cookie的构成。

最新推荐文章于 2024-08-22 17:02:09 发布
最新推荐文章于 2024-08-22 17:02:09 发布
阅读量879 收藏 2
点赞数
分类专栏: 网络编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44439678/article/details/102819881
版权

一、json web token的构成。
第一部分:header,第二部分:playload,第三部分:signature(签证)
1.header 通常有两部分构成
声明类型,这里是jwt
声明加密的算法 通常直接使用 HMAC SHA256
例如: {
‘typ’: ‘JWT’,
‘alg’: ‘HS256’
}
然后头部进行base64加密(堆成加密)
2.playload
标准中注册的声明
公共的声明
私有的声明
标准中注册的声明 (建议但不强制使用) :

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
公共的声明 :

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明 :

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload:

{
“sub”:“1234567890”,
“name”: “JohnDoe”,
“admin”: true
}

然后将其进行base64加密,得到Jwt的第二部分。

signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

header (base64后的)
payload (base64后的)
secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

//javascript
var encodedString = base64UrlEncode(header) + ‘.’ + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, ‘secret’); //TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意

secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret,那就意味着客户端是可以自我签发jwt了。

Greedhand.
关注
专栏目录
【SpringBoot】21、SpringBoot中使用Cookie实现记住登录
Asurplus
06-28 23万+
最近在做项目,甲方提出每次登录都要输入密码,会很麻烦,要求实现一个记住登录状态的功能,于是便使用Cookie实现该功能 一、Cookie 简介 Cookie,一种储存在用户本地终端上的数据,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 其实Cookie就是一个键和一个值构成的,随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把Cookie保存起来,当
JWT(java web Token)
01-22
token 去访问实现了jwt认证的web服务器。 token 可保存自定义信息,如用户基本信息, web服务器用解析token,解决跨域授权的问题
Cookie的格式及组成
xeh的专栏
06-26 1514
 Cookie由变量名和值组成,类似Javascript变量。其属性里既有标准的Cookie变量,也有用户自己创建的变量,属性中变量是用“变量=值”形式来保存。  根据Netscape公司的规定,Cookie格式如下:  Set-Cookie: NAME=VALUE;Expires=DATE;Path=PATH;Domain=DOMAIN_NAME;SECURE  NAME=VALUE:  这是每...
session、cookie、token概念介绍
最新发布
liangkk的博客
08-22 1175
维持用户的登录状态信息是互联网应用程序中的一个核心功能,它确保了用户在登录后能够持续享受应用程序提供的各项服务,而无需在每次请求时都重新进行身份验证。这一过程经历了从简单的会话管理到更复杂的令牌(Token)机制的发展
简单说明一下Token ,Cookie,Session
weixin_30482383的博客
01-12 309
在Web应用中,HTTP请求是无状态的。即:用户第一次发起请求,与服务器建立连接并登录成功后,为了避免每次打开一个页面都需要登录一下,就出现了cookie,Session。 Cookie Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,也是实现Session的一种方式。Cookie存储的数据量有限,且都是保存在客户端浏览器中。不同的浏览器有不同的存储大小,但一般不超...
Java Web Token(JWT)介绍
zhaisharap的专栏
09-09 1054
1. JSON Web Token是什么 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2. 什么时候你应该用JSON Web Token 下列场景中使用JSON Web Token是很有用的: Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源
JWT(JAVA WEB TOKEN)
weixin_45380450的博客
09-20 1074
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 优点 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,Nod
cookie-twist:Java安全cookie,带有签名的转折
05-16
cookie-twist库旨在通过构成一个普通的旧对象在Java中集成相同的行为。 安装 使用构建工具: <!-- in the pom.xml --> <!-- ... Other dependencies --> < groupId>com.jossemargt</ groupId> ...
cookie的secure属性详解
09-03
然而,由于HTTP协议的明文特性,未经加密的Cookie数据在网络传输过程中可能会被第三方拦截,从而对用户隐私和安全性构成威胁。这就是`secure`属性的作用所在。 `secure`属性是Cookie的一个关键特性,其主要目的是...
cookie续续】【cookie续续】【cookie续续】
05-22
Cookie是Web应用程序中用于管理用户会话的一...以上是对Cookie技术的详细讲解,包括其工作原理、构成、应用场景以及安全注意事项。在实际的Web开发中,正确理解和使用Cookie对于构建高效、安全的用户交互体验至关重要。
cookie欺诈浏览器
09-21
Cookie是Web应用程序用来跟踪用户状态的一种机制,而欺诈行为则可能利用这个机制对用户的隐私和安全构成威胁。本文将深入探讨Cookie的工作原理、欺诈手段以及如何防范。 Cookie是服务器发送到用户浏览器并存储在...
JSON Web Token (JWT)
weixin_34347651的博客
03-04 2208
JSON Web Token (JWT) Abstract JSON Web Token (JWT) is a compact, URL-safe means of representing claims to be transferred between two parties. The claims in a JWT are encoded as a JSON object that is...
cookie组成
qq_41801117的博客
04-06 1446
cookie的组成主要分为: 1、domain:表明了可以访问该cookie的域名。当需要跨域访问cookie时,可以在该字段进行添加相应域名 两个网页一级域名相同,只是二级域名不同,浏览器允许通过设置document.domain共享 Cookie。 A 网页地址为 http://A1.example.com B 网页地址为 http://B1.example.com 2、path:规定了可以访问该cookie的路径。 比如:path=/docs,那么这些地址:/docs;/docs/Web/;/
JWT(java web token) 使用整理合集
热门推荐
xiatiandexiangrikui的博客
11-26 1万+
1: JSON Web Token是什么 JWT——Json web token 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,可实现无状态、分布式的Web应用授权。 2:JWT结构 JWT包含了使用.分隔的三部分: Header 头部 Payload 负载 Signature 签名 其结构看起来是这样的Header.Payload.Signature Header ...
JWT(java web token)机制
qq_42418169的博客
10-22 676
文章目录1.什么是JWT?2.什么时候使用JWT?3.JWT请求流程(流程图无比重要)4.JWT的结构4.1(第一部分)header(信息)4.2 (第二部分)payload(负载)4.2.1 标准的注册声明(建议,但是不是必须)4.2.2 公共的声明4.2.3 私有的声明4.3 (第三部分)Signature 1.什么是JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之
IE Cookie文件的结构
zyw_anquan的专栏
06-07 2858
在C++中,Cookie结构体可以定义为: typedef struct CookieEntry {        PTCHAR     pszName;        PTCHAR     pszValue;        PTCHAR     pszUrlPath;        DWORD      dwFlags;//Security Flags        DWORD
JWT(Java Web Token)的介绍
lrd15521148795的博客
04-05 217
JWT(Java Web Token)的介绍 Authorization (授权) :广泛的授权:单点登录开销小。用户登录之后,后续的每个请求都包含jwt,允许用户访问该令牌允许的路由、服务和资源, Information Exchange (信息交换) : 对于安全的在各方之间传输信息而言,JSON Web Tokens无疑是一种很好的方式。因为JWT可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。另外,由于签名是使用头和有效负载计算的,您还可以验证内容没有被篡改。 1.传统的Se
基于JWT的登录流程
qq_38559956的博客
01-02 1151
JWT包含三部分数据: Header:头部,通常头部有两部分内容: 声明类型,这里是JWT 签名算法,自定义 我们会对头部进行base64加密(可解密),得到第一部分数据 Payload:载荷,就是有效数据,一般包含下面信息: 用户身份信息(注意,这里因为采用base64加密,可解密,因此不要存放敏感信息) tokenID:当前这个JWT的唯一标示 注册声明:如token的签发时间,过期...
JWT和OAuth2.0
Kard的博客
12-31 9316
JWT是一种认证协议,提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。SSO私钥加密token。应用端公钥解密token。 OAuth2.0是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。
Cookie与Session详解:从基础到实战
在Web应用中,用户浏览网页、填写表单或进行购物等操作都构成一个会话。会话期间,服务器需要存储用户的某些状态信息,如购物车内容或登录状态。 **Cookie**: 1. **概念**:Cookie 是一种服务器发送到浏览器并存储...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值