Jwt

最新推荐文章于 2024-04-22 08:53:10 发布
最新推荐文章于 2024-04-22 08:53:10 发布
阅读量1.4k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43977846/article/details/99702483
版权

Jwt

  1. JWT是什么
    JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案

  2. 为什么使用JWT
    JWT的精髓在于:“去中心化”,数据是保存在客户端的。

  3. JWT的工作原理

    1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下:
      {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “2018-08-08 20:15:56”}

    2. 之后,当用户与服务器通信时,客户在请求中发回JSON对象

    3. 为了防止用户篡改数据,服务器将在生成对象时添加签名,并对发回的数据进行验证

  4. JWT组成
    一个JWT实际上就是一个字符串,它由三部分组成:头部(Header)、载荷(Payload)与签名(signature)
    JWT结构原理图:
    在这里插入图片描述
    JWT实际结构:eyJhbGciOiJIUzI1NiJ9.
    eyJzdWIiOiJ7fSIsImlzcyI6InpraW5nIiwiZXhwIjoxNTYyODUwMjM3LCJpYXQiOjE1NjI4NDg0MzcsImp0aSI6ImM5OWEyMzRmMDc4NzQyZWE4YjlmYThlYmYzY2VhNjBlIiwidXNlcm5hbWUiOiJ6c3MifQ.
    WUfqhFTeGzUZCpCfz5eeEpBXBZ8-lYg1htp-t7wD3I4

    它是一个很长的字符串,中间用点(.)分隔成三个部分。注意,JWT 内部是没有换行的,这里只是为了便于展示,将它写成了几行。
    写成一行,就是下面的样子:Header.Payload.Signature
    4.1 Header
    {“typ”:“JWT”,“alg”:“HS256”}
    这个json中的typ属性,用来标识整个token字符串是一个JWT字符串;它的alg属性,用来说明这个JWT签发的时候所使用的签名和摘要算法
    typ跟alg属性的全称其实是type跟algorithm,分别是类型跟算法的意思。之所以都用三个字母来表示,也是基于JWT最终字串大小的考虑,
    同时也是跟JWT这个名称保持一致,这样就都是三个字符了…typ跟alg是JWT中标准中规定的属性名称

4.2 Payload(负荷)
{“sub”:“123”,“name”:“Tom”,“admin”:true}
payload用来承载要传递的数据,它的json结构实际上是对JWT要传递的数据的一组声明,这些声明被JWT标准称为claims,
它的一个“属性值对”其实就是一个claim(要求),
每一个claim的都代表特定的含义和作用。

  注1:英文“claim”就是要求的意思
  注2:如上面结构中的sub代表这个token的所有人,存储的是所有人的ID;name表示这个所有人的名字;admin表示所有人是否管理员的角色。
       当后面对JWT进行验证的时候,这些claim都能发挥特定的作用
  注3:根据JWT的标准,这些claims可以分为以下三种类型:
       A. Reserved claims(保留)
          它的含义就像是编程语言的保留字一样,属于JWT标准里面规定的一些claim。JWT标准里面定义好的claim有:
          iss(Issuser):代表这个JWT的签发主体; 
          sub(Subject):代表这个JWT的主体,即它的所有人; 
          aud(Audience):代表这个JWT的接收对象; 
          exp(Expiration time):是一个时间戳,代表这个JWT的过期时间; 
          nbf(Not Before):是一个时间戳,代表这个JWT生效的开始时间,意味着在这个时间之前验证JWT是会失败的; 
          iat(Issued at):是一个时间戳,代表这个JWT的签发时间; 
          jti(JWT ID):是JWT的唯一标识。 
       
       B. Public claims,略(不重要)

       C. Private claims(私有)
          这个指的就是自定义的claim,比如前面那个示例中的admin和name都属于自定的claim。这些claim跟JWT标准规定的claim区别在于:JWT规定的claim,
          JWT的接收方在拿到JWT之后,都知道怎么对这些标准的claim进行验证;而private claims不会验证,除非明确告诉接收方要对这些claim进行验证以及规则才行

          按照JWT标准的说明:保留的claims都是可选的,在生成payload不强制用上面的那些claim,你可以完全按照自己的想法来定义payload的结构,不过这样搞根本没必要:
          第一是,如果把JWT用于认证, 那么JWT标准内规定的几个claim就足够用了,甚至只需要其中一两个就可以了,假如想往JWT里多存一些用户业务信息,
          比如角色和用户名等,这倒是用自定义的claim来添加;第二是,JWT标准里面针对它自己规定的claim都提供了有详细的验证规则描述,
          每个实现库都会参照这个描述来提供JWT的验证实现,所以如果是自定义的claim名称,那么你用到的实现库就不会主动去验证这些claim

4.3 signature
签名是把header和payload对应的json结构进行base64url编码之后得到的两个串用英文句点号拼接起来,然后根据header里面alg指定的签名算法生成出来的。
算法不同,签名结果不同。以alg: HS256为例来说明前面的签名如何来得到。

   按照前面alg可用值的说明,HS256其实包含的是两种算法:HMAC算法和SHA256算法,前者用于生成摘要,后者用于对摘要进行数字签名。这两个算法也可以用HMACSHA256来统称

  1. JWT的验证过程
    它验证的方法其实很简单,只要把header做base64url解码,就能知道JWT用的什么算法做的签名,然后用这个算法,再次用同样的逻辑对header和payload做一次签名,
    并比较这个签名是否与JWT本身包含的第三个部分的串是否完全相同,只要不同,就可以认为这个JWT是一个被篡改过的串,自然就属于验证失败了。
    接收方生成签名的时候必须使用跟JWT发送方相同的密钥

    注1:在验证一个JWT的时候,签名认证是每个实现库都会自

最低0.47元/天 解锁文章
我对你乱码了
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
多种方法o.jsonwebtoken.ExpiredJwtException: JWT expired at xxx. Current time: xxx的错误
念兮为美
04-14 3003
多种方法o.jsonwebtoken.ExpiredJwtException: JWT expired at xxx. Current time: xxx的错误,比如io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-04-11T14:59:18+0800. Current time: 2023-04-11T15:16:30+0800
JWT
03-21
JWT
ABP VNext 集成JwtBearer(JWTJwtDemo.Api
07-22
ABP VNext 集成JwtBearer DEMO 简单版本安装依赖包 Microsoft.AspNetCore.Authentication.JwtBearer,亲测可以使用。最后在对应控制器或者方法加上加特性Authorize,然后可以通过postman调用,401即验证成功
什么是JWTJWT全称是(Json Web Token)
最新发布
Romantic丶的博客
04-22 920
Jwt是一种认证协议,常见的用户名、密码登录去请求接口不安全,所以就有了它,就首次或者过期了,才会要求输入用户名密码,之后会对信息加密,并产生一个token(令牌),便于下次访问,服务期内Api资源;私钥加密,应用端公钥解密token。
在线JWT Token解析解码工具
林夕
02-13 1万+
1:2:3:
java Base64加密解密中文乱码处理
Bejpse的博客
04-19 4784
前端:因base64对中文支持不友好,故需要对中文进行编码之后再转base64 var sendData = { ‘inserted’:encode64(encodeURIComponent(JSON.stringify(inserted))) } 后台:必须指定编码为UTF-8,否则中文解码后还是乱码 URLDecoder.decode(Encodes.decodeBase64String(inserted),“UTF-8”); ...
js base64解码JWT失败:VM273:1 Uncaught DOMException: Failed to execute 'atob' on 'Window': The string to
热门推荐
小末的博客
01-20 3万+
前端获取后端服务生成JWT,利用js方法base64解码payload段: window.atob("eyJzdWIiOiJ0ZXN0MyIsInVzZXJJZCI6IjEwMTY5MiIsIm5hbWUiOiLmtYvor5V0ZXN0M-a1i-ivlSIsImV4cCI6MTU3OTUxMTY0OH0"); 结果报错: VM273:1 Uncaught DOMException: ...
JWT expired at 2022-04-07T12:06:46Z. Current time: 2022-04-10T19:47:24Z, a difference of 286838865 m
weixin_58276266的博客
04-10 7799
报错信息:JWT expired at 2022-04-07T12:06:46Z. Current time: 2022-04-10T19:47:24Z, a difference of 286838865 milliseconds. Allowed clock skew: 0 milliseconds. 翻译:JWT于2022-04-07T12:06:46Z到期。当前时间:2022-04-10T19:47:24Z,相差286838865毫秒。允许的时钟偏移:0毫秒。 报错原因:jwt到期,即就是toke
JWT(json web token)中的ExpiredJwtException
玉楼春秋的博客
07-29 2万+
1. 问题重现 原本是调用jwtUtil(jwt的工具类),传入一个token,判断是否过期,然而却莫名其妙得抛异常了,而业务中还需要根据是否过期进行后续逻辑! 异常如下: io.jsonwebtoken.ExpiredJwtException: JWT expired at 2020-07-29T14:48:14Z. Current time: 2020-07-29T14:48:50Z, a difference of 36843 milliseconds. Allowed clock skew: 0
io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-02-08T17:21:48Z
若有所执,必有所成,心之所向,必显光芒
02-14 2498
io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-02-08T17:21:48Z. Current time: 2023-02-08T20:53:51Z, a difference of 12723505 milliseconds. Allowed clock skew: 0 milliseconds.
springboot整合jwt过期时间报错解决方法
全栈技术分享,项目分享,资料分享
03-23 6330
JWT expired at 2021-12-20T10:09:10Z. Current time: 2023-03-23T22:04:32Z, a difference of 表示jwt已经到了过期时间错误位置在下图位置:
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
jwt简单的介绍和了解
10-27
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是...
Jwt Token
qq_53318060的博客
06-07 1508
Header标头,Payload负载,Signature签名 打印信息 如果token过期的话,在VerifyToken 方法中,执行到 这一行的时候,就会报 异常 token格式如果不对,则会报错 密钥不对,则报错 Redis存储token,登录拦截 使用Token+redis的好处 token+redis的好处 token+redis的好处 Token 免密登录 token+拦截器实现自动登录 token+拦截器实现自动登录 长时间不操作自动退出 使用token+redis,可以更好的管理分发出去的to
jwt在线解密工具分享
小元分享
07-27 3400
同时,了解JWT的特点和优点,可以更好地应用JWT来确保应用程序的安全性和功能性。JWT(JSON Web Tokens)是一种开放标准(RFC 7519),它定义了一种紧凑的,自包含的方法,用于以JSON对象的形式在各方之间安全地传输信息。- 轻量级和跨平台:由于JWT是基于JSON的,它具有轻量级和可移植性的特点,可以在不同的平台和编程语言之间进行交互。
原生 js 解析 jwt token
elef的博客
07-23 4873
采用原生 js 对 jwt token 进行解析 var token = res.headers.authorization; //在请求头中获取token let strings = token.split("."); //截取token,获取载体 var userinfo = JSON.parse(decodeURIComponent(escape(window.atob(strings[1].replace(/-/g, "+").replace(/_/g, "/"))))); //解析,需要吧‘_’
golang jwt
09-21
Golang中的JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。JWT由三部分组成:头部、载荷和签名。头部包含了指定算法和类型的信息,载荷包含了需要传递的数据,签名用于验证数据的完整性和真实性。 在Golang中,有很多关于JWT的包可供使用,其中一个常用的包是`github.com/dgrijalva/jwt-go`。你可以使用以下命令安装该包:`go get github.com/dgrijalva/jwt-go`。 在使用JWT时,你需要了解以下几个基本概念和使用场景: 1. 基础概念:包括发行者、发布时间、到期时间、主题、听众、在此之前不可用和JWT ID等信息。 2. 使用场景:JWT常用于身份验证和授权,可以用于Web应用程序的用户认证、API访问控制等场景。 要在Golang中使用JWT,你可以按照以下步骤进行代码实现和服务测试: 1. 导入`github.com/dgrijalva/jwt-go`包。 2. 创建JWT的头部和载荷,并设置相应的字段值。 3. 使用指定的算法和密钥对JWT进行签名。 4. 将生成的JWT用于身份验证和授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值