什么是JWT

最新推荐文章于 2025-09-09 18:05:03 发布
转载 最新推荐文章于 2025-09-09 18:05:03 发布 · 351 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://learnku.com/articles/17883
文章标签:

#php #jwt #laravel

本文详细介绍了API鉴权的几种方式,包括cookie+session、HTTPBasic和HTTPDigest,重点讲解了Token和JWT(JSON Web Tokens)的工作原理和安全性。JWT由头部、载荷和签名三部分组成,常用于API鉴权,可有效防止CSRF攻击。同时,文章讨论了JWT的存储方式、使用策略以及与CSRF和XSS攻击的防护。最后,提到了Token管理和使用时的注意事项,如有效期控制和敏感信息加密。

TOKEN

token 是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权。

API 鉴权

API鉴权的方式有以下几种

  • cookie + session
    和平常 web 登陆一样的鉴权方式

  • HTTP Basic

账号和密码拼接然后 base64 编码加到 header
头中。很显然,因为账号和密码几乎是『明文』传输的,而且每次请求都传,安全性可想而知。

所以,这种方式是好少使用的

  • HTTP Digest

将账号和密码加上其他一些信息拼接然后取摘要加到 header 头中。

不过其实最大的问题还是:每次请求都要对账号、密码取一次摘要,也就是说每次请求都要有账号和密码,也就是说账号和密码要么缓存一下,要么就每次请求要去用户输一次密码,这样显然不合适。

  • Token

token通过一次登录验证,得到一个鉴权字符串,然后以后带着这个鉴权字符串进行后续操作,这样就可以解决每次请求都要带账号密码的问题,而且也不需要反复使用账号和密码。

CSRF 攻击

构成这个攻击的原因,就在于 Cookie + Session 的鉴权方式中,鉴权数据(cookie 中的
session_id)是由浏览器自动携带发送到服务端的,借助这个特性,攻击者就可以通过让用户误点攻击链接,达到攻击效果。而 token
是通过客户端本身逻辑作为动态参数加到请求中的,token 也不会轻易泄露出去,因此 token 在 CSRF 防御方面存在天然优势

JWT 的组成

JWT 全称 JSON Web Tokens ,是一种规范化的 token。可以理解为对 token 这一技术提出一套规范,是在 RFC 7519 中提出的

组成

一个 JWT token 是一个字符串,它由三部分组成,头部、载荷与签名,中间用 . 分隔,例如:xxxxx.yyyyy.zzzzz

头部(header)

头部通常由两部分组成:令牌的类型(即 JWT)和正在使用的签名算法(如 HMAC SHA256 或 RSA.)。
例如:

{
  "alg": "HS256",
  "typ": "JWT"
}
载荷(Payload)

载荷中放置了 token 的一些基本信息,以帮助接受它的服务器来理解这个 token。同时还可以包含一些自定义的信息,用户信息交换

载荷的属性也分三类:

  • 预定义(Registered)
  • 公有(public)
  • 私有(private)

预定义的载荷

{
  "sub": "1",
  "iss": "http://localhost:8000/auth/login",
  "iat": 1451888119,
  "exp": 1454516119,
  "nbf": 1451888119,
  "jti": "37c107e4609ddbcc9c096ea5ee76c667",
  "aud": "dev"
}

这里面的前 7 个字段都是由官方所定义的,也就是预定义(Registered claims)的,并不都是必需的

  • iss (issuer):签发人
  • sub (subject):主题
  • aud (audience):受众
  • exp (expiration time):过期时间
  • nbf (Not Before):生效时间,在此之前是无效的
  • iat (Issued At):签发时间
  • jti (JWT ID):编号
签名(Signature)

签名时需要用到前面编码过的两个字符串,如果以 HMACSHA256 加密

HMACSHA256(
    base64UrlEncode(header) + "." +
    base64UrlEncode(payload),
    secret
)

加密后再进行 base64url 编码最后得到的字符串就是 token 的第三部分 zzzzz

组合便可以得到 token:xxxxx.yyyyy.zzzzz。

JWT 的使用有两种方式
  • 加到 url 中:?token=你的token
  • 加到 header 中,建议用这种,因为在 https 情况下更安全:Authorization:Bearer 你的token

JWT 在客户端的存储有三种方式

  • LocalStorage
  • SessionStorage
  • Cookie [不能设置 HTTPonly]
    值得注意的是,Cookie的这种方式有的移动端是不支持的,但是我们可以配合其他方式去使用
    最推荐的还是第三种,因为第一二种存在跨域读取限制,而 Cookie 使用不同的跨域策略

Cookie 的跨域策略

子可以读父,但是父不可以读子,兄弟之间不能互相访问

a.xxx.com 和 b.xxx.com 可以读 xxx.com,
但是 a.xxx.com 和 b.xxx.com不能互相读取,
xxx.com 也不能读 a.xxx.com 和 b.xxx.com 的

关于 token 十件必须知道的事

  1. Token 获取到后需要保存起来以便下次使用,可以选择存储在 localstorage /sessionstorage/cookie
  2. Token 是包含有效期的,你必须部署一些逻辑来进行有效期的控制
  3. localstorage /sessionstorage 的跨域限制较 cookie 更为严格,推荐使用 cookie
  4. 在你进行异步请求时,浏览器一般都会发送预检请求(option),后端应对此部署相应的逻辑
  5. 为什么会有 OPTIONS 请求 - 云 + 社区 - 腾讯云
  6. 使用 cookie 可以轻松处理一个文件下载请求,但是 token 一般都是通过 XHR
    方式进行请求的,所以你必须部署额外的逻辑。比如生成一个实时 ticket ,以 ticket 进行访问,然后校验,重定向,最后下载文件。
  7. 处理 XSS 比处理 CSRF 更容易(这一点我实在没看到他是什么个逻辑,大家可以去看看原文)
  8. token 在每次请求时都会被编码到请求中,所以请注意 token 的大小,不要编码过多数据
  9. 如果在 token 中编码敏感信息,请对 token 进行加密
  10. JSON Web Token 可以用于 Oauth2.0 的 Bearer Token 中,赋予 Oauth2.0 无状态的优势

本文转载于 skyArony

什么是JWT?为什么选择JWT?如何在Spring Cloud Security集成使用?
iloveoverfly的博客
10-01 7538
什么是JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,详情可以参考什么是 JWT -- JSON WEB TOKEN。其特点如下: 具体时效性,包含失效时间。 具有安全性,基于密钥机制的签发和验证机制。 为什么选择JWT? 基于oauth2协议认证过程中,以密码类型认证方式为例,包括认证和授权两个步骤。分别如下: 客户端通过客户端用户名和密码,密码授权方式,以及用户名和密码,向授权服务器认证,如果有效则返回token(访问令牌
JWT是什么
qq_44493832的博客
08-17 477
文章目录1. JWT是什么2. 为什么使用JWT3. JWT的工作原理4. JWT组成5. JWT的验证 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“Use...
JWT全面理解
最新发布
m0_74776907的博客
09-09 1396
JWT 的本质是一串经过加密签名的 JSON 格式字符串,用于在客户端和服务器之间安全地传递 “声明”(Claims,即用户身份、权限等信息)。分布式系统中服务间通信(如微服务 A 向微服务 B 传递用户权限信息)、跨组织数据交换(如第三方登录后,平台间传递用户基本信息)。(如 role: admin、permissions: ["read", "write"]),服务器验证 JWT 后,直接。减少数据库查询次数(验证身份时无需查库),提升系统性能。服务器不存储任何会话信息,仅通过 JWT 验证身份。
JWT究竟是什么呢?
weixin_33827965的博客
08-03 204
译者按:如果你还在使用session验证用户的话,是时候了解一下JWT了! 原文:What the heck is JWT anyway? 译者:Fundebug 为了保证可读性,本文采用意译而非直译。另外,本文版权归原作者所有,翻译仅用于学习。 小编推荐:Fundebug专注于JavaScript、微信小程序、微信小游戏,Nod...
什么是JWT
热门推荐
Steve Wang's blog
03-14 2万+
什么是JWT?它的结构,工作方式,优点。
鉴权初探---什么是JWT
qq_44936410的博客
05-31 419
到底什么是JWT 什么是jwt什么时候应该使用json网络令牌?jwt的结构头部(header)负载部分(payload)签名部分组合在一起JWT是如何工作的?为什么应该使用JWT 什么是jwt json web Token(JWT)是一个开放标准,它定义了一种紧凑和自包含的方 式,做为json对象在各方之间安全传输信息。这些信息可以被验证和被信任,因为他是经过数字签名jwt可以通过HMAC或着使用RSA(一种包含公钥和私钥)的加密算法对其进行签名。 我来进一步解释一下这些定义的概念。 紧凑:由于
JWT 实战教程,什么是JWT
04-26
JWT 实战教程
什么是 JWT(Json Web Token)
wjiaman
10-27 1453
一、身份认证  常见的服务器端身份认证机制有两种,分别为: 1.基于 session 的认证机制  HTTP 是一种无状态的协议,这意味着若无登录态维持机制,则每次请求时都需要提交用户名与密码进行身份验证,而 session 机制就是用于在服务器端记录用户的登录状态。  session 是一串在服务器生成的字符串,用以唯一地标识一个用户。第一次身份验证后,服务器生成一串字符串并将字符串保存在服务端,同时将该字符串写入返回的响应头(Cookie字段)。浏览器在收到字符串后,将该字符串保存为 Cookie。同一
什么是JWT??
as15282235592的博客
09-04 6049
JWT
java编程之java jwt token什么是JWT?(一)
Rome was not built in one day
01-17 1233
转自:http://www.leftso.com/blog/220.html 一、什么是JWT?了解JWT,认知JWT   首先jwt其实是三个英语单词JSON Web Token的缩写。通过全名你可能就有一个基本的认知了。token一般都是用来认证的,比如我们系统中常用的用户登录token可以用来认证该用户是否登录。jwt也是经常作为一种安全的token使用。 JWT的定义:
什么是jwt
小明同学的博客
06-26 1508
json web token(jwt)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC7519),该 token被设计为紧凑且安全的,特别适合于分布式站点的单店登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于资源服务器获取资源,也可以增加一些额外的其他业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 起...
什么是jwt
05-21
### JWT 的定义 JSON Web Token (JWT) 是一种开放标准 (RFC 7519),用于在各方之间以 JSON 对象的形式安全地传输信息。这种信息是经过数字签名的,因此可以被验证和信任[^1]。JWT 可以使用 HMAC 算法或 RSA/ECDSA 的公钥/私钥对进行签名JWT 的结构由三部分组成:头部 (Header)、负载 (Payload) 和签名 (Signature)。这三部分通过点号 (`.`) 进行分隔,形成如下格式: ``` <base64url-encoded-header>.<base64url-encoded-payload>.<signature> ``` #### 工作流程 JWT 的工作流程通常涉及以下几个阶段: 1. **身份验证**:当用户成功登录时,服务器会生成一个 JWT 并将其返回给客户端。 2. **存储**:客户端接收到 JWT 后,通常会将其存储在本地(如浏览器中的 Cookie 或 LocalStorage 中)。 3. **请求附加**:每次客户端向服务器发起请求时,都会将 JWT 添加到 HTTP 请求头中(通常是 `Authorization` 字段),形式为 `Bearer <token>`。 4. **验证与解析**:服务器接收到来自客户端的请求后,会对 JWT 进行解码和验证。如果验证通过,则允许访问受保护的资源;否则拒绝访问。 以下是生成和验证 JWT 的伪代码示例: ```python import jwt # 密钥 SECRET_KEY = 'your_secret_key' # 创建 JWT payload = {'user_id': 123, 'username': 'example_user'} encoded_jwt = jwt.encode(payload, SECRET_KEY, algorithm='HS256') # 验证 JWT try: decoded_payload = jwt.decode(encoded_jwt, SECRET_KEY, algorithms=['HS256']) except jwt.ExpiredSignatureError: print("Token expired.") except jwt.InvalidTokenError: print("Invalid token.") else: print(decoded_payload) ``` ### 使用场景 JWT 主要应用于以下几种场景: 1. **身份认证**:JWT 常用于用户的登录状态管理。一旦用户完成身份验证,服务器会生成一个 JWT 返回给客户端,在后续请求中客户端可以通过该令牌证明自己的身份[^3]。 2. **信息交换**:由于 JWT 是经过签名的,可以在不同系统之间安全地传递信息。例如,在微服务架构中,不同的服务可以通过 JWT 来共享某些可信的数据[^4]。 3. **单点登录 (SSO)**:JWT 特别适合分布式系统的单点登录场景。用户只需在一个地方登录即可获得多个相关联的服务访问权限。 ### 总结 JWT 提供了一种轻量级的安全机制,能够在网络环境中高效地传递信息。其核心价值在于能够减少服务器端的状态维护需求,同时提高通信效率和安全性。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值