谈谈JWT

最新推荐文章于 2023-11-24 11:19:31 发布
最新推荐文章于 2023-11-24 11:19:31 发布
阅读量411 收藏
点赞数
分类专栏: 通信 文章标签: 通信
JSON Web Token (JWT) 是一种开放标准 (RFC 7519),用于安全地在双方之间传递信息。JWT作为自包含的令牌,可以在HTTP header中通过Bearer模式发送。JWT常用于身份验证,特别适用于单点登录(SSO)场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

介绍

JWT:JSON Web Token 是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。

特点

  • 简洁: 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快
  • 自包含(Self-contained): 负载中包含了所有用户所需要的信息,避免了多次查询数据库

应用场景

  • 身份认证
在这种场景下,一旦用户完成了登陆,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,所有目前在单点登录(SSO)中比较广泛的使用了该技术。
  • 信息交换
在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的。

结构

JWT包含了使用 . 分隔的三部分:

  • Header 头部

  • Payload 负载

  • Signature 签名

大致内容格式:xxxxx.yyyyy.zzzzz

在header中通常包含了两部分:token类型和采用的加密算法。

{
  "alg": "HS256",
  "typ": "JWT"
}
Payload

Token的第二部分是负载,它包含了claim, Claim是一些实体(通常指的用户)的状态和额外的元数据,有三种类型的claim: reserved , public 和 private .

  • Reserved claims: 这些claim是JWT预先定义的,在JWT中并不会强制使用它们,而是推荐使用,常用的有 iss(签发者) , exp(过期时间戳) , sub(面向的用户) , aud(接收方) , iat(签发时间) 。

  • Public claims:根据需要定义自己的字段,注意应该避免冲突

  • Private claims:这些是自定义的字段,可以用来在双方之间交换信息

负载例子如下:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

Signature

创建签名需要使用编码后的header和payload以及一个秘钥,使用header中指定签名算法进行签名。例如如果希望使用HMAC SHA256算法,那么签名应该使用下列方式创建:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

完整的JWT

JWT格式的输出是以 . 分隔的三段Base64编码,与SAML等基于XML的标准相比,JWT在HTTP和HTML环境中更容易传递。

如何使用JWT

在身份鉴定的实现中,传统方法是在服务端存储一个session,给客户端返回一个cookie,而使用JWT之后,当用户使用它的认证信息登陆系统之后,会返回给用户一个JWT,用户只需要本地保存该token(通常使用local storage,也可以使用cookie)即可。

当用户希望访问一个受保护的路由或者资源的时候,通常应该在 Authorization 头部使用 Bearer 模式添加JWT,其内容看起来是下面这样:

Authorization: Bearer <token>

因为用户的状态在服务端的内存中是不存储的,所以这是一种 无状态 的认证机制。服务端的保护路由将会检查请求头 Authorization 中的JWT信息,如果合法,则允许用户的行为。由于JWT是自包含的,因此减少了需要查询数据库的需要。

JWT的这些特性使得我们可以完全依赖其无状态的特性提供数据API服务,甚至是创建一个下载流服务。因为JWT并不使用Cookie的,所以你可以使用任何域名提供你的API服务而不需要担心跨域资源共享问题(CORS)。

本博客 内容摘抄自此博客JWT介绍

关于JWT一篇不错的基本介绍博客

JWT(JSON Web Token)
m0_46364778的博客
04-02 1964
JWT
js如何获取jwt信息_前后端分离:基于JWT用户认证分析
weixin_39607798的博客
11-21 962
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!作者:lion1ouhttps://lion1ou.win/2017/01/18/在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁,就要再验证一次。所...
JWT中的一些错误
dskwe的专栏
01-11 3859
POST请求时候,http方法时需要加一些信息到header,而且如果用apache得话,还需要做一些特殊配置来防止apache将认证头丢弃。 或者直接将token值放在url中传递也可以。 不然你就会得到token_absent的错误- -!~ 所以,第三方库的使用说明一定要每个字都看清楚,如果不行,那至少要把每行代码都看清楚! 附原文:To make authenticated requ
关于JWT 的那些事儿
weixin_44471490的博客
08-24 1122
JWT 英文名是 Json Web Token,是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,经常用于跨域身份验证。 JWT 以 JSON 对象的形式安全地传递信息。因为存在数字签名,因此所传递的信息是安全的。 为什么需要JWT ? 在了解 JWT 之前我们先来看一下为什么需要 JWT 传统方式的局限性 传统的登录方式:用户端输入用户名密码,服务器端校验通过,根据用户信息生成一个 token,将 token 和 user_id 存到数据库或 session会话 中,并将 t.
JWT详解
weixin_33947521的博客
09-11 439
JWT是一种用于双方之间传递安全信息的简洁的,URL安全的表述性声明规范。JWT作为一个开放的标准,定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息, 因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁:可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很 快。自包含:Pay...
JWT入门详解
weixin_57504000的博客
05-16 4838
目录 一、JWT简介 1.什么是JWT? 2.为什么要使用JWT? 二、JWT的工作原理 三、JWT的组成 1.Header(头部) 2.Payload(载荷) Reserved claims(保留) Public claims(公有) Private claims(私有) 3.signature 四、JWT的验证过程 五、JWT令牌刷新思路 1.首先前后端跨域配置 2.JWT配置 3.配置JWT验证过滤器 4.登陆方法成功后,将生成的JWT令牌通过响应头返回给客户端 .
springboot3+vue3 JWT登录Demo
04-03
接下来,我们来谈谈Vue 3。Vue.js是一个构建用户界面的渐进式JavaScript框架,Vue 3是该框架的最新版本。相较于Vue 2,Vue 3在性能、体积和编译器优化方面都有显著的提升。它还引入了Composition API,这是一种更加...
gin框架学习-JWT认证
林钟一的博客
07-12 1958
gin框架学习-JWT认证
swagger3.0,带jwt的token以及前后端双端访问swagger的配置
03-29
接下来,我们谈谈如何在 Swagger3.0 中配置 JWT token: 1. 添加依赖:在 Java 项目中,你需要添加 Swagger3.0 和相关 JWT 库的依赖,如 Springfox 或 OpenAPI Generator。 2. 定义 Security Scheme:在 Swagger ...
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
qq_44709990的博客
02-23 4万+
登录和用户认证是一个网站最基本的功能,在这篇博客里,将介绍如何用SpringBoot整合Spring Security + JWT实现登录及用户认证
JWT 还能这样的去理解嘛??
kologin的博客
11-24 1007
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的。JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,。并且, 使用 JWT 认证可以攻击,因为 JWT 一般是存在在中,使用 JWT 进行身份验证的过程中是的。
JWT概述和使用
程序员Feri
05-25 465
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小...
web 开发中jwt的使用
一路奔跑94的博客
04-28 2960
摘要: 在Web应用中,使用JWT替代session并不是个好主意 适合JWT的使用场景 抱歉,当了回标题党。我并不否认JWT的价值,只是它经常被误用。 网友看法: jwt最致命的问题,就是将用户标识明文(base64等同明文)的放在客户端,而且单一依赖同一个secret。一旦secret被泄露,那攻击者就可以毫不费力的冒充所有用户。而不幸的是,secret的保护并不足够:1. 一般作为配...
系统安全-JWT(JSON Web Tokens)
高广超的博客
05-22 191
系统开发来讲,安全验证永远是最重要的,从最原始的session、cookie验证方式,到符合restful风格、满足前后端分离需求、启用https请求,各方面都在不断变化中。 概念 JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自包含的方法用于通信双方之间以Js...
c语言 list 使用数组来实现_使用 JWT 来实现对 API 的授权访问
weixin_39629467的博客
11-27 261
什么是JWTJWT的结构HeaderPayloadSignature解码后的JWTJWT是怎样工作的在JAVA里使用JWT引入依赖JWT Service注册/登录验证JWTAPI尾注《Netty 实现原理与源码解析 —— 精品合集》《Spring 实现原理与源码解析 —— 精品合集》《MyBatis 实现原理与源码解析 —— 精品合集》《Spring MVC 实现原理与源码解析 —— 精品合集》《...
微服务JWT安全密钥认证授权详解
马哥在编程
07-19 5548
微服务JWT安全密钥认证授权 本篇文章以一个简单的wx小程序作为演示 微服务登录分为有状态以及无状态登录方法 有状态 有状态登录方法依赖Session,将登录状态信息放置在Session中,并使用一个Session Store存储 无状态 服务器端不用去存储session状态,不会出现上述的负载均衡后服务器登录失效问题 优缺点对比 处处安全 外部无状态,内部有状态 网关认证授权,内部裸奔 内部裸奔改进 先在认证授权中心登录,登陆成功,颁发Token,用户携带Token去访问微服务
JWT
m0_67596612的博客
05-16 1657
目录 1. JWT是什么 1.1:JWT的定义: 1.2:JWT特点: 2. 为什么使用JWT 3. JWT的工作原理 4. JWT组成 4.1 Header 4.2 Payload(负荷) 根据JWT的标准,这些claims可以分为以下三种类型: 4.3 signature 5. JWT的验证过程 此处有三个注意事项: 6. JWT令牌刷新思路 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 ...
如何将PreparedStatement查询得到的结果集存储起来--方法二:采用列表List
青松之竹_Java博客
10-04 4215
如何将PreparedStatement查询得到的结果集存储起来--方法二:采用列表List
Spring Boot实战之Filter实现使用JWT进行接口认证
热门推荐
sun_t89的专栏
07-16 7万+
Spring Boot实战之Filter实现使用JWT进行接口认证 jwt(json web token) 用户发送按照约定,向服务端发送 Header、Payload 和 Signature,并包含认证信息(密码),验证通过后服务端返回一个token,之后用户使用该token作为登录凭证,适合于移动端和api jwt使用流程 本文示例接上面几篇文章中的代码
谈谈你对 RESTful API 的理解,以及如何在 Python 中实现 RESTful API?
最新发布
06-18
### RESTful API 概念及 Python 实现方式 RESTful API 是一种基于 HTTP 协议的架构风格,用于设计网络应用程序接口。它通过定义一组规则和约束条件,使得客户端与服务器之间的交互更加标准化和高效[^1]。REST(Representational State Transfer)的核心思想是围绕资源进行操作,使用标准的 HTTP 方法(如 GET、POST、PUT 和 DELETE)来执行 CRUD(创建、读取、更新、删除)操作。 在 Python 中实现 RESTful API 的过程中,Flask 是一个非常流行的轻量级框架,因其简单易用且扩展性强而受到开发者的青睐[^2]。以下是一个基本的实现示例: ```python from flask import Flask, jsonify, request app = Flask(__name__) # 示例数据 students = [ {"id": 1, "name": "Alice", "grade": "A"}, {"id": 2, "name": "Bob", "grade": "B"} ] # 获取所有学生信息 @app.route('/students', methods=['GET']) def get_students(): return jsonify(students) # 根据ID获取单个学生信息 @app.route('/students/<int:student_id>', methods=['GET']) def get_student(student_id): student = next((s for s in students if s["id"] == student_id), None) if student: return jsonify(student) else: return jsonify({"error": "Student not found"}), 404 # 添加新学生 @app.route('/students', methods=['POST']) def add_student(): new_student = request.get_json() students.append(new_student) return jsonify(new_student), 201 # 更新学生信息 @app.route('/students/<int:student_id>', methods=['PUT']) def update_student(student_id): update_data = request.get_json() for student in students: if student["id"] == student_id: student.update(update_data) return jsonify(student) return jsonify({"error": "Student not found"}), 404 # 删除学生 @app.route('/students/<int:student_id>', methods=['DELETE']) def delete_student(student_id): global students students = [s for s in students if s["id"] != student_id] return jsonify({"message": "Student deleted"}) if __name__ == '__main__': app.run(debug=True) ``` 上述代码展示了如何使用 Flask 构建一个简单的 RESTful API,支持对 `students` 数据的基本 CRUD 操作[^3]。对于更复杂的场景,例如用户认证或权限管理,可以结合额外的库(如 Flask-JWT 或 OAuth2)来增强功能[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值