Token的组成部分

最新推荐文章于 2025-03-20 14:19:23 发布
最新推荐文章于 2025-03-20 14:19:23 发布
阅读量1w 收藏 26
点赞数 16
分类专栏: Django 文章标签: jwt
原文链接:https://blog.csdn.net/qq_42759386/java/article/details/89552190
版权

token是计算机术语:令牌,令牌是一种能够控制站点占有媒体的特殊帧,以区别数据帧及其他控制帧。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:

1.客户端使用用户名跟密码请求登录

2.服务端收到请求,去验证用户名与密码

3.验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端

4.客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里

5.客户端每次向服务端请求资源的时候需要带着服务端签发的 Token

6.服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据。

为了更好的理解这个token是什么,我们先来看一个token生成后的样子,下面那坨乱糟糟的就是了。

eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJ3YW5nIiwiY3JlYXRlZCI6MTQ4OTA3OTk4MTM5MywiZXhwIjoxNDg5Njg0NzgxfQ.RC-BYCe_UZ2URtWddUpWXIp4NMsoeq2O6UF-8tVplqXY1-CI9u1-a-9DAAJGfNWkHE81mpnR3gXzfrBAB3WUAg

但仔细看到的话还是可以看到这个token分成了三部分,每部分用 . 分隔,每段都是用 Base64 编码的。如果我们用一个Base64的解码器的话 ( https://www.base64decode.org/ ),可以看到第一部分 eyJhbGciOiJIUzUxMiJ9 被解析成了:

{
    "alg":"HS512"
}

这是告诉我们HMAC采用HS512算法对JWT进行的签名。

第二部分 eyJzdWIiOiJ3YW5nIiwiY3JlYXRlZCI6MTQ4OTA3OTk4MTM5MywiZXhwIjoxNDg5Njg0NzgxfQ 被解码之后是

{
    "sub":"wang",
    "created":1489079981393,
    "exp":1489684781
}

这段告诉我们这个Token中含有的数据声明(Claim),这个例子里面有三个声明:sub, created 和 exp。在我们这个例子中,分别代表着用户名、创建时间和过期时间,当然你可以把任意数据声明在这里。
看到这里,你可能会想这是个什么鬼token,所有信息都透明啊,安全怎么保障?别急,我们看看token的第三段 RC-BYCe_UZ2URtWddUpWXIp4NMsoeq2O6UF-8tVplqXY1-CI9u1-a-9DAAJGfNWkHE81mpnR3gXzfrBAB3WUAg。同样使用Base64解码之后,咦,这是什么东东

D X �DmYTeȧL�UZcPZ0$gZAY�_7�wY@

最后一段其实是签名,这个签名必须知道秘钥才能计算。这个也是JWT的安全保障。这里提一点注意事项,由于数据声明(Claim)是公开的,千万不要把密码等敏感字段放进去,否则就等于是公开给别人了。
也就是说JWT是由三段组成的,按官方的叫法分别是header(头)、payload(负载)和signature(签名):

header.payload.signature

头中的数据通常包含两部分:一个是我们刚刚看到的 alg,这个词是 algorithm 的缩写,就是指明算法。另一个可以添加的字段是token的类型(按RFC 7519实现的token机制不只JWT一种),但如果我们采用的是JWT的话,指定这个就多余了。

{
  "alg": "HS512",
  "typ": "JWT"
}
一文精通JWT Token、ID Token、Access Token、Refresh Token
FeelTouch Labs
02-21 1838
用于授权访问资源,任何 Bearer 持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密 key。一个 Bearer 代表授权范围、有效期,以及其他授权事项;一个 Bearer 在存储和传输过程中应当防止泄露,需实现 Transport Layer Security (TLS);一个 Bearer 有效期不能过长,过期后可用 Refresh Token 申请更新。
onenet MQTT Token计算工具
09-30
在进行OneNet MQTT通信时,Token作为安全验证的重要组成部分,确保了数据传输的安全性。 MQTT协议是一种轻量级的发布/订阅消息传输协议,特别适合于资源有限的设备,如嵌入式系统和移动设备。它通过最小化网络带宽...
token实现登录功能(具体实现)
qq_64680177的博客
10-02 5204
具体的验证过程,使用服务端的秘钥和指定的加密算法(如HS256)对Header和Payload进行验证签名,得到一个签名结果。此时看这个签名结果和前端传过来的token中的签名是否一样,如果一样就说明这个token是有效,并不是伪造的,此时要进行判断这个token是否过期,这个行为我们可以再创建token时就将其放入的redis当中,并给它设置过期时间。用户在以后的请求中都要将token放入请求当中,服务端会验证Token的有效性,并根据Token中的信息来判断用户是否有权限发起这个请求。
JWT web token
04-26
NULL 博文链接:https://15609845237.iteye.com/blog/2367346
一个base64加解密及token校验的对外接口开发
qq690452074的专栏
03-20 182
一个base64加解密及token校验的对外接口开发
Token的三要素
weixin_45704311的博客
04-23 4594
一、定义Token token分为三部分来定义: 1 .表头:Header是一个json对象,存储元数据 { "alg":"HS256", "typ":"JWT" } alg:是签名的算法名称(algorithm),默认是HMAC SHA); type属性表示这个令牌(token)的类型(type),JWT令牌统一写成JWT。 2.负载:Payload是一个json对象。存放传递的数据,数据分为Public和Private。 Public是JWT中规定的一些字段,可以自己选择使
Token相关内容简述
answer3lin的博客
01-10 7677
Token的应用 Token是一种标志用户登录,保持用户状态的一种认证方法,令牌(临时)是服务端生成的一串字符串,作为客户端进行请求的一个标识。但是和Session id不同,其是通过特殊手段生成的,不同的服务器对应token的生成是不同的。 简单token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制...
token详解
qq_52758588的博客
04-07 1万+
token详解
json web token的构成
Dwyane
07-31 1008
JWT长什么样?    JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。就像这样: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFO
JAVA中的Token 基于Token的身份验证实例
08-24
JWT Token由三个部分组成:header、payload和signature。header部分主要包含Token的类型和使用的算法,payload部分包含Token的具体内容,signature部分是对Token的签名。 JWT Token的优点是可以减少服务器的存储...
c#生成token验证4
05-15
这个Token由三部分组成:Header、Payload和Signature,它们之间用`.`分隔。由于JWT自包含的特性,客户端无需多次与服务器交互即可验证用户身份。 二、C#中的JWT生成 在C#中,我们可以使用第三方库如`Microsoft....
JWT Token生成及验证
07-16
JWT由三部分组成,每部分由点(.)分隔: 1. **头部(Header)**:通常包含令牌的类型(JWT)和使用的签名算法(如HS256或RS256)。 2. **载荷(Payload)**:包含声明(claims)。声明是关于JWT的声明,可以是关于...
jwt介绍二:Token组成方式
snow_love_xia的博客
03-03 1534
背景 公司处在前后端分离的转折阶段,作为后端人员,要找到一个适用于接口验证的方式,公司仍保持后端使用Laravel框架,而laravel框架默认的是【web】方式,web 方式是使用 session 来进行用户认证,当然也是可以使用,但是有一定的不安全,经过调研,主流使用的Token验证方式。 介绍JWT JWT资料 项目Wiki 官方指导文档 The Anatomy of a JSON Web Token JWT:全称Json Web Token,是一种规范化的token。可以理解为对token这一技
token的基本内容
qq_39039128的博客
10-16 5510
1、token 的全称是json web token。 2、在http中,进行身份认证。 3、http通信是无状态的,客户端的请求到了服务端,服务端的答复无法对原来的客户端进行识别 4、传统使用session机制:客户端登录成功后,服务端返回一个sessionid给客户端,客户端将此保存在cookie中。需要再次发送请求时,携带cookie中的sessionid到服务端,服务端缓存了session...
【开发日记】Token的使用及Token的构成
二饭的博客
05-07 1803
1、Token Token英文直译过来是“令牌”的意思,什么是令牌,在古代你要通过城门需要的也是令牌,而在计算机系统中要通过的是计算机的大门。 古代的大门由士兵守卫,而计算机系统的大门也有“士兵”,如果你没有一个有效的令牌就无法通过,只能从哪来回哪去。 2、POM依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> &lt
Token介绍
magic_hat的博客
08-14 8526
Token在web程序中,它是服务端生成的一串字符串,作为客户端进行请求的一个标识
什么是Token(令牌)
热门推荐
阿狸来了,哇咔咔
10-16 5万+
Acess Token 访问资源接口(API)时所需要的资源凭证 简单token组成: uid(用户唯一的身份标识) 、time (当前时间的时间戳) ,sign(签名,token的前几位以hash算法压缩成的一定长度的16进制字符串) 特点: 服务端无状态变化、可扩展性好 支持移动端设备 安全 支持跨域程序调用 token 的身份验证流程 客户端使用用户名和密码进行登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个token 并把这个token
JSON Web Token 的结构是什么
HONEY MOOSE
10-02 389
JSON Web Tokens 由使用 (.) 分开的 3 个部分组成的,这 3 个部分分别是: 头部(Header) 负载(Payload) 签名(Signature) 正是因为上面的组织形式,因此一个 JWT 通常看起如下面的表现形式。 xxxxx.yyyyy.zzzzz 让我们针对上面的形式来具体的分析下。 头部(Header) 在头部的数据中通常包含有 2 部分的内容:token 的类型,这里使用的是字符 JWT,和使用的的签名加密算法,例如 SHA256 或者 RSA。 例..
Token小结
vigoss77的博客
08-11 1200
1、身份验证的由来 由于HTTP请求是无状态的,所以服务器根本无法知道是谁请求的。例如购物车,无法确定是谁买了什么东西,这样就需要一个会话标识(session id),这样能确定谁是谁了。 2、token基本理解 首先token和session性质一样,用于客户端和服务器端进行用户身份验证用的。但token有几点好处: 1)session占内存 如果用户量大的情况下(上千万的用户),需要...
jwt token的三个组成部分
最新发布
03-30
### JWT Token组成结构 JSON Web Token (JWT) 是一种开放标准 (RFC 7519),用于在网络应用环境间安全地传输信息。JWT Token 主要由 **Header**、**Payload** 和 **Signature** 这三个部分组成,它们之间通过点号 (`.`) 分隔。 #### Header(头部) Header 部分通常包含两部分内容:令牌的类型(即 `JWT`),以及所使用的签名算法(如 HMAC SHA256 或 RSA)。这部分会被编码成 Base64Url 格式[^4]。 例如: ```json { "alg": "HS256", "typ": "JWT" } ``` #### Payload(负载) Payload 是 JWT 的主体内容部分,包含了声明(Claims)。这些声明可以传达关于实体(通常是用户)和其他数据的信息。声明分为三种类型:注册声明(Registered claims)、公共声明(Public claims)和私有声明(Private claims)。同样,这一部分也会被编码为 Base64Url 格式。 一个典型的 Payload 可能如下所示: ```json { "sub": "1234567890", // 主体(Subject) "name": "John Doe", // 姓名 "iat": 1516239022 // 发行时间(Issued At Time) } ``` #### Signature(签名) 为了验证消息是否被篡改,以及确保消息来自可信任的一方,JWT 使用签名来保护其完整性。签名是由编码后的 Header 和 Payload 数据,加上一个密钥,再通过指定的算法计算得出的结果。 签名的生成过程可以用以下伪代码描述: ```plaintext HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) ``` 最终,完整的 JWT 将呈现为这样的形式: ```plaintext <base64url-encoded-header>.<base64url-encoded-payload>.<signature> ``` 以下是 Python 中生成 JWT 的简单示例: ```python import jwt header = {"alg": "HS256", "typ": "JWT"} payload = { "sub": "1234567890", "name": "John Doe", "iat": 1516239022 } secret_key = "my_secret_key" token = jwt.encode(payload, secret_key, algorithm="HS256", headers=header) print(token) decoded_token = jwt.decode(token, secret_key, algorithms=["HS256"]) print(decoded_token) ``` 上述代码展示了如何利用 PyJWT 库创建并解码一个 JWT Token。 ---
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值