什么是 JWT? JSON Web Token(JSON Web 令牌)是一种跨域验证身份的方案。JWT 不加密传输的数据,但能够通 过数字签名来验证数据未被篡改(但是做完下面的 WebGoat 练习后我对这一点表示怀疑)。
JWT 分为三部分,头部(Header),声明(Claims),签名(Signature),三个部分以英文句号.隔开。 JWT 的内容以 Base64URL 进行了编码。
头部(Header) { "alg":"HS256", "typ":"JWT" }
alg 是说明这个JWT的签名使用的算法的参数,常见值用HS256(默认),HS512等,也可以为None(这样就可以绕过下面的密钥)。HS256 表示 HMAC SHA256。 typ 说明这个 token 的类型为 JWT
声明(Claims) { "exp": 1416471934, "user_name": "user", "scope": [ "read", "write" ], "authorities": [ "ROLE_ADMIN", "ROLE_USER" ], "jti": "9bc9
JAVA安全-JWT安全学习记录
于 2023-03-14 17:36:33 首次发布