JWT详解

最新推荐文章于 2024-01-26 19:57:29 发布
最新推荐文章于 2024-01-26 19:57:29 发布
阅读量131 收藏
点赞数
分类专栏: 学习笔记 文章标签: 笔记 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54822823/article/details/131849554
版权

JWT详解

JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。
JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。

JWT组成部分

屏幕截图 2023-07-16 210351.png
JWT 本质上就是一组字串,通过(.)切分成三个为 Base64 编码的部分:

  • Header : 描述 JWT 的元数据,定义了生成签名的算法以及 Token 的类型
  • Payload : 用来存放实际需要传递的数据
  • Signature(签名):服务器通过 Payload、Header 和一个密钥(Secret)使用 Header 里面指定的签名算法(默认是 HMAC SHA256)生成的

JWT通常格式:xxxxx.yyyyy.zzzzz
JWT在线解密工具:https://www.lddgo.net/encrypt/jwt-decrypt

Header

Header通常由两个部分组成

  • typ(Type):令牌类型,也就是JWT
  • alg( Algorithm):签名算法,比如HS256

示例

{
  "alg": "HS256",
  "typ": "JWT"
}
Payload

Payload 也是 JSON 格式数据,其中包含了 Claims(声明,包含 JWT 的相关信息)。
Claims 分为三种类型:

  • iss(issuer):JWT签发方
  • iat(issued at time):JWT签发时间
  • sub(subject):JWT主题
  • aud(audience):JWT接收方
  • exp(expiration time):JWT过期时间
  • nbf(not before time):JWT生效时间,早于该定义的时间的JWT不能被接受处理
  • jti(JWT ID):JWT唯一标识
{
  "uid": "ff1212f5-d8d1-4496-bf41-d2dda73de19a",
  "sub": "1234567890",
  "name": "John Doe",
  "exp": 15323232,
  "iat": 1516239022,
  "scope": ["admin", "user"]
}

Payload 部分默认是不加密的,一定不要将隐私信息存放在 Payload 当中!!!

Signature

Signature 部分是对前两部分的签名,作用是防止 JWT(主要是 payload) 被篡改
这个签名的生成需要用到:

  • Header + Payload
  • 存放在服务端的密钥(一定不要泄露出去)
  • 签名算法

签名算法的公式:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,这个字符串就是 JWT

JWT身份验证过程

在基于 JWT 进行身份验证的的应用程序中,服务器通过 Payload、Header 和 Secret(密钥)创建 JWT 并将 JWT 发送给客户端。客户端接收到 JWT 之后,会将其保存在 Cookie 或者 localStorage 里面,以后客户端发出的所有请求都会携带这个令牌
屏幕截图 2023-07-16 210351.png
简化后的步骤如下:

  1. 用户向服务器发送用户名、密码以及验证码用于登陆系统。
  2. 如果用户用户名、密码以及验证码校验正确的话,服务端会返回已经签名的 Token,也就是 JWT
  3. 用户以后每次向后端发请求都在 Header 中带上这个 JWT
  4. 服务端检查 JWT 并从中获取用户相关信息

两点建议:

  1. 建议将 JWT 存放在 localStorage 中,放在 Cookie 中会有 CSRF 风险
  2. 请求服务端并携带 JWT 的常见做法是将其放在 HTTP Header 的 Authorization 字段中(Authorization: Bearer Token)
CodeVersePoet
关注
专栏目录
JWT的简单了解与使用
HBBBOY的博客
10-16 1835
快速了解JWT怎么使用,之后便能利用它制作属于自己的单点登录了
jwt认识
面朝大海,春暖花开
03-23 1643
jwt认识 jwt是长这样的: header.payload.signature eyJhbGciOiJSUzUxMiJ9.eyJleHAiOjE1MjE1Mzg1NDMsInN1YiI6InRl.c3RlciIsIm5iZiI6MTUyMTUzNzk0MywiYl 生成规则: b64_header = base64Encoded(header); b64_claim =...
JWT的初步说明
nancheng_wx的博客
08-08 442
当签发的 jwt 保存在客户端,客户端一直在操作页面,按道理应该一直为客户端续长有效时间,否则当 jwt有效期到了就会导致用户需要重新登录。JWT 主要用于用户登录鉴权,JWT (全称:Json Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。因为一旦签发了一个 jwt,在到期之前始终都是有效的,如果用户信息发生更新了,只能等旧的 jwt 过期后重新签发新的 jwt。便于传输,JWT结构简单,字节占用小。
JWT---JWT基础知识点
weixin_52025712的博客
10-24 498
目录什么是JWTJWT的组成部分HEADER(算法与令牌)PAYLOAD(数据)VERIFY SIGNATURE(验证签名)JWT的基本格式 什么是JWTJWT是Json Web Token 的缩写,JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。就是这是一种认证机制,让后台知道请求是来自于受信的客户端。 JWT的组成部分 HEADER(算法与令牌) 存放
JWT详解及使用
最新发布
qq_59395271的博客
01-26 1379
JWT通常用于在身份验证和信息交换方面进行安全的传输,例如在用户登录后生成一个JWT作为身份验证凭证,在客户端和服务器之间进行安全的信息交换。access token: 用于验证用户在系统中的身份和权限,并且在用户进行请求时,服务器会使用access token来验证用户的身份和权限,从而决定是否允许用户的请求。总之,JWT作为一种安全的传输方式,可以在各方之间传递信息并验证信息的真实性和完整性,因此在身份验证、授权和信息交换方面得到广泛应用。(主题):用于标识JWT的主体,即JWT所面向的用户。
详解 JWT(SpringBoot 整合 JWT 示例)
kkq的博客
11-16 581
先来看一下官方文档对 JWT 的介绍:JSON Web Token (JWT) 是一种开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于作为 JSON 对象在各方之间安全地传输信息。此信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。尽管 JWT 可以加密以在各方之间提供保密性,但我们将重点关注签名令牌。签名令牌可以验证其中包含的声明的完整性,而加密令牌则对其他方隐藏这些声明。
JWT详解(文章内嵌jwt工具类)
我认不到你的博客
11-17 4305
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。
详解 JWT 规范
一土宁的博客
05-26 3415
1 概述 JSON Web Token (JWT) 是一种用于在两个系统之间传输声明(Claims)的方式,它具有紧凑、URL 安全的特点。所谓“紧凑”,是指它本身教小,适用于空间受限的环境,如 HTTP 授权头和 URI 查询参数。 Claims 在JWT中被编码为一个JSON对象,作为 JSON Web Signature (JWS)结构的有效载荷 或 JSON Web Encryption (JWE) 结构的文本信息。 JWS/JWE 使用 MAC( Message Authentication Co
JWT简介
01-22 1148
简介 Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该标准被设计为紧凑且安全的,一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息。当然该标准也可直接被用于认证,也可被加密。 JWT 定义了一种用于简洁,自包含的用于通信双方之间以...
Jwt简单使用
congge
04-11 9561
在分布式项目中,经常需要处理session共享的问题,解决的方式有很多,比如采用session或者cookie,或者redis进行存储都是解决方案,今天给大家介绍另一种比较轻量级的解决方式,就是使用jwt生成token,服务端进行加解密来处理; 首先要了解一下jwt的三个基本术语, Header Header是由以下这个格式的Json通过Base64编码(编码不是加密,是可以通过反编码的方式获取到...
Java中详细使用JWT(JJWT
热门推荐
zhangshaopeng的博客
12-12 1万+
目录 1.什么是JWT 2.JWT什么时候去使用,有什么好处 3 JWT问题和趋势 4JWT的组成 头部 有效载荷 签名 4.java中使用 1.什么是JWT JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。...
生成token
qq_46112274的博客
06-06 2051
生成token1、JWT介绍1.1、JWT工具1.2、JWT的原理,2、集成JWT2.1、引入依赖2.2、在common-util模块编写JwtHelper类2.3、完善登录service接口2.4、使用Swagger测试接口 1、JWT介绍 1.1、JWT工具 JWT(Json Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上 JWT最重要的作用就
jwt使用小结(1)--概念详解
fengcai0123的专栏
05-22 955
一、JWT JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。 jwt由三部分组成: Header(头部) Payload(负载) Signature(签名) 1.Header 加粗样式部分是一个json对象,通常如下的样子,使用的时候需要 Base64URL 算法转成字符串。 { "alg": "HS256", "typ": "JWT" } alg属性表示签...
关于JWT登录拦截验证token方式一
weixin_46098310的博客
03-31 1934
SpringBoot+Mybatis-plus+Mysql+JWT
JWT入门详解
weixin_57504000的博客
05-16 4561
目录 一、JWT简介 1.什么是JWT? 2.为什么要使用JWT? 二、JWT的工作原理 三、JWT的组成 1.Header(头部) 2.Payload(载荷) Reserved claims(保留) Public claims(公有) Private claims(私有) 3.signature 四、JWT的验证过程 五、JWT令牌刷新思路 1.首先前后端跨域配置 2.JWT配置 3.配置JWT验证过滤器 4.登陆方法成功后,将生成的JWT令牌通过响应头返回给客户端 .
Shiro+JWT详解
qq_39159736的博客
05-07 1万+
首先我们来分别看看shiro和jwt的作用: shiro: jwt:JSON Web Token,是一种特殊的token,因此我们在来看看Token是干嘛的? 一、Token token 是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权,用户凭证。 1. API 鉴权 那么 API 用户凭证一般有几种方式呢?我大概整理了如下: cookie + session:和平常 web 登陆一样的鉴权方式,很常见,不再赘...
jwt的构成部分
jiang2360的博客
08-05 1051
一、 JWT 组成结构JSON Web Tokenv由三部分组成,它们之间用点连接。完整 JWT 结构如下:1. Header"JWT""HS256"最后,用 Base64URL 对这个 JSON 对象编码就得到 JWT 的第一部分。2. PayloadPayload 部分用来存放。JWT 规定了7个官方字段,供选用。除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。注意,JWT 默认是不加密的,任何人都可以读到,所以不要把敏感信息(密码,手机号等)放在这个部分。
Springboot集成JWT详解:优点、构成与实战应用
本文将深入介绍Springboot如何集成和整合JWT(Json Web Token),这是一种常用的身份验证和授权机制。JWT将用户信息加密在token中,使得服务器无需存储用户凭据,仅需验证token的合法性。 首先,我们来理解JWT的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值