单点登录—什么是JWT

最新推荐文章于 2023-12-24 19:20:16 发布
最新推荐文章于 2023-12-24 19:20:16 发布
阅读量407 收藏
点赞数
分类专栏: java 文章标签: 微服务架构 单点登录 jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312020/article/details/102799994
版权

单点登录—什么是JWT

JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。

随着微服务架构的出现,单体应用的弊端日渐暴露,而微服务应用带来的常见问题之一就是跨域请求。解决该问题的技术也有很多,其中最为突出,应用最广的就是jwt,该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。

JWT结构

JSON Web令牌以紧凑的形式由三部分组成,这些部分由点(.)分隔,分别是:

  • 标头
  • 有效载荷
  • 签名

因此,JWT通常如下所示。

xxxxx.yyyyy.zzzzz

标头

标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如HMAC SHA256或RSA。

例如:

{
  "alg": "HS256",
  "typ": "JWT"
}

然后,此JSON被Base64Url编码以形成JWT的第一部分。

有效载荷

载荷就是存放有效信息的地方,包含三部分

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

  1. 标准中注册的声明 :

    iss: jwt签发者
    sub: jwt所面向的用户
    aud: 接收jwt的一方
    exp: jwt的过期时间,这个过期时间必须要大于签发时间
    nbf: 定义在什么时间之前,该jwt都是不可用的.
    iat: jwt的签发时间
    jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

  2. 公共的声明

    公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密

  3. 私有的声明

    私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

有效负载示例:

{
  "name": "Darren",
  "admin": true
}

然后,对有效负载进行Base64Url编码,以形成JSON Web令牌的第二部分。

请注意,对于已签名的令牌,此信息尽管可以防止篡改,但任何人都可以读取。除非将其加密,否则请勿将机密信息放入JWT的有效负载或报头元素中。

签名

要创建签名部分,您必须获取编码的标头,编码的有效载荷,标头中指定的算法,并对其进行签名。

例如,如果要使用HMAC SHA256算法,则将通过以下方式创建签名:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

签名用于验证消息在整个过程中没有更改,并且对于使用私钥进行签名的令牌,它还可以验证JWT的发送者是它所说的真实身份。

下图显示了一个JWT,它已对先前的标头和有效负载进行了编码,并用一个秘密进行了签名。
在这里插入图片描述
【参考】

https://www.jianshu.com/p/9010fb0d5341

https://jwt.io/#debugger

Mr.Darren
关注
专栏目录
单点登录jwt
不会英语的程序员不是好开拓者
04-24 825
单点登录     单点登录就是指在多系统应用中登录一个系统,便可在其他系统中得到授权而无需要再次登录。而在授权的过程中需要用到JWT在用户和服务器之间传递安全而可靠的信息。 什么是JWT      Json Web Token,是一个非常轻巧的规范,用来在用户和服务器之间传递安全可靠的信息。 适用场景      JWT适用于向web应用传递一些非敏感的信息,例如:加好友、下订
JWT 单点登录(简介)
专注基础架构领域
05-25 999
首先介绍下JWT,可参考官网https://jwt.io/introduction/ 什么是JSON Web Token(JWT)? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 虽然JWT可以加密以在各方之间提供保密,但只将专注于签名令牌。签名令牌可以验证其中包含的声明的完整
JWT实现的单点登录系统Demo
02-01
基于JWT实现的单点登录系统,使用idea开发的,可以供学习参考,有什么问题可以咨询
jwt单点登录
m0_61682705的博客
11-20 1579
在我们日常开发中登录是每个系统都要做的,对于单点登录是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。开一下传统登录单点登录:通俗讲:用户登录一次,就可已访问系统里的其他子系统。
JWT单点登录
xiaos_的博客
06-15 166
=JWT的使用===== 6、什么是无状态登录? 就是服务器不存登录的状态和数据,每次访问后台的过程中都需要把密码等用户数据全部校验一遍,校验成功才算登录。 这种token认证的有什么好处? 无状态登录的好处是,数据不需要在服务端session或redis中存储,因为Token 自身包含了所有登录用户的信息,每次访问只需要调用解密验证下就可以了,省去了服务器压力,增快了性能。 7、什么是jwt? ...
详解使用JWT实现单点登录(完全跨域方案)
10-16
JSON Web Token(JWT)是一种流行的轻量级身份验证和授权机制,常用于实现单点登录(Single Sign-On, SSO)系统,特别是在完全跨域的场景下。JWT允许用户在多个相关应用或服务之间共享认证信息,而无需多次登录。...
Spring Security基于JWT实现SSO单点登录详解
08-25
Spring Security 基于 JWT 实现 SSO 单点登录详解 基于 Spring Security 框架和 JWT(JSON Web Token)技术,可以实现 SSO(Single Sign-On)单点登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
单点登录(SSO)与JWT
热门推荐
zhang_java_11的博客
07-30 1万+
一、 背景知识 什么是SSO 单点登录(Single sign On)说就是:一次登录后可免登陆访问其他的可信平台。比如我们登录淘宝网后,再打开天猫首页可以发现已经是登录状态了。SSO 是一种比较流行的服务于企业业务整合的一种解决方案。SSO 这个概念已经出现很久很久了,目前各种平台都有非常成熟的实现,比如OpenSSO,OpenAM,Kerberos,CAS等 Authentication和Authorization的区别: Authentication:用户认证,指的是验证用户的身份,例如你希望以小A
基于JWT实现SSO单点登录流程图解
08-18
主要介绍了基于JWT实现SSO单点登录流程图解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
jwt登录
huing的博客
09-02 361
这部分是对前两部分进行base64编码在进行加密,这个加密的方式使用的是jwt的头部声明中的加密方式,在加上一个密码(secret)组成的,secret 通常是一个随机的字符串,这个 secret是服务器特有的,不能够让其他人知道。是由用户以用户名、密码登录,服务端验证后,会生成一个 token,返回给客户端,客户端在下次访问的过程中携带这个 token,服务端责每次验证这个token。这一部分是jwt的主体部分,这一部分也是json对象,可以包含需要传递的数据。
JWT——概念、认证流程、结构、使用JWT
Guizy
08-12 4533
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
jwt,token的单点登录系统
最新发布
Li2992673708的博客
12-24 310
作为⼀个开放的标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方之间以Json对象的形式安全的传递信息。最后,算出签名以后,把Header、Payload、Signature三个部分拼成一个字符串,每个部分之间用点(.)分隔,就可以返回给用户了。时,请求中携带JWT串到服务端,服务端通过签名加密串匹配校验,保证信息未被篡改,校验通过则认为是可靠的请求,将正常返回数据。例如,A网站和B网站是同一家公司的关联服务,现在要求,用户只要在其中一个网站登录,再访问另一个网站就无需登录
Java后端开发面试题——企业场景篇
weixin_53535434的博客
09-04 1269
单点登录这块怎么实现的单点登录的英文名叫做:Single Sign On(简称SSO),只需要登录一次,就可以访问所有信任的应用系统。
微服务学习系列四:JWT单点登录
yangyanping20108的博客
03-03 548
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密
用户登录 JWT原理剖析 JWT单点登录实例解释
看花容易绣花难
05-01 3212
首先从用户的登录原理和实现讲起,然后引申出JWT登录方式,在详细的讲解了JWT的原理之后我们会通过案例讲解JWT是如何保存用户信息。
Spring Boot JWT实现单点登录详解
**Spring Boot如何基于JWT实现单点登录详解** 在这个指南中,我们将深入探讨如何在Spring Boot项目中利用JSON Web Tokens (JWT) 实现单点登录(Single Sign-On, SSO)。单点登录是一种设计模式,允许用户在多个系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值