JWT基本介绍

最新推荐文章于 2024-05-26 14:52:43 发布
最新推荐文章于 2024-05-26 14:52:43 发布
阅读量4.6k 收藏 20
点赞数 5
分类专栏: jwt 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51133939/article/details/126330855
版权

JWT基本介绍

目录

1. JWT简介

官方介绍:JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。JWT可以使用秘密(使用HMAC算法)或使用RSAECDSA的公钥/私钥对签名。

简单来说,JWT就是通过 JSON 形式作为 Web 应用中的令牌,用于在各方之间安全地将信息作为 JSON 对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。

官方地址:jwt官方地址 (jwt.io)

2. JWT的作用

  1. 授权
    这是使用JWT的最常见方案。 一旦用户登录,每个后续请求将包括 JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用 JWT 的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。

  2. 信息交换
    JSON Web Token是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名(例如,使用公钥/私钥对),所以您可以确保发件人是他们所说的人。此外,由于签名是使用标头有效负载计算的,因此您还可以验证内容是否遭到篡改。

3. JWT认证流程

  1. 首先,前端通过 Web 表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个 HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。

  2. 后端核对用户名和密码成功后,将用户的id等其他信息作为 JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token)。形成的JWT就是一个形同lll.zzz.xxx的字符串。

  3. 后端将JWT字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在 localStoragesessionStorage 上,退出登录时前端删除保存的JWT即可。

  4. 前端在每次请求时将 JWT 放入 HTTP Header 中的 Authorization 位。(解决 XSS 和 XSRF 问题)

  5. 后端检查是否存在,如存在验证JWT的有效性。例如,检查签名是否正确;检查Token是否过期;检查Token的接收方是否是自己(可选)。

  6. 验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果。

图示:JWT认证流程

4. JWT和Session认证

session 认证的缺点:

  1. session 通常保存在内存中,而随着认证用户的增多,服务端的开销会明显增大
  2. 认证的记录被保存在内存中,用户下次请求还必须要请求在这台服务器上才能拿到授权的资源,这样在分布式的应用上,就需要实现session共享机制,不方便集群应用
  3. session 是基于cookie来进行用户识别的,cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击
  4. sessionid 是一个特征值,表达的信息不够丰富,不容易扩展

JWT 认证的优点:
5. 简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快

  1. 自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库

  2. 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持

  3. 不需要在服务端保存会话信息,特别适用于分布式微服务

5. JWT的结构

5.1 令牌组成

JWT其实就是一个令牌(token),是一串字符串,而令牌字符串由三部分组成:

  1. 标头(Header)
  2. 有效载荷(Payload)
  3. 签名(Signature)

JWT的组成为:header.payload.signature。
所以,JWT的结构通常为:xxxxx.yyyyy.zzzzz

5.2 Header

标头通常由两部分组成:

  1. 令牌的类型(即JWT)
  2. 所使用的签名算法,例如 HMAC SHA256 或 RSA。
    它会使用 Base64 编码组成 JWT 结构的第一部分。

header 的 json 表示为:

{
  "alg": "HS256",		//alg:algorithm(算法)
  "typ": "JWT"			//typ:type(类型)
}

注意:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的,它并不是一种加密过程。

5.3 Payload

令牌的第二部分是有效负载,其中包含声明声明是有关实体(通常是用户)和其他数据的声明。同样的,它会使用 Base64 编码组成 JWT 结构的第二部分。
简单来说,Payload 中包含了用户所需要的信息,如用户id、用户名、权限等。(由于Base64可以被解码,所以不要放用户的敏感信息,如密码!)

payload 的 json 表示为:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

5.4 Signature

前面两部分都是使用 Base64 进行编码的,即前端可以解开知道里面的信息。Signature 需要使用编码后的 header 和 payload 以及提供的密钥,使用 header 中指定的签名算法(HS256)进行签名签名的作用是保证 JWT 没有被篡改过。(header、payload 被篡改时,由于签名基于header和payload生成,所以将无法通过验证)

签名目的:
最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改,再进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的

信息安全问题:
在这里大家一定会问一个问题:Base64是一种编码,是可逆的,那么我的信息不就被暴露了吗?
答: 是的。所以,在JWT中,不应该在负载里面加入任何敏感的数据。例如传输用户的User ID。这个值实际上不是什么敏感内容,一般情况下被知道也是安全的。但是像密码这样的内容就不能被放在JWT中了。如果将用户的密码放在了JWT中,那么怀有恶意的第三方通过 Base64 解码就能很快地知道你的密码了。因此JWT适合用于向Web应用传递一些非敏感信息。JWT还经常用于设计用户认证和授权系统,甚至实现Web应用的单点登录

5.5 三者结合

Header:

base64enc({
  "alg": "HS256",		//alg:algorithm(算法)
  "typ": "JWT"			//typ:type(类型)
})

Payload:

base64enc({
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
})

Signature:

HMACSHA256(
base64enc(header) + "." + 
base64enc(payload),
secret
)

在这里插入图片描述

千梦、流羽
关注
  • 5
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT基础介绍
Alan0517
03-13 2125
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
JWT令牌的介绍
快乐学习
08-22 3251
在以前用cookie认证时候,会把状态信息什么的储存在服务器里面,随着用户越来越多,这是token验证的一种令牌。叫身份验证令牌。在前后端分离的架构中常用。Cookie会造成服务器的压力。那么jwt就出来了,你什么时候来,我什么时候给你颁发一个认证授权访问的令牌就好,不会储存在服务器里面。啪,给你盖章通过认证了,你可以带着这个令牌请求去访问我们服务器的资源了。jwt令牌是无状态的,随时访问随时给令牌认证,一次性的,所以单点登录很适合。不会给服务器造成压力。
JWT详解
最新发布
xiao_xiao_w的博客
05-26 740
JWT是JSON Web Token的缩写,是为了在网络应用环境间传递生命而执行的一种基于JSON的开放标准。JWT本身没有定义任何技术实现,它只是定义了一种基于token的会话管理的规则,涵盖Token需要包含的标准内容和Token的生成过程,特别使用与分布式站点的单点登录场景一个JWT Token格式它有 . 分割成但部分组成,头部负载签名头部和负载以JSON形式存在,这就是JWT中的JSON,三部分的内容都分别单独经过了 Base64编码,以 . 拼接成一个JWT Token。
什么是JWT
热门推荐
Steve Wang's blog
03-14 2万+
什么是JWT?它的结构,工作方式,优点。
JWT简介
js010111的博客
06-20 601
简单地介绍了Json Web Token
一文搞懂JWT
kuokay的博客
10-31 1720
Django REST framework JWT一、JWT简介二、JWT 组成headerpayloadsignature三.使用手动生成jwt前端保存jwt 一、JWT简介 JWT(Json Web Token) 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具备两个特点: 简洁(Compact) 可以通过URL, POST 参数或者在 HTTP hea
什么是JWT【译】
qq_38454776的博客
01-19 2581
JWT常被用于认证、消息传输,来自官网的一篇文章介绍什么是JWT 来自jwt.io的一篇文章对JWT进行介绍 原文点击这里 什么是JWT(JSON Web Token) JSON Web Token(JWT) 是由开放标准(RFC 7519)定义的一种JSON对象,它被定义成紧凑且自包含的方式以用于在各方之间安全地传输信息。 由于JWT是经过数字签名的,因此可以被验证和信任。 可以使用密钥(使用HMAC算法)或者使用非对称加密(公钥/私钥)RSA或ECDSA对JWT进行签名。 尽管JWT可以被加.
SpringSecurity整合Jwt过程图解
08-25
在本文中,我们将详细介绍SpringSecurity整合Jwt的过程图解。Jwt(Json Web Token)是一种基于Token的身份验证机制,广泛应用于Web应用程序的身份验证和授权中。SpringSecurity是一个基于Java的安全框架,它提供了...
jwt-handbook
03-23
这本书详细介绍JWT基本概念、工作原理以及实际应用,涵盖了多种格式,包括PDF电子书版本。 JWT主要由三部分组成:头部(Header)、负载(Payload)和签名(Signature)。头部通常包含令牌类型(JWT)和加密算法...
shiro_jwt.rar
04-02
压缩包中的"shiro_jwt"文件很可能包含了SpringBoot项目的基本结构、Shiro的配置文件、JWT相关类以及相关的Controller和Service代码。例如,`ShiroConfig`用于配置Shiro的过滤器链,`JwtToken`实现了Shiro的`Token`...
jwt开发源码--入门级参考
09-22
总的来说,这份"jwt开发源码--入门级参考"资料应该包含了jjwt库的基本使用示例和JWT协议的基础知识,对于初学者来说是很好的学习起点。通过阅读源码和实践,开发者可以深入理解JWT的工作原理,并在实际项目中灵活...
Spring Boot 整合 JWT的方法
08-18
Spring Boot 整合 JWT 的方法主要介绍了如何在 Spring Boot 项目中整合 JWT(JSON Web Token),从而实现 Token 验证和身份验证。JWT 是一个开放标准,定义了一种用于简洁、自包含的用于通信双方之间以 JSON 对象的...
JWT单点登录
weixin_45427945的博客
06-09 1648
JWT单点登录
Jwt介绍
weixin_66202611的博客
09-17 1506
JWT运行机制1.第一次发送登录请求,必然会携带用户信息(用户名&密码)2.通过用户信息(用户名&密码)登录成功,会将用户信息通过jwt工具类生成一个加密的字符串3.加密字符串 会以 response header 响应头的形式 响应到前端4.前端服务器,会有响应拦截器拦截,截取到响应头承载的jwt串,有会放到Vuex中5.当第二次请求,前端服务器中有一个请求拦截器,会将Vuex中的jwt串放入request header请求头中的jwt串。
JWT基础(一)
Kiddyup的博客
04-16 3141
1、JWT的作用 什么是JWT jwt 简称 JSON Web Token ,也就是以Json的形式作为web中的令牌。在数据传输过程中还可以完成数据加密、签名等操作。 主要的作用: 授权 这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。 2.信息交换 JSON Web Token是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名
4、聊聊常见的加密与JWT
划水的小白白
09-28 2637
文章目录一、加密算法/编码二、JWT:2.1 概念:2.2 确认网站使用JWT:2.3 实际例子:2.4 结构(三部分):2.5 攻击思路:2.6 其他: 一、加密算法/编码 常见的: md5(大多数网站已经开始加盐) SHA-1、2、256等(与md5同属于哈希算法) AES(加密模式、填充、数据库、密码、偏移量),可选以上5种方法对内容进行加密,且输出可以选base64与hex(16进制)两种。 假设一串特殊的base64解码(密文中存在“
jwt 原理
weixin_48334703的博客
10-05 1875
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
jwt协议
weixin_42283818的博客
07-04 286
介绍各种协议
jwt和不用jwt的区别
08-29
使用JWT(JSON Web Token)和不使用JWT之间的主要区别在于身份验证和授权的处理方式。 1. JWT 基本介绍: - JWT 是一种用于在客户端和服务器之间传递身份信息的开放标准(RFC 7519)。 - JWT 由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。 - 头部包含了指定算法和令牌类型的信息。 - 载荷包含了存储的声明,例如用户ID、角色或其他有关身份信息。 - 签名通过使用私钥对头部和载荷进行加密来验证令牌的真实性。 2. 使用JWT的优势: - 无状态:JWT 是无状态的,服务器不需要在会话存储令牌相关信息,因此更容易进行水平扩展。 - 分布式架构:由于无状态的特性,JWT 很适合在分布式系统中使用。 - 跨域支持:JWT 可以在不同的域中使用,通过在载荷中添加必要的声明来实现授权。 - 自包含性:JWT 包含了身份信息和相关声明,避免了频繁查询数据库或其他存储介质的需要。 3. 不使用JWT的替代方案: - 传统会话管理:使用会话 ID(Session ID)和服务器端存储来跟踪用户身份和状态。 - Token-based 认证:使用基于加密的令牌来进行身份验证和授权,但不遵循 JWT 标准。 需要注意的是,使用 JWT 也存在一些潜在的安全风险,例如令牌盗用、令牌过期、签名算法破解等。因此,在实际应用中,需要正确使用和保护 JWT 令牌,以确保安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值