2024 token的实现原理:JWT标准,一文搞懂

已于 2024-02-07 17:11:01 修改
阅读量719 收藏 15
点赞数 26
分类专栏: 通用接口小知识 文章标签: 前端
于 2024-02-07 17:00:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47340042/article/details/136070957
版权

先看看,用户和服务器的交互 -- 面上是这样子的:

token的样子:

    你看上图,三个部分组成,每个部分中,由 " . ",逗号分割;

token为什么张这个样子?

    因为规定了,token由三个部分组成(就像:如果你是马斯克,你可以给自己的产品命名:特斯拉 ,一样的道理)

所以我们有必要了解,这一串中,3各部分是干什么的?内容是什么?

  JWT包含三个部分: Header头部,Payload负载和Signature签名。由三部分生成Token,三部分之间用“.”号做分割。

我先上一张图,结合图下面的解释,会理解清除:

Header头部 -- A区域:

                         

        这个区域是一个字符串,主要是告诉你:我是通过HS535进行加密.  (哈希加密)

Payload负载 -- B区域:

                ​​​​​​​        

        这个区域也是字符串,保存用户的信息,比如:用户id、token创建时间、token超时时间

        但是,不会包含敏感信息,比如:密码​​​​​​​

Signature签名 -- C区域:

        这个区域,就简单了,哈:

        ​​​​​​​        ​​​​​​​        目前的话凑合看吧

                C=(A+B)*HS535加密+加盐(加盐只有服务器知道盐的内容))*base64rul加案, 

         上面这段看不懂就看下面这句话(其实相对男一丢丢):

                C区域其实就是:A 和 B区域链接到一起,进行加密之后的结果(可以理解成字符串)

2024年2月7日16:38:25,快放年假了,先写到这,下面写加密过程:
用户登录之后,服务器端就生成了token:
这是token的生成原理:
A=加密方式->转化为字符串->base64ur加密(符号:+转化"exp" :'timesta
B=用户信息(记录用户的id和创建/超时时间)->字符串->base64ur加密
C=(A+B)*HS535加密+加盐(加盐只有服务器知道盐的内容))*base64rul加案

注意:(A+B)均是base64url加密后的数据

 服务器将生成的token,通过响应给浏览器

浏览器再次请求服务器时,会带着token

服务器,解析token,认证通过,把请求结果返回给用户端

服务器拿到token后,解密过程:

  1. 获取token,对token进行切割
  2. 对第二段B,进行base64url进行解密,获取payload信息,检测token是否超时
  3. 操作AB:将A 、B段拼接(AB均是base64url加密后的状态),再次通过HS535加密,假如得到一个CC字符串
  4. 操作C :需要把C进行base64url解密,结合加密过程中,C进行了额外一次的base64url加密(A+B)*base64url
  5. 对比:请求的token- 第三部分C == CC?  如果相等,校验通过.  如果有人修改任意内容,对比均不通过(因为加盐部分,对方不知道)

上面这个解密过程,可以好好看看,如果不懂的话欢迎留言

注意:

        这种方法,如果想要破解token,或者伪造token,或者人为恶意延长token的时间,都验证不通过,除非能拿到"盐" 

欧阳一尘
关注
  • 26
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web基础:Token
不怕猫的耗子A
03-08 3万+
传统身份验证的方法: HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下。解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 C...
layuimini-token:layuimini集成jwt实现token
04-30
layuimini集成jwt实现token 介绍 本项目是在layuimini项目的基础上增加jwttoken,感觉也挺多人用token的,注意项目只实现了iframe v2版集成token。 原项目地址: 解码jwt项目地址: 拉取代码: iframe v2多tab版:git clone https://github.com/xiaozhu-CHN/layuimini-token -b v2 onepage v2单页版:git clone https://github.com/xiaozhu-CHN/layuimini-token -b v2-onepage 使用文档 一.配置 编辑index.html,150行,启用token和输入登录页地址,然后打开index.html,打开该页面的时候会自动进行jwt初始化。 var options = { iniUrl: "api/in
一文搞懂cookie、session、tokenjwt、OAuth
kobe_okok的博客
09-10 3606
一文彻底读懂cookie、session、tokenJWT、OAuth
Token详解
热门推荐
Shuo
09-22 1万+
描述了tokenjwt,以及jwt的使用。
Vue 登陆 处理 token
qq_41399901的博客
03-22 3932
vue 处理 token 最开始后端来和我说 token 时候,之前假期学习的时候,没接触过toen, 当时我听的是一脸懵逼,只能装着很懂的样子, 后来查了一些资料,终于明白了token 的原理,以及应用。 token 原理 token 的意思是 令牌, 就像是我们登陆某个账号时,会向你的安全令发送验证一样。 一个道理, 在前端处理登陆时,并非简单的验证账号密码是否正确, 而是发送给后台。 后台...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
SpringBoot-JWT-Token:JWT令牌,Spring-Security
JWT Token实现方法及步骤详解
09-07
主要介绍了JWT Token实现方法及步骤详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
jwt-token-verifier:验证JWT令牌OpenID提供程序
03-25
jwt-token-verifier 验证JWT令牌OpenID提供程序
php实现JWT(json web token)鉴权实例详解
01-03
JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
Token的详细说明,看这一篇就够了
weixin_44761091的博客
04-11 5342
文章目录1.基于Token 的身份验证方法2.JWT2.1 Header2.2 Payload2.3 signatrue3.Web安全 对于 Token,在很多大型网站中都有所应用,比如 Facebook,Twitter,Google,Github 等等,比起传统的身份验证方法,Token 的扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上 1.基于Token 的身份验证方法 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名
关于token,它到底是个啥?
qq_52006046的博客
11-20 3606
2.token是什么 : 身份令牌,相当于是用户一种身份认证令牌。类似于古代的腰牌,现代的工牌。见到这个牌子,服务器才知道你是自己人,才会把数据响应给你。jwt全称JSON WEB Token:它是一个后端加密并转换生成的一个字符串, 里面存储着本次登录的用户相关信息 (需要登录, 输入正确的账号和密码 换取)
什么是Token
weixin_44076384的博客
05-14 1567
1、Json Web Token是干什么 简称JWT,在HTTP通信过程中,进行身份认证。 我们知道HTTP通信是无状态的,因此客户端的请求到了服务端处理完之后是无法返回给原来的客户端。因此需要对访问的客户端进行识别,常用的做法是通过session机制:客户端在服务端登陆成功之后,服务端会生成一个sessionID,返回给客户端,客户端将sessionID保存到cookie中,再次发起请求的时候,...
token的相关理解及使用
xbczrz的博客
11-07 334
tokentoken的引入二 token的目的三 token从哪里来四 token长什么样五 如何把token传递至后端六 后端配置token7 前端操作tokentoken的引入 客户端频繁向服务端请求数据 服务端频繁去数据库查询用户名的密码,并进行对比 判断用户是否有权限请求接口数据 有没有一种方法可以不用频繁进行数据库验证 token应运而生 二 token的目的 减轻服务器的压力 减少频繁的查询数据库 三 token从哪里来 token是服务器产生的 当用户登录时,或者调用指
记录一次前端页面崩溃的产生及处理
weixin_51123079的博客
05-30 512
记录一次前端页面崩溃的产生及处理
前端开发记录
最新发布
qq_25806839的博客
05-31 165
【代码】前端开发记录。
Vue3实战笔记(52)—Vue 3封装持仓分析饼图
山花的博客
05-30 524
接上文,封装持仓分析饼图。封装好几个组件,用于后续开发。把忧愁煮成茶,让它在心间慢慢沉淀,剩下的,便是清甜的回味。
vue 笔记03
m0_47045804的博客
05-30 870
vue挂载以后把所有内容手抄一份就叫做虚拟dom 假设你要操作dom 等一下先不要操作真实dom, 先修改我这个手抄的虚拟的DOM 改完了么?如果我们需要一个变量 这个变量的值是根据data里面某个值或者某几个值的变化而变化的时候,那么我们就需要用到vue里面的computed计算属性。data里面定义的数据无法直接互相访问 因为加载到data的时候还没有产生当前的vue对象。return 返回的结果就是当前计算属性的值。回调函数的参数就是过滤原本的值return 返回过滤的新值。
web前端三大主流框架
低调做人,低调编码,神码都是浮云
05-30 939
Web前端三大主流框架介绍:Angular、React、Vue
jwttoken的原理
05-20
JWT(JSON Web Token)是一种基于JSON格式的安全令牌,用于在网络应用中传递声明。JWT由三个部分组成,分别是Header(头部)、Payload(负载)和Signature(签名)。 Header部分通常由两部分组成,分别是token类型...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值