JWT协议学习笔记

最新推荐文章于 2024-04-22 08:53:10 发布
最新推荐文章于 2024-04-22 08:53:10 发布
阅读量419 收藏
点赞数
文章标签: json 数据结构与算法 python
原文链接:https://my.oschina.net/u/2382040/blog/3042605
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

官方 https://jwt.io

英文原版 https://www.ietf.org/rfc/rfc7519.txthttps://tools.ietf.org/html/rfc7519

中文翻译 https://www.jianshu.com/p/10f5161dd9df

 

1. 概述

JSON Web Token(JWT)是一种紧凑的、URL安全的方法用来表示

在两个部分之间的传输声明. 通常由2种实现: JWS=JSON Web Signature,JWE=JSON Web Encryption。实际上JWT包含了一个大家族。

https://tools.ietf.org/html/rfc7515 = JWS

https://tools.ietf.org/html/rfc7516 =JWE

https://tools.ietf.org/html/rfc7517 = JWK

https://tools.ietf.org/html/rfc7518 = JWA

https://tools.ietf.org/html/rfc7519 = JWT

https://tools.ietf.org/html/rfc7520 =JOSE

 

2.定义

JWS

 

JSON Web Signature (JWS) represents content secured with digital signatures or Message Authentication Codes (MACs) using JSON-based data structures.

JSON Web Signature (JWS)表示使用基于JSON的数据结构用数字签名或消息身份验证代码(MACS)保护的内容。

JWE

JSON Web Encryption (JWE) represents encrypted content using JSON-based data structures.

JSON Web Encryption(JWE)表示基于JSON数据结构的加密内容。

JWK

A JSON Web Key (JWK) is a JavaScript Object Notation (JSON) data structure that represents a cryptographic key.

JSON Web Key(JWK)是一个表示加密密钥的JSON数据结构。

JWA

This specification registers cryptographic algorithms and identifiers to be used with the JSON Web Signature (JWS), JSON Web Encryption (JWE), and JSON Web Key (JWK) specifications.

本规范注册了密码算法和标识符。用于JSON Web签名(JWS)、JSON Web加密

(JWE)和json web key(JWK)规范。

 

仔细扣字眼去理解以上文绉绉的定义,可以发现 JW(*)家族并不是同级关系。

举个不是很恰当的例子:

一个json:

{"action":"8点进攻"},

对这个json做数字签名,用然后用 内容 || "." || 签名 的格式包装

{"action":"8点进攻"}.eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJIUzI1NiJ9

这个就是JWS

 

对这个json

{"action":"8点进攻"}

{"action":"8点进攻"}.eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJIUzI1NiJ9

加密,形成

05kLzcSr4qKAq7YN7e9jwQRb23

这个就是JWE.

 

以上例子说明JSE和JSW的核心区别是一个签名(数据没有被篡改,来源是真实),一个加密(明文无法被第三者知晓)。一般把JSE作为多JWT的实现用来做网站的请求验证。

 

 

3.结构

 

 

格式

例子,注意标点 . 的存在

JWS

BASE64URL(UTF8(JWS Protected Header)) || '.' ||

BASE64URL(JWS Payload) || '.' ||

BASE64URL(JWS Signature)

eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJIUzI1NiJ9

.

eyJpc3MiOiJqb2UiLA0KICJleHAiOjEzMDA4MTkzODAsDQogImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ

.

dBjftJeZ4CVP-mB92K27uhbUJU1p1r_wW1gFWFOEjXk

JWE

BASE64URL(UTF8(JWE Protected Header)) || '.' ||

BASE64URL(JWE Encrypted Key) || '.' ||

BASE64URL(JWE Initialization Vector) || '.' ||

BASE64URL(JWE Ciphertext) || '.' ||

BASE64URL(JWE Authentication Tag)

eyJhbGciOiJSU0EtT0FFUCIsImVuYyI6IkEyNTZHQ00ifQ.

OKOawDo13gRp2ojaHV7LFpZcgV7T6DVZKTyKOMTYUmKoTCVJRgckCL9kiMT03JGe

ipsEdY3mx_etLbbWSrFr05kLzcSr4qKAq7YN7e9jwQRb23nfa6c9d-StnImGyFDb

Sv04uVuxIp5Zms1gNxKKK2Da14B8S4rzVRltdYwam_lDp5XnZAYpQdb76FdIKLaV

mqgfwX7XWRxv2322i-vDxRfqNzo_tETKzpVLzfiwQyeyPGLBIO56YJ7eObdv0je8

1860ppamavo35UgoRdbYaBcoh9QcfylQr66oc6vFWXRcZ_ZT2LawVCWTIy3brGPi

6UklfCpIMfIjf7iGdXKHzg.

48V1_ALb6US04U3b.

5eym8TW_c8SuK0ltJ3rpYIzOeDQz7TALvtu6UG9oMo4vpzs9tX_EFShS8iB7j6ji

SdiwkIr3ajwQzaBtQD_A.

XFBoMYUZodetZdvTiFvSkQ

JWK

 

{"kty":"EC",

"crv":"P-256",

"x":"f83OJ3D2xF1Bg8vub9tLe1gHMzV76e8Tus9uPHvRVEU",

"y":"x_FEzRu9m36HLN_tue659LNpXW6pCyStikYjKIWI5a0",

"kid":"Public key used in JWS spec Appendix A.3 example"

}

转载于:https://my.oschina.net/u/2382040/blog/3042605

weixin_34355715
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT简单介绍
weixin_40296254的博客
07-30 589
大家好,我是IT修真院上海分院第5期学员,一枚正直善良的JAVA程序员。 今天给大家分享一下,修真院官网JAVA任务5中的深度思考,JWT简单介绍? 一、背景介绍 JSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间以JSON对象安全地传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密即secret(使用HMA...
jwt协议
weixin_42283818的博客
07-04 284
介绍各种协议
什么是JWTJWT全称是(Json Web Token)
最新发布
Romantic丶的博客
04-22 906
Jwt是一种认证协议,常见的用户名、密码登录去请求接口不安全,所以就有了它,就首次或者过期了,才会要求输入用户名密码,之后会对信息加密,并产生一个token(令牌),便于下次访问,服务期内Api资源;私钥加密,应用端公钥解密token。
编程界Token的另一种最佳协议JWT
qianfeng_dashuju的博客
04-28 343
       JWT全称json web token,是一种基于JSON的开放标准(RFC 7519)协议,适用场景比如现在流行的分布式环境当中,非常适用跨平台应用程序。  比较  · 传统的Session是保存在服务器当中,或者内存数据库。  · JWT保存的则是在客户端中。  结构  JWT由3个部分组成,用.分隔  · Header  · Payload  · Signature  JWT通...
什么是 JWT(Json Web Token)
wjiaman
10-27 953
一、身份认证  常见的服务器端身份认证机制有两种,分别为: 1.基于 session 的认证机制  HTTP 是一种无状态的协议,这意味着若无登录态维持机制,则每次请求时都需要提交用户名与密码进行身份验证,而 session 机制就是用于在服务器端记录用户的登录状态。  session 是一串在服务器生成的字符串,用以唯一地标识一个用户。第一次身份验证后,服务器生成一串字符串并将字符串保存在服务端,同时将该字符串写入返回的响应头(Cookie字段)。浏览器在收到字符串后,将该字符串保存为 Cookie。同一
JWT详解
zou8944的博客
12-21 4313
本文介绍JWT组成原理及适用范围。 概览 JWT,全称JSON Web Token,是一种包含信息的Token,相较于普通的Token,唯一多的内容是:包含部分信息。与JWT相关的协议比较简单,但数量较多,本文只是对此加以总结。 JWS-rfc7515 JWE-rfc7516 JWK-rfc7517 JWA-rfc7518 JWT-rfc7519 术语说明 这其中会涉及到很多简写,先介绍一下 JWS:JSON Web Signature,表示使用基于JSON的数据结构,对内容进行数字签名或MAC。具
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
JWT学习笔记1
08-03
背景了解户身份认证的种式、session验证1、客户端使户名和密码请求登录2、服务端接收请求,验证信息,成功后,在当前对话(session)保存相关数据,如户、
jwt学习Spring-security
01-18
jwt学习Spring-security Spring Security 是一个广泛使用的 Java 认证和授权框架,用于保护基于 Java 的 web 应用程序。它提供了一个灵活的安全机制来保护 web 应用程序免受未经授权的访问。Spring Security 提供...
JWT学习资料.zip
11-18
这是一份jwt学习资料,里面有jwt的相关教程和实战代码。
JWT学习1
08-08
签证、签名(signature) jwt的第三部分是一个签证信息,这个签证信息由三部分组成: header (base64后的) payload (base6
jwt 认证
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-13 8416
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。1. 基于token的认证当用户成功登录系统并成功验证有效之后,服务器会利用某种机制产生一个token字符串,这个token中可以包含很多信息,例如来源IP,过期时间,用户信息等, 把这个字符串下发给客户端,客户端在之后的每次请求中都携带着这个token,携带方式其实很自由,无论是cookie方式...
JWT介绍及使用
chenxy02的博客
12-12 486
参考地址:五分钟带你了解啥是JWT - 知乎 1、JSONWebToken是什么 JSONWebToken(JWT)是一个开放标准,它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2、什么时候用JSONWebToken 下列场景中使用JSON Web Token是很有用的: Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的......
JWT 详解
兴趣是最好的老师,勤能补拙
05-25 2334
JWT(JSON Web Token)是一种基于JSON格式的轻量级的、用于身份认证的开放标准。它通过在用户和服务器之间传递一个安全的、可靠的、独立的JSON对象来进行身份验证和授权。它如今被广泛应用在RESTful API中,因为RESTful API通常不会维持任何状态信息。
JWT 介绍与使用
kaichenkai
08-17 225
关于JWT 1.什么是JWTJWT是Json web token的简称,是为了在网络应用环境之间传递声明而执行的一种基于JSON的开放标准((RFC 7519 ),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信...
JWT和OAuth2.0
Kard的博客
12-31 8304
JWT是一种认证协议,提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。SSO私钥加密token。应用端公钥解密token。 OAuth2.0是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。
从零开始,构建前后端分离的博客系统三(jwt认证协议与RBAC用户角色权限的实践)
ykersimple的博客
01-24 847
因为期末考试加上种种原因,没有及时更新博客,趁着假期时间,将欠下的债补上。 在之前的博客系统代码中前端路由控制是通过登陆请求,成功返回uuid给前端,然后前端通过验证是否有uuid来实现前端路由的权限控制。在之后设计中,我意识到两个重要的问题 问题一: 当api获取方式只有我一个人知道的时候,这种api访问无控制问题或许无关紧要,但是当有其他人知道,并借此来攻击我的服务器,那么我的服务器就只能...
JWT简介、JWT优缺点、JWT使用方法、.NET6使用JWT示例、JWT与Session对比
热门推荐
08-21 1万+
JWT简介、JWT优缺点、JWT使用方法、.NET6使用JWT示例、JWT与Session对比
hutool jwt
08-12
Hutool是一个Java工具库,而JWT是一用于认证和授权的标准化方法。Hutool中提供了对JWT的支持,可以方便地进行JWT的生成、解析和验证操作。 要在Hutool中使用JWT,你需要添加Hutool的依赖包到你的项目中。具体使用方法如下: 1. 添加Maven依赖(如果你使用Maven构建项目): ```xml <dependency> ***</dependency> ``` 2. 创建JWT对象并设置相关参数: ```java // 密钥 String secret = "your_secret_key"; // 创建JWT对象 Jwt jwt = JwtUtil.createJwt() .setAlgorithm(JwtAlgorithm.HS256) // 设置算法 .setSecret(secret) // 设置密钥 .setPayload("your_payload") // 设置载荷(可以是一个JSON字符串) .setExpiresAt(DateUtil.offsetMinute(new Date(), 30)); // 设置过期时间 // 生成JWT字符串 String jwtStr = jwt.generate(); ``` 3. 解析和验证JWT: ```java // 解析JWT字符串 Jwt jwt = JwtUtil.parseJwt(jwtStr); // 获取载荷信息 String payload = jwt.getPayload(); // 验证JWT是否有效 boolean isValid = jwt.validate(); ``` 这样,你就可以在Hutool中使用JWT进行认证和授权操作了。希望能对你有所帮助!如果有更多问题,请继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值