JWT是什么?跟token有什么关系?token的原理?

最新推荐文章于 2024-04-28 21:42:19 发布
最新推荐文章于 2024-04-28 21:42:19 发布
阅读量4.2k 收藏 20
点赞数 1
分类专栏: java web前端 文章标签: token jwt
原文链接:https://huanqiang.wang/2017/12/28/JWT%20%E4%BB%8B%E7%BB%8D/
版权

什么是JWT

JSON Web Token (JWT) is a compact, URL-safe means of representing claims to be transferred between two parties. The claims in a JWT are encoded as a JSON object that is used as the payload of a JSON Web Signature (JWS) structure or as the plaintext of a JSON Web Encryption (JWE) structure, enabling the claims to be digitally signed or integrity protected with a Message Authentication Code (MAC) and/or encrypted.

引自:JSON Web Token (JWT)

简而言之,JWT就是一个加密的字符串,作为验证信息在计算机之间传递,只有可以访问加密密钥的计算机才能对其进行解密,从而验证携带这个令牌(Token)的请求是否合法。

JWT 组成

它由三个部分组成:header.payload.signature

1. header

header 包含了两个部分 typ 和 alg,分别是声明类型和JWT的加密算法。

1
2
3
4

{
  "typ": "JWT",
  "alg": "HS256"
}

经过 base64 加密之后得到 JWT 的第一部分信息:

1

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

2. payload

payload:负载,存放有效信息的地方。这些有效信息包含三个部分:标准中注册的声明、公共的声明 和 私有的声明。

payload 所包含的详细内容见文章底部

1
2
3
4
5
6
7
8
9
10

{ 
  "iss": "Online JWT Builder", 
  "iat": 1416797419, 
  "exp": 1448333419, 
  "aud": "www.gusibi.com", 
  "sub": "uid", 
  "nickname": "goodspeed", 
  "username": "goodspeed", 
  "scopes": [ "admin", "user" ] 
}

经过 base64 加密之后得到 JWT 的第二部分信息:

1

eyJpc3MiOiJPbmxpbmUgSldUIEJ1aWxkZXIiLCJpYXQiOjE0MTY3OTc0MTksImV4cCI6MTQ0ODMzMzQxOSwiYXVkIjoid3d3Lmd1c2liaS5jb20iLCJzdWIiOiIwMTIzNDU2Nzg5Iiwibmlja25hbWUiOiJnb29kc3BlZWQiLCJ1c2VybmFtZSI6Imdvb2RzcGVlZCIsInNjb3BlcyI6WyJhZG1pbiIsInVzZXIiXX0

3. signature

这一部分是一个签名信息,有三个部分组成:headerpayload 和 secret。其中 header 和 payload 都是加密后的字符串,secret就是一个字符串(密钥)。

举个例子:当我们的 secret 为 app_secret 时,就可以应用加密算法得到第三部分内容。

加密算法:

1
2
3
4

var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

// 这里的 HMACSHA256() 就是我们在第一部分定义的加密算法。
var signature = HMACSHA256(encodedString, 'secret');

结果:

1

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

最后,我们将这三个部分用 . 连接成一个完成的字符串就得到了最终的 JWT:

1

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9. eyJpc3MiOiJPbmxpbmUgSldUIEJ1aWxkZXIiLCJpYXQiOjE0MTY3OTc0MTksImV4cCI6MTQ0ODMzMzQxOSwiYXVkIjoid3d3Lmd1c2liaS5jb20iLCJzdWIiOiIwMTIzNDU2Nzg5Iiwibmlja25hbWUiOiJnb29kc3BlZWQiLCJ1c2VybmFtZSI6Imdvb2RzcGVlZCIsInNjb3BlcyI6WyJhZG1pbiIsInVzZXIiXX0.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

工作方式

举一个例子🌰就能够明白 JWT 在实际项目的使用方式了。

在任意系统中,用户首先都会要要登陆他的账户,他们会向服务发送账号密码,服务器验证通过之后,就会将一个有效负载(payload)和一个密钥创建成一个令牌(Token),并返回给客户端,客户端保存这个令牌。以后客户端发出的所有请求都会携带这个令牌(客户端会将这个令牌放在请求头的 x-access-token 中)。

这里服务器创建的令牌就是上文所说的加密的字符串了。

为什么使用

在看为什么使用之前,我们必须要先了解,之前我们是如何进行验证请求的。

Session 认证

在 Session 认证方式中,服务器在验证了用户发送过的账号密码请求之后,就会把这个用户信息放入 Session 中,然后把 Session 存在服务器上,这样服务器就知道了这个用户的存在,当下一次用户访问的时候,就能认证了。

但是这样有一个致命的问题: HTTP 协议是无状态的,也就是说当下一次用户发送请求的时候,请求中没有任何信息能表明用户身份!也就是说不知道请求是谁发出来了,这样也就不能认证了。

所以有人就提出了 利用 Cookie 来管理 Session,即把 Session 放入 HTTP 响应中还给客户端,并保存在客户端,当客户端发送下一次请求的时候,就把这个 Session 一起发送回来,这样就能这次的请求是谁发出来的了。

Cookie 是由客户端(通常是浏览器)保存的小型文本信息,其内容是一系列的键值对,是由 HTTP 服务器设置并保存在浏览器上的信息。

Session.jpguploading.4e448015.gif转存失败重新上传取消Session 认证流程示意图

Session 认证流程示意图

Session 认证的问题

1. 内存开销大

我们知道 Session 是存在服务器上的,实际上为了加快认证的速度,我们一般都会放在内存中,这样当用户基数大的时候,内存的开销就会很大。当然也可以将 Session 存入到 Session 表或者是缓存(redis等)中,但是依旧会有这样的问题。

2. 安全性(CSRF)

因为是基于 Cookie 进行用户识别,如果 Cookie 被截获,用户就会很容易收到跨站请求伪造的攻击。

3. 分布式

因为 Session 信息是被单个服务器所保存的,所以在分布式系统中就不能适用了。比如 Session 一开始是保存在 A 服务器上,但是下一次请求的时候,这个请求被服务器负载均衡转发到了 B 服务器,而 B 服务器则没有这个 Session 信息,所以就不能用过认证了。

当然,现在这个分布式下的 Session 管理问题,也有很多的解决方案,这里不就再展开了。

JWT 的优点

当然还有其他认证方案,这里就不再展开。

经过上文的介绍,我们知道 JWT 是服务器生成的,通过请求传给客户端(客户端可以以任意方式存放)。所以服务器不需要存储任何 JWT 信息。这样就能避免了上述 Session 的几个问题了。

  • 轻量级:JWT是非常轻量级的,传输的方式多样化,可以通过URL/POST参数/HTTP头部等方式传输。(一般放在 x-access-token里)
  • 无状态/跨域认证:令牌包含所有用于标识用户的信息,这消除了对会话状态的需要。 如果我们使用负载平衡器,我们可以将用户传递给任何服务器,而不是绑定到我们登录的同一台服务器上。
  • 可重用性/扩展性:我们可以有许多独立的服务器在多个平台和域上运行,并重复使用相同的令牌来验证用户。 构建与另一个应用程序共享权限的应用程序很容易。
  • 安全性:无需担心跨站请求伪造(CSRF)攻击。

问题及解决方案

重放攻击(Replay Attacks

又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks),是指攻击者发送一个目的主机已接收过的包,特别是在认证的过程中,用于认证用户身份所接收的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的安全性。

解决方案

建议每个一段时间就更新 Token,即对 JWT 设置一个有效时间,并返回一个新的 Token 给客户端,客户端再更新 Token。对于旧的 Token,服务器将其加入黑名单。

Payload 详细信息

1. 标准中注册的声明

  • iss:JWT 的签发者
  • sub:JWT 所面向的用户
  • aud:接收 JWT 的一方
  • exp:JWT 的过期时间这个过期时间必须大于签发时间
  • nbf:JWT 起作用的开始时间,即定义在什么时间之前,该JWT都是不可用的
  • iat:JWT 的签发时间
  • jti:JWT 的唯一身份标识,主要用来作为一次性 token,从而回避重放攻击。

2. 公共声明

公共声明里可以添加任何内容,一般添加用户相关或其他业务需要的必要信息。不建议添加敏感信息,因为该部分在客户端可解密。

3. 私有声明

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

资料

  1. Securing Node.js RESTful APIs with JSON Web Tokens
  2. 什么是 JWT – JSON WEB TOKEN
  3. Cookie/Session的机制与安全:不错,可以一下看
  4. Session原理
  5. 细说分布式Session管理:介绍了分布式系统中,Session 的管理问题。
xuaman
关注
  • 1
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
session、tokenjwt
沙沙罗曼的专栏
08-21 3847
session、tokenjwt 自认为对session、tokenjwt理解还可以,这次来讲讲这个话题。 session与cookie 什么是session session翻译过来是会话,但在WEB领域常常是指会话数据:“同一客户端与服务端进行沟通时的上下文信息”,session的作用,我用一个例子来做比喻: 假设我在滴滴平台上叫车被司机拒载后,拨通了滴滴客服电话进行...
TokenJwt详解
向着高亮的地方
10-30 3932
区别: Token验证方式:由于服务器没有存储token数据,因此需要先从数据库中查询当前token,服务器再是验证否有效; JWT验证方式:直接在服务端进行校验,并且不用查库。因为用户的信息及加密信息,在第二部分payload和第三部分签证中已经生成,只要在服务端进行校验就行,并且校验也是JWT自己实现的。 接下来,详细介绍TokenJwt相关概念 1.To...
JWTToken
qq_52988578的博客
08-16 387
JWT (JSON Web Token) 和 Token 都是用来在用户和服务器之间传输信息的机制。但它们之间还是存在一些重要的区别。
JWT(JSON Web Token)的基本原理
最新发布
2401_84435192的博客
04-28 660
其实前端开发的知识点就那么多,面试问来问去还是那么点东西。所以面试没有其他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。这里再分享一个复习的路线:(以下体系的复习资料是我从各路大佬收集整理好的)《前端开发四大模块核心知识笔记》最后,说个题外话,我在一线互联网企业工作十余年里,指导过不少同行后辈。帮助很多人得到了学习和成长。开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】
tokenjwt学习
fenghenzr的博客
08-12 927
参考资料 思维导图 一、背景 HTTP协议无状态 HTTP是无状态协议,虽然下层是TCP协议,能保证传输的可靠性,但是HTTP没有记忆功能,对事务处理没有记忆能力,可以这样理解,我们通过浏览器前后两次访问同一网站是完全不同的请求,相互独立的,可能你会发现现在访问并不是这样,那是我们做了一定的处理。 Cookie & Session cookie和session是经常环绕在日常工作或者面试中,cookie和session就是我们希望浏览器能够有“记忆”的访问网址衍生出来的作品。 当我们登录时,如果符
简述 Cookie、TokenJWT、Session之间的关系
Thinkingcao的专栏
11-04 481
背景 早期互联网只是用来访问查看,不需要关心谁在访问查看。HTTP是一种无状态的协议,每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,为了标示用户,就出现了Cookie,而Cookie、TokenJWT 都是用来标示用户的。 Cookie 如:iChochy用户发起访问,服务端为了进行会话跟踪,会为当前用户的访问会话(Session)生成一个会话ID(Session ID),并通过Set Cookie方式,将Session ID发送给用户的客户端浏览器。客户端自动识别服务端发来的Cookie信
jwttoken
qq_42362007的博客
12-04 129
JWT本身没啥难度,但是安全整体是一件比较复杂的事情,JWT只不过负责提供了一种基于token的身份验证机制,但是对于我们的用户权限,对于相应用户权限的api划分,资源的权限划分等,都不是JWT负责的,也就是说,请求验证完成,是否有权限请求对应的内容还是由用户权限决定 ...
一篇了解什么是Token、什么是Jwt
做点有意思的事情
12-25 2000
Token是访问资源接口(API)时所需要的资源凭证,也成为令牌传统的Token令牌userId(用户信息)将该token存放到Redis中,返回对应的Token返回给客户端。客户端每次访问后端请求的时候,会传递该token在请求中 (可以作为请求头传递,或者请求路径传递等),服务器端接收到该token之后,从redis中查询如果存在的情况下,则说明在有效期内,如果在Redis中不存在的情况下,则说明过期或者token错误。JWT的全称是,是一种流行的跨域认证解决方案。它将用户信息加密到。
JWT Token生成及验证
07-16
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛应用...
基于springboot+jwt实现刷新token过程解析
08-19
基于SpringBoot+JWT实现刷新Token过程解析 标题解析 本文主要介绍了基于SpringBoot和JWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
php实现JWT(json web token)鉴权实例详解
01-03
JWT是什么 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session...
jwttoken区别
xiaocainiaoxiao的博客
08-04 316
jwttoken区别
2020前端面试(三)-浏览器存储机制篇
qq_41800649的博客
10-06 627
文章目录1.总述:2.Cookie:(1)来源:(2)实现原理:(3)Set-Cookie字段中可以设置的属性:(4)Cookie如何防范跨站脚本(XSS)攻击:(5)存储类型:(6)应用场景:(7)缺陷:3.localStorage:4.sessionStorage:5.Cookie、localStorage、sessionStorage的区别:6.IndexedDB:7.Cookie和Session的区别:8.Cookie和Session的联合使用:9.Token与Session:10.如何实现不同标签
tokenJWT详细介绍
热门推荐
lixianhe的博客
06-28 4万+
tokenJWT详细介绍
TokenJWT的详细介绍
容易yy的博客
12-06 1805
TokenJWT的组成
JWT与cookie和token的区别
微微一笑满城空
08-10 8882
一. cookie A) cookie如何认证 1. 用户输入用户名与密码,发送给服务器。 2. 服务器验证用户名和密码,正确的就创建一个会话(session),同时会把这个会话的ID保存到客户端浏览器中,因为保存的地方是浏览器的cookie,所以这种认证方式叫做基于cookie的认证方式。 3. 后续的请求中,浏览器会发送会话ID到服务器,服务器上如果能找到对应的ID的会话,那么服务...
JWTtoken的区别及优缺点
kymengfw的博客
05-19 1541
JWTtoken的区别及优缺点 TOKEN 概念: 令牌, 是访问资源的凭证。 1、Token的认证流程: 用户输入用户名和密码,发送给服务器。 服务器验证用户名和密码,正确的话就返回给客户端一个签名过的token。 浏览器客户端拿到这个token,存储到cookie或者localStorage中。 客户端后续每次请求中,会在 header中携带token发送给服务器。 服务器器验证token并解析出用户ID等相关信息,通过调取数据库信息比对,如果有效那么
彻底搞懂Cookie、Session、JWTToken(强烈推荐)《彻底搞懂Cookie、Session、JWTToken|CSDN创作打卡》
m0_67266171的博客
03-02 260
文章目录 引入:http是一个无状态协议?怎么解决呢? 一、Cookie和Session **1.1 cookie 注意事项:** **1.2 cookie 重要的属性** **1.3 session 注意事项:** **1.4 Cookie 和 Session 的区别:** 二、token(令牌) **2.1 token优势** **2.2 token 的身份验证流程** 三、基于JWT实现的Token认证方案 3.1 JWT组成部分 **3.1.1 Header:标头**
什么是JWT?如何生成和验证JWT token
03-10
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准(RFC 7519)。它是一种轻量级的安全传输方式,用于在网络应用间传递声明信息。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。 头部包含了关于令牌的元数据和加密算法的信息,通常由两部分组成:令牌类型(即JWT)和所使用的签名算法(如HMAC SHA256或RSA)。 载荷是JWT的主要内容,包含了一些声明信息,如用户ID、角色、权限等。载荷可以自定义,但建议只包含一些非敏感的信息,因为JWT是可解码的。 签名是对头部和载荷进行加密生成的,用于验证JWT的真实性和完整性。签名需要使用头部中指定的算法和密钥进行生成,接收方可以通过验证签名来确保JWT没有被篡改。 生成JWT token的过程如下: 1. 创建一个包含所需声明信息的JSON对象。 2. 使用Base64编码头部和载荷,形成两个字符串。 3. 将两个字符串用点号连接起来,形成一个未签名的JWT。 4. 使用指定的算法和密钥对未签名的JWT进行签名,生成签名字符串。 5. 将签名字符串添加到未签名的JWT末尾,形成最终的JWT token。 验证JWT token的过程如下: 1. 将接收到的JWT token按点号分割为头部、载荷和签名三部分。 2. 使用相同的算法和密钥对头部和载荷进行签名,生成一个新的签名字符串。 3. 将新生成的签名字符串与接收到的签名进行比较,如果相同,则说明JWT token是有效的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值