JWT详解

已于 2022-04-20 08:36:05 修改
阅读量10w+ 收藏 5.1k
点赞数 1k
分类专栏: Java 文章标签: jwt
于 2021-07-07 22:42:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45070175/article/details/118559272
版权

本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解

JWT简介

1.什么是JWT

在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程:

  1. 客户端使用用户名和密码请求登录
  2. 服务端收到请求,验证用户名和密码
  3. 验证成功后,服务端会签发一个token,再把这个token返回给客户端
  4. 客户端收到token后可以把它存储起来,比如放到cookie中
  5. 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带
  6. 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据

这种基于token的认证方式相比传统的session认证方式更节约服务器资源,并且对移动端和分布式更加友好。其优点如下:

  • 支持跨域访问cookie是无法跨域的,而token由于没有用到cookie(前提是将token放到请求头中),所以跨域后不会存在信息丢失问题
  • 无状态token机制在服务端不需要存储session信息,因为token自身包含了所有登录用户的信息,所以可以减轻服务端压力
  • 更适用CDN:可以通过内容分发网络请求服务端的所有资料
  • 更适用于移动端:当客户端是非浏览器平台时,cookie是不被支持的,此时采用token认证方式会简单很多
  • 无需考虑CSRF:由于不再依赖cookie,所以采用token认证方式不会发生CSRF,所以也就无需考虑CSRF的防御

JWT就是上述流程当中token的一种具体实现方式,其全称是JSON Web Token,官网地址:https://jwt.io/

通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。JWT的认证流程如下:

  1. 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口,这个过程一般是一个POST请求。建议的方式是通过SSL加密的传输(HTTPS),从而避免敏感信息被嗅探
  2. 后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串
  3. 后端将JWT Token字符串作为登录成功的结果返回给前端。前端可以将返回的结果保存在浏览器中,退出登录时删除保存的JWT Token即可
  4. 前端在每次请求时将JWT Token放入HTTP请求头中的Authorization属性中(解决XSS和XSRF问题)
  5. 后端检查前端传过来的JWT Token,验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等
  6. 验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果

2.为什么要用JWT

2.1 传统Session认证的弊端

我们知道HTTP本身是一种无状态的协议,这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,认证通过后HTTP协议不会记录下认证后的状态,那么下一次请求时,用户还要再一次进行认证,因为根据HTTP协议,我们并不知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在用户首次登录成功后,在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这是传统的基于session认证的过程

然而,传统的session认证有如下的问题:

  • 每个用户的登录信息都会保存到服务器的session中,随着用户的增多,服务器开销会明显增大
  • 由于session是存在与服务器的物理内存中,所以在分布式系统中,这种方式将会失效。虽然可以将session统一保存到Redis中,但是这样做无疑增加了系统的复杂性,对于不需要redis的应用也会白白多引入一个缓存中间件
  • 对于非浏览器的客户端、手机移动端等不适用,因为session依赖于cookie,而移动端经常没有cookie
  • 因为session认证本质基于cookie,所以如果cookie被截获,用户很容易收到跨站请求伪造攻击。并且如果浏览器禁用了cookie,这种方式也会失效
  • 前后端分离系统中更加不适用,后端部署复杂,前端发送的请求往往经过多个中间件到达后端,cookie中关于session的信息会转发多次
  • 由于基于Cookie,而cookie无法跨域,所以session的认证也无法跨域,对单点登录不适用

2.2 JWT认证的优势

对比传统的session认证方式,JWT的优势是:

  • 简洁:JWT Token数据量小,传输速度也很快
  • 因为JWT Token是以JSON加密形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持
  • 不需要在服务端保存会话信息,也就是说不依赖于cookie和session,所以没有了传统session认证的弊端,特别适用于分布式微服务
  • 单点登录友好:使用Session进行身份认证的话,由于cookie无法跨域,难以实现单点登录。但是,使用token进行认证的话, token可以被保存在客户端的任意位置的内存中,不一定是cookie,所以不依赖cookie,不会存在这些问题
  • 适合移动端应用:使用Session进行身份认证的话,需要保存一份信息在服务器端,而且这种方式会依赖到Cookie(需要 Cookie 保存 SessionId),所以不适合移动端

因为这些优势,目前无论单体应用还是分布式应用,都更加推荐用JWT token的方式进行用户认证

JWT结构

JWT由3部分组成:标头(Header)、有效载荷(Payload)和签名(Signature)。在传输的时候,会将JWT的3部分分别进行Base64编码后用.进行连接形成最终传输的字符串
J W T S t r i n g = B a s e 64 ( H e a d e r ) . B a s e 64 ( P a y l o a d ) . H M A C S H A 256 ( b a s e 64 U r l E n c o d e ( h e a d e r ) + " . " + b a s e 64 U r l E n c o d e ( p a y l o a d ) , s e c r e t ) JWTString = Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) JWTString=Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

1.Header

JWT头是一个描述JWT元数据的JSON对象,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令牌的类型,JWT令牌统一写为JWT。最后,使用Base64 URL算法将上述JSON对象转换为字符串保存

{
   
  "alg": "HS256",
  "typ": "JWT"
}

2.Payload

有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择

iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT

这些预定义的字段并不要求强制使用。除以上默认字段外,我们还可以自定义私有字段,一般会把包含用户信息的数据放到payload中,如下例:

{
   
  "sub": "1234567890",
  "name": "Helen",
  "admin": true
}

请注意,默认情况下JWT是未加密的,因为只是采用base64算法,拿到JWT字符串后可以转换回原本的JSON数据,任何人都可以解读其内容,因此不要构建隐私信息字段,比如用户的密码一定不能保存到JWT中,以防止信息泄露。JWT只是适合在网络中传输一些非敏感的信息

3.Signature

签名哈希部分是对上面两部分数据签名,需要使用base64编码后的header和payload数据,通过指定的算法生成哈希,以确保数据不会被篡改。首先,需要指定一个密钥(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用header中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名
H M A C S H A 256 ( b a s e 64 U r l E n c o d e ( h e a d e r ) + " . " + b a s e 64

最低0.47元/天 解锁文章
JWT详细讲解
m0_71012114的博客
10-19 6457
本文讲解了常见的认证机制、介绍了JWT以及JWT的使用、并且举了个案例SpringSecurity+JWT实现后台管理系统权限验证。
JWT (JSON Web Token) 详解
最新发布
yk_dflkg的博客
04-14 524
JWT (JSON Web Token) 详解 1. JWT简介 1.1 什么是JWT? 1.2 JWT的特点 1.3 JWT的应用场景 2. JWT的结构 2.1 头部(Header) 2.2 有效载荷(Payload) 2.3 签名(Signature) 3. JWT的工作原理 3.1 认证流程 3.2 为什么使用JWT? 3.3 JWT实现示例 4. JWT安全最佳实践 4.1 保护JWT安全的关键措施 4.2 实施最佳实践 4.3 调试和问题排查 5. JWT在Spring Boot中的实现 5.1
JWT令牌——详解(保姆式解析代码教学)
cnjdd的博客
03-24 1851
等号它是一个补位的符号。指的是jwt令牌,看似是一个随机的字符串,但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。运行测试方法,输出的结果就是生成的JWT令牌,,通过英文的点分割对三个部分进行分割,我们可以将生成的令牌复制一下,然后打开JWT的官网,将生成的令牌直接放在Encoded位置,此时就会自动的将令牌解析出来。指的是它能够以较小的体积包含所有的信息。简单来讲,jwt就是将原始的json数据格式进行了安全的封装,这样就可以直接基于jwt在通信双方安全的进行信息传输了。
畅购商城:微服务网关和JWT令牌(下)
夏野和弦的博客
02-24 1201
畅购商城文章系列 畅购商城:分布式文件系统FastDFS 畅购商城:商品的SPU和SKU概念 畅购商城:Lua、OpenResty、Canal实现广告缓存 畅购商城:微服务网关和JWT令牌(上) 畅购商城:微服务网关和JWT令牌(下) 目录畅购商城文章系列目标 目标 了解加密算法 了解JWT鉴权的介绍 掌握JWT的鉴权的使用 掌握网关使用JWT进行校验 ...
JWT详解(组成,工作原理,优缺点,续签问题,删除但有效问题)
m0_62201229的博客
11-26 3491
JWT的组成,工作原理,优缺点,续签问题等常见问题有较为详细的解析,适合小白快速补充知识
JWT讲解
努力努力再努力
09-16 312
https://mp.weixin.qq.com/s?__biz=MzI4Njg5MDA5NA==&mid=2247485189&idx=1&sn=44e9558f3a03f9c5e1ec539e1a10dbe2&chksm=ebd74604dca0cf126c64586b448ee8c7bccd51545d7a27d06b21bc75a2e390f961d7caf...
JWT详细解析
m0_65224643的博客
07-30 1万+
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为的,特别。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
详解JWT
snail
05-24 643
一.什么是JWT? jwt 全称 json web token ,是一种为了在网络之间认证权限的基于JSON的开放标准,它的本质是一个 token 字符串。下面我用 php 来生成一个 token。 <?php $secret = 'fjFDAdXLAhRfnDf_d=a'; $header = [ 'alg' => 'HS256', 'typ' => 'j...
JWT 详解
热门推荐
共勉
07-13 1万+
JWT是什么? JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
JWT解析
qq_43538925的博客
12-06 573
一个token分3部分,按顺序为头部(header)其为载荷(payload)签证(signature)由三部分生成token3部分之间用“.”号做分隔。例如eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c验证koten地址。
深入解析 JWT(JSON Web Tokens):原理、应用场景与安全实践
gulugulu1103的博客
11-23 4612
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在 Web 应用程序和服务之间尤其流行用于身份验证和信息交换。一个 JWT 实际上是将 header、payload 和 signature 三部分分别进行 Base64 编码,然后用点(。在 Web 应用和 API 身份验证中,JWT 的使用非常普遍。例如,用户登录到系统后,系统会创建一个 JWT,并将其发送回用户。
JWT
03-08
### JSON Web Token (JWT) 概述 JSON Web Token(JWT)是一种开放标准(RFC 7519),旨在作为各方之间安全传输信息的方式。这种紧凑且自包含的令牌允许在主体(通常是用户)和服务器间传递声明,这些声明通常经过数字化签名来确保其真实性[^1]。 ### 使用场景 #### 授权 授权是JWT最普遍的应用之一,尤其适用于解决单点登录(Single Sign-On, SSO)的问题。由于JWT具有无状态特性——即服务端无需保存会话信息,这使得它非常适合于现代Web应用和服务架构中的身份验证需求[^2]。 #### 信息交换 除了用于认证外,JWT还常用来实现在不同系统间的可靠数据共享。通过利用加密技术对Token进行签名,接收方可确认发送者的合法性以及所携带的信息未经篡改。因此,在微服务环境中或第三方API调用时采用JWT能提供一种高效而安全的消息传递机制。 ### 实现方式 创建一个典型的JWT涉及三个部分:头部(Header)、载荷(Payload) 和 签名(Signature): - **Header**: 包含类型(`typ`)与使用的算法名称(`alg`), 如HMAC SHA256 或 RSA。 - **Payload**: 承载着实际要传达的数据,称为Claims。它们可以是非敏感性质的内容,比如用户名或其他公开属性。 - **Signature**: 是基于前面两个组件计算得出的结果,目的是为了防止任何人修改已发出的token内容。具体来说就是将编码后的header和payload连同密钥一起按照指定算法处理得到最终字符串[^4]。 ```json { "alg": "HS256", "typ": "JWT" } . { "sub": "1234567890", "name": "John Doe", "iat": 1516239022 } . SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c ``` 上述示例展示了如何构建一个完整的JWT实例,其中包含了必要的组成部分并进行了适当格式化以便于理解和使用。 ### 安全性 安全性对于任何涉及到个人信息保护的技术都至关重要。针对这一点,JWT提供了强大的防护措施以抵御潜在威胁。通过对Header和Payload实施数字签名,不仅能够检验消息的真实性还能保证其完整性不受破坏。即使有人试图中途拦截并对内容做手脚也无法绕过这一层校验屏障。 此外值得注意的是,在某些情况下可能会选择HTTPS协议下的POST请求体内放置JWT而非直接附加到HTTP头字段中,以此增强通信的安全等级[^3]。
评论 143
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值