JWT就是这么简单

原创 已于 2022-11-04 10:24:33 修改 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#json

于 2020-08-13 01:09:36 首次发布

温故而知新,可以为师矣。

JWT在JavaEE的开发中比比皆是。是什么让JWT那么出众,对程序员来说无非就是几个特点。

  • 简单

  • 好用

  • 安全

有以上几个特点、不愁没人用

JWT是什么

你(我)真的理解JWT是什么了吗?

首先JWT是一种标准。它不是框架,这个地方有很多人就混了。认为JWT就是框架是不对的。

按照官网提供的标准(RFC 7519)做出来的东西就可以叫做是JWT。换言之,我们也可以自己写一个JWT标准的框架。
JWT的标准有两种实现一种叫做JWS(JSON Web Signature),第二种叫做JWE(JSON Web Encryption)。

JWS(JSON Web Signature)

JWS就是我们通常所用的也是官方推荐使用的一种。

JWS分为:头部(Header)、载荷(payLoad)、签名(signature)

头部(Header)

头部通常由令牌的类型(typ)和签名的算法(alg)组成。

这里有个点没有人说过,这个typ类型是媒介类型(Media Type),可以认为是媒介类型、介质类型、设备类型等等都可以,用户可以根据令牌类型做不同的操作。例如有个项目是APP端和WEB端。那么这里就可以设置typ为APP或WEB。而官网中写了typ的媒介类型是JWT

{
"alg": "HS256",
"typ": "APP/WEB"
}

由上面的JSON数据进行base64编码就是JWT的头部数据。

载荷(Payload)

载荷是数据的主体部分

iss: 签发者
sub: 主题
aud: 接收者
exp(expires): 过期时间
iat(issued at): 签发时间
nbf(not before): 早于某个时间不处理
jti(JWT ID): 唯一标识

主体部分可添加公开数据和用户可公开的数据。

这里就有个问题了,什么是用户不可公开的数据。我们举个栗子:用户的余额、用户的密码、用户的隐私数据(女性的年龄)等等都是不可公开的数据。

{
  "iss": "朕水真水",
  "sub": "审批",
  "aud": "大牛",
  "userName": "朕水真水",
  "approve":"通过",
  "iat":"1597000000",
  "exp": 1597222222
}

由上面的JSON数据进行base64编码就是JWT的载荷数据。

签名(Signature)

签名则是使用算法加密:头部数据.载荷数据

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), "密钥/盐")

通过算法加密后的结果就是签名。

将头部、载荷、签名用点(.)连接起来得到的结果就是JWS完整的数据

安全性问题

到这里是不是会用人疑惑。数据使用base64进行编码header和payload。只要用base64解码载荷就能得到载荷保存的数据了。为什么这个字符串会安全?

别着急,因为我们的数据是公开数据以及用户可公开的数据。即使有人拿到了这个token,也只能解析出公开的数据。并不能拿到私密的数据。

而篡改头部或者载荷的数据是不可能通过校验的。因为篡改头部和载荷之后的base64编码的字符串和原本的不一样,在校验token的时候会将头部和载荷进行加密,和签名进行比较。还记得签名是怎么生成的吗?是是由 [头部数据.载荷数据]经过算法加密生成的。这样你就知道了为什么不能篡改头部和载荷的数据了吧。

JWE(JSON Web Encryption)

JWE表示使用基于JSON的数据结构的加密内容

JWE分为5个部分:头部(Header)、内容加密的密钥(Content Encryption Key简称CEK)、密钥加密(JWE Encrypted Key)、初始化向量(JWE Initialization Vector)、内容加密(JWE Ciphertext)

头部(JOSE header)

通常alg填写密钥加密方式,enc中填写报文的加密方式

{"alg":"RSA","enc":"AES128","typ":"JWE"}
加密内容算法
报文对称算法
密钥加密非对称算法
内容加密的密钥(Content Encryption Key简称CEK)

这个密钥是256位的随机CEK

密钥加密(JWE Encrypted Key)

将CEK进行公钥加密(非对称加密),加密后得到的结果。

初始化向量(JWE Initialization Vector)

生成随机的128位的JWE初始化向量

内容加密

使用CEK + 初始化向量作为密钥,使用AES128算法对报文执行身份验证加密。

对于内容加密可以附加身份校验的加密,即CEK+初始化向量+附加密钥。

这个附加身份校验可以是受保护的头部(JOSE Header),如:头部设置的加密方式(alg、enc)。进行base64编码后加到内容加密当中。这样可以防止重要的头部数据被恶意篡改。

这5个部分进行base64编码后使用点(.)连接就是JWE最终的数据。

{
    "protected": "base64(header受保护部分)",
    "unprotected": {
        "typ":"JWE"
    },
    "header": {
		"alg":"RSA",
		"enc":"AES128",
		"typ":"JWE"
    },
    "encrypted_key": "base64(被加密后的CEK)",
    "iv": "base64(随机128位二进制)",
    "ciphertext": "base64(AES加密后的内容)",
    "tag": "base64(AES生成的128位的认证标记)"
}
解析

有人就要问了,JWE是怎么解析数据的呢?

其实我们可以推导出来。

  1. 将5个部分用点(.)拆开进行base64解码
  2. 将加密后的CEK进行(私钥)解密,得到CEK。
  3. 使用CEK+初始化向量(如果由附加身份校验则加上)对加密后的内容解密
  4. 得到内容数据
优点

  • 经过2次加密,数据更加安全

  • 直接对报文加密,数据准确

  • 密钥CEK是随机生成,每次签发都不同更难被破解

使用 Java 实现 JWT 解析工具:原理与实战
喵手的博客
01-04 875
在上一篇文章中,我们讨论了如何通过 Java 实现静态轮播图,通过生成 HTML 页面或者结合前端框架,实现了网页中的轮播效果。这一过程帮助开发者熟悉了 Java 处理前端内容的一些基础技巧。。JWT 是一种广泛应用于身份验证和信息传输的技术,它通过将信息加密生成令牌,使得客户端和服务器之间的通信变得更加安全。本文将聚焦于使用 Java 编写 JWT 解析工具,介绍如何生成、解析和验证 JWT,并提供源码解析、实际案例、优缺点分析以及核心方法的介绍,帮助开发者轻松掌握 JWT 在 Java 开发中的应用。
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
JWTJson Web Token)
大白能的博客
04-11 1165
什么是JWTJson网络令牌) JWTJSON 网络令牌)是一个开源的标准(RFC 7519)。这个标准定义了一个简洁并且自包含的方法,以便在系统各个部分之间安全地传送JSON对象格式的信息。因为通过JWT传递的信息是被数字签名过的,所以是可以被证实和信任的。我们可以使用单一密钥来加密 JWT 的签名,比如 HMAC 算法;也可以使用 RSA 的公私密钥对来加密 JWT 的签名。 让我们更...
SpringBoot 集成 JWT 验证+解决域名问题
lwjshuai的专栏
10-27 1352
什么是JWT JSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间以JSON对象安全地传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对来对JWT进行签名。  具体的jwt介绍可以查看官网的介绍:https://jwt.io/introduction/ jwt请求流程 ...
JWT需要集成第三方框架?不,自己手写一个
朕水真水
09-04 523
JWT就是这么简单
Java课堂:什么是JWT?最全讲解
博哥哥的博客
02-06 998
什么是JWT
精选资源
simple-jwt:超简单jwt 实现
05-29
简单jwt 实现。支持 Laravel、Hyperf 以及支持 composer 的其他框架 如何安装 ? composer require 96qbhy/simple-jwt 如何使用 ? require 'vendor/autoload.php'; use Qbhy\SimpleJwt\JWTManager; use Qbhy\...
jwt简单的介绍和了解
10-27
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT主要应用于身份验证以及授权...
jwt简单React应用程序:带jwt简单React应用程序
02-11
标题中的“带jwt简单...以上就是关于使用JWT简单React应用程序所涉及的核心技术和实践。这个项目可能涵盖了从用户登录、鉴权、路由保护到状态管理等多个方面,帮助开发者学习如何在React应用中安全地实现用户认证。
PHP JWT初识及其简单示例
10-17
JWT由于其结构简单、大小小、跨语言等特性,已经成为前后端分离、RESTful API认证的常用解决方案。在传统的Web应用中,用户登录后服务器会创建一个Session,客户端会保存对应的Session ID。但这种模式对于前后端分离...
java-jwt通过公钥字符串验证解析token
爱学习的大雄的博客
01-26 1525
所以我们需要进行转化,本篇文章主要就是记录如何进行这个转化。如果需要了解公钥、私钥的概念,请百度其它文章。由于java-jwt中校验时所需要的公钥是。本文主要示例如何通过已知的。对象而我们目前的公钥是。
JOSE (Javascript对象签名和加密)框架介绍
王浩的技术博客
08-05 5599
JOSE是一个框架,旨在提供一种在各方之间安全地转移声明(如授权信息)的方法。JOSE框架提供了一系列规范来实现此目的。它是由一组规范构成: JSON Web Token (JWT):JSON Web令牌(RFC7519),定义了一种可以签名或加密的标准格式; JSON Web Signature (JWS):JSON Web签名(RFC7515) , 定义对JWT进行数字签名的过程; JSON...
利用Java进行jwt的生成和解析
weixin_43925086的博客
04-19 2850
//引入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency> public class JwtUtil { // token秘钥 public static String SECRET = "dj
SpringBoot集成JWT实现token验证
长河的博客
02-19 3040
TODO 先把坑挖在这里, 回头来填上, 这篇写的真懒, 我回改的 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一...
菜鸟的JWT学习总结
最强菜鸟
08-19 1220
菜鸟的JWT学习总结说明一、什么是JWT二、JWT的组成(1)Header(2)Payload(3)Signature三、JJWT四、登录接口实战 说明 更新时间:2020/8/2 17:32,更新了@SpringBootApplication等注解 本文主要对JWT的学习总结,本文会持续更新,不断地扩充 本文仅为记录学习轨迹,如有侵权,联系删除 一、什么是JWT JWT全称是JSON Web Token,是目前最流行的跨域认证解决方案,常用于web项目的token校验,用户校验,权限校验等,也可以用于信息
JWT全面解读、使用步骤
陈袁的博客
06-27 8万+
JWT全面解读 JWT全面解读 前言 JWT基本使用 在pom.xml引入java-jwt 示例如下 概念介绍 JWT消息构成 头部 playload 标准中注册的声明 (建议但不强制使用) 自定义数据 签名signature JJWT 引入 使用方法 生成token 解析token 前言 JWTjson web token缩写。它将用户信息加密到toke...
java JWT api
吕小小布的博客
02-21 8576
(只可以做权限时使用,敏感数据不要使用) Java JWT 安装Maven <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.7.0</version> <...
java 令牌解析_Java JWT的令牌机制
weixin_33262687的博客
03-07 1183
JWT 简单介绍全称 Json Web Token 致力于网络安全的一套Json开放标准主要流程将用户部分信息进行加密,生成一套令牌,存放于客户端客户端发起请求时,带入此令牌,交由服务端识别令牌真伪服务端校验完成,开放部分权限,允许接口请求数据优点:无需存放于服务端,极大减轻服务端压力服务端安全性,较有提升(本来就是干这个的)不限定语言,依赖于Json的流通性内容介绍header 声明加密签名的算...
JWT微服务下的用户登录权限校验
qq_41593903的博客
07-04 4041
1、单机和分布式应用的登录    简介:单机和分布式应用下登录校验,session共享,分布式缓存使用        1、单机tomcat应用登录检验(方案一 tomcat开启session 共享)            sesssion保存在浏览器和应用服务器会话之间            用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId,           ...
Jwt 简单实现
最新发布
07-05
### JWT 简单实现方法 JSON Web Token(JWT)是一种开放标准(RFC 7519),用于在网络应用环境间安全地传输信息。通过使用签名机制,JWT 可以确保数据的完整性和真实性,广泛应用于身份验证和信息交换场景。 #### 实现步骤 1. **定义 Header 和 Payload** JWT 的结构由三部分组成:Header、Payload 和 Signature。其中 Header 包含令牌类型和使用的加密算法;Payload 是有效载荷,包含声明(claims)。声明分为注册声明、公共声明和私有声明。例如: - `iss`(签发者) - `exp`(过期时间) - `sub`(主题) - 自定义字段如 `userId` 或 `userName` [^2] 示例代码如下: ```python import jwt from datetime import datetime, timedelta # 定义 header header = { "alg": "HS256", "typ": "JWT" } # 定义 payload payload = { "userId": "123", "userName": "zhangsan", "iss": "example.com", "exp": datetime.utcnow() + timedelta(hours=1), "iat": datetime.utcnow() } ``` 2. **生成签名** 使用指定的密钥对 Header 和 Payload 进行签名,生成最终的 JWT 字符串。在 Python 中可以使用 `PyJWT` 库来简化这一过程 [^2] ```python secret_key = 'your_secret_key' # 生成 token token = jwt.encode(payload, secret_key, algorithm='HS256', headers=header) print("Generated JWT:", token) ``` 3. **解析与验证 JWT** 在接收到客户端发送的 JWT 后,服务器需要对其进行解码并验证其有效性。这包括检查签名是否正确以及是否已过期等条件 [^1] ```python try: # 解析 token decoded_token = jwt.decode(token, secret_key, algorithms=['HS256']) print("Decoded JWT:", decoded_token) except jwt.ExpiredSignatureError: print("Token has expired") except jwt.InvalidTokenError: print("Invalid token") ``` 4. **集成到 Web 应用中** 将 JWT 集成到 Web 应用程序中通常涉及以下几个方面: - **登录接口**:用户提交用户名和密码后,系统验证成功则返回一个 JWT。 - **中间件校验**:对于受保护的资源,每次请求都需要携带有效的 JWT,并在校验通过后才允许访问相关资源 [^4] 下面是一个简单的 Flask 应用示例,展示如何创建登录接口并设置 JWT 校验中间件: ```python from flask import Flask, request, jsonify from functools import wraps app = Flask(__name__) SECRET_KEY = 'your_secret_key' def token_required(f): @wraps(f) def decorated(*args, **kwargs): token = request.headers.get('Authorization') if not token: return jsonify({'message': 'Token is missing!'}), 403 try: data = jwt.decode(token, SECRET_KEY, algorithms=["HS256"]) current_user_id = data['userId'] except Exception as e: return jsonify({'message': 'Token is invalid!', 'error': str(e)}), 403 return f(current_user_id, *args, **kwargs) return decorated @app.route('/login', methods=['POST']) def login(): auth = request.authorization if auth and auth.password == 'password': # 假设的认证逻辑 payload = { 'userId': auth.username, 'exp': datetime.datetime.utcnow() + datetime.timedelta(minutes=30), 'iat': datetime.datetime.utcnow() } token = jwt.encode(payload, SECRET_KEY, algorithm='HS256') return jsonify({'token': token}) return jsonify({'message': 'Could not verify!', 'WWW-Authenticate': 'Basic realm="Login required!"'}), 401 @app.route('/protected', methods=['GET']) @token_required def protected_route(current_user_id): return jsonify({'message': f'This is only available for authenticated users! Current user ID: {current_user_id}'}) if __name__ == '__main__': app.run(debug=True) ``` #### 注意事项 - **安全性**:选择合适的签名算法(如 HS256 或 RS256),并且妥善保管好密钥或私钥。 - **时效性**:合理设置 `exp` 参数,避免长时间有效的令牌带来的风险。 - **刷新机制**:考虑引入刷新令牌机制,以便在不重新登录的情况下更新访问令牌 [^4] ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值