JWT基础概念

已于 2022-10-23 21:03:50 修改
阅读量697 收藏
点赞数
分类专栏: java 文章标签: json java 服务器
于 2022-10-23 20:58:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46127735/article/details/127477683
版权

1. 介绍

JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。 从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。

JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。

2.JWT的组成

1.标头(Header)
2.有效载荷(Payload)
3.签名(Signature)

Header部分:

{
"alg": "HS256",
"typ": "JWT"
}

该字段为Json格式,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256),
typ属性表示令牌的类型,JWT令牌统一写为JWT(默认也为JWT)。
JSON 形式的 Header 被转换成 Base64 编码,成为 JWT 的第一部分。

Payload部分:
Payload 也是 JSON 格式数据,其中包含了 Claims(声明,包含 JWT 的相关信息)。

Claims 分为三种类型:

Registered Claims(注册声明) :预定义的一些声明,建议使用,但不是强制性的,可互操作的声明。
Public Claims(公有声明) :JWT 签发方可以自定义的声明,但是为了避免冲突,应该在 IANA JSON Web Token Registry 中定义它们。
Private Claims(私有声明) :JWT 签发方因为项目需要而自定义的声明,更符合实际项目场景使用。
下面是一些常见的注册声明:

iss(issuer):JWT 签发方。
iat(issued at time):JWT 签发时间。
sub(subject):JWT 主题。
aud(audience):JWT 接收方。
exp(expiration time):JWT 的过期时间。
nbf(not before time):JWT 生效时间,早于该定义的时间的 JWT 不能被接受处理。
jti(JWT ID):JWT 唯一标识。

{
  "uid": "ff1212f5-d8d1-4496-bf41-d2dda73de19a",
  "sub": "1234567890",
  "name": "John Doe",
  "exp": 15323232,
  "iat": 1516239022,
  "scope": ["admin", "user"]
}

Payload 部分默认是不加密的,一定不要将隐私信息存放在 Payload 当中!!!

JSON 形式的 Payload 被转换成 Base64 编码,成为 JWT 的第二部分。

Signature部分
Signature 部分是对前两部分的签名,作用是防止 JWT(主要是 payload) 被篡改。
这个签名的生成需要用到:

  • Header(加密)+ Payload(加密)。
  • 存放在服务端的密钥(不能泄露)。
  • 签名算法。
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,这个字符串就是 JWT 。

3.生成,解析Token代码


    private static  long time = 1000*60*60*24;
    private static String  signature = "admin";  //加密 ,解密需要

    /**
     * setHeaderParam -> 设置 Header头信息
     * claim -> 携带的数据
     * setSubject -> 设置主机
     * setExpiration -> 保存时间
     * setId -> 设置ID
     * signWith -> 声明算法和签名
     * compact -> 拼接
     */
    @Test
    void contextLoads() {
        JwtBuilder builder = Jwts.builder();
        final String token = builder   
                 //header
                .setHeaderParam("typ", "JWT")
                .setHeaderParam("alg", "HS256")
                //保存用户名,以及角色,注意这里最好保存非私密信息,比如密码最好不要保存
                .claim("username", "admin")
                .claim("role", "admin")
                .setSubject("admin-test")
                //设置过期时间
                .setExpiration(new Date(System.currentTimeMillis() + time))
                .setId(UUID.randomUUID().toString())
                // 设置算法及密钥  java通过signature生成签名,解密也需要signature
                .signWith(SignatureAlgorithm.HS256, signature) 
                .compact();
        System.out.println(token);
    }


       @Test
    void parse() {
        String token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9" +
                ".eyJ1c2VybmFtZSI6ImFkbWluIiwicm9sZSI6ImFkbWluIiwic3ViIjoiYWRtaW4tdGVzdCIsImV4cCI6MTY" +
                "2NjYxNTM5NSwianRpIjoiOGMyZTRiZGEtYTI5Mi00NzE3LThlZjYtYjExNTI0N2ZkMzljIn0" +
                ".XLF9HPezm4w6b8LIloQz_pDemshAp0ublOfbmft2nbA";
        JwtParser jwtParser = Jwts.parser();
        //通过该签名对token进行解析,解析成为多个claim
        Jws<Claims> claimsJws = jwtParser.setSigningKey(signature_key).parseClaimsJws(token);
        System.out.println(claimsJws.toString());
        Claims claims = claimsJws.getBody();
        System.out.println("用户名 "+claims.get("username"));
        System.out.println("角色信息 "+claims.get("role"));
    }
    }

在这里插入图片描述

4.token在用户登录时的应用

token都是在用户登录时生成,并且进行判断,进行更新,下图简略的概要token生成,以及更新。
在这里插入图片描述

、以吾之名
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JWT
m0_67596612的博客
05-16 1525
目录 1. JWT是什么 1.1:JWT的定义: 1.2:JWT特点: 2. 为什么使用JWT 3. JWT的工作原理 4. JWT组成 4.1 Header 4.2 Payload(负荷) 根据JWT的标准,这些claims可以分为以下三种类型: 4.3 signature 5. JWT的验证过程 此处有三个注意事项: 6. JWT令牌刷新思路 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 ...
一文全面介绍JWT框架知识
m0_73311735的博客
11-27 2476
复制代码每次调用claim时,它只是将键-值对附加到内部的Claims实例,可能会覆盖任何现有的同名键/值对。显然,您不需要为任何标准的claim名称调用claim,建议相反调用标准的setter方法,这样可以增强可读性。
Spring Authorization Server入门 (六) 自定义JWT中包含的内容与资源服务jwt解析器
云逸的博客
06-07 3610
最后经过两个简单的配置实现了自定义的token内容与解析器,这也正是框架灵活与支持高度自定义的体现,实际上这些操作的代码部分都比较少,多的是理论部分,结合文档与源码能够更好的理解框架,文档中对于某些类的应用一般会有详细的说明与示例存在。
详解 JWT 规范
一土宁的博客
05-26 3138
1 概述 JSON Web Token (JWT) 是一种用于在两个系统之间传输声明(Claims)的方式,它具有紧凑、URL 安全的特点。所谓“紧凑”,是指它本身教小,适用于空间受限的环境,如 HTTP 授权头和 URI 查询参数。 ClaimsJWT中被编码为一个JSON对象,作为 JSON Web Signature (JWS)结构的有效载荷 或 JSON Web Encryption (JWE) 结构的文本信息。 JWS/JWE 使用 MAC( Message Authentication Co
JWT实现token-based会话管理
weixin_34050005的博客
11-24 240
上文《3种web会话管理的方式》介绍了3种会话管理的方式,其中token-based的方式有必要从实现层面了解一下。本文主要介绍这方面的内容。上文提到token-based的实现目前有一个开放的标准可用,这个标准就是JWT,从它的官网上也能看到,目前实现了JWT的技术非常多,基本上涵盖了所有的语言平台。本文选择express和jsonwebtoken基于nodejs来实现token-based会话...
JWT Token生成及验证
07-16
### JWT Token的基本构成 JWT由三部分组成,每部分由点(.)分隔: 1. **头部(Header)**:通常包含令牌的类型(JWT)和使用的签名算法(如HS256或RS256)。 2. **载荷(Payload)**:包含声明(claims)。声明是...
Asp.net Core 3.1 JWT 认证Demo
12-27
首先,JWT的基本概念是至关重要的。JWT是一个自包含的、安全的身份验证令牌,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部和载荷被编码成JSON对象,然后用Base64URL算法编码。签名部分...
.net core使用Jwt授权验证
10-30
首先,我们需要理解 JWT 的基本概念JWT 是由三部分组成的:头部(Header),载荷(Payload)和签名(Signature)。头部和载荷都是经过 Base64 编码的 JSON 对象,而签名则是通过头部、载荷以及一个秘密(Secret)...
JWT.net 操作实践方法
08-28
JWT.NET 操作实践详解 JSON Web Token (JWT) 是一种广泛使用的身份验证和授权机制,它允许服务提供商...通过理解 JWT 的基本概念JWT.NET 的 API,开发者可以轻松地集成 JWT 功能,提升应用程序的安全性和用户体验。
angular-jwt:Angular -jwt 身份验证概念证明
07-03
**JWT基础** JWT由三部分组成:头部(Header)、负载(Payload)和签名(Signature)。头部和负载都是JSON对象,被编码成Base64字符串,而签名是通过将编码后的头部、编码后的负载和一个密钥(secret key)通过特定...
3、JWT深入理解及实战
Java__EE小白成长之路
08-26 1228
JWT,全称JSON Web Token,官网地址https://jwt.io,是一款出色的分布式身份校验方案。可以生成token,也可 以解析检验token。
JWT单点登录(源码学习)
辰兮要努力
06-04 2569
三、JWT源码学习 //登录成功之后,需要生成token String token = Jwts.builder().setSubject("用户名/用户信息") //主题,可以放用户的详细信息 .setIssuedAt(new Date()) //token创建时间 .setExpiration(new Date(System.currentTimeMillis() + 60000)) //token过期时间 .setId("用户ID") //用户ID
JWT简介& JWT结构& JWT示例& 前端添加JWT令牌功能& 后端程序
最新发布
qq_73126462的博客
11-07 9340
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。
JWT Claims
热门推荐
weixin_30745641的博客
08-17 1万+
JWT Claims “iss” (issuer) 发行人 “sub” (subject) 主题 “aud” (audience) 接收方用户 “exp” (expiration time) 到期时间 “nbf” (not before) 在此之前不可用 “iat” (issued at) jwt的签发时间 “jti” (JWT ID) jwt的唯一身份标识,主...
JWT令牌技术的使用场景
weixin_60800735的博客
10-24 116
第一次登录生成令牌,之后每次前端向后端发送请求都要带上JWT令牌,用来校验若令牌出错或没有,则会被拦截,无法到达后端接口进行处理。
JWT令牌
a_318102020789的博客
08-07 154
JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT令牌由Header、Payload、Signature三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz。将上边的内容使用Base64编码,得到一个字符串就是JWT令牌的第一部分。Jwt载荷部分可以存储业务相关的信息(非敏感的),例如用户信息、角色等。用来存储令牌要携带的数据。
jwt Claims token 秘钥稍有不同也能解析成功 signWith setSigningKey
ql_7256的博客
09-28 3037
问题描述 使用io.jsonwebtoken.Jwts构造了一个token,在解析这个token时,发现解析秘钥和构建秘钥不完全相同也可以成功解析,代码如下 签发token /** 测试生成token */ @Test public void testJwt() { JwtBuilder jwtBuilder = Jwts.builder() // 唯一ID {"":""} .setId("888")
Jwt
weixin_45174537的博客
09-06 1532
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 JWT的精髓在于:“去中心化”,数据是保存在客户端的。 2. JWT的工作原理 1、是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "2018-08-08 20:15:...
golang jwt
09-21
在使用JWT时,你需要了解以下几个基本概念和使用场景: 1. 基础概念:包括发行者、发布时间、到期时间、主题、听众、在此之前不可用和JWT ID等信息。 2. 使用场景:JWT常用于身份验证和授权,可以用于Web应用程序的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值