JWT的原理和构成

最新推荐文章于 2025-04-09 09:08:32 发布
原创 最新推荐文章于 2025-04-09 09:08:32 发布 · 227 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #前端 #python #后端

JWT

在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。

什么是JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

起源

说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。

传统的session认证

我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

但是这种基于session的认证使应用本身很难得到扩展,随着不同客户端用户的增加,器已无法承载更多的独立的服务用户,而这时候基于session认证应用的问题就会暴露出来.

基于session认证所显露的问题:

Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。

扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。

CSRF: 因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

基于token的鉴权机制

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。

流程上是这样的:

  • 用户使用用户名密码来请求服务器
  • 服务器进行验证用户的信息
  • 服务器通过验证发送给用户一个token
  • 客户端存储token,并在每次请求时附送上这个token值
  • 服务端验证token值,并返回数据

这个token必须要在每次请求时传递给服务端,它应该保存在请求头里, 另外,服务端要支持CORS(跨来源资源共享)策略,一般我们在服务端这么做就可以了Access-Control-Allow-Origin: *

那么我们现在回到JWT的主题上。

JWT长什么样?

JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。就像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JWT的构成

第一部分我们称它为头部(header)。

第二部分我们称其为载荷(payload, 类似于飞机上承载的物品)。

第三部分是签证(signature)。

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt
  • 声明加密的算法 通常直接使用 HMAC SHA256

完整的头部就像下面这样的JSON:

{
  'typ': 'JWT',
  'alg': 'HS256'
}

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

这部分的base64是可逆的,大概是这样

import base64
header = {
  'typ': 'JWT',
  'alg': 'HS256'
}


header = str(header).encode()

header_encode = base64.b64encode(header)
print(header_encode.decode())
header_decode = base64.b64decode(header_encode)
print(header_decode.decode())


# 结果

E:\Python\install_path\python.exe F:/pychrom_python/python/code/面向对象编程/text.py
eyd0eXAnOiAnSldUJywgJ2FsZyc6ICdIUzI1Nid9
{'typ': 'JWT', 'alg': 'HS256'}

进程已结束,退出代码为 0

 

payload(存放用户信息)

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

标准中注册的声明 (建议但不强制使用) :

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明 : 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明 : 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": True
}

然后将其进行base64加密,得到JWT的第二部分。

eydzdWInOiAnMTIzNDU2Nzg5MCcsICduYW1lJzogJ0pvaG4gRG9lJywgJ2FkbWluJzogVHJ1ZX0=

import base64
payload = {
    "sub": "1234567890",
    "name": "John Doe",
    "admin": True
}
payload = str(payload).encode()
payload_encode = base64.b64encode(payload)
print(payload_encode.decode())
payload_decode = base64.b64decode(payload_encode)
print(payload_decode.decode())

# 结果

E:\Python\install_path\python.exe F:/pychrom_python/python/code/面向对象编程/text.py
eydzdWInOiAnMTIzNDU2Nzg5MCcsICduYW1lJzogJ0pvaG4gRG9lJywgJ2FkbWluJzogVHJ1ZX0=
{'sub': '1234567890', 'name': 'John Doe', 'admin': True}

进程已结束,退出代码为 0

 

signature

JWT的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)
  • payload (base64后的)
  • secret(密钥)

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

自己编写的大概是以下这样

import base64
from hashlib import sha256

secret_key = 'abcdef'


def get_signature(key, data):
    hsobj = sha256(key.encode("utf-8"))
    hsobj.update(data.encode("utf-8"))
    return hsobj.hexdigest().upper()


class JWT:
    def __init__(self, **kwargs):
        self.header = kwargs.get('header')
        self.payload = kwargs.get('payload')

    def get_header(self):
        """生成header"""
        header = str(self.header).encode()
        header_encode = base64.b64encode(header).decode()
        return header_encode

    def get_payload(self):
        """生成payload"""
        payload = str(self.payload).encode()
        payload_encode = base64.b64encode(payload).decode()
        return payload_encode

    def generate_jwt(self):
        """通过密钥生成signature 返回jwt"""
        _signature = self.get_header() + '.' + self.get_payload()
        signature = get_signature(secret_key, _signature)
        jwt = _signature + '.' + signature
        return jwt


if __name__ == '__main__':
    payload = {
        "sub": "1234567890",
        "name": "John Doe",
        "admin": True
    }

    header = {
        'typ': 'JWT',
        'alg': 'HS256'
    }
    jwt_token = JWT(payload=payload, header=header).generate_jwt()
    print(jwt_token)

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

E:\Python\install_path\python.exe F:/pychrom_python/python/code/面向对象编程/text.py
eyd0eXAnOiAnSldUJywgJ2FsZyc6ICdIUzI1Nid9.eydzdWInOiAnMTIzNDU2Nzg5MCcsICduYW1lJzogJ0pvaG4gRG9lJywgJ2FkbWluJzogVHJ1ZX0=.0CD37EB6BB3D5890B8FCAD270C9F3821E8DE910ACD96E68AA01E7BF1FD36E619

进程已结束,退出代码为 0

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

通过python自带模块JWT

如何应用

一般是在请求头里加入Authorization,并加上Bearer标注:

fetch('api/user/1', {
  headers: {
    'Authorization': 'Bearer ' + token
  }
})

服务端会验证token,如果验证通过就会返回相应的资源。整个流程就是这样的:

 

 

总结

 

优点

  • 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。
  • 因为有了payload部分,所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。
  • 便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。
  • 它不需要在服务端保存会话信息, 所以它易于应用的扩展

安全相关

  • 不应该在jwt的payload部分存放敏感信息,因为该部分是客户端可解密的部分。
  • 保护好secret私钥,该私钥非常重要。
  • 如果可以,请使用https协议
simpleyako
关注
JWT原理及如何实际使用
孤寒者的博客
08-21 2344
JWT原理及如何实际使用
Django中实现JWT(构成原理、base64)
AZURE060606的博客
04-19 849
JWT (JSON Web Token)通常用于对用户进行身份验证授权,是一种无状态的认证机制,通过在用户服务器之间传递加密的令牌来验证用户身份区别于之前的cookiesession签发阶段:登陆成功后签发token,将token存储到客户端的cookies中认证阶段:从请求中拿到token,利用token签发的逆运算解析token得到user对象并存储到request.user中,然后才能在后端进行使用。
JWT类,可用于接口的安全验证问题
03-15
提供加密解密的功能,可以将数据加密生成密文,也可以将密文解密还原成为原始数据,
jwt工具类介绍
Leon_Jinhai_Sun的博客
05-12 744
搭建授权中心 用户鉴权: 接收用户的登录请求,通过用户中心的接口进行校验,通过后生成JWT 使用私钥生成JWT并返回 有一些生成jwt,解析jwt这样行为的工具类,以后在其它微服务中也会用到,因此放在gmall-core中。 JWT工具类 package com.leon.core.utils; import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jws; import io.jsonwebtoken.Jwts; im
Java中JWT技术解析与实践:安全高效的身份认证
weixin_41245021的博客
07-26 3419
身份认证与授权是现代Web应用中至关重要的安全机制。JSON Web Token(JWT)作为一种轻量级的身份验证方案,已经成为Java开发中广泛使用的解决方案。本篇博客将深入解析JWT技术,探讨其在Java应用中的实践与应用。我们将了解JWT的基本原理,以及它如何实现安全高效的身份认证授权。通过使用JWT,我们可以在无状态的分布式系统中实现简单且可扩展的用户身份验证,不再依赖传统的SessionCookie。我们还将探讨如何在Java中集成JWT,以及如何将其应用于实际项目中。让我们一起深入探索JWT
JWT的基本介绍
TFATS的博客
09-08 1358
一,什么是JWT   在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额
接口安全一:jwt
xiaozm1223的博客
04-18 400
认证协议:认证客户端的合法性; 授权协议:认证身份后对受限资源访问的控制; JWT(json web token)是实现认证协议的一种框架,原理如下: 用户提供用户名密码给认证服务器服务器验证用户提交信息信息的合法性;如果验证成功,会产生并返回一个Token(令牌),用户可以使用这个token访问服务器上受保护的资源。 Token由3部分组成:header.claims.signatu...
JWT认证原理、流程整合springboot
会飞的小蜗
01-19 556
文章目录JWT整合spring boot3、在网关(推荐)或者为微服务项目中定义JWT拦截器4、配置JWT拦截器 JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {“typ”:“JWT”,“alg”:“HS256”} 在头部
基于jwt的token验证、原理及流程
2401_85239883的博客
07-23 2096
就写到这了,也算是给这段时间的面试做一个总结,查漏补缺,祝自己好运吧,也希望正在求职或者打算跳槽的 程序员看到这个文章能有一点点帮助或收获,我就心满意足了。多思考,多问为什么。希望小伙伴们早点收到满意的offer!越努力越幸运!金九银十已经过了,就目前国内的面试模式来讲,在面试前积极的准备面试,复习整个 Java 知识体系将变得非常重要,可以很负责任的说一句,复习准备的是否充分,将直接影响你入职的成功率。
JWT验证的原理,以及在项目中实现JWT的验证登陆
klay的博客
07-22 2785
因为之前实现的网关项目中存在以下的逻辑: 租户需要在平台进行登陆 租户在登陆之后获取到token之后才能通过网关的验证中间件进入到转发代理逻辑中 不选择session的原因 在这种登陆场景下,我们可以使用session来处理,session的处理流程如下: 租户发起登陆请求,把用户名密钥发送给转发代理服务器服务器利用后台数据库中的数据进行验证 后台服务器验证成功之后,利用服务器自己设置的租户session前缀+用户名+登陆时间这几个参数生成一个session并把session设置为Set-Cook
spring boot rest 接口集成 spring security(2) – JWT配置 -qikegu.com
06-02 519
Spring Boot 集成教程 Spring Boot 介绍 Spring Boot 开发环境搭建(Eclipse) Spring Boot Hello World (restful接口)例子 spring boot 连接Mysql spring boot配置druid连接池连接mysql spring boot集成mybatis(1) spring boot集成mybatis(2...
接口的安全控制 (JWT) JSON Web Tokens
Fanbin168的专栏
03-23 883
前言 如果你的接口是开放的,谁都可以成功调用,那么会非常危险。因此除非你真的想做开放式服务,否则要对用户的请求做权限控制 举例:假如我想自己写一个“张三版新浪微博”的APP。 新浪微博开放了微博的接口,所有人可以调用这些接口“发微博”、“看微博”等。当然不是随便调用,而是要到新浪微博的开放平台后台申请一个AppKey(或者AppId),申请成功后,新浪微博就会分配一个AppKey一个App、A...
使用jwt方式的接口访问
menxinziwen的博客
04-05 2739
要使用jwt必须有相应jar包 maven项目加入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4....
JWT手动生成token
天眼 的博客
09-29 592
生成jwt.jks文件放到自己的项目里。
python通过token生成JWT
LML9310的博客
02-17 210
python获取JWT
鸿蒙应用开发中 JWT 生成工具类实现详解
hexiansheng4254的博客
04-09 471
JWT 由三部分组成:头部(Header)、载荷(Payload)签名(Signature)。头部定义算法令牌类型,载荷存放声明信息,签名用于验证令牌的完整性。通过本文的代码实现,我们在鸿蒙应用中构建了一个功能完整的 JWT 生成工具类。从 JWT 各部分的构建,到利用鸿蒙模块实现安全的签名计算,每个环节都紧密结合鸿蒙开发特性。开发者可以基于此工具类,快速在鸿蒙应用中集成 JWT 相关的身份验证功能,同时也可根据实际业务需求,对代码进行扩展优化,如完善错误处理、优化日志记录等。
JWT学习笔记(1) —— JWT原理结构
Rickie_7的博客
10-19 953
转载自知乎专栏 https://zhuanlan.zhihu.com/p/86937325 原文来源JWT官网 https://jwt.io/ 1.JSON Web Token是什么 JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证信任,因为它是数字签名的。 2.什么时候你应该用JSON Web Token 下列场景中使用JSON Web Token是很有用的: Aut
Jwt令牌技术
qq_52702593的博客
08-26 189
实习中使用过的一些技术做成的笔记
JwtToken生成及认证过程
flylr^的博客
05-27 2857
什么是JWT 要了解jwt的生成及验证,首先要了解什么是jwtjwt是json web token的缩写,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,该token被设计紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。jwt的声明一般被用来在身份提供者服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其他业务逻辑所必需的声明信息,该token也可以直接被用于认证,也可以被加密。 JWT jwt是由三段信息通过点号拼接而成,例如:
JWT技术原理
最新发布
05-08
### JWT技术的工作原理 JSON Web Token (JWT) 是一种开放标准 (RFC 7519),用于在网络应用环境间安全地传输信息。它通过加密签名的方式确保信息的可信度完整性[^1]。 #### 工作流程概述 JWT 的工作流程可以分为三个主要阶段:生成令牌、传输令牌以及验证令牌。 - **生成令牌**:当用户成功登录后,服务器会生成一个包含用户信息的 JSON 对象并将其编码为 JWT 格式的字符串返回给客户端[^3]。 - **传输令牌**:客户端每次请求服务端资源时都会携带该 JWT 到授权头字段中(通常以 Bearer 方式传递)。这种方式使得每一次请求都带有用户的认证信息而无需再次访问数据库进行校验[^4]。 - **验证令牌**:服务端接收到带 JWT 的请求后解析此 token 并利用预先约定好的密钥对其进行解码与验证操作,从而确认当前请求者的合法性及其所拥有的权限范围。 以下是具体实现中的几个重要环节: --- ### 实现机制详解 #### 1. 构造结构化负载 JWT由三部分组成——头部(header)、载荷(payload) 签名(signature)[^1]: ```json { "alg": "HS256", "typ": "JWT" } . { "sub": "1234567890", "name": "John Doe", "iat": 1516239022, "exp": 1516239082 } . SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c ``` 每一段都是经过 Base64Url 编码后的字符串拼接而成,并用"."分割开来的整体称为完整的 JWT 字符串形式表示法之一[^3]。 #### 2. 设置有效期限 为了防止恶意行为者无限期持有合法凭证,开发者可以在创建过程中指定 `exp` 参数定义其生命周期长度。一旦超过设定时限,则任何尝试使用已失效 tokens 访问受保护 API 资源的行为都将被拒绝[^2]: ```java @Test public void test4() { // 测试JWT的有效时间 Map<String, Object> claims = new HashMap<>(); claims.put("username", "zss"); long expirationTimeMs = 3 * 1000L; String jwt = JwtUtils.createJwt(claims, expirationTimeMs); System.out.println(jwt); Claims parseJwt = JwtUtils.parseJwt(jwt); Date issuedAt = parseJwt.getIssuedAt(); Date expirationDate = parseJwt.getExpiration(); SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss"); System.out.println("令牌签发时间:" + sdf.format(issuedAt)); System.out.println("令牌过期时间:" + sdf.format(expirationDate)); } ``` 这段代码展示了如何设置短暂存活周期内的自定义声明数据项(username=zss), 同时也打印出了对应的时间戳属性值以便调试观察. #### 3. 加密保障安全性 采用 HMAC SHA-256 或 RSA 等非对称/对称算法完成最终一步哈希运算得出 signature 部分的内容作为整个消息体不可篡改性的证明依据[^1]. 这样即使有人截获到网络通信包也无法伪造新的有效的 Tokens 来冒充其他真实存在的账户主体身份. --- ### 安全性考虑事项 尽管 JWT 提供了一种轻量级解决方案来简化跨域间的交互逻辑设计模式,但在实际部署当中仍需注意一些潜在风险点: - 使用高强度随机数种子初始化 secret key; - 尽可能缩短默认 session 生命周期避免长期暴露敏感资料; - 当发现异常情况发生时能够迅速实施吊销策略停止特定实例继续生效的可能性; - 推荐启用 HTTPS 协议层面上额外增加一层防护屏障减少中间人窃听威胁概率; 以上这些措施共同构成了围绕着基于 RESTful APIs 场景下运用 OAuth2.0 框架配合 OpenID Connect 扩展协议的最佳实践指南建议列表的一部分内容摘要说明文档参考资料链接地址如下所示[^1][^4]. ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值