JWTAuth\Providers\LaravelSe...
JWT介绍
weixin_44195615的博客
06-01 2391
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),该token被设计为紧凑且安全的, 特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息, 以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT官网:https://jwt.io/ 一、JWT的构成 header 头部 payl.
JWT篇1:JWT基础知识
u013089490的博客
12-06 1565
1、JWT简介    JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:https://jwt.io。  GitHub上jwt的java客户端:https://github.com/jwtk/jjwt。 【JWT的执行流程】 2、JWT的数据格式 一个jwt实际上由三部分组成,分别是:头部Heade...
php jwt payload,对于JWT简单理解(php)
weixin_42127754的博客
03-10 1081
JWT(Json Web Token),其实就是一种token设计规范,由头部(Header)、载荷(Payload)、签名(Signatrue)组成。一:Header通常由两部分组成:令牌的类型(即JWT)和正在使用的签名算法(如HMAC SHA256)$header = {"alg": "HS256","typ": "JWT"}使用base64_encode编码json,得到的则是JWT的he...
Java - JWT
A_bad_horse的专栏
01-02 464
Java - JWT
JWT相关文档
Demon_HL的博客
05-08 611
JWT相关文档
JWT(Java Web Token)的介绍
lrd15521148795的博客
04-05 209
JWT(Java Web Token)的介绍 Authorization (授权) :广泛的授权:单点登录开销小。用户登录之后,后续的每个请求都包含jwt,允许用户访问该令牌允许的路由、服务和资源, Information Exchange (信息交换) : 对于安全的在各方之间传输信息而言,JSON Web Tokens无疑是一种很好的方式。因为JWT可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。另外,由于签名是使用头和有效负载计算的,您还可以验证内容没有被篡改。 1.传统的Se
JWT(json web token)认证实现【Playload 存储自定义对象】
iOS逆向与安全
12-09 1369
会将空转为字符串“null”生成jwt:sign(
furion jwt
最新发布
10-20
Furion JWT是一个基于Furion框架的JWT认证授权组件,它提供了一种简单的方式来实现基于JWT的身份验证和授权。在Furion JWT中,用户登录认证采用的是JWT访问令牌,令牌的加密验证采用的非对称RSA加密算法。整个项目采用顶级域名和二级域名访问,统一到nginx服务器进行处理,一级域名直接访问静态网站前端,api打头二级域名则访问后端API接口。如果你想了解更多关于Furion JWT的信息,可以参考引用中提供的技术支持和引用中的项目地址。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值