JWT实现原理

最新推荐文章于 2024-06-19 10:23:57 发布
最新推荐文章于 2024-06-19 10:23:57 发布
阅读量1.3k 收藏 8
点赞数
分类专栏: springcloud 文章标签: jwt cookie session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45640168/article/details/109111909
版权

JWT实现原理

一、传统的session流程

 1.浏览器发起请求登陆
 2.服务端验证身份,生成身份验证信息,存储在服务端,并且告诉浏览器写入 Cookie
 3.浏览器发起请求获取用户资料,此时 Cookie 内容也跟随这发送到服务器
 4.服务器发现 Cookie 中有身份信息,验明正身
 5.服务器返回该用户的用户资料

二、JWT简介以及实现原理

1. 定义

 JWT,全称为Json Web Token,是风格轻量级的授权和身份认证规范,可实现无状态、分布式
的Web应用授权 。
 官网链接:https://jwt.io
 GetHub上jwt的客户端为:https://github.com/jwtk/jjwt

2. 数据格式
JWT包包含三部分数据Header + Payload + Signature
 ①Header:头部,通常头部有两部分信息:申明类型,这里是JWT,会对头部进行base64编码,得到第一部分数据。
 ②Payload: 载荷,就是有效数据,一般包含下面信息:a.用户身份信息(注意,因为这里采用的是base64编码,可解码,所以不要存放敏感信息);b.注册申明:比如token的签发时间,过期时间,签发人等;这一部分也是base64编码,得到第二部分数据。
 ③Signature:签名,是整个数据的认证信息,一般根据前两部的数据,再加上服务的秘钥(secret)(最好是周期性的更换),通过加密算法生成,用于验证整个数据的完整性和可靠性。
生成的数据格式:token=个人证件,jwt=个人身份证
在这里插入图片描述
3.交互流程
 流程图:
在这里插入图片描述

步骤解释:
 ① 浏览器发起请求登陆
 ② 服务端验证身份,根据算法,将用户标识符打包生成 token, 并且返回给浏览器
 ③ 浏览器发起请求获取用户资料,把刚刚拿到的 token 一起发送给服务器
 ④ 服务器发现数据中有 token,验明正身
 ⑤ 服务器返回该用户的用户资料
因为JWT签发的token中已经包含了用户的身份信息,并且每次都会携带,这样服务就无须保存用户信息,甚至无需去数据库查询,完全符和Rest的无状态规范

4.传统的sessionjwt区别
 ① session 存储在服务端占用服务器资源,而 JWT 存储在客户端
 ② session 存储在 Cookie 中,存在伪造跨站请求伪造攻击的风险
 ③ session 只存在一台服务器上,那么下次请求就必须请求这台服务器,不利于分布式应用
 ④ 存储在客户端的 JWT 比存储在服务端的 session 更具有扩展性
5.下面用一个例子来详细介绍JWT的结构

eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.
eyJpcCI6IjEyNy4wLjAuMSIsInV1aWQiOiJmZjEyMTJmNS1kOGQxLTQ0OTYtYmY0MS1kMmRkYTczZGUxOWEiLCJpYXQiOjE1Mjc1MjMwMTd9.
1C01cpOf1N3M9YAYvQjfcLbDGHZ4iPVncCGIoG-lpO0jHOIA_ZHtSMDvK1nzArLpGK5syQSwExsZJz2FJsd2W2TUiHQYtzmQTU8OBXX6mfSZRlkts675W5_WhIiOEwz69GFSD0AKXZifCRgIpKLC0n273MRMr0wJnuBi9ScfJ7YjSiqCr7qyQ5iXeOdS3ObT3wdjjk-Wu9wbWM7R25TFb-7PEZY7r_e8jmczPCVcNbOYegedu73T4d30kRn2jKufTGntD5hR6T9AQsgAMwVR1edEFflWb772TmrHI7WZOAivsBCN9sr4YiyYMvE8lcz_mBsgsunugGiHA3DGxB2ORbjIC8NPm8FI25zGOh9JIM2r_jFFTIm9GiuKtC8Ck8N3-eWi9u1NgBxwLdgN5JyCORnIOlciQEsScg-3SdCTM5LH_j6CeqQNwJxT4-oENzqLSTDJbP-SOj9nnx8HnJ5wh3n64rAvtc89CeTk7PhWFjksHDifngN-cnaszl5lqoF1enz5i9FYYELSjM-G7jns2SyY1MQeLRjuEDriPZtFaGmTW-RLH3gJfQXtbdpEo0_nHBqXEohwoN_FLKo4BNrEwshpyA7vkBpCQC0QALKyC1_L1Q5qduR6dDcqRozAo2VqJXmAKN0rvhLuIEHZkicOZY0Ds4So4GCcleqvFcxm1HQ

Header:
 JWT的 header 中承载了了两部分信息

{"alg": "RS256", "typ": "JWT" }
  • alg: 声明加密的算法
  • typ: 声明类型
    对这个头部信息进行了 base64 ,即可得到 header 部分。
const headerBuff = Buffer.from( 
JSON.stringify({ alg: "RS256", typ: "JWT" }) ); 
const header = headerBuff.toString("base64"); 
console.log(header); // eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9

Payload
  A. payload 是主体部分,意为载体,承载着有效的 JWT 数据包,它包含三部分

  • 标准声明
  • 公共声明
  • 私有声明

标准声明的字段

interface Stantar { iss?: string; 
// JWT的签发者 sub?: string; // JWT所面向的用户 aud?: string; 
// 接收JWT的一方 exp?: number; // JWT的过期时间 nbf?: number;
// 在xxx日期之间,该JWT都是可用的 iat?: number; 
// 该JWT签发的时间 jti?: number; //JWT的唯一身份标识 
}

公共声明的字段

interface Public { [key: string]: any; }

私有声明的字段

interface Private { [key: string]: any; }

B.  JWT 的结构为:

{  "ip": "127.0.0.1", "uuid": "ff1212f5-d8d1-4496-bf41-d2dda73de19a", "iat": 1527523017 }

同样是通过 base64 加密生成第二部分的 payload

const payloadBuffer = Buffer.from( 
JSON.stringify({ ip: "127.0.0.1", 
				uuid: "ff1212f5-d8d1-4496-bf41-d2dda73de19a", 
				iat: 1527523017 }) );
 const payload = payloadBuffer.toString("base64");
  console.log(payload); // eyJpcCI6IjEyNy4wLjAuMSIsInV1aWQiOiJmZjEyMTJmNS1kOGQxLTQ0OTYtYmY0MS1kMmRkYTczZGUxOWEiLCJpYXQiOjE1Mjc1MjMwMTd9

Signature
signature是签证信息,该签证信息是通过 header 和 pyload 在加上 secret ,通过加密锁算法生成。
公式:signature= 加密算法(header + “.” + payload, 密钥)
上面的 header 中,我们已经定义了加密算法使用 RS256,也已经实现了生成header和payload,下面我们来生成 signature

const crypto = require("crypto"); 
const sign = crypto.createSign("SHA256"); 
const secret = `自己的私钥`;

sign.write(header + "." + payload);
sign.end();

const signature = sign .sign(secret, "base64") 
// 在JWT库中,已经把这些字符过滤掉了 .replace(/=/g, "") .replace(/\+/g, "-") .replace(/\//g, "_"); 
console.log(signature);

到此,我们已经实现了如何生成一个 JWT 的 token 
6.它是如何做到身份验证的呢
 首先,JWT 的 Token 相当是明文,是可以解密的,任何存在 payload 的东西,都没有秘密可言,所以隐私数据不能签发 token。而服务端,拿到 token 后解密,即可知道用户信息,例如本例中的uuid,有了 uuid,那么你就知道这个用户是谁,是否有权限进行下一步的操作。
7.Token 的过期时间怎么确定?
payload 中有个标准字段 exp,明确表示了这个 token 的过期时间.

服务端可以拿这个时间与服务器时间作对比,过期则拒绝访问。

8.如何防止 Token 被串改?
此时 signature字段就是关键了,能被解密出明文的,只有 header 和 payload

假如黑客/中间人串改了 payload,那么服务器可以通过 signature 去验证是否被篡改过。

在服务端在执行一次 signature = 加密算法(header + “.” + payload, 密钥);, 然后对比  signature 是否一致,如果一致则说明没有被篡改。

所以为什么说服务器的密钥不能被泄漏。

如果泄漏,将存在以下风险:

  • 客户端可以自行签发 token
  • 黑客/中间人可以肆意篡改 token

9.安全性相关
如果加强 JWT 的安全性?

根据我的使用,总结以下几点:

  1. 缩短 token 有效时间
  2. 使用安全系数高的加密算法
  3. token 不要放在 Cookie 中,有 CSRF 风险
  4. 使用 HTTPS 加密协议
  5. 对标准字段 iss、sub、aud、nbf、exp 进行校验
  6. 使用成熟的开源库,不要手贱造轮子
  7. 特殊场景下可以把用户的 UA、IP 放进 payload 进行校验(不推荐)

三、非对称加密

加密技术是对信息进行编码和解码的技术,编码是把原来可读信息(明文)译成代码形式(又称密文),其逆过程就是解码(解密),加密技术的要点就是加密算法,加密算法可以分为三类:
①对称加密,如 AES

  • 基本原理:将明文分成N个组,然后使用密钥对各个组进行加密,形成各自的密文,最后把所有的分组密文进行合并,形成最终的密文。
  • 优势:算法公开、计算量小、加密速度快、加密效率高
  • 缺陷:双方都使用同样密钥,安全性得不到保证
    ①非对称加密,如 RSA
  • 基本原理:同时生成两把密钥:私钥和公钥,私钥隐秘保存,公钥可以下发给信任客户端。
    • 私钥加密,持有私钥或公钥才可以解密
    • 公钥加密,持有私钥才可解密
  • 优点:安全,难以破解
  • 缺点:算法比较耗时
    ①不可逆加密,如 MD5,SHA
  • 基本原理:加密过程中不需要使用密钥,输入明文后由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,无法根据密文推算出明文。
Digestala
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JWT原理解析与实现
weixin_46120888的博客
12-26 4425
1.Token与Session优缺点概述 1.1 Session的由来 在登录一个网站进行访问时由于HTTP协议是无状态的就是说一次HTTP请求后他就会被销毁,比如我在www.a.com/login里面登录了,然后你就要访问别的了比如要访问www.a.com/index但是你访问这个网站你就得再发一次HTTP请求,至于说之前的请求跟现在没关,不会有任何记忆,这次访问会失败,因为无法验证你的身份。所以你登录完之后每次在请求上都得带上账号密码等验证身份的信息,但是你天天这么带,那太麻烦了。那还可以这样,把我第一
JWT实现原理和基本代码实现
m0_50163856的博客
03-02 561
JWT是什么 JWT是一种基于JSON的令牌安全验证(在某些特定的场合可以替代Session或者Cookie),一次生成随处校验 JWT的组成 JWT分为三部分:头部信息(header),消息体playload,签名( signature)
JWT实现原理,php实现JWT实例
HCC的博客
05-15 806
JWT描述 JWT 全程(json web token) JWT 就是一个字符串,经过加密处理与校对处理的字符串 JWT 由header(头部),payload(主体),signature(签名)三部分组成 JWT 组成形式 base64UrlHeader.base64UrlPayload.base64Url(hash(base64UrlHeader.base64UrlPayload)) 生成: header组成 { "typ":"JWT", "alg":"HS256" } alg:加密算法 t
SpringBoot整合JWT(JSON Web Token)生成token与验证
小hui的博客
06-19 2299
JWT(JSON Web Token)是是目前最流行的跨域认证解决方案。它通常被用于对用户进行身份验证和授权。这篇文章是springboot对jwt的整合实例
JWT原理详解
热门推荐
weixin_45839321的博客
10-06 1万+
1.COOKIE使用和优缺点 1.1cookie原理:用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给
JWT的原理
子冉冰清的博客
09-26 6813
JWT原理 jwt原理和使用 JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。 一、JWT原理: 参考文章:https://www.jianshu.com/p/180a870a308a 1、传统的登录方式: 浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每
jwt实现原理解析
qq_41661056的博客
12-17 957
token编码过程: 第一部分: json转化成字符串,然后做:base64url加密(本质是:base64加密+特定符号替换) eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 HEADER:ALGORITHM & TOKEN TYPE { "alg": "HS256", ##加密算法,哈希256是不能反解的 "typ": "JWT" ...
JWT学习——原理/实现
AlexZ的博客
03-15 951
背景: 在学习SpringCloud框架时,用到JWT做用户的认证登录和鉴权。为了更好的理解其工作原理,接下来就是具体学习JWT了。 什么是JWT? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。 此信息可以通过数字签名进行验证和信任。 JWT可以使用秘密(使用HMAC算法)或使用RSA或...
JWT原理
COMEKING的博客
07-23 3296
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。 这种模式的问题在于,扩展性(scaling)不好。单机当
使用NodeJS实现JWT原理
神以灵的博客
09-19 784
使用NodeJS实现JWT原理 jwt是json web token的简称,本文介绍它的原理,最后后端用nodejs自己实现如何为客户端生成令牌token和校验token 为什么需要会话管理 我们用nodejs为前端或者其他服务提供resful接口时,http协议他是一个无状态的协议,有时候我们需要根据这个请求的上下获取具体的用户是否有权限,针对用户的上下文进行操作。所以出现了cookies session还有jwt这几种技术的出现, 都是对HTTP协议的一个补充。使得我们可以用HTTP协议+状态管理构
Node.JS如何实现JWT原理
10-14
4. **JWT原理** JWT由三部分组成:Header、Payload和Signature。Header包含了算法和JWT类型,Payload包含声明(如用户ID、过期时间等),Signature是通过Header和Payload的Base64URL编码值以及一个秘密(secret)...
基于springboot+jwt实现刷新token过程解析
08-19
基于SpringBoot+JWT实现刷新Token过程解析 标题解析 本文主要介绍了基于SpringBoot和JWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于...
详解使用JWT实现单点登录(完全跨域方案)
10-16
JSON Web Token(JWT)是一种流行的轻量级身份验证和授权机制,常用于实现单点登录(Single Sign-On, SSO)系统,特别是在完全跨域的场景下。JWT允许用户在多个相关应用或服务之间共享认证信息,而无需多次登录。...
JWT认证原理、流程整合springboot实战应用
01-18
**JWT认证原理** JWT由三个部分组成:Header、Payload和Signature。它们通过`.`分隔,形成一个完整的Token。 1. **Header**:通常包含JWT类型(`typ`)和加密算法(`alg`),如`HS256`,表示使用HMAC SHA-256算法...
Java面试整理,涵盖基础、JVM、线程并发、框架、MySQL、微服务、Redis、中间件、数据结构与算法等。陆续完善中.zip
07-31
Java面试整理,涵盖基础、JVM、线程并发、框架、MySQL、微服务、Redis、中间件、数据结构与算法等。陆续完善中
chromedriver-mac-x64_121.0.6167.184.zip
最新发布
07-31
chromedriver-mac-x64_121.0.6167.184.zip
【Java面试+Java技术文章汇总】 涵盖大部分Java程序员所需要掌握的核心知识。.zip
07-31
【Java面试+Java技术文章汇总】 涵盖大部分Java程序员所需要掌握的核心知识。
资源管理的艺术:使用MySQL用户资源配额优化性能
07-31
MySQL是一个流行的开源关系型数据库管理系统(RDBMS),广泛用于Web应用程序的后端数据存储。它基于结构化查询语言(SQL)来管理数据,并且是LAMP(Linux, Apache, MySQL, PHP/Python/Perl)技术栈的一部分,这个技术栈常用于构建动态网站和Web应用程序。 MySQL的特点包括: - **开放源代码**:MySQL的源代码是公开的,任何人都可以自由使用和修改。 - **跨平台**:MySQL可以在多种操作系统上运行,包括Linux、Windows、macOS等。 - **高性能**:MySQL以其快速的查询处理和良好的性能而闻名。 - **可靠性**:MySQL提供了多种机制来确保数据的完整性和可靠性,包括事务支持、备份和恢复功能。 - **易于使用**:MySQL提供了简单直观的界面和丰富的文档,便于用户学习和使用。 - **可扩展性**:MySQL支持从小型应用到大型企业级应用的扩展。 - **社区支持**:由于其广泛的使用,MySQL拥有一个活跃的开发者社区,提供大量的资源和支持。 MySQL被广泛应用于各种场景,包括在线事务处理(OL
JWT单点登录的实现原理
05-29
JWT(JSON Web Token)是一种用于身份验证的开放标准,它可以通过一种紧凑的、自包含的格式来安全地传输信息。JWT包含了一些声明信息,例如用户身份、访问权限等,并且使用数字签名进行验证,从而保证信息的真实性和完整性。JWT单点登录的实现原理如下: 1. 用户登录认证时,认证中心将用户的身份信息加密成JWT,并返回给用户。 2. 用户在访问其他应用时,携带这个JWT,其他应用可以通过公钥解密JWT,获取用户身份信息进行鉴权操作。 3. 由于JWT具有自包含性,包含了用户身份信息和数字签名,其他应用可以验证JWT是否合法。 通过这种方式,用户只需要登录一次,在其他应用中就可以免登录访问,实现了单点登录。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值