JWT(JSON Web Token)

最新推荐文章于 2023-10-13 11:50:32 发布
VIP文章 最新推荐文章于 2023-10-13 11:50:32 发布
阅读量242 收藏
点赞数
分类专栏: Java 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40927436/article/details/111885559
版权

什么是JWT(JSON Web Token)?

JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSAECDSA的公钥/私钥对对JWT进行签名

1.JWT能做什么?

  • 授权:这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单一登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。

  • 信息交换:JSON Web令牌是在各方之间安全地传输信息的好方法。因为可以对JWT进行签名(例如,使用公钥/私钥对),所以您可以确定发件人是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否遭到篡改。

2. JWT的结构

JSON Web Token以紧凑的形式由三部分组成,这些部分由点(.)分隔,分别是:

- Header(标头)
- Payload(有效载荷)
- Signature(签名)

因此,JWT通常如下所示。

xxxxx.yyyyy.zzzzz
Header

标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如HMAC SHA256或RSA。使用Base64UrlEncode编码组成JWT结构的第一部分

{
  "alg": "HS256",
  "typ": "JWT"
}
Payload

令牌的第二部分有效负载。其包含声明。声明是有关实体(通常是用户)类和其他数据的声明。同样使用Base64UrlEncode编码组成第二部分。 不要存放敏感信息。

{
	"sub":"123456"
	"name":"John Doe"
	"admin":true
}
Signature

前面两部分都是使用base64进行编码。及前端可以知道里面的信息。signature需要使用编码后的header和payload以及我们提供的一个密钥。然后使用header中指定的签名算法进行签名。签名的作用是保证jwt没有被篡改过。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
  )

签名的目的: 最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被篡改。

如果有人对头部信息内容进行篡改,在进行编码,加上之前的签名组合形成新的jwt的话

最低0.47元/天 解锁文章
绿头龙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
一篇文章Jwt快速入门
cV展示的学习园
07-23 235
JWT实战笔记 ① JWT概述 官网解释: JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digi
jwt 原理
weixin_48334703的博客
10-05 1854
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
JWTJWTVerifier
mingzq123的博客
03-27 708
verify(Algorithm algorithm):使用指定的算法验证JWT的签名是否有效。withAudience(String... audience):指定JWT的受众(audience),以确保该JWT只能被特定的受众使用。withSubject(String subject):指定JWT的主题(subject),以确保该JWT只能用于特定的目的或场景。withIssuer(String issuer):指定JWT的发行者(issuer),以确保该JWT只能由特定的发行者签发。
JWT详解及使用(Springboot整合)
m0_59508658的博客
09-06 892
什么是JWT JWTJSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 也就是通过JSON形式作为 Web应用中的令牌,用于在各方之间安全的将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。 通俗的讲就是一个json形式的web应用令牌。 什么时候..
一篇文章让你学会JWT令牌认证
Java是世界上最好的语言
12-18 1891
用户每次访问后台的时候,如果是一些需要认证的链接,都需要识别用户身份,比如用户抢单、用户中心等,在传统项目中用的是Session,但在微服务中不建议使用Session,使用JWT令牌。 1. 初识JWT JWT简称JSON Web Token ,也就是通过json形式作为web应用的令牌,用在各方之间安全的将信息作为json对象传输,在数据传输过程中还可以完成数据加密,签名相关处理 。 JWT令牌作用: 身份授权:这是使用jwt的最常见方案,一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该领牌
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
json web token for C# dll文件,亲测可用,直接添加引用即可
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
JWT-JSON Web Token實作分享1
08-08
JWT-JSON Web Token實作分享1
编程不良人JWT笔记
拧发条鸟的博客
07-15 878
JWT 1.简介 1.含义 JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于各方之间安全地将信息作为JSON对象传输,在数据传输的过程中还可以完成数据加密、签名等相关处理。 2.认证流程 1.认证流程 - 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。 - 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Paylo
JWT的问题记录:关于授权服务器的时间同步问题
changlu1119的博客
01-11 3446
在开发当中使用了JWT做登陆验证,结果碰到授权服务器的时间老是快20s的问题,导致业务服务器拿到token再去解析的时候会报解析错误,因为生产token的时候会把当前时间加上过期时间写到claims中,其中有一个方法setNotBefore,就是解析时间不能在生产token之前。 我本身只是个码农,之前在linux服务环境下也没碰到过这个问题,现在客户要求windows(因为他们想自己维护服务器
JWT认证实现
qq_36636312的博客
12-07 4107
1,jwt认证流程图 2,token组成 Header+Playload+Signature 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 头部存储认证类型和加密算法,将此json使用Base64编码可得到如下个格式的字符串: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 有效载荷(Playload): { "role": [], "iss": "baidu", "exp": 1638841050,
JWT,这一篇就够了
qq_18841277的博客
09-05 606
比如客户端传入 Header(A)、Payload(B)、Signature(C),我们需要通过A、B和密钥通过Base64编码后的值和C进行对比,如果值相同则正确。包含两个部分:令牌的类型和所使用的签名算法.标头使用的是Base64编码,注意Base64编码不是一种加密的过程,可以被解码为初始值。签名是将编码后的(标头、有效载荷和我们提供的一个密钥)和我们Header中指定的签名算法进行编码。有效载荷存放的是用户的数据信息,通过Base64进行加密,不要在Payload中存放重要的值。
彻底弄懂GMT、UTC、时区和夏令时
JWT的博客
02-23 5349
前言 格林威治时间、世界时、祖鲁时间、GMT、UTC、跨时区、夏令时,这些眼花缭乱的时间术语,我们可能都不陌生,但是真正遇到问题,可能又不那么确定,不得不再去查一查,处理完可能过段时间又忘记。今天,我们彻底来梳理一下它们。 一、GMT 什么是GMT GMT(Greenwich Mean Time), 格林威治平时(也称格林威治时间)。 它规定太阳每天经过位于英国伦敦郊区的皇家格林威治天文台的时间为中午12点。 GMT的历史 格林威治皇家天文台为了海上霸权的扩张计划,在十七世纪就开始进行天体观测。为了天文观测
jwt token实例操作
weixin_30767835的博客
08-31 1636
最近在做一个app,登录验证是用的jwttoken验证,今天来记录一下...... 我的本次实例操作主要参考了下面资料 https://jwt.io/introduction/ https://blog.csdn.net/jikeehuang/article/details/51488020 https://www.cnblogs.com/ganchuanpu/archive/2017/...
JWT 如何解码和获得令牌失效的日期
HONEY MOOSE
10-13 2246
如果你有一个 JWT 的字符串。 你在使用 JWT 的时候可能希望了解 JWT 这个令牌过期的时间。你可以对 JWT进行解码,解码的网站是 JWT 的官网 。 访问上面的网站,然后将你的 JWT 字符串拷贝到需要解码的字符串上,然后对字符串进行解码。 在解码的对象后,你会看到 exp。 上面的 exp 就是JWT 过期的日期。 JWT 的 exp 是一个数字的组合,这是因为这个字符串使用的是 Unix 的时间。 1970年, Unix正式诞生,在第一版《Unix Programm..
关于jwt过期时间的问题
05-24 3819
相信使用jwt这种规范进行鉴权的同学们都会遇到这样一个问题:“token过期了怎么处理?“” 假设一个场景: 你在生成token的时候设置了过期时间,假设过期时间为2个小时。 假如用户是0点登录的,那么签发给他的这个token应该在2:00过期,但是用户在1:59还在你的网站或者APP上操作,2点突然就被告知需要重新登录,是不是很郁闷! 本来就应该是用户一直在浏览你的网站,那么他...
关于JWT登录拦截验证token方式一
weixin_46098310的博客
03-31 1777
SpringBoot+Mybatis-plus+Mysql+JWT
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
最新发布
CYK_byte的博客
10-13 6655
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JSON Web Token简单案例
05-25
好的,下面是一个简单的基于 JSON Web TokenJWT)的身份验证案例: 1. 安装所需的库 ``` pip install pyjwt ``` 2. 生成JWT Token ```python import jwt import datetime # 定义过期时间 expire_time = datetime.datetime.utcnow() + datetime.timedelta(minutes=30) # 定义payload payload = { 'user_id': '123456', 'username': 'john', 'exp': expire_time } # 生成token jwt_token = jwt.encode(payload, 'secret_key', algorithm='HS256') print(jwt_token) ``` 上述代码中,我们使用了 pyjwt 库来生成 JWT Token。它的 encode() 方法接收三个参数:payload、密钥和算法。payload 是一个字典,包含我们想要在 Token 中存储的信息,例如用户ID、用户名、过期时间等等。密钥是一个字符串,用于加密 Token。算法是指用于加密 Token 的算法,这里我们选择了 HS256。 3. 验证JWT Token ```python import jwt # 定义Token jwt_token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoiMTIzNDU2IiwidXNlcm5hbWUiOiJqb2huIiwiZXhwIjoxNjMxMzEwMDUzfQ.XsDEjcd7jH8qC-6pZlWjZaFvDz-pT8NvQYrWb8I3-5c' # 验证Token try: decoded_token = jwt.decode(jwt_token, 'secret_key', algorithms=['HS256']) print(decoded_token) except jwt.ExpiredSignatureError: print('Token已过期') except jwt.InvalidTokenError: print('无效的Token') ``` 上述代码中,我们使用了 pyjwt 库的 decode() 方法来验证 Token。它接收三个参数:Token、密钥和算法。如果 Token 有效,则返回包含信息的字典。如果 Token 过期或无效,则会引发 jwt.ExpiredSignatureError 或 jwt.InvalidTokenError 异常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值