JWT- Java Web Token 原理

最新推荐文章于 2025-07-02 14:04:42 发布
原创 最新推荐文章于 2025-07-02 14:04:42 发布 · 置顶 · 705 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了JWT(JSON Web Token)的概念及其组成部分,包括Header、Payload和Signature。解释了JWT如何通过简洁、自包含的方式实现在不同模块间的安全信息传输,并详细阐述了JWT的报文结构及各部分的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

JWT是一个轻量级的规范,之前学习过,但一直没有什么应用。最近在做一个OAuth 2相关的项目,有用到JWT。于是,再复习一遍。

JWT是什么?

JSON Web Token (JWT) 是一个简洁的,自包含的,可安全的在两个模块之间传输。这是JWT.io给出的定义。

简洁: JWT的规模比较小,它的报文可以通过URL或者HTTP的POST参数,甚至插入在HTTP头中。

自包含:在JWT payload部分包含了所有的必须的信息。

JWT报文结构:

Header: Header通常包含两部分:typ token类型, alg 所用的hash算法

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload:Payload部分是JWT的信息主体。Payload有三种申明信息:注册,公开和私有申明信息。

注册声明:这一类中,JWT推荐但不是要求必须的四个参数是:iss (issuer), exp (expiration time), sub (subject), aud (audience).

共有声明:这些可以被定义在那些使用JWT的规范中,例如OpenID Connect,例如name, give_name。但是注意,避免使用冲突。

私有声明:自定义的声明

例子:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

Signature: 签名是一个利用算法对header和payload的组合的加密字符串。这个签名可防止信息的篡改但不能防止信息的泄露。所以在JWT中,不能包含敏感信息。

签名的算法过程:

1. header字符串用base64加密

2. payload字符串用base64加密

3. 前两者加密的结果用点号 (.)连接起来。heder在前,paload在后

4. 然后使用header头中的注明的算法,对这个字符串加密的结果就是签名。加密过程中还会用到一个secret字符串

如下算法示意:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)
完整的 JWT字符串是base64(header).base64(paload).Signature


参考文章:

1. https://jwt.io/introduction/

hqhe_nj
关注
jwt原理&现象及使用
m0_60375943的博客
11-17 3596
一:jwt原理 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 例:jwt就相当于学校的出入证,只有持有出入证的人才能进行出入 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 以session来举例,session是储存在服务器的,如果是按服务器来储存数据的话,那么服务器会占用很大的一个内存,而存储在客户端就解决了这个问题 3. JWT的工作原理 传统开发对资源的访问限制利用session完成图解 jwt
jwt 原理
weixin_48334703的博客
10-05 2029
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
JAVA WebAPI中的Token认证与数字签名实现
最新发布
itanly的博客
07-02 416
本文介绍了Token认证的基本原理及其实现方法。JWT作为常见Token类型,由Header、Payload和Signature三部分组成,采用Base64URL编码。文章提供了Java代码示例,展示JWT生成、验证过程,以及如何结合数字签名增强安全性。同时介绍了在SpringBoot中通过过滤器实现Token认证的方案。最后强调了实际应用中的安全注意事项,包括设置Token过期时间、敏感操作重认证、密钥安全保管等。文中包含完整的代码实现,涵盖了从基础JWT操作到结合数字签名的进阶应用。
深入浅出JWT(JSON Web Token )
Mantou的博客
05-05 1063
1. JWT 介绍 JSON Web TokenJWT)是一个开放式标准(RFC 7519),它定义了一种紧凑(Compact)且自包含(Self-contained)的方式,用于在各方之间以JSON对象安全传输信息。 这些信息可以通过数字签名进行验证和信任。 可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进行签名。 虽然JWT可以加密以提供各方之间的保密性,但我...
JWT 加密
T525174893的博客
04-26 631
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该toke...
JWT
xieminglu的博客
09-07 529
知识点: 1、服务端如何利用jwt生成token令牌 2、客户端如何接收jwt生成的令牌 3、与传统的session机制差异在哪 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发...
JWT-JSON Web Token實作分享1
08-08
Token-Based Authentication 可以解决这些问题,提供一种更好的身份验证方式。 Token-Based Authentication 的优点 Token-Based Authentication 有以下优点: * 无状态,易于扩展 * 可重用 * 安全:不使用 ...
JWT(java web Token)
01-22
Java Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
JWT(Json Web Token)则是一种安全的身份验证机制,被广泛应用于微服务架构和API授权。本篇文章将深入探讨如何在Spring Boot应用中结合Spring Security实现JWT令牌的认证和授权。 首先,JWT令牌是一种轻量级的身份...
使用JWT PHP 使用JWT-Json Web Token 生成Token 实现Token认证
Zhang_jing1的博客
07-22 1038
为什么使用JWT? 官网 https://jwt.io/ 3.0版本 https://github.com/lcobucci/jwt 安装 composer require lcobucci/jwt 随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及
JWT---Json Web Token
龙梓琦的博客
04-22 1815
一. 了解Auth0 一.简介 Auth0是一个身份管理平台 Auth0主要提供身份认证(即登录账号)与授权服务(不同级别的用户被允许访问的应用资源不同,即权限不同) 你的应用可以连接Auth0并定义你想使用哪些身份提供者(IdP),这决定了你的用户可以通过哪些身份提供者(比如:微软AD、谷歌账号、Facebook账号、GitHub账号等)登录你的应用。 基于你的应用里所用的编程语言和技术,你可以选择Auth0提供的相关SDK(或者直接嗲用Auth0的API)。这样每次用户尝试身份认证(登录)时
JWT token 认证原理
huchaoshan的博客
08-22 852
JWT token 分为三部分组成: 第一部分是头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature). 头部包含:1声明类型 这里是JWT 2声明加密的算法 通常直接用 HMAC SHA256加密 完整的头部就像下面这样的JSON: { ‘typ’: ‘JWT’, ‘alg’: ‘HS256’ }...
JWT(JSON Web Token)的基本原理
2401_84153285的博客
05-13 1349
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成,自己不成体系的自学效果低效漫且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
JWT工作原理
weixin_34278711的博客
08-29 1070
JWT(JSON Web Token)一种开放的标准规范(RFC 7519),用于在网络上安全的传输信息,通常被用于身份验证。简单来说,你可以把 JWT 想象成一张小巧的、自包含的电子通行证。这张通行证里面包含了用户的身份信息,就像你在某个俱乐部的会员卡,上面有你的名字、会员等级等信息,拿着这张卡,你就能证明你是谁,享受相应的服务。
基于jwttoken验证、原理及流程
程序员闪充宝
09-18 4117
来源:www.cnblogs.com/better-farther-world2099一、什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种...
简述JWT的工作原理
MakChiKin
12-06 3075
客户端通过Web表单将正确的用户名和密码发送到服务端的接口。这一过程一般是POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。 服务端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成的JWT就是一个形同lll.zzz.xxx的字符串,并设置有效时间。 服务端...
Java Web Token认证机制
weixin_30693683的博客
06-26 487
Web领域基于Token的身份验证随处可见。在大多数使用Web API的互联网公司中,token 是多用户下处理认证的最佳方式。 1. 几种认证机制比较 1.1 Session认证 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出...
JWT原理讲解
hjp_001的博客
10-28 575
JWT (JSON WEB TOKEN) jwt 有3部分组成:(head、Payload、signature) 下面我们将分三步生成JWT的值。 1. Head 头部:一般包含两部分 { "typ": "JWT", // 固定为jwt "alg": "HS256" // 加密算法 } 第一部分的值:将 Head 进行 Base64 加密就是 第一部分 的值。 2. Payload 荷载:包含公共部分与自定义部分 { // 公共部分, 非强制可以省略。 "iss": "servic
JWT令牌的工作原理
qq_16159433的博客
10-26 587
这里写目录标题JSON Web Tokens基于Token的身份认证与基于服务器的身份认证基于服务器的身份认证基于Token的身份认证基于Token的身份认证是如何工作的用Token的好处无状态和可拓展性安全JWT和OAuth的区别 JSON Web Tokens 在认证的时候,当用户用他们的的凭证成功登录以后,一个JSON Web Token将会被返回。此后,用户名和密码就不再是用户的凭证,而token是用户用来访问资源的新凭证了。你必须非常小新以防止出现安全问题。一般而言,你保存令牌的时间不应该超过你所
jwt-java not
03-25
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它是一种轻量级的安全传输方式,通常用于在网络应用间传递声明信息。在Java中,可以使用Java JWT库来实现JWT的生成和验证。 Java JWT库是一个流行的Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值