【Web前端】JWT(JSON Web Tokens)概述

最新推荐文章于 2024-07-14 23:57:51 发布
最新推荐文章于 2024-07-14 23:57:51 发布
阅读量605 收藏 24
点赞数 31
分类专栏: Web前端 文章标签: json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wosixiaokeai/article/details/140279114
版权

1、简介

JWT(JSON Web Tokens)是一种用于双方之间安全传输信息的简洁的、URL安全的令牌标准。

它基于JSON对象,并通过数字签名确保其完整性和真实性。

JWT因其小巧、自包含以及易于在客户端和服务器之间传输的特性而被广泛使用于身份验证和信息交换的场景中。

2、组成部分

JWT由三个部分组成,这三部分通过点(.)分隔:

Header(头部):头部通常包含了两部分信息:

例如:

  • typ:表示令牌的类型,对于JWT,这个值通常是JWT
  • alg:表示签名所使用的算法,如HMAC SHA256或RSA。
{  
  "alg": "HS256",  
  "typ": "JWT"  
}

Payload(负载):负载包含了声明(claims)。声明是关于实体(通常是用户)和其他数据的声明。声明分为三种类型:

  • 注册声明(Registered claims):这是一组预定义的声明,它们不是强制的,但是推荐使用,如iss(发行人)、exp(过期时间)、sub(主题)等。
  • 公共声明(Public claims):这些可以由使用JWT的双方自由定义。
  • 私有声明(Private claims):这些也是自定义的声明,但通常只在创建令牌的双方之间共享。

例如:

{  
  "sub": "1234567890",  
  "name": "John Doe",  
  "admin": true  
}

Signature(签名):签名部分是对前两部分的签名,以防止数据被篡改。
签名需要使用编码后的Header和Payload,一个密钥,以及算法(在Header中指定)来生成。

例如,如果使用的算法是HS256,签名将通过以下方式生成:

HMACSHA256(  
  base64UrlEncode(header) + "." +  
  base64UrlEncode(payload),  
  secret)

3、使用场景及优缺点

3.1使用场景

  • 身份验证:一旦用户登录,服务器就可以生成一个JWT并将其返回给用户。之后,用户就可以在后续请求中附带这个JWT来验证身份。
  • 信息交换:JWT可以被用于在双方之间安全地传输信息。由于JWT是自包含的,它可以包含所有必要的信息,并且可以通过签名来验证其完整性和真实性。

3.2优点

  • 紧凑:由于使用了Base64编码,JWT非常紧凑,易于通过URL、POST参数或HTTP头部传输。
  • 自包含:JWT包含了验证和所需的所有信息,因此服务器不需要存储关于会话的额外信息或频繁地查询数据库。
  • 跨域:JWT可以跨多个域安全地传输。

3.3缺点

  • 安全性:JWT默认是不加密的,除非使用JWE(JSON Web Encryption)进行加密。因此,敏感信息不应该放在JWT的Payload中。
  • 注销和令牌撤销:由于JWT是无状态的,很难在令牌过期之前撤销它。常见的解决方案是使用JWT与服务器端的黑名单或白名单配合。
  • 令牌大小:虽然JWT通常很紧凑,但如果包含大量的声明,它可能会变得相当大,这可能会影响性能。

4、工作流程

1. 生成JWT

当用户通过身份验证(如登录)后,服务器会执行以下步骤来生成JWT:

        1、创建Header(头部):Header部分是一个JSON对象,包含了令牌的元数据信息,如使用的签名算法(alg)和令牌的类型(typ,通常为JWT)。例如:

{  
  "alg": "HS256",  
  "typ": "JWT"  
}

        2、创建Payload(负载):Payload部分也是一个JSON对象,包含了实际需要传递的声明(claims)。这些声明可以是预定义的(如iss发行人、exp过期时间等),也可以是自定义的。Payload也经过Base64URL编码,形成JWT的第二部分。

        3、生成Signature(签名):为了确保JWT的完整性和真实性,服务器会使用一个密钥(secret)和一个签名算法(在Header中指定)来对Header和Payload进行签名。签名的生成过程通常涉及将编码后的Header和Payload拼接起来,然后使用密钥和算法进行签名。签名部分也进行Base64URL编码,形成JWT的第三部分。

        4、组合JWT:将编码后的Header、Payload和Signature用点(.)分隔组合成一个完整的JWT字符串。

2. 传输JWT

生成JWT后,服务器会将其发送给客户端(如Web浏览器、移动应用等)。客户端随后可以在后续请求中附带这个JWT,以便进行身份验证或信息交换。JWT通常通过HTTP请求的头部(如Authorization头)发送,格式为“Bearer <token>”。

3. 验证JWT

当客户端发送带有JWT的请求时,服务器会执行以下步骤来验证JWT:

  1. 解析JWT:服务器将JWT字符串按点(.)分隔成三个部分,并分别对它们进行Base64URL解码,以恢复出原始的Header、Payload和Signature。

  2. 验证签名:服务器使用相同的密钥和签名算法对解码后的Header和Payload进行签名,并将生成的签名与JWT中的签名进行比较。如果两者相同,则表明JWT在传输过程中未被篡改。

  3. 验证Payload中的声明:服务器会检查Payload中的声明,如过期时间(exp)、发行人(iss)等,以确保JWT的有效性和适用性。

  4. 处理请求:如果JWT验证成功,服务器将处理客户端的请求,并返回相应的响应。如果JWT无效(如已过期、签名不匹配等),服务器将拒绝处理请求,并可能返回错误消息。

泡芙冰淇淋ya
关注
  • 31
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSON Web Token前端与后端对话密钥生成文件)
06-28
主要使用在用户登录的时候,结合 cookie 可以让用户在您的网站登陆以后 xx 天免登 token 生成文件,用于前后端数据传输时发送的密钥(暗语)。 直接解压后引用该文件即可 -- 后端在收到第一次请求的时候调用 私有的(p开头的) -- 前端发来密钥的时候调用 公用的进行判断是否正确 你也可以自己使用代码进行生成该对应文件 —————————————————————————————————— 生成私钥 - ssh-keygen -t rsa -b 2048 -f private.key —————————————————————————————————— 生成公钥 // window电脑不支持 openssl 代码,使用 git 提供的控制台书写即可 - openssl rsa -in private.key -pubout -outform PEM -out public.key
hiro与web集成共10页.pdf.zip
10-29
3. **身份验证与授权**:OAuth2、JWTJSON Web Tokens)等机制用于确保只有经过验证的用户能访问特定资源。 4. **数据库集成**:选择合适的数据库(如SQL或NoSQL)并与后端服务集成,处理数据的读写操作。 5. **...
【2023】前端JWT详解
接着奏乐接着舞的博客
04-13 3146
jwt本质上是一种令牌格式。它和终端设备无关,同样和服务器无关,甚至与如何传输无关,它只是规范了令牌的格式而已jwt由三部分组成:header、payload、signature。主体信息在payloadjwt难以被篡改和伪造。这是因为有第三部分的签名存在。
【sduoj】前端JWT的使用
qq_53126706的博客
10-24 4898
2021SC@SDUSC 文章目录序言传统认证方式session认证基于Token的鉴权机制JWTJWT是什么JWT的构成头部(header)载荷(payload)标准中注册的声明公共的声明私有的声明签证(signature) 序言 由于HTTP协定是不储存状态的,当我们刚刚透过帐号密码验证一个使用者时,下一个request请求就把刚刚的资料忘了。所以我们的程序就不知道谁是谁,就要再验证一次。所以为了保证系统安全易用,我们就需要验证用户否处于登录状态。 在大多数前后端分离的项目中,JWT是常见的一个认证标准
前端也有必要了解JWT吗?
李益
04-15 1229
什么是JWT JWT全称是JSON WEB TOKEN,是一种基于JSON的开放标准(RFC 7519),主要用于用户与服务器之间安全地传输信息。简单的说,JWT就是一种认证机制。 推荐 文章将率先在公众号「Code满满」与个人博客「李益的小站」上发布,如果本文对你有帮助,就关注一下公众号吧! 什么是认证 HTTP协议本身是一种无状态的协议,在应用程序中,用户需要输入用户名和密码来进行用户认证,获取属于用户自己的信息。但是如果每次都要用户输入用户名和密码,就太过于繁琐了;于是就有了Session认证与
前端JWT的使用
weixin_53271997的博客
06-18 1097
主要介绍前端部分JWT的使用
开发技术-Web开发Web上的多主体系统若干关键技术研究.zip
04-09
这通常涉及用户注册、登录、密码管理以及角色和权限控制,如OAuth、JWTJSON Web Tokens)或基于RBAC(Role-Based Access Control)的机制。 3. **RESTful API设计**:为了实现多个主体之间的通信,REST...
.NET Core 跨平台实战(含源码).pdf
03-07
- **JWT 基础概念**:JSON Web Tokens (JWT) 是一种开放标准 (RFC 7519),用于安全地传输信息。 - **.NET Core 集成 JWT**:通过安装相关的 NuGet 包,如 `Microsoft.AspNetCore.Authentication.JwtBearer`,并在 `...
CollabHERative-React-Flask-Python-Web-App:[CollabHERative]社交网络应用程序,可为科技界女性及其盟友建立社区
03-14
项目可能使用JWTJSON Web Tokens)或session机制来实现安全的身份验证。 6. **盟国和招聘人员** - 这两个特性可能涉及到特定的用户角色,例如,盟国可能是支持该社区并提供资源的企业或个人,而招聘人员可能能够...
[其他类别]MeyboMail Web开源简化版_meybomailweb.rar
04-14
5. **用户认证与授权**:为了保证用户安全,系统可能集成了JWTJSON Web Tokens)或OAuth2等认证机制,确保用户身份的安全验证和权限控制。 6. **响应式设计**:考虑到邮件系统可能在不同设备上使用,项目可能采用...
JWT从0到1,小白入门(JWT在vue前端中的使用)
个人为2024届在校大学生,希望分享的代码有助于各位
12-03 3801
是一种用于在Web应用程序之间安全传输信息的开放标准(RFC 7519)。它是一种基于JSON的小型身份验证和授权标准,包含了在不同系统之间传递的信息,如用户身份信息和其他元数据。
JWT令牌,前端(axiox)、后端操作
weixin_48881844的博客
04-10 1075
JWT简称JSONWebToken,也就是通过JSON形式作为web与应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。
JWT简介& JWT结构& JWT示例& 前端添加JWT令牌功能& 后端程序
qq_73126462的博客
11-07 9854
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。JSON Web TokenJWT)是目前最流行的跨域身份验证解决方案。
vue前端解析jwt
qq_61950936的博客
03-20 981
我们可以用在线解析看解析的结果:https://www.lddgo.net/encrypt/jwt-decrypt。但是如果在前端需要解析token,拿到其中的权限信息,可以这样解决。
深入浅出JWT
BradenHan的专栏
05-19 831
JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。是一个开放标准(RFC 7519)定义了一种紧凑且独立的方式,可以将各方之间的信息作为JSON对象进行安全传输该信息可以验证和信任,因为是经过数字签名的Session是一种非常重要非常流行的用户认证与授权的方式。认证:让服务器知道你是是谁授权。
前端JWT token维护方案
阿之阿佐
06-17 1157
一、需求描述: 前端登录后,后端返回acToken和acToken有效时间以及refreshToken,然后在request.headers带上acToken,当acToken过期时要用refreshToken去获取新的acToken,当refreshToken过期前端跳转到登录页,获取新的acToken时要做到用户无感知。 二、分析 当用户发起一个请求时,判断acToken是否已过期,若已过期则先调refreshToken接口,拿到新的acToken后再继续执行之前的请求。 这个问题的难点在于:.
2024年前端最新JWTJSON Web Token)的基本原理,2024年最新开发面试流程
2401_84447362的博客
05-13 808
总的来说,面试官要是考察思路就会从你实际做过的项目入手,考察你实际编码能力,就会让你在电脑敲代码,看你用什么编辑器、插件、编码习惯等。所以我们在回答面试官问题时,有一个清晰的逻辑思路,清楚知道自己在和面试官说项目说技术时的话就好了开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】四、HeaderHeader 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。
前端基础必修课--什么是jwt
最新发布
mebius的技术博客
07-14 868
JWTJSON Web Token)是一种基于 JSON 的开放标准(RFC 7519),用于在各方之间作为 JSON 对象传输信息。由于其具有数字签名,可以确保信息是经过验证的和可信的。JWT 的常见应用场景包括前端与后端之间的认证和授权。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值