JWT的数字签名的简单理解

已于 2024-01-24 11:03:05 修改
阅读量9.5k 收藏 7
点赞数 11
分类专栏: security 文章标签: JWT Token 签名
于 2019-10-23 12:09:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013189824/article/details/102698399
版权

一、JWT概念

        json web token

二、JWT与原始token的区别

      JWT是对原始security的oauth2 token的增强。

      原始的token只是一个uuid,没有任何意义。

      JWT包含了部分业务信息,减少了token验证等交互操作,效率更高。

三、JWT的特点

  • 自包含:包含有意义的信息。但由于其信息能被公开看到,所以jwt并不能放特别敏感的业务信息。
  • 含有签名:防止jwt自身被修改
  • 可扩展:可自定信息

三、JWT的签名

      JWT是如何做到防止内容被篡改? 答案就是数字签名。

      JWT内容是由三部分组成:Header、PayLoad、Signature。

              Header里存的是:token类型和加密算法,此处的加密算法是签名的加密算法

              PayLoad里面存的是:具体的业务数据比如用户id等等

              Signature:具体的数字签名密文信息

     举个例子,jwt内容如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWUsImp0aSI6IjMyMWU1MzlmLTJmY2MtNDcwNy05YWMyLTI1ZmY5MTkzZTI4ZiIsImlhdCI6MTU3MTc5ODgwNiwiZXhwIjoxNTcxODAyNDA2fQ.3pNLP8HvSu5hKFATOeJIR1Tpo5hxDB4Pcz6mK1lsTFU

    其内容由三个“.”隔开,由base64编码,分别对应的就是header、payload、signature。

    通常我们使用jwt时候采用RS256 公钥/私钥 方式进行签名的 加密/解密,因为RS256是非对称加密,比较安全。

    因为jwt是由服务端生成并发放的,其中签名是由服务端的私钥加密而成的,只要保证了私钥的安全,就能保证签名是安全的。

    当别人拿着jwt访问我们的服务时,可以有以下验证方式:

     我们服务端拿到header和payload的信息,通过header里的加密算法拿着我们自己的私钥对payload生成一个签名对比jwt传过来的签名,如果签名一致,说明payload的信息没有被修改。

-------------------------------------------------------------------------------------------------------------------------------

以上为我的理解,以后接着补充,如有错误,欢迎指正。

-小末
关注
  • 11
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
jwt:进行JWT签名,验证和验证
02-03
jwt(Go的JSON Web令牌) 关于 该软件包是 (或Golang)的JWT签名者,验证者和验证者。 尽管有许多用于Go的JWT软件包,但许多都缺乏对某些签名,验证或验证方法的支持,并且当它们不支持时,它们过于复杂。 该程序包在遵循“准则的同时,尝试模仿API的易用性。 不提供对支持(尚未提供,但在路线图中,请参阅#17)。 而是使用 ,范围缩小到。 支持的签名方式 SHA-256 SHA-384 SHA-512 HMAC :check_mark: :check_mark: :check_mark: RSA :check_mark: :check_mark: :check_mark: RSA-PSS :check_mark: :check_mark: :check_mark: ECDSA :check_mark: :check_mark: :check_mark: 教育局 :heavy_minus_sign: :heavy_minus_sign: :check_mark: 重要 分支master不稳定,请
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN简单谈谈TOKEN的使用及在C#中的实现
JWT详细解析
最新发布
m0_65224643的博客
07-30 1857
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为的,特别。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
jwt中的签名算法
weixin_47495688的博客
12-27 1018
接收方使用对应的公钥对数据和数字摘要进行验证,从而确认数据的完整性和真实性。在实际应用中,签名和加密通常结合使用,以确保数据的完整性、真实性和机密性。例如,在使用JWT时,通常会使用签名来验证令牌的来源和完整性,同时也可以使用加密来保护令牌中的敏感信息。需要注意的是,在使用JWT时,除了签名算法,还需要注意密钥的安全性、令牌的有效期限等因素,以确保JWT的安全性和可靠性。- 签名用于验证数据的完整性和真实性,确认数据的来源,防止数据被篡改。签名和加密是两种不同的机制,用于确保数据的完整性、真实性和保密性。
JWT数字签名token实现
Cheney的博客
06-28 2699
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。什么时候你应该用JSON Web Token?Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。
【转载】JWT签名算法选择研究
异想之旅的博客
03-21 2067
本文转载自:http://www.bewindoweb.com/301.html | 三颗豆子,原作者允许转载。 一、背景 JWT(Json Web Token,RFC 7519)是常用的轻量级授权认证手段,常用于Web服务校验客户端身份。JWT分为三部分: Header:头部,明文,比如密钥IDkid、或者签名算法alg等等 Payload:内容,明文,包含了业务的信息,比如可以加入一些不敏感的clientId等字段 Signature:签名,利用“加密算法”对JWT进行签名,保证没有被篡改过 值得注
生成jwt时使用签名算法生成签名部分
Tiger_Paul的博客
06-01 1139
生成jwt时使用签名算法生成签名部分:(1)基于HS256签名算法 (2)基于RS256签名算法
JWT signature
weixin_40628940的博客
01-31 7575
error while running API "JWT signature does not match locally computed signature. JWT validity cannot be asserted and should not be trusted." 背景:在Windows搭建Hygieia,第一次注册没问题。过了几天,重新启动Hygieia,在启动UI的时候,就...
JWT简单了解
minion_banana的博客
04-25 1127
JWT:JSON Web Token 最近看一个项目,用到了JWT做身份验证,在此做一些笔记以及记录,以防止将来忘记,如有错误请指正。 一、JWT原理 JWT的原理是,服务器认证以后生成一个JSON对象,发回给用户,像下面: { "姓名": "张三", "角色": "管理员", "到期时间": "2019年7月1日0点0分" } 以后用户和服务端通信时,...
JwtUtil.rar_Jwt签名生成_jwtutil_jwt文件上传
09-20
这个信息可以被验证和信任,因为它是数字签名的。JWTUtil是Java中用于处理JWT的工具类,通常包括JWT的生成、解析和验证功能。 JWT签名生成是JWT安全性的重要环节。JWT由三部分组成:头部(Header)、载荷(Payload...
JWT的RS256和HS256签名算法Demo.zip
03-23
这个信息可以被验证和信任,因为它是数字签名的。JWT通常用于认证和授权,例如API的身份验证。 在JWT中,签名算法是关键部分,用于确保JWT的完整性和防止篡改。这里提到的`HS256`和`RS256`是两种常见的签名算法。 ...
用springboot+shiro+jwt写的简单的登录模块
07-14
这个信息可以被验证和信任,因为它是数字签名的。在Web应用程序中,JWT常用于实现状态less的认证,即服务器验证用户身份后,不再存储会话状态,而是返回一个JWT,用户后续请求携带此JWT即可。这种方式减少了服务器的...
jwt在线解密网站,可用于jwt的解码
03-10
这种信息可以被验证和信任,因为它是数字签名的。JWT被广泛用于身份验证和授权场景,例如API认证、单点登录(SSO)等。 JWT由三个部分组成: 1. **Head头部**:这是一个JSON对象,包含了JWT的元数据,通常包括JWT...
JWT签名算法
qq_45837711的博客
10-31 116
数字签名的具体实现,通常是先对数据进行一次 Hash 摘要(SHA1/SHA256/SHA512 等),然后再使用非对称加密算法(RSA/ECDSA 等)的私钥对这个摘要进行加密,这样得到的结果就是原始数据的一个签名。用户在验证数据时,只需要使用公钥解密出 Hash 摘要,然后自己再对数据进行一次同样的摘要,对比两个摘要是否相同即可。RS256:使用私钥进行签名,公钥进行验证,公钥泄露无影响,确保私钥安全。ES256:私钥签名,公钥验证,与RS256算法长度,算法速度差不多,签名长度相对短。
JWT:我应该使用哪种签名算法?
farway000的博客
09-02 2372
JWT:我应该使用哪种签名算法?JSON Web Token (JWT) 可以使用许多不同的算法进行签名:RS256、PS512、ES384、HS1;当被问及他们想使用哪一个时,您就会明白...
普通数字签名JWT中的数字签名的区别
zhpf225的博客
08-23 718
数字签名 数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接受者。接受者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对接收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,在传输的过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。数字签名是一个加密的过程,数字签名验证是一个解密的过程。 JWT(Java web TokenJWT本身是为了解决服务端的token存储的问题,为了避免服务端存储大量的token,服务端可以
JWT与Signature
太古时代的专栏
03-15 2393
https://www.cnblogs.com/leslies2/p/7442956.html
OAuth2:使用JWT和加密签名
冲出仁川,走出马德里,故事还会再继续
03-05 5365
OAuth2:使用JWT和加密签名1、简介2、使用JWT以及对称密钥签名的令牌2.1 使用JWT2.2 实现授权服务器以颁发JWT2.2.1 项目依赖2.2.2 配置JwtTokenStore2.2.3 为授权服务器配置用户管理2.2.4 启动项目获取访问令牌2.3 实现使用JWT的资源服务器2.3.1 项目依赖2.3.2 添加测试端点2.3.3 资源服务器的配置类2.3.4 测试3、使用通过JWT和非对称密钥签名的令牌3.1 什么是非对称密钥对?3.2 生成密钥对3.3 实现使用私钥的授权服务器3.3.1
Django-jwt token生成源码分析
weixin_30906671的博客
07-21 201
一. 认证的发展历程简介   这里真的很简单的提一下认证的发展历程。以前大都是采用cookie、session的形式来进行客户端的认证,带来的结果就是在数据库上大量存储session导致数据库压力增大,大致流程如下:   在该场景下,分布式、集群、缓存数据库应运而生,认证的过程大致如下:   不过该方式还是缓解不了数据库压力,一个项目中应该尽可能多的减少IO操作,于是后来采用签名的...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值