JWT 的结构详解

最新推荐文章于 2025-11-02 17:19:34 发布
原创 最新推荐文章于 2025-11-02 17:19:34 发布 · 6k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jwt

JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它由头部、负载和签名三部分组成,常用于用户登录后生成并传递给客户端,用以在后续请求中携带,实现无状态的用户认证。

jwt:JSON Web Token 的缩写

由三部分组成:Header(头部)、Payload(负载)、Signature(签名)。

因此,JWT通常如下所示:

xxxxx.yyyyy.zzzzz

1 Header(头部)

由令牌的类型(即JWT)和正在使用过的签名算法组成。如:

{ 
    "alg": "HS256",
    "typ": "JWT" 
}

那么,这个JSON是Base64Url编码成JWT的第一部分。

2 Payload(负载)

Payload是令牌jwt的第二部分。包含的是请求体和其它一些数据。

载荷的属性有三类:

预定义(Registered) 公有(public) 私有(private)

2.1 预定义的载荷

{

    "sub": "1",

    "iss": "http://localhost:8000/auth/login",

    "iat": 1451888119,

    "exp": 1454516119,

    "nbf": 1451888119,

    "jti": "37c107e4609ddbcc9c096ea5ee76c667",

    "aud": "dev"

}

这里面的前 7 个字段都是由官方所定义的,也就是预定义(Registered claims)的,并不都是必需的。

iss (issuer):签发人

sub (subject):主题

aud (audience):受众

exp (expiration time):过期时间

nbf (Not Before):生效时间,在此之前是无效的

iat (Issued At):签发时间

jti (JWT ID):编号

2.2 公有的载荷

在使用 JWT 时可以额外定义的载荷。为了避免冲突,应该使用 IANA JSON Web Token Registry 中定义好的,或者给额外载荷加上类似命名空间的唯一标识。

2.3 私有载荷

在信息交互的双方之间约定好的,既不是预定义载荷也不是公有载荷的一类载荷。这一类载荷可能会发生冲突,所以应该谨慎使用。

3 Signature(签名)

签名属于jwt的第三部分。主要是把头部的base64UrlEncode与负载的base64UrlEncode拼接起来,再进行HMACSHA256加密,加密结果再进行base64url加密,最终得到的结果作为签名部分。

加密过程如下:

base64url(     
    HMACSHA256(       
        base64UrlEncode(header) + "." + base64UrlEncode(payload),       
        your-256-bit-secret (秘钥加盐)     
    ) 
)

如果一个客户端带着jwt请求服务端,服务端要确保这个请求是合法并且没有被篡改的请求,那么服务端是需要一个规则来进行验证的。所以上述签名的加密过程就是服务端的使用的规则,加密结果再和jwt的第三部分进行匹配,确定是否相同,如果相同则为合法请求。如果不相等,则为非法请求。

非法者非法请求的时候,可以通过同样的规则来伪造一个jwt,但是客户端一般是不知道服务端的密钥的(盐),所以非法者几乎不能伪造出合法的请求。

JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 2万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWT 实战教程
weixin_43145539的博客
03-30 499
JWT 实战教程 注:资料整理自b站up主,编程不良人 1.什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted bec
JWT结构详解JWT设置
Sup星月★然的博客
08-29 1858
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务端生成一个token并返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。JWT是 JSON Web Tokens 的简称,从单词可以看出它也是一种 token,其实可以理解为一种生成token的框架或规范。
JWT 是由哪三个部分组成?如何使用JWT进行身份认证?
最新发布
qq_41413652的博客
11-02 924
3部分核心逻辑:Header(算法+类型)→ Payload(数据)→ Signature(防篡改);核心价值:无状态、轻量、可跨服务传递身份信息,适合前后端分离、微服务架构的身份认证;安全提醒:Payload明文,不存敏感数据;Signature依赖密钥,密钥绝不能泄露。登录 → 后端验证凭证 → 签发 JWT;后续请求 → 前端携带 JWT;后端拦截 → 验证 JWT → 授权访问。通过“刷新令牌+黑名单+HTTPS”可解决其核心痛点,是目前前后端分离、微服务架构的首选身份认证方案。
jwt结构
jia___qi的博客
10-06 270
1.jwt头:JWT头部分是一个描述JWT元数据的JSON对象 2.有效载荷:七个默认字段+自定义私有字段 3.签名=HMACSHA256( base64UrlEncode(header) + “.” + base64UrlEncode(payload) ,secret)
JWT结构
weixin_54401017的博客
08-14 306
令牌的第二部分是有效负载,其中包含声明,声明是有关实体(通常是用户)和其他数据的声明。Signature需要使用编码后的header和payload,以及我们提供的一个密钥,然后使用header中的签名算法(HS256)进行签名,签名的作用是保证JWT没有被篡改过。它会使用Base64编码组成JWT结构的第一部分。-因此,JWT通常如下所示:xxx.yyy.zzz Header.Payload.Signature。-Base64是一种编码,也就是说,它可以被翻译回原来的样子的,它并不是一种加密过程。...
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
基于JWT.NET的使用(详解)
08-28
2. JWT结构 JWT一般由三段构成,用.号分隔开,第一段是header,第二段是payload,第三段是signature。 3. Header(头部) header承载两部分信息:声明类型和加密算法。通常直接使用HMAC SHA256,其它还有RS256等...
thinkphp框架使用JWTtoken的方法详解
10-16
总结来说,在ThinkPHP框架中实现JWT token的生成和验证涉及到对JWT结构的理解、操作技巧的掌握以及对加密签名的安全性处理。文章中提到的方法和技巧可以作为在ThinkPHP项目中实现安全认证的一个参考。需要注意的是,...
jwt详解
weixin_42289273的博客
07-30 365
1. 概念 JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目。 2. 传统token方式和jwt在认证方面有什么差异? 传统token方式 用户登录成功后,服务端生成一个随机token给用户,并且在服务端(数据库或缓存)中保存一份token,以后用户再来访问时需携带token,服务端接收到token之后,去数据库或缓存中进行校验token的是否超时、是否合法。 ..
JWT(JSON Web Token)的数据结构
堡望的博客
05-23 1117
JWT 的数据结构是 : A.B.C。 由字符点‘.’来分隔三部分数据。 A - header 头信息 B - payload (有效荷载,用于记录用户非隐私数据) C - Signature 签名 header 数据结构: {“alg”: “加密算法名称”, “typ” : “JWT”} alg 是加密算法定义内容,如: HMAC SHA256 或 RSA typ 是 token 类型,这里固定为 JWT。 payload 在 payload 数据块中一般用于记录实体(通常为用户信息)或其他数据的。主要分
jwt的组成部分
JavaBoy的博客
01-04 1万+
什么是JWT jwt是信息加密的一种方式,一个JWT由三个部分组成:header,payload,signature。分别保存了不同的信息。三个部分在JWT中分别对应英文句号分割出来的三个串: header header部分由以下的json结构生成: typ用来标识整个token是一个jwt字符串,alg代表签名和摘要算法,一般签发JWT的时候,只要typ和alg就够了,生成方式是将heade...
JWT 简介
weixin_34194317的博客
05-03 255
本文翻译自JWT官方网站对JWT是什么以及能做什么的简介。 JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的...
JWT详解(组成,工作原理,优缺点,续签问题,删除但有效问题)
m0_62201229的博客
11-26 4199
JWT的组成,工作原理,优缺点,续签问题等常见问题有较为详细的解析,适合小白快速补充知识
JWT结构和验证原理
SYWL的博客
07-16 871
JWT结构和验证原理
JWT组成的部分
qq_44194174的博客
11-25 1万+
JWT jwt底层组成部分 头部: Payload 装载的数据; 验证签名; jwt和token最大的区别: token(在用户登录后会返回一个tokenid,key:tokenid,value:username)依赖于redis查询数据信息,token存放value数据比较安全,jwt不需要依赖于服务器端,将数据信息内容直接存放在客户端(浏览器) JWT组成的部分 1.Header(头) 作用:记录令牌类型、签名算法等 例如:{“alg":"HS256","type","JWT} 2.Paylo
JWT(JSON web token)的三个组成部分,使用 jwt 鉴权机制
有一棵树的博客
11-07 3020
JWT
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

荆茗Scaler

你的鼓励是我创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值