关于JSON WEB TOKEN(JWT)的一些理解

最新推荐文章于 2023-12-21 15:15:40 发布
最新推荐文章于 2023-12-21 15:15:40 发布
阅读量6.6k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42389160/article/details/114650346
版权

JWTtoke的一种形式。主要由header(头部)、payload(载荷)、signature(签名) 这三部分字符串组成,这三部分使用"."进行连接,完整的一条JWT值为 h e a d e r . {header}. header.{payload}.${signature}

header

注明使用何种算法制作签名

最开始其实是一个json对象,该JSON包含alg和typ这两个属性,其中alg是签名算法类型,生成JWT中的signature部分时需要使用到,默认为HS256,而typ是当前token类型

{
  "alg": "HS256",
  "typ": "JWT"
}

paylod

实际讯息的JSON

payload中存放着7个官方定义的属性

iss:签发人
sub:主题
aud:受众
exp:过期时间
nbf:生效时间
iat:签发时间
jti:编号

signature

利用header注明的算法制作出来的乱码

signature会使用header中alg属性定义的签名算法,对header和payload合并的字符串进行加密,加密过后得到的字符串就是signature

提供一个制作JWT的网站

制作JWT
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XPR1Grk7-1615393869470)(https://github.com/stanedward1/MyPicture/blob/master/2103/JWT.png?raw=true)]

下面用ruby来演示相关操作

1.安装gem包并bundle

cd testdemo
gem install jwt
vim Gemfile # add gem 'jwt'
bundle

2.rails c下实践

# 没有设定签名算法类型

2.7.2 :005 > payload = {data: 'test'}
 => {:data=>"test"} 
2.7.2 :006 > token = JWT.encode payload, nil, 'none'
 => "eyJhbGciOiJub25lIn0.eyJkYXRhIjoidGVzdCJ9." 
2.7.2 :007 > puts token
eyJhbGciOiJub25lIn0.eyJkYXRhIjoidGVzdCJ9.
 => nil 
2.7.2 :008 > decoded_token = JWT.decode token, nil , false
 => [{"data"=>"test"}, {"alg"=>"none"}] 
2.7.2 :009 > puts decoded_token
{"data"=>"test"}
{"alg"=>"none"}
 => nil 

# 签名算法类型设为HS256(HMAC using SHA-256 hash algorithm)
# HS256 使用同一个「secret_key」进行签名与验证(对称加密)。一旦 secret_key 泄漏,就毫无# 安全性可言了。
# 因此 HS256 只适合集中式认证,签名和验证都必须由可信方进行。

2.7.2 :011 > hmac_secret = "my secret text"
 => "my secret text" 
2.7.2 :012 > token = JWT.encode payload, hmac_secret, 'HS256'
 => "eyJhbGciOiJIUzI1NiJ9.eyJkYXRhIjoidGVzdCJ9.X-zKCN2I6HEvCUKysF3wNKzQ8MvpYhilh0GyA264dtQ" 
2.7.2 :013 > puts token
eyJhbGciOiJIUzI1NiJ9.eyJkYXRhIjoidGVzdCJ9.X-zKCN2I6HEvCUKysF3wNKzQ8MvpYhilh0GyA264dtQ
 => nil 
2.7.2 :014 > decoded_token = JWT.decode token, hmac_secret, true, { algorithm: 'HS256' }
 => [{"data"=>"test"}, {"alg"=>"HS256"}] 
2.7.2 :015 > puts decoded_token
{"data"=>"test"}
{"alg"=>"HS256"}
 => nil 
2.7.2 :016 > token = JWT.encode payload, nil, 'HS256'
 => "eyJhbGciOiJIUzI1NiJ9.eyJkYXRhIjoidGVzdCJ9.pVzcY2dX8JNM3LzIYeP2B1e1Wcpt1K3TWVvIYSF4x-o" 
2.7.2 :017 > puts token
eyJhbGciOiJIUzI1NiJ9.eyJkYXRhIjoidGVzdCJ9.pVzcY2dX8JNM3LzIYeP2B1e1Wcpt1K3TWVvIYSF4x-o
 => nil 
2.7.2 :018 > decoded_token = JWT.decode token, nil, true, { algorithm: 'HS256' }
Traceback (most recent call last):
        1: from (irb):18
JWT::DecodeError (No verification key available)
2.7.2 :019 > puts decoded_token
{"data"=>"test"}
{"alg"=>"HS256"}
 => nil 

# RS256 是使用 RSA 私钥进行签名,使用 RSA 公钥进行验证。公钥即使泄漏也毫无影响,只要确保私钥安全# 就行。
# RS256 可以将验证委托给其他应用,只要将公钥给他们就行。
2.7.2 :021 > rsa_private = OpenSSL::PKey::RSA.generate 2048
 => #<OpenSSL::PKey::RSA:0x00007f848afd3570> 
2.7.2 :022 > rsa_public = rsa_private.public_key
 => #<OpenSSL::PKey::RSA:0x00007f848aee8fe8> 
2.7.2 :023 > token = JWT.encode payload, rsa_private, 'RS256'
 => "eyJhbGciOiJSUzI1NiJ9.eyJkYXRhIjoidGVzdCJ9.J3o8GKKn_0vt_SJl3WINHXgd_u88H... 
2.7.2 :024 > puts token
eyJhbGciOiJSUzI1NiJ9.eyJkYXRhIjoidGVzdCJ9.J3o8GKKn_0vt_SJl3WINHXgd_u88Hqiar8J5yRTSk_BiiaMduRV1xnkHcBd8A62O08eNQH7gPyPPw2H2RqOUMPg9mVYfTHdyXWKKYipNQ2VVU7lzrXYIwOCHuZhSfzfZHbrMEn7Jc-Tc4Lq0t4FqqUeppIQ-o6yy41DSX_xpGBZ78MqpymkPhtGo871EUU08CXkSPIR8UZHu6YR8WFO-ZlrywgZjeFp6gfGdyb0lev3bV65D2pJsbHOYHToTcHLIum-2EYlu9VVfOuBTn_KncYdPcHVmgPPDTCBL2r487uVW_neUZDoHVGnbhekho57hn7aV-sbC18JP7aQEBiqQOw
 => nil 
2.7.2 :025 > decoded_token = JWT.decode token, rsa_public, true, { algorithm: 'RS2
56' }
 => [{"data"=>"test"}, {"alg"=>"RS256"}] 
2.7.2 :026 > puts decoded_token
{"data"=>"test"}
{"alg"=>"RS256"}
 => nil 

# ES256 和 RS256 一样,都使用私钥签名,公钥验证。算法速度上差距也不大,但是它的签名长度相对短很# 多(省流量),并且算法强度和 RS256 差不多。
2.7.2 :027 > ecdsa_key = OpenSSL::PKey::EC.new 'prime256v1'
 => #<OpenSSL::PKey::EC:0x00007f848a297ac8> 
2.7.2 :028 > ecdsa_key.generate_key
 => #<OpenSSL::PKey::EC:0x00007f848a297ac8> 
2.7.2 :029 > ecdsa_public = OpenSSL::PKey::EC.new ecdsa_key
 => #<OpenSSL::PKey::EC:0x00007f8489f75340> 
2.7.2 :030 > ecdsa_public.private_key = nil
 => nil 
2.7.2 :031 > token = JWT.encode payload, ecdsa_key, 'ES256'
 => "eyJhbGciOiJFUzI1NiJ9.eyJkYXRhIjoidGVzdCJ9.SCYVfzGZ1VtSHuiJhIdEhsEjE_GzU... 
2.7.2 :032 > puts token
eyJhbGciOiJFUzI1NiJ9.eyJkYXRhIjoidGVzdCJ9.SCYVfzGZ1VtSHuiJhIdEhsEjE_GzUKqDvWMa7By7jc4gtDDvVJss7_s1SCAeBcar2QKNoKy6pN9fSbcYCtFEzw
 => nil 
2.7.2 :033 > decoded_token = JWT.decode token, ecdsa_public, true, { algorithm: 'E
S256' }
 => [{"data"=>"test"}, {"alg"=>"ES256"}] 
2.7.2 :034 > puts decoded_token
{"data"=>"test"}
{"alg"=>"ES256"}
 => nil

以上三种算法便是JWT中常用的几种算法,并附上我在简书上看到的一个例子!

JWT 构建Rails API 授权登录

本篇文章由一文多发平台ArtiPub自动发布

LongBiu
关注
一篇文章理解JWTJson Web Tokens)
Spring , Hadoop, Spark , BI , ML
04-20 1893
JWT(JSON Web Tokens)是一项RFC的标准,由RFC 7519定义,用于两个实体之间安全地传输用JSON表示的数据。在传输过程中,JWT表现为一个字符串,可以通过HTTP的参数或者Header传输,由三部分字符串用点号相连,格式如下: header.payload.signature eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJ1c2VySW...
JWT(JSON Web Tokens)的介绍
jun2016425的博客
03-23 656
JWT是什么作用是什么?什么是JSON Web Token?什么时候应该使用JSON Web Token?JSON Web Token结构是什么?头部有效载荷签名三部分组合在一起JSON Web Token是如何工作的? JWT 英文全程是Json Web Token. 什么是JSON Web Token? JSON Web Token (JWT)是一种开放标准(RFC 7519),它定义了一种紧凑和自包含的方式,用于作为JSON对象在各方之间安全地传输信息。这个信息可以被验证和信任,因为它是数字签名的。J
简单了解JSON Web TokenJWT
weixin_52908396的博客
09-14 157
JWT是什么 JWTJSON Web Token,它是一个非常轻巧的规范,它可以允许我们在用户和服务器之间传递安全可靠的信息。它的实质其实就是一个字符串,由头部(Header)、载荷(Payload)与签名(Signature)三部分组成。 其中: Header的作用是描述JWT的最基本的信息,例如:类型、签名的算法; Payload中则是存放着用户的信息或者是想要返回给用户的内容,是一个装载信息的容器; Signature其实就是一个对信息进行加密的一个过程,在其中我们还需要提供一个key来作为密钥,从
JWT实现ES256加密生成token
迷途小书童的博客
01-05 2647
JWT实现ES256加密生成token
一段新的加密方式,希望大家借鉴!
hmwoool的专栏
03-11 690
;;;;;;;;;------------------- iK7VUYG0yF6lS3QNNmW4Gw== tRymiHsi9Aadvn9JZ8x/SVgqkA2/JEnI uk29oXxJxAg+D0WGWLg/LW3jHvlh1Y59txsKUXBD/qs= eIWSkIow/vo+D0WGWLg/LW3jHvlh1Y59dqIKgRCrygQ/f/R4q2L6YQ== pcL609
错题集(已解决):python通过JWTjsonWebToken)默认ES256编码连苹果App Store Connect API报错Could not deserialize key data
泛纪元的啊有猫
03-29 5355
最近苹果账号不知道咋的弄出来一个账号密码登陆后需要手机验证码双重认证登陆,很麻烦于是想通过App Store Connect API直连导出财务日志之类的东西。 苹果提供了一套JWT的验证连接方式,关于JWT网上介绍很多在此对细节略过不表。 而完成登陆简单点讲就是需要在发送向指定http地址的get请求头中添加JWT。具体生成JWT的过程如下(前两步)。 1. 生成API key 登陆itune...
JWT Token 使用 RS256 和 ES256 签名
热门推荐
yuanjian0814的博客
06-17 1万+
JWT Token 使用 RSA256 和 ES256 签名使用 RS256 签名创建 RSA256 密钥创建和验证 JWT Token使用 ES256 加密创建 ES256 密钥创建和验证 JWT Token 使用 RS256 签名 … 创建 RSA256 密钥 安装 openssl 服务,执行如下指令生成密钥对。 # 创建私钥 openssl genrsa -out rsa_private.pem 2048 # 创建公钥 openssl rsa -in rsa_private.pem -outform
c# JSON WEB TOKEN JWT.dll
07-18
生成token工具,webapi 接口 token JWTWeb API身份验证Json Web Token(jwt)是一种不错的身份验证及授权方案,简单的说就是调用端调用api时,附带上一个由api端颁发的token,以此来验证调用者的授权信息。
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
JWT(json web token)包
01-22
JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上...
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
JSON Web Token JWT几种简单的绕过方法
mirocky的博客
12-21 847
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。如图所示JWT由三部分构成,分别是header,payload和signature,在这三者之间由"."连接。在payload中,iot代表JWT生成时间,exp代表JWT失效时间,延长exp时间也可进行绕过。如图为JWT加密后的示例,JWT再由后端返回至前端后,由前端封装到HTTP Header中。
java decodetoken_Java DecodedJWT.getClaim方法代码示例
weixin_39710660的博客
02-28 1108
import com.auth0.jwt.interfaces.DecodedJWT; //导入方法依赖的package包/类@Overridepublic Authentication authenticate(Authentication auth) throws AuthenticationException {JWTAuthenticationToken authentication = ...
第四周实践课-课堂笔记.pdf
09-16
第四周实践课-课堂笔记
第5周玩转案例分析(2).pdf
09-16
第5周玩转案例分析(2)
第7周实践课安排.pdf
09-16
第7周实践课安排
基于MATLAB m编程的发动机最优工作曲线计算程序(OOL),在此工作曲线下,发动机燃油消耗最小 文件内含:1、发动机最优工
最新发布
09-16
基于MATLAB m编程的发动机最优工作曲线计算程序(OOL),在此工作曲线下,发动机燃油消耗最小。 文件内含:1、发动机最优工作曲线计算程序m文件;2、发动机万有特性数据excel文件 注:附赠电机效率map绘制程序(m程序)与对应电机效率map数据(excel )
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值