JWT的原理以及应用

最新推荐文章于 2024-11-01 14:48:20 发布
最新推荐文章于 2024-11-01 14:48:20 发布
阅读量204 收藏
点赞数 3
文章标签: jwt java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45604713/article/details/114539399
版权

JWT的原理以及应用

1.什么是JWT?
JWT(JSON Web Token )是一个开放标准协议 (RFC 7519) ,它定义了一种紧凑和自包含的方式,它用于各方之间作为JSON对象安全地传输信息。 该信息可以被验证和信任,因为它是数字签名的。
JSON Web Token,它定义了一种紧凑和自包含的方式,如何理解紧凑和自包含呢?
紧凑:就是说这个数据量比较少,并且能通过url参数,http请求提交的数据以及http header的方式来传递。
自包含:这个串可以包含很多信息,比如用户id,订单号id等,如果其他人拿到该信息,就可以拿到关键业务信息。
为什么要使用JWT?
说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别,随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。
传统的session认证
我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
但是这种基于session的认证使应用本身很难得到扩展,随着不同客户端用户的增加,独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来。
Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。
Information Exchange (信息交换) : 对于安全的在各方之间传输信息而言,JWT无疑是一种很好的方式。因为JWT可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。另外,由于签名是使用头和有效负载计算的,您还可以验证内容没有被篡改。
JWT的优点:
1.适用分布式的单点登录的场景;
2.可以使用跨域认证解决方案;
3.JWT实现自动刷新的方案;
4.自包含:负载中含有了用户所需要的信息,避免多次查询数据库;
5.简洁:可以通过get,post请求参数在http header中传输,数据量小,传输速度高。
JWT的原理
1.用户使用账号发出post请求;
2.服务器用私钥创建一个jwt;
3.服务器返回这个jwt给浏览器;
4.浏览器将该jwt串在请求头中向服务器发起请求;
5.服务器验证jwt;
6.返回响应的资源给浏览器。
服务器认证之后,生成一个json对象,发回给用户。
JWT的三个部分(Header.Payload.Signature)
1.Header(头部)
Header 部分是一个 JSON 对象,描述 JWT 的元数据。
之后使用base64将头部进行加密,该加密对应解密。
2.Payload(负载)
Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):受众
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):编号

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。

这个 JSON 对象也要使用 Base64URL 算法转成字符串。
3.Signature(签名)
Signature 部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256)。
算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

前面提到,Header 和 Payload 串型化的算法是 Base64URL。这个算法跟 Base64 算法基本类似,但有一些小的不同。
JWT 作为一个令牌(token),有些场合可能会放到 URL(比如 api.example.com/?token=xxx)。Base64 有三个字符+/=,在 URL 里面有特殊含义,所以要被替换掉:=被省略、+替换成-/替换成_ 。这就是 Base64URL 算法。
JWT的几个特点
(1)JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。
(2)JWT 不加密的情况下,不能将秘密数据写入 JWT。
(3)JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
(5)JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
(6)为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。

AKUITMAN
关注
JWT介绍以及java-jwt的使用
oscar999的专栏
10-24 2万+
JWT , 全写JSON Web Token, 是开放的行业标准RFC7591,用来实现端到端安全验证. 简单来说, 就是通过一些算法对加密字符串和JSON对象之间进行加解密。 JWT加密JSON,保存在客户端,不需要在服务端保存会话信息。,可以应用在前后端分离的用户验证上,后端对前端输入的用户信息进行加密产生一个令牌字符串, 前端再次请求时附加此字符串,后端再使用算法解密。 JWT流程: htt.........
基于JWT的Token认证机制(一)
热门推荐
睁眼看世界
11-14 1万+
简介           JSON Web Token(JWT)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对其进行签名。 JWT的组成      
JWT的使用场景和优劣
peanut的博客
08-24 476
一、JWT应用场景 一次性验证 比如用户注册后需要发一封邮件让其激活账户,通常邮件中需要有一个链接,这个链接需要具备以下的特性:能够标识用户,该链接具有时效性(通常只允许几小时之内激活),不能被篡改以激活其他可能的账户…这种场景就和 jwt 的特性非常贴近,jwt 的 payload 中固定的参数:iss 签发者和 exp 过期时间正是为其做准备的。 restful api 的无状态认证 使用 jwt 来做 restful api 的身份认证也是值得推崇的一种使用方案。客户端和服务端共享 secret;过
jwt 通俗易懂
aaaak_的博客
05-11 352
jwt 简介 jwt 全称 JSON Web Tokens, JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 什么时候应该使用JSON Web Tokens 以下是JSON Web令牌有用的一些情况: 授权:这是使用JWT的最常见方案。用户登录后,每个后续请求都将包含J
jwt原理以及使用
weixin_40482816的博客
03-03 1635
1、JWT简介 JWT:Json Web Token,是基于Json的一个公开规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。、 是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。 他的两大使用场景是:认证和数据交换 使用起来就是,由服务端根据规范生成一个令牌(token),并且发放给客户端。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 作用:类似session保持登
搞懂 JWT 这个知识点
程序员成长指北
09-22 678
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signatur...
【token】JWT详解1基本说明
Code Metaverse
09-24 692
什么是JWT JWT全称JSON Web Token ,是基于RFC 7519的签名验证方法 可以使用HMAC、RSA或ECDSA的公用/专用密钥对对JWT进行签名 JWT可用于授权和信息交换 格式 JWT通过.进行分割,包括 Header Payload Signature 形式为 xxxxx.yyyyy.zzzzz 格式详解 Header header的作用是声明使用jwt,并告知是用什么加密算法 { "alg": "HS256", //还可以是HMAC或者RSA "typ": "JWT
JWT认证原理、流程整合springboot实战应用
01-18
**JWT认证原理** JWT由三个部分组成:Header、Payload和Signature。它们通过`.`分隔,形成一个完整的Token。 1. **Header**:通常包含JWT类型(`typ`)和加密算法(`alg`),如`HS256`,表示使用HMAC SHA-256算法...
Node.JS如何实现JWT原理
10-14
4. **JWT原理** JWT由三部分组成:Header、Payload和Signature。Header包含了算法和JWT类型,Payload包含声明(如用户ID、过期时间等),Signature是通过Header和Payload的Base64URL编码值以及一个秘密(secret)...
JWT原理和实战应用
超级丹的专栏
12-14 2334
1、jwt jsonweb token,一般用于用户认证(前后端分离/微信小程序/app开发)。 基于传统的token认证 用户登录,服务端返回token,并将token保存在服务端 以后用户再来访问时,需要携带token,服务端获取token后,再去数据库中获取token进行校验. jwt 用户登录,服务端返回token,(服务端不保存) 以后用户再来访问时,需要携带token,服务端获取token后,再做token校验. 优势:相较于传统的token相比,它无需在服务端保存token..
解读JWT算法及其应用
大胡子老哥的博客
03-24 1074
这里写目录标题什么是JWT常见的身份认证方式JWT使用案例(场景再现)JWT算法服务端如何校验?安全性 什么是JWT Json Web Tokens 的简称,用来做跨域认证。在理解JWT前,我们先简单的看下常见的身份认证方式. 常见的身份认证方式 传统的,服务端存储session的方式难以做到多服务器的身份校验。 同域下 同域可以通过session共享的方式达到多服务间的身份认证。(通过将session集中存储共享),但是面临的问题是,当跨域情况下这个机制就行不通了。 跨域情况下 通常在一个组织内部可以使
jwt使用小结(1)--概念详解
fengcai0123的专栏
05-22 972
一、JWT JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。 jwt由三部分组成: Header(头部) Payload(负载) Signature(签名) 1.Header 加粗样式部分是一个json对象,通常如下的样子,使用的时候需要 Base64URL 算法转成字符串。 { "alg": "HS256", "typ": "JWT" } alg属性表示签...
JWT的简单了解与使用
HBBBOY的博客
10-16 1880
快速了解JWT怎么使用,之后便能利用它制作属于自己的单点登录了
[自用,更新自day5]瑞吉外卖代码及笔记
最新发布
lapiii的博客
11-01 466
当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。Mybatis Plus公共字段自动填充,也就是在插入或者更新的时候为指定字段赋予指定的值,使用它的好处就是可以统一对这些字段进行处理,避免了重复代码。因为在分页查询的Dish的records(菜品记录中),只有这个菜品所属的categoryId,但是我们需要分页的时候展示的是菜品名字。
基于vue框架的的汇生活家居商城的设计与实现bdjlq(程序+源码+数据库+调试部署+开发环境)系统界面在最后面。
h2345678的博客
10-29 1319
项目功能:商品分类,商品信息,用户。
JAVA 插入 JSON 对象到 PostgreSQL
qq_52143611的博客
10-30 799
在现代软件开发中,由于 JSON 数据的轻量和通用性,处理 JSON 数据已经变得无处不在。PostgreSQL凭借其对 JSON 的强大支持,为存储和查询 JSON 数据提供了出色的平台。为了将JSON数据保存到PostgreSQL数据库中,我们可以将JSON数据转换为PostgreSQL的JSONB类型数据,然后将其存储在数据库中。在Java中,我们可以使用JDBC或者基于ORM框架的方式来实现这一功能。
(1)Java 编程基础概览:数据类型、常量、变量、标识符与运算符
码界领航的Cherry Yang的博客
10-28 1060
8 位,占1个字节,有符号的,范围 -128(-2^7)至 127(2^7-1)。32 位,占4个字节,范围 -2,147,483,648(-2^31)至 2,147,483,647(2^31 - 1)。Java 提供了六种数字类型,其中四个为整数类型,两个为浮点类型,还有字符类型,以及布尔型。16 位,占2个字节,范围 -32768(-2^15)至 32767(2^15 - 1)64 位,占8个字节,范围 -2^63 至 2^63 - 1。16 位 Unicode 字符,占 2 个字节。
SpringSession源码分析
lkr_lkr的博客
11-01 163
默认对常规Session的理解和使用,如何使用Set-Cookie。
springboot集成jwt原理
05-20
Spring Boot集成JWT(JSON Web Token)的主要原理是: 1. 创建一个Spring Boot应用程序并添加所需的依赖项,例如Spring Security和JJWT。 2. 创建一个JWT工具类,它将负责创建和验证JWT令牌。在这个类中,你需要...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值