JWT、JWE、JWS 、JWK 都是什么鬼?还傻傻分不清?

于 2024-05-03 09:31:29 发布
阅读量1.1k 收藏 17
点赞数 17
分类专栏: 程序员 文章标签: 面试 职场和发展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/radcb55226/article/details/138410181
版权

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!
一个JWT,应该是如下形式的:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

这些东西看上很凌乱,但是非常紧凑,并且是可打印的主要用于验证签名的真实性。

JWT 解决什么问题?

JWT的主要目的是在服务端和客户端之间以安全的方式来转移声明。主要的应用场景如下所示:

  1. 认证 Authentication;

  2. 授权 Authorization // 注意这两个单词的区别;

  3. 联合识别;

  4. 客户端会话(无状态的会话);

  5. 客户端机密。

JWT 的一些名词解释

  1. JWS:Signed JWT签名过的jwt

  2. JWE:Encrypted JWT部分payload经过加密的jwt;目前加密payload的操作不是很普及;

  3. JWK:JWT的密钥,也就是我们常说的 scret;

  4. JWKset:JWT key set在非对称加密中,需要的是密钥对而非单独的密钥,在后文中会阐释;

  5. JWA:当前JWT所用到的密码学算法;

  6. nonsecure JWT:当头部的签名算法被设定为none的时候,该JWT是不安全的;因为签名的部分空缺,所有人都可以修改。

JWT的组成

一个通常你看到的jwt,由以下三部分组成,它们分别是:

  1. header:主要声明了JWT的签名算法;

  2. payload:主要承载了各种声明并传递明文数据;

  3. signture:拥有该部分的JWT被称为JWS,也就是签了名的JWS;没有该部分的JWT被称为nonsecure JWT 也就是不安全的JWT,此时header中声明的签名算法为none。

三个部分用·分割。形如 xxxxx.yyyyy.zzzzz的样式。

JWT header

{

“typ”: “JWT”,

“alg”: “none”,

“jti”: “4f1g23a12aa”

}

jwt header 的组成

头通常由两部分组成:令牌的类型,即JWT,以及正在使用的散列算法,例如HMAC SHA256或RSA。

当然,还有两个可选的部分,一个是jti,也就是JWT ID,代表了正在使用JWT的编号,这个编号在对应服务端应当唯一。当然,jti也可以放在payload中。

另一个是cty,也就是c

最低0.47元/天 解锁文章
radcb55226
关注
  • 17
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文理解 JWTJWSJWE、JWA、JWK、JOSE
m0_46296826的博客
12-03 7587
关于JsonWebToken的专业名词解释 header JWS JWS(Signed JWT)compact序列化主要生成流程: 结果示例 难点:JWS JSON序列化 JWS JSON 序列化形式(多个签名) 扁平化JWS JSON 序列化形式(单个签名) JSON 序列化与 compact序列化的区别:JWS JSON字段含义 payload:base64编码的JWT负载字符串 protected:base64编码的JWS头部字符串,包含的声明受到签名保
JWTJWEJWS的区别
2401_83384536的博客
03-08 573
一个JWT,应该是如下形式的:这些东西看上很凌乱,但是非常紧凑,并且是可打印的主要用于验证签名的真实性。
JWT认证漏洞总结
渗透测试研究中心
09-16 2668
通过对众多靶场案例漏洞测试,其中弱密钥、密钥泄露、不校验签名、信息泄露这些问题出现的居多,像更改 Header 不使用签名,暂时在实际生产环境中没遇到过。测试方面遇到 JWT可利用 jwt-tools 工具进行测试,将所有已知漏洞都测试一遍,避免遗漏。密钥。
jwt入门:Json Web令牌(JWT)及其相关的JWKJWS安全性交换入门的示例和参考
02-17
JWT示例 当我们寻求更好的端到端验证时,分布式系统可能会带来新的挑战。 其中之一是如何验证来自系统的消息确实来自该授权系统。 有许多授权者可用,第4层安全性可以为您提供一定程度的保证,但是有状态和无状态防火墙维护只是第一步,更不用说您的服务可能有多个客户! 鉴于需要这种支持; IEFT已制定并维护了最佳实践指南。 您可以将其找到为 JWT并不复杂 虽然许多加密安全措施可能难以实施,但此回购仅作为生成和使用JWT密钥甚至通过代码自动构建可旋转密钥所需的简单示例提供。 在查看示例时,您会发现可以用少于50行的代码来生成和验证这些令牌。 参考实施 需要注意的是,尽管所有示例均作为参考实现。 在实施时,请记住,安全密钥需要存储在经过身份验证和安全的存储机制内部的操作环境中(即对称机密,非对称私钥)。 获得帮助 如果您不熟悉所需的服务类型,请找专家,或者在Twitter 与我,我很乐意为您提
JWS, JWE, JWK, JWA, JWT
稀饭同学的专栏
08-02 1264
JWS:JSON Web Signature,Digital signature/HMAC specificationJWE:JSON Web Encryption,Encryption specificationJWK:JSON Web Key,Public key specificationJWA:JSON Web Algorithms,Algorit...
关于 JWTJWSJWE
u012503481的博客
07-25 6551
JWTJWSJWE 格式与差异介绍
jose:JSON对象签名和加密框架(JWTJWSJWE,JWA,JWKJWKSet等)
02-03
PHP JOSE库 如果您真的喜欢那个图书馆,那么您可以帮我几个忙 :clinking_beer_mugs: ! :warning: :warning: :warning: 我们强烈建议您使用新的而不是此库。 该库的有效支持将持续到2018年底。 从2019年到2020年底将提供安全支持。 中将提供/提供了迁移指南。 :warning: :warning: :warning: 该库提供了以下实现: JW S , JW T , JW E , JW A 。 JW K 。 JSON Web密钥指纹( )。 未编码的有效载荷选项 。 提供的功能 支持的输入类型: JWSJWE对象支持可以编码为JSON的每个输入: string , array , integer ,
jose:通用的“ JSON Web几乎所有内容”-JWA,JWSJWEJWTJWK,没有依赖项
03-30
乔瑟通用的“ JSON Web几乎所有内容”-使用本机加密运行时不依赖项的JWA,JWSJWEJWTJWK实施的规格和功能以下规范由jose实现JSON Web签名(JWS) JSON Web加密(JWE) JSON Web密钥(JWK) JSON Web算法(JWA)...
rhonabwy:JWKJWKS,JWSJWEJWT C库
02-27
Rhonabwy-JWKJWKS,JWSJWEJWT库 创建,修改,解析,导入或导出(JWK)和JSON Web密钥集(JWKS) 创建,修改,解析,验证或序列化(JWS) 创建,修改,解析,验证或序列化(JWE) 创建,修改,解析,验证或...
jose-php, PHP JOSE库( JWT JWS JWE JWK JWKJWK指纹).zip
09-17
jose-php, PHP JOSE库( JWT JWS JWE JWK JWKJWK指纹) PHP ( Javascript对象签名和加密) 实现 要求phpseclib是必需的http://phpseclib.sourceforge.net示例 JWT编码$jwt = new JOSE_JWT(array
authlib:构建OAuth,OpenID Connect客户端和服务器的终极Python库。 包括JWSJWEJWK,JWA,JWT
02-04
包括JWSJWK,JWA,JWT。 Authlib与Python2.7 +和Python3.6 +兼容。 Authlib v1.0仅支持Python 3.6+。 赞助商 如果你想安全的基于令牌的认证快速添加到Python项目,随时检查Auth0的Python的SDK和自由计划在 。 ...
构建OAuth,OpenID Connect客户端和服务器的终极Python库。 包括JWSJWEJWK,JWA,JWT。-Python开发
05-25
包括JWSJWK,JWA,JWT。 Authlib与Python2.7 +和Python3.6 +兼容。 具有通用的,符合规范的实现,以构建客户端和提供程序:OAuth 1.0协议RFC5849:OAuth 1.0协议OAuth 2.0授权框架RFC6749:OAuth 2.0授权框架RFC...
jwcrypto:使用python-cryptography实现JWKJWSJWE规范
05-14
加密货币JOSE工作组文件的实现: RFC 7515-JSON Web签名(JWS) RFC 7516-JSON Web加密(JWE) RFC 7517-JSON Web密钥(JWK) RFC 7518-JSON Web算法(JWA) RFC 7519-JSON Web令牌(JWT) RFC 7520-使用JSON对象...
jwt-framework:JWT框架
02-03
PHP JWT框架文献资料官方文档位于支持我为您的问题提供解决方案并回答您的问题。 如果您真的喜欢那个项目,并且已经完成了我的工作,或者如果您希望我优先处理您的问题,那么您可以帮我几个忙 :clinking_beer_mugs: ...
JWTJWEJWS和RSA2
qq_33068519的博客
10-11 643
JWT,以及与JWSJWE之间的关系 简而言之,JWT是一种安全规范,主要用于在双方之间传递安全数据。而JWSJWE是实现安全传输的两种方式,JWS用于对传输报文的签名与验签,JWE用于对敏感数据的加密解密。 JWS 官方文档直通车:JWS文档 JWS由三部分组成,header,payload和sign header主要包含alg:标识用的什么算法加密。 crit:包括header里除了文档里...
12. 更高级的通关文牒:JWTJWEJWS
weixin_45946850的博客
05-14 1880
在姜文导演的《让子弹飞》中,葛优饰演的马邦德在开头携带的委任状和我们今天讨论的JWT( JSON Web Token)有异曲同工之妙,JSON Web Token(JWT)是一种开放标准,它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输JSON对象信息。由IETF OAuth工作组开发的RFC 7519文档定义了JWT的结构和处理规则。
JJWTJWS, JWE, JWK, JWA, JWT
CrownP的博客
04-01 5559
JWS, JWE, JWK, JWA, JWT JWS:JSON Web Signature,Digital signature/HMAC specification(签名) JWE:JSON Web Encryption,Encryption specification(加密) JWK:JSON Web Key,Public key specification JWA:JSON Web ...
jwt 是什么?java-jwt 呢?
最新发布
03-21
JWT(JSON Web Token)是一种用于在网络应用间传递信息的安全方式。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部包含了令牌的类型和加密算法,载荷包含了需要传递的信息,签名用于验证令牌的真实性。 Java-JWT是一个用于在Java应用中创建和验证JWT的库。它提供了简单易用的API,可以方便地生成和解析JWT,并进行签名验证。Java-JWT支持多种加密算法和密钥管理方式,可以根据需求选择合适的配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值