JWT验证原理

最新推荐文章于 2025-06-24 14:05:36 发布
最新推荐文章于 2025-06-24 14:05:36 发布
阅读量5.1k 收藏 10
点赞数 4
分类专栏: JavaWeb

一、什么是JWT?

JSON Web Token(JWT),是一个开放安全的行业标准,用于多个系统之间传递安全可靠的信息.

JWT是什么样子的结构?

JSON Web Token说到底也是一个token字符串,它由三部分组成,头部、载荷与签名。 
如下图 红色的为Header,指定token类型与签名类型,紫色的为载荷(playload),存储用户id等关键信息,最后蓝色的为签名,保证整个信息的完整性,可靠性.

这里写图片描述

头部(Header) 
JWT的头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这可以被表示成一个JSON对象。

{
  "typ": "JWT",
  "alg": "HS256"
}
  •  

在这里,我们说明了这是一个JWT,并且我们所用的签名算法是HS256算法。

对它进行Base64编码,之后的字符串就成了JWT的Header(头部)。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

载荷(playload) 
在载荷(playload)中定义了以下属性

iss: 该JWT的签发者 
sub: 该JWT所面向的用户 
aud: 接收该JWT的一方 
exp(expires): 什么时候过期,这里是一个Unix时间戳 
iat(issued at): 在什么时候签发的

也可以用一个JSON对象来描述 
将上面的JSON对象进行[base64编码]可以得到下面的字符串。这个字符串我们将它称作JWT的Payload(载荷)。

eyJpc3MiOiIyOWZmMDE5OGJlOGM0YzNlYTZlZTA4YjE1MGRhNTU0NC1XRUIiLCJleHAiOjE1MjI0OTE5MTV9

签名(Signature) 
在官方文档中是如下描述的

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)
  • 即如下操作 

将上面的两个[base64编码]后的字符串都用句号.连接在一起(头部在前),就形成了如下字符串

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiIyOWZmMDE5OGJlOGM0YzNlYTZlZTA4YjE1MGRhNTU0NC1XRUIiLCJleHAiOjE1MjI0OTE5MTV9

最后,我们将上面拼接完的字符串用HS256算法进行加密。在加密的时候,我们还需要提供一个密钥(secret)。那么就可以得到我们加密后的内容 
P-k-vIzxElzyzFbzR4tUxAAET8xT9EP49b7hpcPazd0 
这个就是我们JWT的签名了

签名的目的 
最后一步签名的过程,实际上是对头部以及载荷内容进行签名。一般而言,加密算法对于不同的输入产生的输出总是不一样的。

所以,如果有人对头部以及载荷的内容解码之后进行修改,再进行编码的话,那么新的头部和载荷的签名和之前的签名就将是不一样的。而且,如果不知道服务器加密的时候用的密钥的话,得出来的签名也一定会是不一样的。

服务器应用在接受到JWT后,会首先对头部和载荷的内容用同一算法再次签名。那么服务器应用是怎么知道我们用的是哪一种算法呢?别忘了,我们在JWT的头部中已经用alg字段指明了我们的加密算法了。

如果服务器应用对头部和载荷再次以同样方法签名之后发现,自己计算出来的签名和接受到的签名不一样,那么就说明这个Token的内容被别人动过的,我们应该拒绝这个Token,返回一个HTTP 401 Unauthorized响应。

JWT是一个怎样的流程? 
先上个官方文档的图 
这里写图片描述
流程如下:

  1. 客户端使用账户密码请求登录接口
  2. 登录成功后服务器使用签名密钥生成JWT ,然后返回JWT给客户端
  3. 客户端再次向服务端请求其他接口时带上JWT
  4. 服务端接收到JWT后验证签名的有效性.对客户端做出相应的响应

为什么要使用JWT?

与Session的区别

session实际上是基于cookie来传输的,最重要的session信息是存储在服务器的,所以服务器每次可以通过cookie中的sessionId获取到当前会话的用户,对于单台服务器这样做没问题,但是对于多台就涉及到共享session的问题了,而且认证用户的增多,session会占用大量的服务器内存.

jwt是存储在客户端的,服务器不需要存储jwt,jwt里面有用户id,服务器拿到jwt验证后可以获得用户信息.也就实现了session的功能,但是相比session,jwt是无状态的,其不与任何机器绑定,只要签名秘钥足够的安全就能保证jwt的可靠性.

JWT方案中token的安全问题 
token被劫持

按照JWT的流程,jwt是存储在客户端的,服务器不需要存储jwt;客户端每次发送请求时携带token,然后到服务端验证token是否正确,是否过期,然后解码出携带的用户信息。根据以上流程 
如果token在传输过程被攻击者截取了,那么对方就可以伪造请求,利用窃取的Token模拟正常请求,实现用户的正常操作,而服务器端对此完全不知道,因为JWT机制是无状态的。 
我们要明白JWT解决的是认证与授权的问题,上述劫持或者类似的中间人攻击是JWT不可避免的,也是其他认证与授权方式不可避免的,想避免可以使用HTTPS

 

Node.js | 详解 JWT 登录验证 的工作原理
前端之行,任重道远!
11-28 3万+
之前我们对Cookie&Session的工作原理存储问题和CSRF问题。为了解决/避免这些问题,开发者们开始使用更加成熟的JWT来代替作为登录验证的首选技术方案,这一节我们就将详细讲解JWT登录验证的工作原理,快来围观吧!
JWT - 令牌认证(认证流程和原理Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 2万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWT验证
weixin_48530729的博客
12-13 3906
什么是JWT JWT用于分布式系统的单点登录SSO场景,主要用来做用户身份鉴别或者资源接口安全性的技术 身份鉴别 资源接口安全性检验,保护服务器资源不被泄露 1.认证流程 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载)、将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成
JWT认证原理
热门推荐
houmenghu的博客
08-11 3万+
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和明码会通过HTTP头传递。 在发送之前是以用户名追加一个冒号然后串接上口令,并将得出的结果字符串再用Base64算法编码。 例如 用户名是Aladdin、口令是open s...
JWT Token生成与验证的全面解析
最新发布
weixin_26854475的博客
06-24 878
JSON Web Token(JWT)是一种开放标准(RFC 7519),用于在各方之间以JSON对象的形式安全地传输信息。这些信息可以被验证和信任,因为它们是数字签名的。虽然不能用来加密数据,但可以确保数据的完整性和可信性。JWT通常用于身份验证和信息交换,特别是在Web应用中。JWT中的标准字段有着特定的作用和含义,比如“exp”表示令牌的过期时间,它帮助服务器确定令牌是否仍然有效。自定义字段则可以用来携带应用程序特定的信息,如用户权限级别等。
jwt认证原理
weixin_52596593的博客
10-12 1050
有时候我们可能需要自己定义用户表这时候再直接用dif-jwt快速方法就不行了,我们需要自己写token第一步再models中定义user表并数据迁移第二步在视图中自己写登陆接口try:# 获取username、password# 使用用户存在再使用djagnorestframework-jwt模块提供的签发token的函数,生成tokenreturn Response({'code':100,'msg':'登录成功','token':token})# 获取不到用户抛异常。
API开发基于Python的JWT身份验证实现:详解JWT原理、编码及应用实践
04-07
内容概要:本文详细介绍了JWT(JSON Web Token)的工作原理及其在Python中的实现方法。JWT作为一种开放标准,通过头部、负载和签名三部分确保信息的安全传输。文章解释了如何在Python中使用PyJWT库创建、验证和解析...
JWT验证原理,以及在项目中实现JWT验证登陆
klay的博客
07-22 2736
因为之前实现的网关项目中存在以下的逻辑: 租户需要在平台进行登陆 租户在登陆之后获取到token之后才能通过网关的验证中间件进入到转发代理逻辑中 不选择session的原因 在这种登陆场景下,我们可以使用session来处理,session的处理流程如下: 租户发起登陆请求,把用户名和密钥发送给转发代理服务器,服务器利用后台数据库中的数据进行验证 后台服务器验证成功之后,利用服务器自己设置的租户session前缀+用户名+登陆时间这几个参数生成一个session并把session设置为Set-Cook
jwt 原理
weixin_48334703的博客
10-05 2023
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
jwt
qq_43588771的博客
08-18 266
jwtJWT是什么实例后端前端 JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 JWT的精髓在于:“去中心化”,数据是保存在客户端的。 JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “2018-08-...
JWT认证标准原理 及在微服务系统中的设计及实现
Buynow_Zhao的博客
05-31 6523
引言 最近一直在思考微服务架构下的最佳授权方式,于是JWT便出现在了我的视野中,通过对其原理的学习及在项目中的实践我想这便是我想要的答案,本文将阐述JWT 背景原理,以及提及我在开发系统过程中通过API网关来进行JWT鉴权实现过程,下图展示了系统的架构及JWT认证所处位置;介绍 JWT (JSON Web Token) 是一套特别流行于分布式系统采用的授权标准 ,在采用加...
JWT原理
子冉冰清的博客
09-26 7602
JWT原理 jwt原理和使用 JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。 一、JWT原理: 参考文章:https://www.jianshu.com/p/180a870a308a 1、传统的登录方式: 浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每
JWT学习笔记_01:概念+为什么+认证流程+优缺点
耿鬼不会笑的博客
01-27 882
JWT学习笔记_上篇 本文基于B站UP主 【编程不良人】 视频教程 【 JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案】 进行整理记录,仅用于个人学习/交流使用 视频连接:https://www.bilibili.com/video/BV1i54y1m7cP 官方资料:http://www.baizhiedu.xin JWT学习笔记上篇: JWT学习笔记下篇: 目录标题JWT学习笔记_上篇一、什么是JWT二、JWT能做什么三、为什么使用JWT基于传统的Session认证基
JWT认证原理及使用
Jaylon Wang的专栏
02-20 1705
JWT认证原理及使用 一、JWT原理:   参考文章:https://www.jianshu.com/p/180a870a308a   1、传统的登录方式:     浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每次请求都会带上cookie,服务端根据c...
基于jwt的token验证原理及流程
程序员闪充宝
09-18 4113
来源:www.cnblogs.com/better-farther-world2099一、什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种...
jwt验证
05-08
### JWT 验证实现方案 JWT(JSON Web Token)是一种广泛使用的安全令牌标准,用于身份验证和信息传递。其验证过程的核心在于确保接收到的 JWT 是合法且未被篡改的。 #### 1. **JWT 验证原理** JWT 的结构分为三部分:Header、Payload 和 Signature。验证的主要步骤如下: - 对 Header 进行 Base64 URL 解码,获取签名所用的算法。 - 使用相同的逻辑重新计算 header 和 payload 的签名。 - 将新生成的签名与 JWT 中的第三部分进行对比。如果两者一致,则说明该 JWT 合法;否则视为非法或已被篡改[^1]。 接收方在生成签名时需使用与发送方一致的密钥,这是保证数据完整性和真实性的重要条件。 #### 2. **Node.js 环境下的 JWT 验证实现** 以下是基于 Node.js 的 JWT 验证代码示例: ```javascript const jwt = require('jsonwebtoken'); // 验证函数 function verifyToken(token, secretKey) { try { const decoded = jwt.verify(token, secretKey); console.log("Decoded Payload:", decoded); // 输出解码后的负载信息 return true; } catch (err) { console.error("Verification failed", err.message); return false; } } // 测试用例 const token = 'your-jwt-token'; // 替换为实际的 JWT const secretKey = 'your-secret-key'; // 替换为实际的密钥 verifyToken(token, secretKey); ``` 此代码通过 `jsonwebtoken` 库实现了 JWT 的解析与验证功能[^2]。 #### 3. **Java 环境下 JWT 验证及其常见错误解决** 对于 Java 开发者来说,可能需要引入额外的依赖来处理某些环境中的兼容性问题。例如,在 JDK 版本较高时可能会因缺少必要的库而无法生成或验证 JWT。此时可以通过添加以下 Maven 依赖解决问题[^3]: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> <dependency> <groupId>javax.xml.bind</groupId> <artifactId>jaxb-api</artifactId> <version>2.1</version> </dependency> ``` 这些依赖能够有效修复由于高版本 JDK 缺失 jaxb-api 导致的异常。 #### 4. **JWT 登录踢出机制的设计思路** 当应用程序需要限制同一账户仅能在单一设备上登录时,可采用以下策略之一: - 设置较短的有效期(如五分钟),并配合刷新令牌(Refresh Token)。这种方式无需存储大量会话状态即可达到目的。 - 结合 Session 和 JWT 使用,利用 Session 记录当前活跃用户的唯一标识符,并定期同步至分布式缓存服务中以便快速查找已登出用户的信息。 - 更加严格的控制方式是对 IP 地址或其他网络特征加以绑定,从而进一步增强安全性[^5]。 ### 总结 以上介绍了关于如何实现以及排查 JWT 验证过程中可能出现的一些典型问题的具体方法论。无论是选用哪种技术栈开发的应用程序都可以找到适合自己的解决方案。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值