jwt认证机制优势和原理_三分钟带你了解JWT认证

最新推荐文章于 2024-03-26 09:08:40 发布
最新推荐文章于 2024-03-26 09:08:40 发布
阅读量661 收藏 1
点赞数
文章标签: jwt认证机制优势和原理 springcloud中jwt的使用

目录

  • 一、JWT简介
  • 二、JWT认证和session认证的区别
  • 三、JWT认证流程
  • 四、JWT组成
  • 五、JWT使用场景

一、JWT简介
JSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。
更多信息可以查看官网:https://jwt.io/introduction/二、JWT认证和session认证的区别

  1. session认证

http协议是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发送的请求,所以为了让我们的应用能识别是哪个用户发出的,我们只能在服务器存储一份用户登陆的信息,这份登陆信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用个就能识别请求来自哪个用户了,这就是传统的基于sessino认证。

  1. JWT认证

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或会话信息。这也就意味着JWT认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。三、JWT认证流程

0460c5f58ad236fbc5b10a933348e24b.png


认证流程如下:

  1. 用户使用账号和密码发出post请求;
  2. 服务器使用私钥创建一个jwt;
  3. 服务器返回这个jwt给浏览器;
  4. 浏览器将该jwt串在请求头中像服务器发送请求;
  5. 服务器验证该jwt;
  6. 返回响应的资源给浏览器。

四、JWT组成
先来看一张JWT的信息的截图:

5f19cb8d6bd7a008a35a7f487f963105.png


从上图可以看到,JWT含有三部分:头部(header)、载荷(payload)、签名(signature)。

  1. 头部(header)

JWT的头部有两部分信息:

  • 声明类型,这里是JWT
  • 声明加密的算法,通常直接使用HMAC SHA256

头部示例如下:
{ "alg": "HS256", "typ": "JWT" }
头部一般使用base64加密,加密后密文:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

  1. 载荷(payload)

该部分一般存放一些有效的信息。JWT的标准定义包含五个字段:

  • iss:该JWT的签发者
  • sub: 该JWT所面向的用户
  • aud: 接收该JWT的一方
  • exp(expires): 什么时候过期,这里是一个Unix时间戳
  • iat(issued at): 在什么时候签发的

载荷示例如下:
{ "sub": "1234567890", "name": "Java碎碎念", "iat": 1516239022 }

  1. 签名(signature)

前面两部分都是使用Base64进行编码的,即前端可以解开知道里面的信息。signature 需要使用编码后的header和payload以及我们提供的一个密钥,然后使用header中指定的签名算法(HS256)进行签名。签名的作用是保证 JWT 没有被篡改过。
三个部分通过.连接在一起就是我们的 JWT 了,所以我们生成的JWT如下:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphdmHnoo7noo7lv7UiLCJpYXQiOjE1MTYyMzkwMjJ9.LLJIkhJs6SVYlzn3n8fThQmhGutjTDI3RURTLtHV4ls
注意:密钥就是用来进行JWT的签发和JWT的验证,所以,它就是你服务端的私钥,在任何场景都不应该泄露出去。五、JWT使用场景
JWT主要使用场景如下:

  • 授权

这是JWT使用最多的场景,一旦用户登录,每个后续的请求将包括JWT,从而允许用户访问该令牌允许的路由、服务和资源。

  • 信息交换:JSON

JWT可以用在各方之间安全地传输信息,因为JWT可以进行签名,所以您可以确定发件人是他们所说的人。另外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否未被篡改。
到此JWT的基础和认证原理已经讲完了,下一篇文章将介绍下SpringBoot中整合JWT,敬请期待哦。推荐阅读
1.利用SpringBoot+Logback手写一个简单的链路追踪
2.SpringBoot中如何优雅的读取yml配置文件?
3.SpringBoot中如何灵活的实现接口数据的加解密功能?
4.SpringBoot中神奇的@Enable*注解?
5.Java中Integer.parseInt和Integer.valueOf,你还傻傻分不清吗?
关注 每天不定时更新

weixin_39653733
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ad域管理与维护_详解Windows Server 2016如何搭建AD服务器(图文教程)
weixin_39915267的博客
11-24 1万+
概述今天主要分享怎么在Windows Server 2016服务器上去搭建AD服务器,先介绍下相关概念。相关概念1、AD 域服务什么是目录(directory)呢?日常生活使用的电话薄内记录着亲朋好友的姓名、电话与地址等数据,它就是 telephone directory(电话目录);计算机的文件系统(file system)内记录着文件的文件名、大小与日期等数据,它就是 file direc...
浅谈ASP.NET Core jwt授权认证的流程原理
10-15
ASP.NET Core JWT(JSON Web Tokens)授权认证是一种安全机制,用于验证用户身份并授权访问受保护的API资源。JWT 是一个轻量级的身份验证标准,它允许服务器通过发送一个自包含的令牌来确认用户身份,而不是...
jwt与session的区别
weixin_58775072的博客
11-03 4584
jwt与session的区别总结
JWT(一):JWT与seesion对比
INNNNNK的博客
04-07 818
JWT原理及实现 一、JWT是什么 JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally
用户认证:session和JWT的区别
weixin_39307273的博客
08-14 4529
背景知识: Authentication和Authorization的区别: Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。 Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。 由于http协议是无状态的,每一次请求都无状态。当一个用户通过用户名和密码登录了之后,他的下一个请求不会携任何状态,应用程序无法知道他的身份,那就必须重新认证
jwt 私钥_使用JWT实现Token认证
weixin_39745013的博客
12-21 192
JSON Web Token的结构是什么样的JSON Web Token由三部分组成,它们之间用圆点(.)连接。这三部分分别是:HeaderPayloadSignature因此,一个典型的JWT看起来是这个样子的:xxxxx.yyyyy.zzzzz接下来,具体看一下每一部分:Headerheader典型的由两部分组成:token的类型(“JWT”)和算法名称(比如:HMAC SHA256或者RSA...
详解用JWTSpringCloud进行认证和鉴权
08-26
"详解用JWTSpringCloud进行认证和鉴权" 本文主要介绍了使用JSON WEB TOKEN(JWT)对SpringCloud进行认证和鉴权的详细过程。JWT是一种基于RFC 7519标准定义的可以安全传输的小巧和自包含的JSON对象。由于数据是...
Python 基于jwt实现认证机制流程解析
09-16
主要介绍了python 基于jwt实现认证机制流程解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现是认证流程的一种重要方式,它可以帮助我们实现安全的认证和授权。通过使用SpringSecurity+JWT,我们可以实现基于token的认证方式,以便更好地保护我们的系统。 七、参考资料 * ...
详解Django配置JWT认证方式
09-16
在本文,我们将深入探讨如何在Django框架配置JSON Web Token(JWT认证JWT是一种轻量级的身份验证机制,允许服务器通过一个令牌(token)来确认客户端的身份,而无需在每次请求时发送用户名和密码。Django ...
JWT 实现 token 认证
javaTalk
06-15 6414
目录 一 什么是 JWTJWT 适用场景 2.1 认证 2.2 信息交换 三 几种认证方式 3.1 session 认证 3.2 token 认证JWT 的数据结构 4.1 header 4.2 playload 4.3 signature 4.4 总结 五 JWT使用方式 六 JWT的优点 七 JWT使用注意 八 JWT 等待解决的问题 九 参...
Oauth2---JWT非对称加密 的公钥和私钥、验证token是否合法
awodwde的博客
02-20 3623
非对称加密算法需要两个密钥: 公开密钥 和 私有密钥。 公钥和私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。 甲方 生成一对密钥,将公钥公开,需要向甲方发送信息的其他角色(乙方)使用公钥对机密信息进行加密之后发送给甲方。甲方再利用自己的私钥对加密后的信息进行解密 私钥签名令牌 公钥验证 (项目JWT原理) 张三有两把钥匙,一把是公钥,另一把是私钥。 张三把公钥送给他的朋友们----李四、王五、赵六----每人一把。 李四要给张三写一封保密的信。她写完后用张三的公钥加密,就可.
JWT教程:生成私钥和公钥、生成jwt令牌、验证jwt令牌
学亮编程手记
08-03 3941
Spring Security 提供对JWT的支持,本节我们使用Spring Security 提供的JwtHelper来创建JWT令牌,校验JWT令牌等操作。
JWT和Session的区别
林隐的博客
12-02 1124
JWT和Session的区别
jwt-生成私钥和公钥
minihuabei的博客
08-23 3091
Spring Security 提供对JWT的支持,本节我们使用Spring Security 提供的JwtHelper来创建JWT令牌,校验JWT令牌。-keystore:密钥库文件名,xc.keystore保存了生成的证书。下边命令生成密钥证书,采用RSA 算法每个证书包含公钥和私钥。将上边的公钥拷贝到文本文件,合并为一行。-storepass:密钥库的访问密码。-keyalg:使用的hash算法。JWT令牌生成采用非对称加密算法。-keypass:密钥的访问密码。-alias:密钥的别名。
jwt和传统session的区别?
s_156的博客
05-19 883
jwt和传统session的区别? 传统的session认证 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。 基于session认证所显露的问题。 这种模式的问题在于,扩展性(
【微服务JWT使用RSA工具生成公钥和私钥(第一部分)
weixin_64941496的博客
12-14 1750
RSA公开密钥密码体制是一种使用不同的加密密钥与解密密钥,“由已知加密密钥推导出解密密钥在计算上是不可逆的”密码体制。在公开密钥密码体制,加密密钥(即公开密钥)PK是公开信息,而解密密钥(即秘密密钥)SK是需要保密的。加密算法E和解密算法D也都是公开的。虽然解密密钥SK是由公开密钥PK决定的,但却不能根据PK计算出SK [2]。RSA加密:非对称加密。同时生产一对秘钥:公钥和私钥。公钥秘钥:用于加密私钥秘钥:用于解密既然是加密,那肯定是不希望别人知道我的消息,所以只有我才能解密,所以可得出。
jwt有公钥私钥吗
最新发布
m0_57236802的博客
03-26 544
是的,JSON Web Tokens (JWT) 在使用RS256(RSA Signature with SHA-256)这类基于RSA的签名算法时,会涉及到公钥和私钥。JWT也可以使用对称密钥(如HS256 - HMAC with SHA-256)进行签名,但在这种情况下,只使用一个密钥来签名和验证,这个密钥在发送者和接收者之间共享。
我想了解jwt认证原理
03-27
JWT(JSON Web Token)是一种轻量级的认证和授权机制,它可以在网络传递信息并保证信息的安全性。JWT 的基本原理使用一个 JSON 对象作为载荷,将一些有关用户身份的信息加密,并生成一个签名,然后将其作为字符...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值