Jwt

最新推荐文章于 2024-03-20 10:00:53 发布
最新推荐文章于 2024-03-20 10:00:53 发布
阅读量768 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45180769/article/details/100591854
版权

1. JWT是什么

JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案

2. 为什么使用JWT

JWT的精髓在于:“去中心化”,数据是保存在客户端的。
解决传统开发中对资源访问的限制利用session完成图解:
在这里插入图片描述

3. JWT的工作原理

jwt结构图:
在这里插入图片描述

1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下:
{“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “2018-08-08 20:15:56”}
2. 之后,当用户与服务器通信时,客户在请求中发回JSON对象
3. 为了防止用户篡改数据,服务器将在生成对象时添加签名,并对发回的数据进行验证

4. JWT组成:

一个JWT实际上就是一个字符串,它由三部分组成:头部(Header)、载荷(Payload)与签名(signature)
JWT实际结构:eyJhbGciOiJIUzI1NiJ9. eyJzdWIiOiJ7fSIsImlzcyI6InpraW5nIiwiZXhwIjoxNTYyODUwMjM3LCJpYXQiOjE1NjI4NDg0MzcsImp0aSI6ImM5OWEyMzRmMDc4NzQyZWE4YjlmYThlYmYzY2VhNjBlIiwidXNlcm5hbWUiOiJ6c3MifQ.WUfqhFTeGzUZCpCfz5eeEpBXBZ8-lYg1htp-t7wD3I4
它是一个很长的字符串,中间用点(.)分隔成三个部分。注意,JWT 内部是没有换行的,这里只是为了便于展示,将它写成了几行。
写成一行,就是下面的样子:Header.Payload.Signature
4.1 Header
{“typ”:“JWT”,“alg”:“HS256”}
这个json中的typ属性,用来标识整个token字符串是一个JWT字符串;它的alg属性,用来说明这个JWT签发的时候所使用的签名和摘要算法
typ跟alg属性的全称其实是type跟algorithm,分别是类型跟算法的意思。之所以都用三个字母来表示,也是基于JWT最终字串大小的考虑,
同时也是跟JWT这个名称保持一致,这样就都是三个字符了…typ跟alg是JWT中标准中规定的属性名称

4.2 Payload(负荷)
{“sub”:“123”,“name”:“Tom”,“admin”:true}
payload用来承载要传递的数据,它的json结构实际上是对JWT要传递的数据的一组声明,这些声明被JWT标准称为claims,
它的一个“属性值对”其实就是一个claim(要求),
每一个claim的都代表特定的含义和作用。
注1:英文“claim”就是要求的意思
注2:如上面结构中的sub代表这个token的所有人,存储的是所有人的ID;name表示这个所有人的名字;admin表示所有人是否管理员的角色。
当后面对JWT进行验证的时候,这些claim都能发挥特定的作用
注3:根据JWT的标准,这些claims可以分为以下三种类型:
A. Reserved claims(保留)
它的含义就像是编程语言的保留字一样,属于JWT标准里面规定的一些claim。JWT标准里面定义好的claim有:
iss(Issuser):代表这个JWT的签发主体;
sub(Subject):代表这个JWT的主体,即它的所有人;
aud(Audience):代表这个JWT的接收对象;
exp(Expiration time):是一个时间戳,代表这个JWT的过期时间;
nbf(Not Before):是一个时间戳,代表这个JWT生效的开始时间,意味着在这个时间之前验证JWT是会失败的;
iat(Issued at):是一个时间戳,代表这个JWT的签发时间;
jti(JWT ID):是JWT的唯一标识。
B. Public claims,略(不重要)
C. Private claims(私有)
这个指的就是自定义的claim,比如前面那个示例中的admin和name都属于自定的claim。这些claim跟JWT标准规定的claim区别在于:JWT规定的claim,
JWT的接收方在拿到JWT之后,都知道怎么对这些标准的claim进行验证;而private claims不会验证,除非明确告诉接收方要对这些claim进行验证以及规则才行
按照JWT标准的说明:保留的claims都是可选的,在生成payload不强制用上面的那些claim,你可以完全按照自己的想法来定义payload的结构,不过这样搞根本没必要:
第一是,如果把JWT用于认证, 那么JWT标准内规定的几个claim就足够用了,甚至只需要其中一两个就可以了,假如想往JWT里多存一些用户业务信息,
比如角色和用户名等,这倒是用自定义的claim来添加;第二是,JWT标准里面针对它自己规定的claim都提供了有详细的验证规则描述,
每个实现库都会参照这个描述来提供JWT的验证实现,所以如果是自定义的claim名称,

最低0.47元/天 解锁文章
卤蛋会敲代码
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
多种方法o.jsonwebtoken.ExpiredJwtException: JWT expired at xxx. Current time: xxx的错误
念兮为美
04-14 2977
多种方法o.jsonwebtoken.ExpiredJwtException: JWT expired at xxx. Current time: xxx的错误,比如io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-04-11T14:59:18+0800. Current time: 2023-04-11T15:16:30+0800
java maptolong_ModelMapper从Map转实体,数据类型转换出错failed to convert java.lang.String to java.lang.Long...
weixin_34096885的博客
02-16 1738
org.modelmapper.MappingException: ModelMapper mapping errors:1) Converter org.modelmapper.internal.converter.NumberConverter@1c93b51e failed to convert java.lang.String to java.lang.Long.1errorat org....
探索Java JWT库:安全认证的高效解决方案
最新发布
gitblog_00090的博客
03-20 296
探索Java JWT库:安全认证的高效解决方案 项目地址:https://gitcode.com/auth0/java-jwt 项目简介 Java JWT 是一个轻量级、易于使用的库,旨在帮助开发者在Java平台上生成和验证JSON Web Tokens(JWTs)。JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为经过签名的JSON对象。此项目由Auth0维护,其目标是简...
JWT expired at 2022-04-07T12:06:46Z. Current time: 2022-04-10T19:47:24Z, a difference of 286838865 m
weixin_58276266的博客
04-10 7758
报错信息:JWT expired at 2022-04-07T12:06:46Z. Current time: 2022-04-10T19:47:24Z, a difference of 286838865 milliseconds. Allowed clock skew: 0 milliseconds. 翻译:JWT于2022-04-07T12:06:46Z到期。当前时间:2022-04-10T19:47:24Z,相差286838865毫秒。允许的时钟偏移:0毫秒。 报错原因:jwt到期,即就是toke
idea报错: io.jsonwebtoken.ExpiredJwtException,登录令牌过期的解决方法
qq_63192977的博客
11-20 965
io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-11-19T22:59:19Z. 即登录令牌token已过期,这时只需要重行获取令牌后再运行就可以了
spring security oauth2 jwt过期时间不准原因分析以及解决办法
qq1010830256的博客
11-06 3017
源码跟踪spring security oauth2框架中jwt过期时间不准的问题
springboot整合jwt过期时间报错解决方法
全栈技术分享,项目分享,资料分享
03-23 6237
JWT expired at 2021-12-20T10:09:10Z. Current time: 2023-03-23T22:04:32Z, a difference of 表示jwt已经到了过期时间错误位置在下图位置:
JWT
03-21
JWT
jwt简单的介绍和了解
10-27
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是...
JWT学习笔记
01-21
JWT学习笔记
ABP VNext 集成JwtBearer(JWTJwtDemo.Api
07-22
ABP VNext 集成JwtBearer DEMO 简单版本安装依赖包 Microsoft.AspNetCore.Authentication.JwtBearer,亲测可以使用。最后在对应控制器或者方法加上加特性Authorize,然后可以通过postman调用,401即验证成功
JWT(Json Web Token)Java实现jar
04-18
压缩包中包jjwt.jar和源码包 JSON WEB Token(JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
JWT Token生成及验证
07-16
JWT Token生成及验证,JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
fastify-jwt:用于Fastify的JWT实用程序
04-27
fastify-jwt Fastify的JWT utils在内部使用 。 fastify-jwt支持Fastify @ 3。 fastify-jwt 支持Fastify @ 2。 安装 npm i fastify-jwt --save 用法 注册为插件。 这将使用标准的方法decode , sign和verify来装饰...
JWT Token生成及验证(源码)
04-12
JWT Token生成及验证(源码)
Jwt Token
qq_53318060的博客
06-07 1479
Header标头,Payload负载,Signature签名 打印信息 如果token过期的话,在VerifyToken 方法中,执行到 这一行的时候,就会报 异常 token格式如果不对,则会报错 密钥不对,则报错 Redis存储token,登录拦截 使用Token+redis的好处 token+redis的好处 token+redis的好处 Token 免密登录 token+拦截器实现自动登录 token+拦截器实现自动登录 长时间不操作自动退出 使用token+redis,可以更好的管理分发出去的to
io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-08-10T22:36:04Z. 问题解决
fengzheng1232的博客
08-11 964
报错:io.jsonwebtoken.ExpiredJwtException: JWT expired at 2023-08-10T22:36:04Z. Current time: 2023-08-11T21:44:58Z, a difference of 83334559 milliseconds. Allowed clock skew: 0 milliseconds.(JWT于2023-08-10T22:36:04Z到期。当前时间:2023-08-11T21:44:58Z,相差83334559毫秒。
golang jwt
09-21
Golang中的JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。JWT由三部分组成:头部、载荷和签名。头部包含了指定算法和类型的信息,载荷包含了需要传递的数据,签名用于验证数据的完整性和真实性。 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值