JWT & JWS & JWE三者区别

最新推荐文章于 2024-05-06 17:11:34 发布
最新推荐文章于 2024-05-06 17:11:34 发布
阅读量2.5k 收藏 5
点赞数 2
分类专栏: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45805339/article/details/103857164
版权

JWT & JWS & JWE

JWT : Json Web Token

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWSJWE是JWT的两种实现

JWS : Json Web Signature

header

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt
  • 声明加密的算法 通常直接使用 HMAC SHA256

完整的头部就像下面这样的JSON:

{
  'typ': 'JWT',
  'alg': 'HS256'
}

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

payload

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

1.标准中注册的声明

2.公共的声明

3.私有的声明

标准中注册的声明 (建议但不强制使用) :

iss: jwt签发者

sub: jwt所面向的用户

aud: 接收jwt的一方

exp: jwt的过期时间,这个过期时间必须要大于签发时间

nbf: 定义在什么时间之前,该jwt都是不可用的.

iat: jwt的签发时间

jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明 : 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明 : 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后将其进行base64加密,得到JWT的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

signature

JWS的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)
  • payload (base64后的)
  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jws的第三部分。

// javascript
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jws:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意:secret是保存在服务器端的,jws的签发生成也是在服务器端的,secret就是用来进行jws的签发和jws的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jws了。

JWE : JSON Web Encryption

阳光_你好
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【kratos入门实战教程】2-实现注册登陆业务
Reach的博客
08-03 2916
【kratos入门实战教程】注册登陆业务篇
jose:JSON对象签名和加密框架(JWTJWSJWE,JWA,JWK,JWKSet等)
02-03
如果您真的喜欢那个图书馆,那么您可以帮我几个忙 :clinking_beer_mugs: ! :warning: :warning: :warning: 我们强烈建议您使用新的... JWSJWE对象支持可以编码为JSON的每个输入: string , array , integer ,
JWTJWEJWS区别
2401_83384536的博客
03-08 584
一个JWT,应该是如下形式的:这些东西看上很凌乱,但是非常紧凑,并且是可打印的主要用于验证签名的真实性。
JWK和JWT 学习
最新发布
一个写了10年bug的程序员日常笔记。
05-06 1333
和是现代Web应用程序中用于安全通信的两个重要概念。它们都是基于JSON的,并且是OAuth 2.0和OpenID Connect等协议的核心组成部分。官方文档JWT官方网站JWK和JWK Set的RFC文档JWT的RFC文档。
一篇文章带你分清楚JWT,JWSJWE
一路奔跑94的博客
01-28 1484
随着移动互联网的兴起,传统基于session/cookie的web网站认证方式转变为了基于OAuth2等开放授权协议的单点登录模式(SSO),相应的基于服务器session+浏览器cookie的Auth手段也发生了转变,Json Web Token出现成为了当前的热门的Token Auth机制。 Json Web Token(JWT) JSON Web Token(JWT)是一个非常轻巧的规范...
kratos学习(二) kratos配置
成长之路
05-07 1365
微服务或者说云原生应用的配置最佳实践是将配置文件和应用代码分开管理——不将配置文件放入代码仓库,也不打包进容器镜像,而是在服务运行时,把配置文件挂载进去或者直接从配置中心加载。Kratos的config组件就是用来帮助应用从各种配置源加载配置。
java jws-_为JWS应用程序启动指定JRE位置
weixin_36142226的博客
02-16 204
有没有办法指向特定的JRE / JDK位置来运行JWS应用程序?我正在研究指定JRE的实际位置,而不仅仅是通过JNLP文件的Java SE元素的版本 . 我不想访问任何系统JRE,我只想使用与我的应用程序捆绑的whats .目前我正在尝试将1.6_45与我的应用捆绑在一起 . 但是,当用户在其系统上安装了1.7_xx JRE时,我遇到了问题 . 它阻止了webstart应用程序的启动 . 这些 j...
rhonabwy:JWK,JWKS,JWSJWEJWT C库
02-27
Rhonabwy-JWK,JWKS,JWSJWEJWT库 创建,修改,解析,导入或导出(JWK)和JSON Web密钥集(JWKS) 创建,修改,解析,验证或序列化(JWS) 创建,修改,解析,验证或序列化(JWE) 创建,修改,解析,验证或...
jose:通用的“ JSON Web几乎所有内容”-JWA,JWSJWEJWT,JWK,没有依赖项
03-30
乔瑟通用的“ JSON Web几乎所有内容”-使用本机加密运行时不依赖项的JWA,JWSJWEJWT,JWK实施的规格和功能以下规范由jose实现JSON Web签名(JWS) JSON Web加密(JWE) JSON Web密钥(JWK) JSON Web算法(JWA)...
jose-jwt:JOSEJWT标准的Haskell实现
02-04
在Haskell编程语言中,`jose-jwt`库是实现JOSEJWT标准的一个工具,允许开发者处理JWTJWS(JSON Web Signatures)和JWE(JSON Web Encryption)。 JWT通常由三部分组成:头部(Header)、负载(Payload)和签名...
3 JWTJWS
Markix的博客
08-29 1232
JSON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间传输信息(Claims)。这些信息以JSON格式定义。 JWT 可以理解为是一个规范。实际上,具体的实现方案有 JWS(JSON Web Signature) 和 JWE(JSON Web Encryption)。......
一文读懂JWT,JWS,JWE
Java笔记虾
11-24 6337
点击上方“后端技术精选”,选择“置顶公众号”技术文章第一时间送达!作者:zh_coderhttps://blog.csdn.net/hellowordapi/article1.JWT是何物,有哪些常用的场景JWT(json web token)是设计一种简洁,安全,无状态的token的实现规范rfc7519,通常用于网络请求方和网络接收方之间的网络请求认证。jwt的常用场景1.1: restful...
关于 JWTJWSJWE
u012503481的博客
07-25 6652
JWTJWSJWE 格式与差异介绍
登陆验证koa-passport中间件的简单使用
qq_43817972的博客
02-13 487
简述 koa-passport是koa的一个中间件,它实际上只是对passport的一个封装。利用koa-passport可以简便的实现登录注册功能,不但包括本地验证,还有很多提供第三方登录的模块可以使用。这篇博客只讲一下登陆验证这块的一些简单内容 配置 安装依赖 npm install -S koa-passport npm install -S passport-local 引包 imp...
Go Kratos2.0 Http请求如何获取IP地址(Filter,Middleware)
u014647332的专栏
05-11 2025
Kratos2.0 支持Http请求模式,但对于Http请求的常见使用场景支撑的并不多,很多时候需要编程人员通过Filter和Middleware实现,以下是一种获取http请求来源IP的方式; 1.server/http.go NewHTTPServer 方法中添加Filter和Middleware // NewHTTPServer new a HTTP server. func NewHTTPServer(c *conf.Server, a *conf.Auth, user *service.Us
Kratos战神微服务框架(三)
qq_53267860的博客
07-01 655
Kratos战神微服务框架(三)中间件,跨域,自定义错误
go微服务框架kratos学习笔记六(kratos 服务发现 discovery)
靑い空゛
01-13 2458
文章目录@[toc]discovery 服务服务注册服务发现简测 本节介绍kratos的discovery服务发现的使用,稍微看了下grpc的服务发现接口原理,感觉挺复杂的,打算还是抽出来下次单独写一篇原理性质的文章吧。 所以先看使用 大致过程是 1、我们先启动bilibili的discovery服务 2、然后服务先向discovery注册一个appid(唯一) 3、client根据ap...
JWTJWEJWS 、JWK 都是什么鬼?还傻傻分不清?
热门推荐
emprere的博客
12-18 1万+
上一篇:MySQL这样写UPDATE语句,劝退作者:NinthDevilHunster来源:www.freebuf.com/articles/web/180874.htmlJWT 相信很多...
JWT的结构, JWT可以篡改吗, JWE听说过吗
12-08
JWT是一种用于身份验证和授权的开放标准,它由三部分组成:头部、载荷和签名。其中头部包含了关于该JWT的元数据信息,例如签名算法;载荷包含了需要传递的信息,例如用户ID;签名则是对头部和载荷进行签名后的结果,用于验证JWT的真实性和完整性。因此,JWT的结构可以表示为:`<头部>.<载荷>.<签名>`。 JWT是可以被篡改的,特别是在签名算法被设定为none的情况下,攻击者可以修改载荷中的信息,然后重新生成签名,使得JWT通过验证。因此,在使用JWT时,应该选择安全的签名算法,例如HMAC或RSA。 JWEJWT的扩展,它使用加密算法对载荷进行加密,从而保证了JWT的机密性。与JWE类似的还有JWS,它使用签名算法对载荷进行签名,从而保证了JWT的真实性和完整性。因此,JWEJWSJWT之间的关系可以表示为:JWEJWSJWT的扩展,它们分别提供了机密性和真实性/完整性的保证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值