一分钟搞懂JWT

最新推荐文章于 2025-11-01 09:52:44 发布
原创 最新推荐文章于 2025-11-01 09:52:44 发布 · 670 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

1.什么是JWT?

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。

一句话就是,jwt就是一个有格式定义的字符串,久而久之形成的一个规范。

 

2.JWT长什么样?

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ1c2VyIGluZm8iLCJpc3MiOiJqd3RsZWFybiIsImV4cCI6MTU4MjgyNzg1OCwidXNlcm5hbWUiOiJhZG1pbiJ9.DJ-tUrH90F_wT0M6DBhnmw4b_DVFBsKUUIUHjSBU-ew

就长上面这个鬼样,浏览器与服务端传递的就是这个玩意;但注意这个字符串包含三个".",其意义在于jwt串是由三部分组成的,那是如何组成这个字符串的呢?

3.JWT的结构

 

典型的JWT由三个部分组成,每个部分由一个点(.)分隔。

  • Header
  • Payload
  • Signature

header.payload.signature

下面分别介绍这三部分的意义:

Header(头部)

头部包含所使用的签名算法(alg)和令牌的类型(typ),这部分会被编码为Base64URL格式

{
    "alg": "HS256",    //签名算法
    "typ": "JWT"       //令牌类型
}

Base64URL编码后的格式:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

Payload(载荷)

Playload包含实际要传输的信息,附带一些其他信息如过期时间、发行时间等。JWT指定了一些官方字段(claims)备用:

  • iss: 签发人
  • exp: 过期时间
  • iat: 签发时间
  • nbf: 生效时间
  • jti: 编号
  • sub: 主题
  • aud: 受众
{
  "iss":"admin",
  "sub": "1234567890",
  "name": "John Doe"
}

除了官方字段,在这个部分还可以添加私有字段;

Base64URL编码后的格式:

MiOiJqd3RsZWFybiIsImV4cCI6MTU4MjgyNzg

Signature(签名)

要创建签名部分,必须采用编码的Header,编码的Payload,秘钥,Header中指定的算法,并对其进行签名。

例如,如果要使用HMAC SHA256算法,将按以下方式创建签名:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

签名信息:

DJ-tUrH90F_wT0M6DBhnmw4b_DVFBsKUUIUHjSBU-ew

然后将三部分组合用“.”分割形成了最终的jwt token串

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.MiOiJqd3RsZWFybiIsImV4cCI6MTU4MjgyNzg.DJ-tUrH90F_wT0M6DBhnmw4b_DVFBsKUUIUHjSBU-ew

如何应用JWT?

浏览器接收到服务器发过来的jwt后,可以存储在Cookie或localStorage中。

之后,浏览器每次与服务器通信时都会带上JWT。可以将JWT放在Cookie中,会自动发送(不跨域),或将JWT放在HTTP请求头的授权字段中;

具体流程如下:

 

1.浏览器发起登录请求

2.服务端验证登录信息是否正确,如果正确创建jwt token

3.服务端将jwt token 返回给浏览器

4.浏览器再次请求服务端时,将jwt token设置在请求头中

5.服务端验证jwt token是否正确,如果正确返回该用户的用户信息

 

搞懂实战性能优化一篇就够了
阿杰
02-27 504
本文记录了小编近几年的优化经验,略有浅薄,试做一二。
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 2万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
学习JWT -- JSON WEB TOKEN
Chery Qi的博客
07-02 330
一、介绍 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 二、流程 客户端需要向服务端申请JWT令牌,这个过程通常是登录功能。即:由用户名.
常见互联网计算机行业的黑词
lxd_max的博客
07-31 2743
作为一名腾讯应用开发工程师,在早期经常能听到部门没HC,数据PB级,CV岗神仙打架,B端C端业务。本文带你一探究竟。
JWT简介、JWT优缺点、JWT使用方法、.NET6使用JWT示例、JWT与Session对比
08-21 1万+
JWT简介、JWT优缺点、JWT使用方法、.NET6使用JWT示例、JWT与Session对比
JWT详细讲解(保姆级教程)
孤夜的博客
08-13 1万+
本篇博文详细讲解JWT概念,组成,运行过程,和SAM相比的优势,并附加SpringBoot整合JWT的案例。
JWT介绍
m0_53151031的博客
11-21 1671
一、JWT出现的原因以及工作原理 1、JWT的定义: JSON Web Token (JWT),是目前最流行的跨域身份验证解决方案 二、JWT工具类的介绍以及三种场景 三、JWT与vuex在SPA项目中的应用
彻底搞懂Web认证:Token、Session、Cookie、JWT、OAuth2 核心区别与实战
最新发布
leikunbo的博客
11-01 568
技术 存储位置 状态 安全性 适用场景Cookie 客户端 有状态 中等 会话管理、用户偏好Session 服务端 有状态 高 传统Web应用、需要服务端状态Token 客户端 无状态 中高 API认证、移动应用JWT 客户端 无状态 高 分布式系统、单点登录OAuth2 客户端+服务端 无状态 最高 第三方授权、开放平台。
php安装jwt,从composer安装到运行php-jwt的实践经历
weixin_42339991的博客
03-17 2739
摘要:技术总监让我们搞token,我们几个折腾了一天多才在本地跑畅。神马教程都不靠谱啊!坑是一个接一个,新手根本伤不起.....声明:本文融合了多篇教程才展示出一个完整的本地可运行的实例,说多了都是泪啊......本文参考资料composer官网:http://www.phpcomposer.com/composer安装:http://jingyan.baidu.com/article/4f347...
【FastAPI后台API 八】JWT token认证登陆
王小右的博客
07-23 9254
JWT token认证登陆 前一篇博客讲述了获取和验证请求参数, 这一篇就实践下,演示一个最基础的JWT认证,我公司是用了两个token方式验证,一个请求token,一个刷新token,请求token过期时间短,专门用于请求数据,刷新token专门用于刷新过期请求token用的。 jwt官网 https://jwt.io/ 如果还有不懂JWT的,就需要好好看看JWT的知识了,JWT认证目前是前后端分离中非常流行的一种认证方式: 由三段组成 第一段通常是加密算法,第二段是你存储的自定义信息(未加密任何人
一文让你搞懂Restful API是什么、为什么、怎么使用
qq_38737545的博客
05-16 1292
RESTful API 是一种基于 HTTP 协议的软件架构风格,用于设计网络应用程序的接口。其核心概念包括资源、HTTP 方法、无状态通信和统一接口。资源通过唯一的 URL 标识,使用标准的 HTTP 方法(如 GET、POST、PUT、DELETE)进行操作。RESTful API 的优点包括简单易用、跨平台兼容性、高可扩展性、缓存友好和松耦合。与传统 RPC 相比,RESTful API 更高效且易于缓存。设计规范包括路径命名、HTTP 方法匹配操作和版本控制。请求与响应格式通常为 JSON,并需考虑
JWT详细解析
m0_65224643的博客
07-30 1万+
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为的,特别。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
JWT字段详解
qq_25705173的博客
07-07 2820
1. 完整JWT格式 { alg: "RS256", typ: "JWT", kid: "bael-key-id" }. { loginType: "PWD", user_name: "admin", scope: [ "read" ], tenantCode: "gitee", exp: 1594108986, authorities: [ "ROLE_ADMIN" ], jti: "bd805e23-e8b6-4ac6-88de-0a4fc2e
JWT 详解
共勉
07-13 1万+
JWT是什么? JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
jwt超详细配置和教程
欲买桂花同载酒,终不似少年游
07-03 5211
认证方式传统使用session就是前端cookie保存一个sessionid,下次发送请求会自动携带认证流程暴露问题session保存在内存中,用户越多,内存负载越大分布式应用的话限制了负载均衡能力cookie被截获容易收到跨站请求伪造攻击在前后端分离系统中更加痛苦也就是说前后端分离在应用解耦后增加了部署的复杂性。通常用户一次请求就要转发多次。如果用session 每次携带sessionid到服务器,服务器还要查询用户信息。同时如果用户很多。
JWT教程【JWT
小心星的博客
05-22 1013
JWT教程【JWT
JWT基础介绍
Alan0517
03-13 2756
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
JWT(详解)
热门推荐
weixin_44736637的博客
04-07 3万+
JWT
JWT分析
Arthas的博客
10-09 930
本篇文章不讨论 Laravel 中 JWT 这个怎么使用,要这方面内容的可以看我另一篇文章 JWT 完整使用详解 。 在此我要从一个更深的层次来探讨 JWT 在实际运用中的使用以及其优缺点,以及 JWT 和 Oauth 2.0 这两者到底有什么差别和联系。 首先我们从 Token 入手,再联系到 JWT,然后分析 JWT 的优缺点和使用场景,最后再联系到 Oauth2.0。 一、Token ...
一句话解释jwt
05-29
### JSON Web Token (JWT) 的简单解释 JSON Web Token (JWT) 是一种开放标准 (RFC 7519),用于在各方之间以 JSON 对象的形式安全地传输信息[^2]。JWT 提供了一种紧凑且自包含的方式,通过数字签名确保信息的完整性和可信性。JWT 可以使用密钥(HMAC 算法)或公钥/私钥对(RSA 或 ECDSA 算法)进行签名。 JWT 通常由三部分组成:头部 (Header)、载荷 (Payload) 和签名 (Signature),这三部分通过点号 (`.`) 分隔形成一个字符串[^4]。头部描述了签名算法,载荷包含了需要传递的实际数据(如用户信息),而签名则用于验证消息的完整性并确认发送方的身份[^3]。 以下是一个简单的 JWT 示例: ```plaintext eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c ``` ### JWT 的核心特性 - **安全性**:由于 JWT 包含数字签名,因此可以防止数据被篡改[^2]。 - **无状态**:JWT 将所有必要信息编码到令牌中,服务器无需保存会话数据,从而实现无状态认证[^1]。 - **跨域支持**:JWT 可以轻松嵌入到 URL 参数或 HTTP 头部中,适用于跨域场景[^5]。 ### JWT 的典型应用场景 - **授权**:当用户登录后,后续请求可以通过携带 JWT 来访问受保护的资源[^2]。 - **信息交换**:JWT 是一种安全传输信息的方式,适合在各方之间传递经过签名验证的数据[^4]。 ### 示例代码:生成 JWT 以下是使用 Python 的 `pyjwt` 库生成 JWT 的示例: ```python import jwt import datetime # 定义密钥和载荷 secret_key = "mySecretKey" payload = { "sub": "1234567890", # 主体 "name": "John Doe", # 用户名 "admin": True, # 是否为管理员 "exp": datetime.datetime.utcnow() + datetime.timedelta(seconds=30) # 过期时间 } # 生成 JWT token = jwt.encode(payload, secret_key, algorithm="HS256") print("Generated Token:", token) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值