JWT理论介绍

最新推荐文章于 2024-08-29 18:44:48 发布
最新推荐文章于 2024-08-29 18:44:48 发布
阅读量757 收藏 17
点赞数 22
文章标签: java json web3 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44286009/article/details/139530896
版权

文章目录

一、什么是JWT

JWT(JSON Web Token)是一个开放标准(RFC 7519)定义的方式,用于在各方之间安全地传输信息。这些信息可以是验证、授权、信息交换等。JWT 允许在请求之间安全地传输信息,因为信息是经过数字签名的,并且可以被验证和信任。JWT 通常用于实现无状态的、基于令牌的认证。

二、JWT的组成

1.Header(头部)

Header(头部):描述了 JWT 的元数据,比如使用的签名算法(HMAC SHA256, RSA 等)。

{  
  "alg": "HS256",  // 指定签名算法为HMAC SHA256  
  "typ": "JWT"     // 指定类型为JWT  
}

这个 JSON 对象会被 Base64Url 编码,形成 JWT 的第一部分。

2.Payload(负载)

Payload(负载):包含了声明(claims)。声明是关于实体(通常是用户)和其他数据的声明。声明有三种类型:registered, public, 和 private。

  • Registered claims: 这些是一组预定义的声明,不是强制的,但是推荐。如:iss (issuer), exp (expiration time), sub (subject), aud (audience), 等。
  • Public claims: 可以包含任何信息,但应避免冲突与注册的声明。
  • Private claims: 用于在同意使用它们的各方之间共享信息。
{  
  "sub": "1234567890", // JWT的所有人(用户ID)  
  "name": "John Doe", // 用户的名字  
  "admin": true,      // 用户是否为管理员  
  "iat": 1516239022   // JWT的签发时间  
}

这个 JSON 对象也会被 Base64Url 编码,形成 JWT 的第二部分。

3. Signature(签名)

Signature(签名):是对前两部分(Header 和 Payload)的签名,以防止数据被篡改。签名需要一个密钥(secret)或公钥和私钥对。

三、为什么要使用JWT

因为HTTP协议是无状态的,所以我们登录之后,再次向服务器发送请求,服务器是不知道这个请求是谁发送的。我们可以在登录成功后,将用户ID返回给前端,下次请求时携带这个信息再发送请求,这样服务器就知道每次发送请求的用户了。
这样看上去挺好的,但是有一个问题是服务器是无法信任这个信息的。为什么无法信任?因为这个信息存在客户端,是有极有可能被篡改或者伪造的,服务器无法知晓这个信息是之前自己给颁发的还是伪造或者经过篡改的。总之问题的根源就是:这个信息无法被服务器验证,服务器不能验证这个信息的真假,从而导致服务器无法信任这个信息。
如何解决这个信任的问题呢?我们过去用cookie+session的方式,这种方式是可以解决这个问题的。比如服务器存一个session,后端将session_id设置到HTTP响应的cookie中,并发送给前端。这里可以设置cookie的多个属性,如域名、路径、有效期、安全标志(HTTPS)、HttpOnly等,以提高安全性。下次浏览器发送请求的时候,携带这个session_id,服务器在自己内存里面去找看有没有对应的session。

cookie+session模式的优缺点:

优点:

  • 扩展性和可用性:通过良好的编程,可以控制保存在cookie中的session对象的大小,实现较高的扩展性和可用性。
  • 安全性:使用加密和安全传输技术(如SSL),可以减少cookie被破解的可能性。同时,由于Session是保存在服务器端的,因此不存在敏感信息泄露的风险。

  • 缺点:

  • 依赖性和单点风险:如果某用户将浏览器设置为不兼容任何cookie,那么该用户就无法使用这个Session变量。此外,如果使用了持久化session数据的方法(如写入数据库或文件持久层),那么依赖于这些持久层的数据库或文件系统可能会成为单点风险。
  • 分布式架构支持:在分布式架构或面向服务的跨域体系结构下,session的共享和同步可能成为一个问题。需要使用如Redis或Memcached等外部存储系统来实现session的共享。
  • 服务器压力问题:将session存在服务器上,如果登录用户过多,会增加服务器的存储压力。

  • 如果使用JWT的话,可以避免cookie+session模式下存在的这些问题。因为jwt是存在于客户端的,减轻了服务器存储的压力,同时在分布式架构或面向服务的跨域体系结构下也可以很好的使用。
    jwt是服务器把要发送给前端的信息用一个密钥来加密,生成一个签名,然后把信息(jwt)返回给前端。

    这样做可以防止伪造和篡改吗?


    当然可以。假如把JWT中的信息部分(负载部分)进行了修改,然后发送到服务器,服务器验证是通过不了的。因为签名部分是根据负载部分用密钥进行加密的,修改负载部分之后,服务器用存储在服务器端的密钥再次对负载部分进行加密,加密后的结果再和jwt中的签名部分进行比对,这样是对不上的,所以验证是通不过的。


    那如果把负载部分和签名部分都同时进行修改呢?因为签名部分是根据负载部分的信息,使用密钥进行加密的,而密钥是存在于服务器的,不存在于前端的,你拿不到这个密钥。没有办法拿到这个密钥的话,就没有办法修根据修改后的负载信息生成正确的签名。


    jwt的优缺点
    优点:

  • 无状态性:JWT是无状态的,服务器不需要保存任何关于客户端的会话信息,这使得JWT非常适合分布式系统和微服务架构。
  • 可扩展性:JWT的有效载荷可以包含任意数据,可以根据需求添加自定义的用户信息,如权限等。
  • 跨平台性:JWT是基于JSON格式的标准,可以被多种编程语言支持和解析。

  • 缺点:

  • 无法撤销:一旦JWT签发后,无法撤销或更改其内容。如果需要在JWT的有效期内提前使其失效,需要额外的处理。
  • 动态更新性:由于JWT的无状态性,当用户的信息或权限发生变化时,服务器需要重新签发一个JWT。这可能会导致系统需要额外的处理来控制JWT的过期时间和更新机制。 令牌大小:由于JWT包含了许多信息和签名,因此它在网络传输中的大小可能比传统的会话ID要大。
登山人在路上
关注
  • 22
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT理论内容
中阳里士的博客
03-23 240
简介: JWT全拼是JSON Web Tocken,是目前最流行的跨域身份认证解决方案,特别适合分布式系统,减少用户麻烦,保证账号安全,减少服务器负载。 有人经常将OAuth与JWT搞混,两种是用于同一场景的不同情况。同一场景是指登录场景,不同情况是指,OAuth是第三方授权登录(详情戳这里),JWT是直接登录。 产生的背景: 最经典的登录实现方式是通过session: 1.用户输入用户名、密码提出登录请求; 2.服务器收到请求并验证用户名和密码,正确情况下存储在服务器的session中,并返回用
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
JWT理论理解
chinaherolts2008的博客
03-08 138
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT的构成 第一部分我们称它为头部(header) 第二部分我们称其为载荷(paylo
JWT理论知识介绍以及它的工作原理
qq_47906421的博客
08-28 244
JWT理论知识介绍以及它的工作原理1. JWT是什么2. 为什么使用JWT3. JWT的工作原理4. JWT组成4.1 Header4.2 Payload(负荷)4.3 signature5. JWT的验证过程6. JWT令牌刷新思路6.1 登陆成功后,将生成的JWT令牌通过响应头返回给客户端6.2 WEB APP项目每次请求后台数据时(将JWT令牌从请求头中带过来), 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在
jwt面试详解
yxg520s的博客
07-21 600
一种常见的做法是在用户请求时,检查JWT的过期时间,如果即将过期,生成一个新的JWT返回给客户端。例如,我们可以通过Spring Security的过滤器来实现这个功能,当接收到用户的每个请求时,都检查JWT是否即将过期,如果是,则生成新的JWT并在响应中返回给客户端。解决方案:一种常见的做法是在用户请求时,检查JWT的过期时间,如果即将过期,服务器会在响应头部中添加一个新的JWT,客户端在接收到新的JWT后,替换掉旧的JWTJWT是存储在客户端的,服务器不存储任何关于JWT的信息。
JWT快速入门及理论知识
孤星的博客
04-14 1463
什么是JWT规范? JWT规范将一个token分为3部分,分别是标头(header)、载荷(payload)、签名(verify signature)三部分并以.进行分割,也就是说一个符合JWT规范所生成的token格式应当如下: xxxxx.yyyyy.zzzzz tip:JWT官网:https://jwt.io/ 标头(header) 标头首先是一个JSON,通常包含两部分。分别是代表令牌类型和所使用的签名的加密算法的typ和alg, 例: { "alg": "HS256", "typ": "J
portswigger JWT attacks
weixin_63231007的博客
11-05 1802
通过 jwk header注入绕过身份验证 不同的是,这个 jku header注入多了一个漏洞利用服务器,因而我们可以通过 把 JWK set放到漏洞利用服务器上,然后通过往header里写入 "jku":"漏洞利用服务器url" 从而实现 jwk 注入到header里,有种远程文件包含的味道。Hashcat 使用 wordlist 中的每个密钥对来自 JWT 的标头和有效负载进行签名,然后将生成的签名与来自服务器的原始签名进行比较。JWE 非常相似,只是令牌的实际内容是加密的,而不仅仅是编码的。
JWT
xiaochao_bos的博客
01-07 4688
JWT   前段时间我也简单的用了一下JWT,感觉它很废(个人观点),why?,下面是我整合其他人的一些观点。   声明 本文内容的作用范围仅限 Web 应用。 词汇定义 无状态 JWTJWT 中存储所有认证授权信息,服务端不存储任何相关数据。 有状态 JWTJWT 中存储认证授权信息的 ID,具体数据存储在服务端。 Session / Cookie :有几种实现形式: 签
JWT认证漏洞总结
渗透测试研究中心
09-16 4487
通过对众多靶场案例漏洞测试,其中弱密钥、密钥泄露、不校验签名、信息泄露这些问题出现的居多,像更改 Header 不使用签名,暂时在实际生产环境中没遇到过。测试方面遇到 JWT可利用 jwt-tools 工具进行测试,将所有已知漏洞都测试一遍,避免遗漏。密钥。
还在直接用JWT做鉴权?JJWT真香.zip
12-13
计算机技术、IT咨询、人工智能AI理论介绍,学习参考资料 计算机技术、IT咨询、人工智能AI理论介绍,学习参考资料 计算机技术、IT咨询、人工智能AI理论介绍,学习参考资料 计算机技术、IT咨询、人工智能AI理论介绍,...
启动Application 报错:no mapping for GET /(已解决)
qq_3512323979的博客
08-26 2805
no mapping for GET /因为我使用的是框架嘛,然后生成了一个SpringBoot项目后,resources下面就会有一个static的类,用于存放静态资源类,后面我把静态资源放在里面,但是启动启动类后,报错一直匹配不到。: 正常的话,我们使用SpringBoot框架,他会给我们提供许多便利,包括静态资源的自动服务,默认的话,他会去。报这个错可能还有其他原因,我的是因为这个,大家可以根据日志信息一步步检查,肯定可以解决的!类并覆盖其方法时,就会失去静态资源的自动服务
[C++规范] 访问类成员变量的方式:直接访问还是通过成员函数访问?
Loewen丶的小窝
08-26 2700
在面向对象编程(OOP)中,通过成员函数(如`ME_HardwareTypeEnum Type() const;` 和 `int Id() const;`)来访问类的私有或受保护成员(如`m_hardwareType` 和 `m_id`),而不是直接通过公共成员访问,是一种更好的做法。
linux上datax 安装以及使用
寂夜了无痕的博客
08-24 3206
linux上datax 安装以及使用
《深入理解 Java 中的适配器模式》
最新发布
面团到油条的成长日记
08-29 1347
在软件开发的广阔领域中,不同接口之间不匹配的问题时常像个棘手的难题困扰着开发者。而适配器模式就像是一位得力的助手,专门用来解决这类问题。它的关键作用在于把一个类的接口有效地转化为客户端所期望的另一种接口,让原本因接口不相符而不能一起工作的两个类可以共同协作,学习本文希望你能有所收获
操作系统原子操作
zzt_is_me的博客
08-28 1576
所谓的原子操作就是不可被拆分的操作,对于多线程对全局变量进行操作时,就再也不用再线程锁了,和pthread_mutex_t保护作用是一样的,也是线程安全的,有些编译器在使用时需要加-march=i686编译参数。2、type只能是整数相关的类型,浮点型和自定义类型无法使用。功能:把value赋值给*ptr,并返回*ptr的旧值。功能:以上操作返回的是*ptr与value计算后的值。使用原子操作实现一个线程安全的无锁队列。1、该功能并不通用,有些编译器不支持。功能:以上操作返回的是*ptr的旧值。
Java设计模式之建造者模式详细讲解和案例示范
weixin_39996520的博客
08-28 1160
建造者模式是一种创建型设计模式,允许用户通过一步步地构造复杂对象的方式来避免直接使用大量的构造函数或复杂的初始化过程。它通过将对象的创建过程分解为多个步骤,并允许这些步骤以链式调用的方式来执行,最终生成一个完全构建的对象。首先,我们定义一个Order类,该类包括了多个字段,如订单ID、客户信息、商品列表、配送地址等。// Getter方法省略...在这个例子中,类提供了构建Order对象所需的各个方法,每个方法返回实例,以便进行链式调用。
Spring WebFlux – CVE-2023-34034 – 撰写和概念验证
技术超强的网络安全平台
08-28 855
Spring框架是一个广泛使用的基于Java的应用程序框架,为企业级Java应用的开发提供基础设施支持。是一个功能强大的身份验证和访问控制框架,也是保护基于 Spring 的应用程序的行业标准。它提供身份验证和授权,并且可以轻松扩展以满足自定义要求。Spring WebFlux是在 Spring 5 中引入的,作为传统框架的响应式编程替代方案。Spring WebFlux 的核心设计旨在处理异步、非阻塞和反应式编程范例。它提供了一种反应式编程模型,允许开发人员构建可扩展、响应迅速且具有弹性的应用程序。
SpringBoot+JWT 实现刷新Token详解
"无约束非线性规划-基于springboot+jwt实现刷新token过程解析"这个标题可能暗示了文章不仅涵盖了无约束非线性规划的理论,还讨论了如何在实际的软件开发项目(例如使用SpringBoot框架)中应用这些优化技巧,特别是在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值