JWT的原理详解和使用

已于 2024-11-05 19:06:43 修改
阅读量736 收藏 24
点赞数 24
分类专栏: PHP 文章标签: JWT JSON Web 令牌
于 2024-11-05 19:05:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_68949064/article/details/143518790
版权

JWT(JSON Web Token) 是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。JWT 可以使用密钥(使用 HMAC算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。

一、JWT的原理

JWT是一种服务端向客户端发放令牌的认证方式。当客户端使用用户名和密码登录时,服务端会生成一个包含用户信息的JWT令牌,并将其返回给客户端。客户端在后续的请求中只需携带这个令牌,服务端通过验证令牌来确认用户的身份,从而实现对用户的身份验证和授权。

二、JWT的结构

JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。

1、头部(Header)

头部描述了JWT的元数据,包括算法(alg)和类别(typ)等信息。其中,alg描述了用于签名的算法,例如HMAC SHA256(HS256)或者RSA;typ表示令牌类型,通常设置为JWT,表示这是一个JWT类型的令牌。

jwt的头部由两部分信息组成:

  • typ:声明类型,这里是jwt
  • alg:声明加密的算法 通常直接使用 HMAC SHA256
{
  "alg": "HS256",
  "typ": "JWT"
}

然后,将此 JSON 经过Base64Url编码,形成 JWT 的第一部分。

2、载荷(Payload)

令牌的第二部分是有效负载,其中包含声明。声明是关于实体(通常是用户)和其他数据的声明。声明有三种类型:已注册公开私有声明。

  • 注册声明:这些是一组预定义的声明,它们不是强制性的,但建议使用,以提供一组有用的、可互操作的声明。其中一些是: iss(颁发者)、 exp(到期时间)、 sub(主题)、 aud(受众)等。

    请注意,由于 JWT 力求紧凑,因此声明名称只有三个字符。

  • 公开声明:这些声明可以由使用 JWT 的用户随意定义。但为了避免冲突,它们应该在IANA JSON Web Token Registry中定义,或定义为包含抗冲突命名空间的 URI。

  • 私人声明:这些是为在同意使用它们的各方之间共享信息而创建的自定义声明,既不是注册声明也不是公开声明。

示例有效载荷可能是:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后对有效负载进行Base64Url编码以形成 JSON Web Token 的第二部分。

请注意,对于签名令牌,此信息虽然受到防篡改保护,但任何人都可以读取。除非已加密,否则不要将机密信息放入 JWT 的有效负载或标头元素中。

3、签名(Signature)

要创建签名部分,您必须获取编码的标头、编码的有效负载、秘密、标头中指定的算法,然后对其进行签名。

例如,如果您想使用 HMAC SHA256 算法,则签名将按以下方式创建:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

签名用于验证消息在传输过程中未被更改,并且,对于使用私钥签名的令牌,它还可以验证 JWT 的发送者是否是其所述的那个人。

三、JWT的优点

  1. 可扩展性:JWT的载荷部分可以自定义,可以根据具体需求添加额外的用户信息,实现灵活的身份验证和授权。
  2. 可靠性:JWT通过数字签名的方式保证了其完整性和真实性,可以有效防止令牌被篡改或伪造。
  3. 安全性:JWT的签名过程使用了加密算法,保证了令牌的安全性。同时,JWT的令牌是无状态的,即服务端不需要存储令牌信息,降低了安全风险。

四、JWT的应用场景

JWT在许多场景下都有广泛的应用,例如:

  1. 单点登录(SSO):JWT可以用于实现单点登录功能,用户只需登录一次即可访问多个应用,提高了用户体验。
  2. API认证:JWT可以作为API的身份验证和授权机制,保护API资源的安全。
  3. 分布式系统:在分布式系统中,JWT可以方便地实现跨服务之间的身份验证和授权。

五、 JWT安装

 在项目根目录中运行以下命令来安装Firebase的PHP JWT库:

composer require firebase/php-jwt

六、 JWT使用

<?php
 
require_once 'vendor/autoload.php'; // 引入composer的autoload文件
 
use Firebase\JWT\JWT;
 
// 要创建的JWT的密钥,保密
$key = "your_secret_key";
 
// 载体中的claims数据
$payload = [
    "iss" => "issuer",  // 签发者
    "iat" => time(),    // 签发时间
    "exp" => time() + 3600 // 过期时间
];
 
// 生成Token
$token = JWT::encode($payload, $key);
 
// 输出Token
echo "JWT: " . $token . "\n";
 
// 验证和解码Token
try {
    // 解码Token
    $decoded = JWT::decode($token, $key, array('HS256'));
    print_r($decoded);
} catch (Exception $e) {
    echo 'Invalid token: ' . $e->getMessage() . '\n';
}
 
?>

JWT原理及如何实际使用
孤寒者的博客
08-21 2111
JWT原理及如何实际使用
JWT使用
海里鱼的技术博客
09-14 1402
Json Web Token(JWT) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,JWT的声明一般被用来在身份提供者服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 什么场景使用JWTPermalink 在前后端分离情况下前端的每一次请求都会携带指定url地址参数, 从而很可能被不法分子根据指定的url来仿照前端直接请求后端,造成性能与数据的流失 , 只需更换一些参数
JWT令牌——详解(保姆式解析代码教学)
cnjdd的博客
03-24 2633
等号它是一个补位的符号。指的是jwt令牌,看似是一个随机的字符串,但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。运行测试方法,输出的结果就是生成的JWT令牌,,通过英文的点分割对三个部分进行分割,我们可以将生成的令牌复制一下,然后打开JWT的官网,将生成的令牌直接放在Encoded位置,此时就会自动的将令牌解析出来。指的是它能够以较小的体积包含所有的信息。简单来讲,jwt就是将原始的json数据格式进行了安全的封装,这样就可以直接基于jwt在通信双方安全的进行信息传输了。
【转载】JWT原理
t194978的博客
03-01 844
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名密码请求登录服务端收到请求,验证用户名密码验证成功后,服务端会签发一个token,再...
JWT使用详解
最新发布
技术人集结地
04-13 1250
JSON Web Token(JWT)是一种开放标准(RFC 7519),用于在网络应用之间安全地传输信息。JWTJSON 对象的形式封装数据,并通过数字签名保证数据的完整性不可篡改性。它广泛应用于身份验证、信息交换单点登录(SSO)等场景。
jwt的基本原理
looken1024的博客
03-13 654
对称加密(如HS256)适合单一服务,非对称加密(如RS256)适用于分布式系统。实际应用中需结合业务需求安全标准,合理设计令牌的声明及生命周期,以构建安全高效的身份验证体系。:敏感数据(如密码)不应放入Payload,需加密存储可考虑JWE(JSON Web Encryption)。(HMAC SHA-384):更长的哈希值,安全性增强。(HMAC SHA-512):最高安全性,适合敏感场景。(HMAC SHA-256):安全性高,计算速度快。:分布式系统(如微服务),需公钥分发验证的场景。
带你弄懂JWT原理
C18298182575的博客
08-19 368
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户服务器之间传递安全可靠的信息。 让我们来假想一下一个场景。在A用户关注了B用户的时候,系统发邮件给B用户,并且附有一个链接“点此关注A用户”。链接的地址可以是这样的 https://your.app.com/make-friend/?from_user=B&target_user=A 上面的URL主要通过URL来描述这个当然这样做有一个弊端,那就是要求用户B用户是一定要先登录的。可不可以简化这个流程,
jwt 原理
weixin_48334703的博客
10-05 2011
1.COOKIE使用优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
什么是JWT
Java小白的博客 致力分享每一天学到的知识
11-07 1796
JWTJSON Web Token)一种开放的标准规范(RFC 7519),用于在网络上安全传输验证信息,通常被用于登录验证。
API开发基于Python的JWT身份验证实现:详解JWT原理、编码及应用实践
04-07
文章解释了如何在Python中使用PyJWT库创建、验证解析JWT令牌,并通过Flask框架展示了完整的身份验证API示例。此外,还讨论了JWT相较于传统会话管理的优势,如无状态、可扩展性安全性,以及其局限性,如过期管理...
7、DRF实战总结:JWT认证原理使用,以及第三方库simplejwt详解源码
04-05
django第三方库...JWT的优点包括:简单、轻量、可扩展、跨语言跨平台使用。它也具有一定的安全性,因为JWT的签名只能由持有密钥的服务器生成验证,且在传输过程中被中间人篡改可能会被检测出来。
Django Rest Framework JWT 使用详解原理剖析
"本文主要讲解了Django Rest Framework中JWTJSON Web Token)的使用方法,包括JWT的基本概念、组成部分以及在Django REST框架下的...理解JWT的工作原理在Django中的使用方法对于构建安全的RESTful服务至关重要。
详解使用JWT实现单点登录(完全跨域方案)
10-16
JSON Web Token(JWT)是一种流行的轻量级身份验证授权机制,常用于实现单点登录(Single Sign-On, SSO)系统,特别是在完全跨域的场景下。...理解JWT的工作原理使用方式对于构建安全的分布式系统至关重要。
4、聊聊常见的加密与JWT
划水的小白白
09-28 3025
文章目录一、加密算法/编码二、JWT:2.1 概念:2.2 确认网站使用JWT:2.3 实际例子:2.4 结构(三部分):2.5 攻击思路:2.6 其他: 一、加密算法/编码 常见的: md5(大多数网站已经开始加盐) SHA-1、2、256等(与md5同属于哈希算法) AES(加密模式、填充、数据库、密码、偏移量),可选以上5种方法对内容进行加密,且输出可以选base64与hex(16进制)两种。 假设一串特殊的base64解码(密文中存在“
JWT 原理使用
weixin_44929475的博客
12-08 1483
JWTJSON Web Token)是一种基于 JSON 格式的轻量级、自包含的身份验证授权标准(RFC 7519)。它允许将用户信息其他必要数据在各方之间以一种安全的方式进行传输。:包含令牌的类型(即 JWT使用的签名算法(如 HMAC SHA256 或 RSA)。:包含声明(Claims)。声明是关于实体(通常是用户)其他数据的声明。它们可以被分为三类:注册的声明、公共的声明私有的声明。:用于验证消息在传输过程中未被篡改,并且,对于使用私钥签名的令牌,还可以验证发送者的身份。
node:<10>jwt 加密机制
aiwanchengxu的博客
04-20 1775
jwt加密是一种简单的加密,虽说是加密,但是建议大家不要将自己的密码放在jwt加密的行列,因为会导致泄露,jwt有加密就有解密,我们需要用到两个模块,express-jwt jsonwebtoken ; 先来了解一下到底jwt是什么,其实就是一种字符串,只是有Header.Payload.Signature三部分组成的,不过只有Payload存储的使我们的信息数据,其他两部分是jwt用来加密的机制,可以有效的防止别人破解; 接下来就是如何实现这个加密: 1、导入安装模块: npm i expres
jwt常见的加密算法
smarthome_man的博客
02-11 7894
JWT:是客户端服务器进行数据安全传输的一种标准 JWT的组成是由头,负载,签名组成 头:指定的签名的加密算法方式 负载:自定义信息内容 签名:头部Base64通过加密算法密钥生成的 作用:防止令牌信息被篡改 JWT令牌优点: 1、jwt基于json,非常方便解析 2、可以在令牌中自定义丰富的内容,易扩展; 3、通过非对称加密算法及数字签名技术。 常见的加密算法: 加密算法的种类: 1、可逆加密算法 加密后,密文可以解密得到原文 一般用于签名认证。私钥服务器保存, 用来加密, 公钥客户拿着用于对于令牌
JWT简单介绍与使用
weixin_51980047的博客
07-27 2294
JWT简单介绍与使用
使用jwt-decode 解析你的token
热门推荐
业余前端的职业经历
06-03 1万+
有的时候我们会把 用户的信息 加密到token 返回给前台 前台这块就需要 使用 解析工具将 加密的token 解析 然后拿到用户的信息了 这里使用 vue 来做例子 cnpm i jwt-decode -S 然后就是引入使用 并且 解析你的 token了 import jwt_decode from "jwt-decode"; const decode=jwt_decode(token); // 解析 然后可以将解析完的token 放到 你的vuex中 就可以了 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

m0_68949064

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值