jwt+RSA+数字签名

最新推荐文章于 2024-04-09 20:49:31 发布
最新推荐文章于 2024-04-09 20:49:31 发布
阅读量864 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanlong11/article/details/119344959
版权

文章目录

Jwt

参考链接

Cookie和Session的区别和联系

Cookie的定义

Cookie是服务器在本地机器上存储的小段文本并随每一个请求发送至同一服务器。Cookies保存在客户端,主要内容包括:名字,值,过期时间,路径等等。

会话cookie和持久cookie的区别

会话cookie:不设置过期时间,只要关闭浏览器窗口cookie就消失了。会话cookie不保存在硬盘上,保存在内存里。

持久cookie:设置过期时间,浏览器就会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie依然有效直到超过设定的过期时间。存储在硬盘上的cookie可以在不同的浏览器进程间共享。而对于保存在内存的cookie,不同的浏览器有不同的处理方式。

Session定义

Session是在服务器端保存用户数据。浏览器第一次发送请求时,服务器自动生成了Session ID来唯一标识这个并将其通过响应发送到浏览器。浏览器第二次发送请求会将前一次服务器响应中的Session ID放在请求中一并发送到服务器上,服务器从请求中提取出Session ID,并和保存的所有Session ID进行对比,找到这个用户的信息。一般这个Session ID会有个时间限制,默认30分钟超时后毁掉这次Session ID。
Session和Cookie有一定关系,Session id存在Cookie中,每次访问的时候将Session id传到服务器进行对比。

Cookie和Session区别:

  • cookie的值由服务端生成,客户端(浏览器、易伪造、不安全)保存,存储在客户端的头信息中
  • session在服务端存储(会消耗服务器资源),文件、数据库都可以。

数字签名

如果发送者A和接收者B使用不同的密钥,例如A发送消息的时候使用私钥对消息进行加密,B接收消息的时候使用公钥对消息进行解密。因为消息只能由A的私钥进行加密,所以这个签名一定是由A签发的,这样就没有否认的问题了。这个就是数字签名(digital signature)。

签名和加密作用不同,签名并不是为了保密,而是为了保证这个签名是由特定的某个人签名的,而不是被其它人伪造的签名,所以私钥的私有性就适合用在签名用途上。

私钥签名后,只能由对应的公钥解密,公钥又是公开的(很多人可持有),所以这些人拿着公钥来解密,解密成功后就能判断出是持有私钥的人做的签名,验证了身份合法性。

签名验证

签名: 私钥加密,公钥验证 —— 保证签名不被冒充
加密:公钥加密,私钥解密 —— 保证信息不被窃取

通常我们使用jwt时候采用RS256 私钥/公钥 方式进行签名的 加密/解密,因为RS256是非对称加密,比较安全。

因为jwt是由服务端生成并发放的,其中签名是由服务端的私钥加密而成的,只要保证了私钥的安全,就能保证签名是安全的。

当别人拿着jwt访问我们的服务时,可以有两种验证方式:

(1)我们服务端拿到header和payload的信息,通过header里的加密算法拿着我们自己的私钥对payload生成一个签名对比jwt传过来的签名,如果签名一致,说明payload的信息没有被修改。

(2)我们利用公钥对签名解密,解密出来的header和payload的信息是否和传过来的一致。

非对称加密

公有密钥用于上锁(加密)。

私有密钥用于解锁(解密)。
举例:Alice要给Bob传递消息(Bob)
因为Alice只需要上锁,所以她只需要公有密匙就够了。私有密匙只有Bob拥有。Alice会先通知Bob:我要告诉你一件事。然后Bob接着就会生成一把锁,并制作两种钥匙:公有密钥和私有秘钥。Bob会把公有密钥发给Alice,然后Alice会用公有密钥加密信息。Alice把上锁的密文发回来后,Bob再用自己的私有密钥解密,并得到明文。

非对称加密参考:
https://www.zhihu.com/question/304030251/answer/543201982
非对称加密参考

-随_风-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT+RSA鉴权
weixin_50195609的博客
03-20 187
目录 1、JWT 1.1 JWT简介 1.2JWT数据格式 2、登录和鉴权流程:JWT+HS256算法 3、RSA非对称加密 4、登录和鉴权流程:JWT+RSA 4.1RSA工具类 4.2JWT工具类 1、JWT 1.1 JWT简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:JSON Web Tokens - jwt.io (JWT,生成Token加密字符串的一个标准或格式!)...
SpringBoot(七):JWTRsa非对称加密
千里之行,始于足下
05-06 1759
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密
JSON Web 令牌 (JWT)攻击_jwt payload 用户id,2024年最新全网最具深度的三次握手、四次挥手讲解
2301_82243558的博客
04-09 518
1.1 生成密钥:首先,需要生成一个密钥(secret key),这个密钥只有发送方和接收方知道。1.2 签名:在JWT中,要对头部和有效载荷进行签名,首先将头部和有效载荷进行Base64编码,得到两个字符串,分别记为header_base64和payload_base64。
JWT+RSA无状态鉴权基本原理与使用
沙滩上的拖鞋
02-26 7305
JWT+RSA无状态鉴权基本原理与使用1.无状态登录原理1.1 什么是无状态?2 JWT2.1简介2.2数据格式2.3JWT交互流程2.4.非对称加密3 使用3.1使用JWT 1.无状态登录原理 1.1 什么是无状态? 1.1.1有状态服务:即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们...
RSA角度出发解析JWT原理
m0_51390969的博客
02-08 1109
JWT由三个部分组成,它们分别是头部(Header)、载荷(Payload)、和签名(Signature)。通过将这三部分用点()连接起来,形成了一个完整的JWT字符串。。
JWT基础介绍
Alan0517
03-13 1958
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
JWT 网关TOKEN 加密
05-15
数字签名算法,如RSA,用于验证信息的完整性和发送者的身份,但加解密过程复杂,速度较慢;对称加密算法如DES和AES,因其高效的加解密速度和较高的安全性,适用于大量数据的加密;而非对称加密算法如RSA,则常用于...
基于JWT.NET的使用(详解)
12-31
因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名JWT的结构 JWT一般由三段构成,用.号分隔开,第一段是header,第二段是payload,第三段是signature,例如: eyJ0...
jwt所需jar包
04-22
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准( RFC 7519 ),定义了...因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名
Spring Cloud OAuth2和JWT保护微服务.docx
01-12
主体信息是通过数字签名进行加密和验证的。常使用 HMAC 算法或 RSA(公钥/私钥的非对称性加密)算法对 JWT 进行签名,安全性很高。 二、JWT 的结构 JWT 结构由三部分组成:Header(头)、Payload(有效载荷)和 ...
【kong系列十一】之JWT插件RSA256非对称加密使用
热门推荐
|] 大世界,小人物
09-19 1万+
kong JWT插件使用RSA256加密算法,验证非对称加密使用。
JWT(auth0):RS256非对称加密算法实现Token的签发、验证
西门阿浪的博客
05-31 5725
前言  日常开发中,客户端与服务器通常采用HTTP协议进行通信,但HTTP是没有状态的,无法记录用户的身份信息和行为。  会话跟踪技术是一种在客户端与服务器间保持HTTP状态的解决方案,我们所熟知的有Cookie + Session、URL重写、Token等。  Cookie在浏览器保存SessionID、Session实际内容保存在服务端,目前的项目都是前后端分离 + 微服务,所以会面临Session共享问题,随着用户量的增多,开销就会越大。URL重写又是通过明文传输,不安全容易被劫持。   Toke.
关于JWT
qq_45891099的博客
06-07 1021
数据加密的基本过程,就是对原来为明文的文件或者数据按某种算法进行处理,使其成为不可读的一段代码。通常称为密文,通过这样的处理,来达到保护数据不被非法人窃取的目的。加密算法分为对称加密和非对称加密,其中对称加密算法的加密和解密的密钥相同,非对称加密算法的密钥不同,常见的 对称加密 算法主要有 、、 等,常见的非对称算法主要有 、 等.对称加密算法又称为共享密钥加密算法,在对称加密算法中,使用的密钥是同一个,发送和接收双方用这个密钥对数据进行加密和解密,这就要求双方事先都知道这个密钥。数据加密过程:在对称加密
java生成jwt并使用RSA签名
fggdgh的博客
01-05 1575
java生成jwt使用RSA签名
jwt的解密和RSA签名验证
boweiqiang的博客
04-26 3998
#!/usr/bin/env python # -*- encoding: utf-8 -*- ''' @File : jwt_base64_test.py @Contact : buweiqiang@civaonline.cn @MTime : 2020-04-26 11:32 @Author: buweiqiang @Version: 1.0 @Desciption: 标准的Base64并...
jwt 私钥_JWT公钥与私钥签名验证-有什么区别?
weixin_39801991的博客
12-21 559
I am using this library, node-jwks-rsa, to fetch JWT keys from my auth0 jwks.json file in order to verify that the id_token my application retrieves after authentication is actually coming from my aut...
使用RSA密钥生成JWT
ntsjun的专栏
10-26 2756
在内部系统上调用基础服务时,在基础服务上加上OAuth验证,基于Spring boot OAuth2.0实现,采用JsonWebToken的方式。accessToken由调用者自己生成,基于RSA生成私钥签名,基础服务公钥验证。 accessToken的生成采用开源的JJWT实现,基础服务的OAuth由spring-security-oauth2框架来自动实现(见:[url]ht...
security+jwt+threadlocal
最新发布
04-29
Security是指安全性,JWT是指JSON Web Token,ThreadLocal是指线程本地变量。 Security是一种保护计算机系统和数据免受未经授权的访问、使用、泄露、破坏的技术和方法。在软件开发中,安全性是一个重要的考虑因素,特别是在涉及用户身份验证和授权的应用程序中。 JWT是一种用于在网络应用间传递声明的一种基于JSON的开放标准(RFC 7519)。它可以通过数字签名来验证数据的完整性,并使用密钥对数据进行加密JWT通常用于身份验证和授权,可以在用户登录后生成一个JWT,并将其作为令牌发送给客户端,客户端在后续的请求中携带该令牌来进行身份验证。 ThreadLocal是Java中的一个类,它提供了线程本地变量的功能。每个线程都有自己独立的ThreadLocal变量副本,线程之间互不干扰。ThreadLocal通常用于在多线程环境下保存线程私有的数据,比如用户身份信息、请求上下文等。 综合起来,security+jwt+threadlocal可以用于实现安全的身份验证和授权机制。通过使用JWT作为令牌,在用户登录后生成并发送给客户端,客户端在后续的请求中携带该令牌进行身份验证。而ThreadLocal可以用于在服务端保存用户的身份信息和请求上下文,以便在处理请求时能够获取到正确的用户信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值