彻底搞懂JWT令牌

最新推荐文章于 2024-03-20 18:04:51 发布
最新推荐文章于 2024-03-20 18:04:51 发布
阅读量617 收藏 2
点赞数 1
分类专栏: Java分布式系统开发实战 文章标签: jwt Java认证技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44062339/article/details/116527701
版权

什么是JWT?

JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。

JWT令牌的优点

1、jwt基于json,非常方便解析。
2、可以在令牌中自定义丰富的内容,易扩展。
3、通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。

JWT令牌结构

JWT令牌由Header、Payload、Signature三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz
在这里插入图片描述
1)Header

头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC SHA256或RSA)。

一个例子:

    {
    	"alg": "HS256",
    	"typ": "JWT"
    }

将上边的内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分。

HS256就是HMAC-SHA256,加密算法使用HMAC,摘要算法使用SHA256。

测试:

将生成的jwt令牌第一部分使用Base64还原原始内容如下:

    public static void main(String[] args) {
        byte[] header = java.util.Base64.getDecoder().decode("eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9");
        System.out.println(new String(header));
    }

得到的结果是:

{"alg":"HS256","typ":"JWT"}

2)Payload

第二部分是负载,内容也是一个json对象,它是存放有效信息的地方,它可以存放jwt提供的现成字段,比
如:iss(签发者),exp(过期时间戳), sub(面向的用户)等,也可自定义字段。
此部分不建议存放敏感信息,因为此部分可以解码还原原始内容。
一个例子:

    {
    	"sub": "1234567890",
    	"name": "456",
    	"admin": true
    }

最后将第二部分负载使用Base64Url编码,得到一个字符串就是JWT令牌的第二部分。

3)Signature

第三部分是签名,此部分用于防止jwt内容被篡改。
这个部分使用base64url将前两部分进行编码,编码后使用点(.)连接组成字符串,最后使用header中声明
签名算法进行签名。
一个例子:

HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)

base64UrlEncode(header):jwt令牌的第一部分。
base64UrlEncode(payload):jwt令牌的第二部分。
secret:签名所使用的密钥。

JWT三个部分只有第三部分是加密的,通过数字签名机制,我们既可以保证数据完整性,也可以对数据来源进行身份验证。

什么是签名?

签名是数字签名,发送方将消息原文使用摘要算法生成摘要,再用私钥对摘要进行加密,生成数字签名。

传输数据时为了保证数据的完整性可以使用数字签名技术:

1、发送方使用私钥对内容进行数字签名

2、将内容附带数字签名发送给对方

3、对方收到内容和数字签名,使用公钥进行验签(相当于解密的过程),如果发现内容不一致则说明传输过程被篡改。

跟攀博学Java编程
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT令牌详细解读
。。。。
07-05 3069
什么是JWT令牌 JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌JWT的使用场景: 一种情况是webapi,类似之前的阿里云播放凭证的功能 另一种情况是多web服务器下实现无状态分布式身份验证 JWT官网有一张图描述了JWT认证过程 官网 地址 : https://jwt.io/ JWT的作用: JWT 最重要的作用就是对 token信息的防伪作用 JWT的原理: 一个JWT由三个部分组成:JWT头、有效载荷、签名哈希 最后由这三者组
JWT令牌的介绍
快乐学习
08-22 3319
在以前用cookie认证时候,会把状态信息什么的储存在服务器里面,随着用户越来越多,这是token验证的一种令牌。叫身份验证令牌。在前后端分离的架构中常用。Cookie会造成服务器的压力。那么jwt就出来了,你什么时候来,我什么时候给你颁发一个认证授权访问的令牌就好,不会储存在服务器里面。啪,给你盖章通过认证了,你可以带着这个令牌请求去访问我们服务器的资源了。jwt令牌是无状态的,随时访问随时给令牌认证,一次性的,所以单点登录很适合。不会给服务器造成压力。
JWT令牌详解
m0_60469045的博客
03-20 1084
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。 从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。 JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。
JWT令牌技术(详解)
m0_63144319的博客
06-23 850
JWT令牌技术
.NET Core 生成JWT令牌源码
最新发布
04-27
单点登录(SSO):用户在登录一个应用程序后,可以通过JWT令牌在其他应用程序中进行身份验证,实现单点登录的效果。 在.NET Core中,可以使用Microsoft.IdentityModel.Tokens库来处理JWT。该库提供了一些类和方法...
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
网关与Jwt令牌.doc
10-16
这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。 流程上是这样的: ...• 服务器进行验证用户的信息 • 服务器通过验证发送给用户一个token ...
JWT令牌认证技术.zip
11-29
以下是对JWT令牌认证技术的详细说明: 1. **JWT结构**: JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部和载荷都是JSON对象,然后它们被Base64编码。签名是通过编码后的头部、编码后...
Angular之jwt令牌身份验证的实现
10-15
主要介绍了Angular之jwt令牌身份验证的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT令牌
qq_51106567的博客
07-05 831
JWT令牌简介和基本使用,基本异常
JWT令牌介绍
liujiawei00的博客
07-31 1176
什么是JWT JSON Web令牌JWT)是一个开放标准,它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。由于此信息是经过数字签名的,因此可以进行验证和信任。可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥配对对JWT进行签名。 尽管可以对JWT进行加密以提供双方之间的保密性,但我们将重点关注已签名的令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌则对第三方隐藏这些声明。当使用公钥/私钥对对令牌进行签名时,签名还可以证明只有持有私钥的一方才是
深入解析JWT,从根源上保障你的网络安全
wuli1024的博客
12-07 1536
JWT结构 JWT由三部分组成,分别是头部、载荷和签名。头部用于描述签名算法和类型,载荷用于存储用户信息和过期时间等,签名用于验证Token的合法性和完整性。JWT优点 相比于传统的Session认证方式,JWT具有以下优点:无状态、可扩展、安全性高、跨平台、可自定义负载等。JWT使用场景 JWT适用于前后端分离的Web应用,如SPA单页面应用,APP等场景下。同时,JWT也可以用于微服务架构中的服务认证和授权。
JSON Web令牌(JWT)的原理,流程和数据结构
夜猫子与猫头鹰
02-05 107
JSON Web令牌(JWT)的原理,流程和数据结构 详细参考:https://cloud.tencent.com/developer/article/1460770 https://juejin.cn/post/6844903506535071758 shiro BasicHttpAuthenticationFilter 认证流程:https://blog.csdn.net/qq_39291919/article/details/106854604 https://www.jianshu.com/p/7c
Jwt令牌总结
qq_18361601的博客
07-28 557
1.Jwt令牌介绍 2.基于私钥生成jwt令牌 3.基于公钥解析jwt令牌 4.应用场景 1.Jwt令牌介绍 Jwt令牌主要由三部分组成头部,负载,签名,每个部分用点隔开 头部主要包含令牌类型和使用的加密算法 载荷主要存放信息,可以解码还原 签名: 签名=头部+载荷+签名 头部和载荷都采用Base64Url编码和签名进行(用**.**进行)拼接生成签名 2.基于私钥生成Jwt令牌 准备私钥,公钥放入resource文件下,基于私钥携带数据生成jwt令牌 public class Create
什么是JWT令牌认证
码蜂窝编程-全网唯一毕设在线答疑,项目包运行成功,全套教学视频一站式辅导机构。
02-07 1571
当下,JWT(JSON Web Token)令牌认证已经变得越来越流行。本文主要介绍JWT令牌认证与传统的Session会话认证机制的区别。 为什么需要认证? HTTP是一种无状态协议,那就意味着当前的客户端的请求与任何之前的请求是独立不依赖的,而服务器也并不会记录任何请求信息。例如,如果你只是简单地访问静态页面(例如访问 www.yiidian.com ),服务器实际上不需要知道客户端是谁,而只...
JWT令牌组成和安全校验讲解
Leon_Jinhai_Sun的博客
05-09 451
JWT的构成 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {"typ":"JWT","alg":"HS256"} 在头部指明了签名算法是HS256算法。 我们进行BASE64编码http://base64.xpcha.com/,编码后的字符串如下: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 小知识:Base
使用JWT结构化令牌
litblue'blog
03-29 354
上一篇中提到生成令牌的方式都是默认一个随机字符串。而在结构化令牌这方面,目前用得最多的就是 JWT 令牌了。 JWT结构化令牌 JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。 简单理解下,JWT 就是用一种结构化封装的方式来生成 token 的技术。结构化后的 token 可以被赋予非常丰富的含义,这也是它与原先毫无意义的、随机的字符串形式 token 的最大区别。 JWT 这种结构化体可.
jwt
Sahar_的博客
10-15 291
jwt(Json、web、token) Json web token 基于json开放标准 1、jwt的格式 JWT头、有效载荷和签名 1.1 jwtJWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。 { "alg": "HS256", "typ": "JWT" } 在上面的代码中,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令...
onlyoffice jwt令牌配置
11-07
JWT令牌是一种用于身份验证的标准,它可以在不同的应用程序之间安全地传递信息。在onlyoffice中,JWT令牌可以用于用户身份验证和授权访问onlyoffice API。下面是配置JWT令牌的步骤: 1. 在onlyoffice中创建一个JWT...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值