jwt介绍二:Token组成方式

最新推荐文章于 2024-04-07 12:07:53 发布
最新推荐文章于 2024-04-07 12:07:53 发布
阅读量1.4k 收藏 7
点赞数 1
分类专栏: JWT laravel 文章标签: jwt php lavarel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snow_love_xia/article/details/114324668
版权
laravel 同时被 2 个专栏收录
25 篇文章 1 订阅
订阅专栏
JWT
4 篇文章 1 订阅
订阅专栏
背景

公司处在前后端分离的转折阶段,作为后端人员,要找到一个适用于接口验证的方式,公司仍保持后端使用Laravel框架,而laravel框架默认的是【web】方式,web 方式是使用 session 来进行用户认证,当然也是可以使用,但是有一定的不安全,经过调研,主流使用的Token验证方式。

介绍JWT

JWT资料

JWT:全称Json Web Token,是一种规范化的token。可以理解为对token这一技术提出的一套规范,是在RFC 7519中提出的。

JWT的Token组成
The Anatomy of a JSON Web Token,这里详细介绍了什么是JWT、JWT的构成等。本篇部分内容摘自这里。
一个JWT token是一个字符串,它由三部分组成:header(头部)、payload(载荷)、signature(签名)

1.header

头部通常由两部分组成,令牌的类型(即JWT)和正在使用的签名算法(如:HMAC SHA256),例如:

{
  "alg": "HS256",
  "typ": "JWT"
}

然后使用Base64encode编码该json串得到头部,即xxxx

2.payload

载荷中存放了一些我们要传输的信息和其他有关令牌的信息,来帮助服务器理解这个tomen,同时也可以包含一些自定义的信息,用户信息交换等。不过数组越大,得到的token就会越长,所以不建议放太多数据。又因为载荷是用base64encode编码,相当于明文了,所以决定不能存密码等敏感信息。

载荷的属性分为三类:

  • 预定义(registered)
  • 公有(public)
  • 私有(private)
预定义载荷
公有载荷

在使用 JWT 时可以额外定义的载荷。为了避免冲突,应该使用 IANA JSON Web Token Registry中定义好的,或者给额外载荷加上类似命名空间的唯一标识。

私有载荷

在信息交互的双方之间约定好的,既不是预定义载荷也不是公有载荷的一类载荷。这一类载荷可能会发生冲突,所以应该谨慎使用。(不过具体为啥会冲突,待了解)

{
  "sub": "1", //主题
  "iss": "http://localhost:8000/auth/login", // 签发人
  "iat": 1451888119, //签发时间戳
  "exp": 1454516119, //过期时间戳
  "nbf": 1451888119, //生效时间戳,在此之前token无效
  "jti": "37c107e4609ddbcc9c096ea5ee76c667", //编号
  "aud": "dev" //受众
}

对上述json串同header一样,encode得到一个串,然后分到token的第二部分,载荷,即yyyy

3.signature

令牌第三部分由以下哈希组成:

  • the header
  • the payload
  • secret
    根据第一部分的加密方式进行加下,如果以HMACSHA256加密,如下:
$encode_string = base64UrlEncode(header) + "." + base64UrlEncode(payload);
$signature = HMACSHA($encode_string, 'secret');

上述得到的signature,在同第一步一样进行encode,就得到了第三部分,即zzzz

签名的作用:保证JWT没有被篡改过,原理如下:

HMAC 算法是不可逆算法,类似 MD5 和 hash ,但多一个密钥,密钥(即上面的 secret)由服务端持有,客户端把 token 发给服务端后,服务端可以把其中的头部和载荷再加上事先共享的 secret 再进行一次 HMAC 加密,得到的结果和 token 的第三段进行对比,如果一样则表明数据没有被篡改。

写在最后

其实真正集成使用的时候,基本没有修改过这些东西,毕竟自己还是个菜鸟,所以记录一份,了解一下

jwt-auth介绍一:Token验证原理

【前程栽树,后人乘凉】
JWT超详细分析
JWT-Auth了解
JWT 完整使用详解

ignativs amor
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
JSON Web Token令牌(JWT)的使用(一)JWT的原理、配置、创建使用
paul0926的博客
06-17 993
了解并使用JSON Web Token令牌(JWT为何需要用jwtjwt是什么应用在什么环境JWT的数据结构Header头部Payload有效负载Signature签名官网示例图jwt的流程如何在django使用jwtsettings.py配置jwt在serializers.py使用在前端ajax请求成功函数里可以取值 详情请查看jwt官网 为何需要用jwt jwt是通过客户端保存数据,而服务器根...
Jwt-token
weixin_39406672的博客
12-22 162
1:登录账号密码与数据库验证。 package com.sxt.sso.commons; import java.util.HashMap; import java.util.Map; /** * 用于模拟用户数据的。开发中应访问数据库验证用户。 */ public class JWTUsers { private static final Map<String, String&...
JWT(Json Web Token—)的定义及组成
weixin_30588729的博客
06-27 515
JWT定义及其组成 JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 载荷(Payload) 我们先将用户认证的操作描述成一个JSON对象。其中添加了一些其他的信息,帮助今后收到这个JWT的服务器理解这个JWT。 { "sub": "1...
jwt token 组成分析
上官hao的博客
12-15 919
通过jwt组件生成的token分为 header、payload、signature三部分,通过.连接 第一部分 header eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 base64解密后 {"typ":"JWT","alg":"HS256"} 第部分payload {"iss":"","iat":1607949872,"exp":1609159472,"nbf":1607949872,"jti":"teQbWN5XTzwP2UeP","sub":100000,"prv
JWT(JSON web token)的三个组成部分,使用 jwt 鉴权机制
qq_17335549的博客
11-07 1389
JWT
JWT Token 的构成以及生成过程
kun_ers的博客
04-27 1377
根据学习资料总结----
JWT token
lwm1995的博客
07-22 244
import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; import com.fasterxml.jackson.core.JsonProcessingException; import com.fasterxml.jackson.databind.ObjectMapper; import com.wpdata.management.param.LoginInfoParam; import io.jsonwebto.
JWT Token生成及验证
07-16
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛应用...
api_aspnetcore_jwt_token:.NET中带有JWT身份验证的Api的一个小示例
02-17
它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。这些部分都是Base64编码的,使得它们可以安全地在网络中传输,并且可以验证信息的完整性和来源。 在ASP.NET Core中实现JWT,首先需要安装...
php实现JWT(json web token)鉴权实例详解
01-03
JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header部分: { alg: HS256, typ: JWT } 对应base64UrlEncode编码为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 说明:该字段为jso
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT可用于身份验证、授权,以及...
Token组成部分
Code小学僧的课后笔记
07-12 9520
token是计算机术语:令牌,令牌是一种能够控制站点占有媒体的特殊帧,以区别数据帧及其他控制帧。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 1.客户端使用用户名跟密码请求登录 2.服务端收到请求,去验证用户名与密码 3.验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 4.客户端收到 Token 以后可以把它存储起来,比
Token的三要素
weixin_45704311的博客
04-23 4380
一、定义Token token分为三部分来定义: 1 .表头:Header是一个json对象,存储元数据 { "alg":"HS256", "typ":"JWT" } alg:是签名的算法名称(algorithm),默认是HMAC SHA); type属性表示这个令牌(token)的类型(type),JWT令牌统一写成JWT。 2.负载:Payload是一个json对象。存放传递的数据,数据分为Public和Private。 Public是JWT中规定的一些字段,可以自己选择使
json web token的构成
Dwyane
07-31 926
JWT长什么样?    JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。就像这样: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFO
Token相关内容简述
answer3lin的博客
01-10 6018
Token的应用 Token是一种标志用户登录,保持用户状态的一种认证方法,令牌(临时)是服务端生成的一串字符串,作为客户端进行请求的一个标识。但是和Session id不同,其是通过特殊手段生成的,不同的服务器对应token的生成是不同的。 简单token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制...
Web中什么是token,token组成部分详解(jwt Token
latata的博客
04-26 9275
token是计算机术语:令牌,令牌是一种能够控制站点占有媒体的特殊帧,以区别数据帧及其他控制帧。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 1.客户端使用用户名跟密码请求登录 2.服务端收到请求,去验证用户名与密码 3.验证成功后,服务端...
基于JWT的登录流程
qq_38559956的博客
01-02 1126
JWT包含三部分数据: Header:头部,通常头部有两部分内容: 声明类型,这里是JWT 签名算法,自定义 我们会对头部进行base64加密(可解密),得到第一部分数据 Payload:载荷,就是有效数据,一般包含下面信息: 用户身份信息(注意,这里因为采用base64加密,可解密,因此不要存放敏感信息) tokenID:当前这个JWT的唯一标示 注册声明:如token的签发时间,过期...
Token介绍
magic_hat的博客
08-14 8386
Token在web程序中,它是服务端生成的一串字符串,作为客户端进行请求的一个标识
token详解
最新发布
qq_52758588的博客
04-07 3700
token详解
jwt token组成
07-28
JWT token由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)\[1\]。头部包含了关于该token的元数据,例如使用的算法和类型。载荷包含了实际的数据,例如用户的身份信息和其他自定义的数据。签名是用于验证token是否被篡改的部分,它通过使用私钥对头部和载荷进行签名生成的\[2\]。在生成token的代码中,可以看到使用了JWT库的builder方法来设置头部参数,设置了token的过期时间和加盐,最后使用私钥对头部和载荷进行签名生成token\[3\]。 #### 引用[.reference_title] - *1* [JWTToken详解](https://blog.csdn.net/m0_46217225/article/details/130063383)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [jwt中的token里面包含哪些内容?](https://blog.csdn.net/qq_42449963/article/details/115532979)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值