JSON Web Tokens的实现原理

最新推荐文章于 2025-04-14 01:12:44 发布
最新推荐文章于 2025-04-14 01:12:44 发布
阅读量1w 收藏 12
点赞数 2
分类专栏: 编程随手小记 文章标签: python java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weiker12/article/details/68950279
版权

前言

最近在做一个python项目的改造,将python项目重构为java项目,过程中遇到了这个知识点,觉得这个蛮实用的,所以下班后回来趁热打铁写下这篇总结,希望后面的人能够有所借鉴,少走弯路。

一、优势简介

JSON Web Tokens简称jwt,是rest接口的一种安全策略。本身有很多的优势:

  1. 解决跨域问题:这种基于Token的访问策略可以克服cookies的跨域问题。
  2. 服务端无状态可以横向扩展,Token可完成认证,无需存储Session。
  3. 系统解耦,Token携带所有的用户信息,无需绑定一个特定的认证方案,只需要知道加密的方法和密钥就可以进行加密解密,有利于解耦。
  4. 防止跨站点脚本攻击,没有cookie技术,无需考虑跨站请求的安全问题。

二、原理简介

JSON Web Tokens的格式组成,jwt是一段被base64编码过的字符序列,用点号分隔,一共由三部分组成,头部header,消息体playload和签名sign。

1.jwt的头部Header是json格式:
{
    "typ":"JWT",
    "alg":"HS256",
    "exp":1491066992916
}

其中typ是type的简写,代表该类型是JWT类型,加密方式声明是HS256,exp代表当前时间.

2.jwt的消息体Playload
{
    "userid":"123456",
    "iss":"companyName"
}

消息体的具体字段可根据业务需要自行定义和添加,只需在解密的时候注意拿字段的key值获取value。

3.签名sign的生成

最后是签名,签名的生成是把header和playload分别使用base64url编码,接着用’.‘把两个编码后的字符串连接起来,再把这拼接起来的字符串配合密钥进行HMAC SHA-256算法加密,最后再次base64编码下,这就拿到了签名sign. 最后把header和playload和sign用’.‘ 连接起来就生成了整个JWT。

三、校验简介

整个jwt的结构是由header.playload.sign连接组成,只有sign是用密钥加密的,而所有的信息都在header和playload中可以直接获取,sign的作用只是校验header和playload的信息是否被篡改过,所以jwt不能保护数据,但以上的特性可以很好的应用在权限认证上。

1.加密

比如要加密验证的是userid字段,首先按前面的格式组装json消息头header和消息体playload,按header.playload组成字符串,再根据密钥和HS256加密header.playload得到sign签名,最后得到jwtToken为header.playload.sign,在http请

最低0.47元/天 解锁文章
python项目java重构各种问题
IT过客的博客
07-31 983
最近在搞python项目用java重构,出现了各种问题,记录如下: 1 post请求失败,报csrf错误 错误日志: Java代码 018-07-30 10:46:51.568 ERROR 24753 — [nio-7001-exec-2] ssDeniedHandlerLoggingMethodBeforeAdvice : To access request URI [/warehouseIte...
jwt 原理
weixin_48334703的博客
10-05 2010
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
JWT (JSON Web Token) 详解
最新发布
yk_dflkg的博客
04-14 729
JWT (JSON Web Token) 详解 1. JWT简介 1.1 什么是JWT? 1.2 JWT的特点 1.3 JWT的应用场景 2. JWT的结构 2.1 头部(Header) 2.2 有效载荷(Payload) 2.3 签名(Signature) 3. JWT的工作原理 3.1 认证流程 3.2 为什么使用JWT? 3.3 JWT实现示例 4. JWT安全最佳实践 4.1 保护JWT安全的关键措施 4.2 实施最佳实践 4.3 调试和问题排查 5. JWT在Spring Boot中的实现 5.1
JWT(JSON Web Token)原理简介
热门推荐
xunileida的专栏
10-07 4万+
原文:http://www.fengchang.cc/post/114 参考了一下这篇文章:https://medium.com/vandium-software/5-easy-steps-to-understanding-json-web-tokens-jwt-1164c0adfcec 原理说的非常清楚。总结如下: 首先这个先说这个东西是什么,干什么用的,一句话说:就是这是一种认证机...
JWTJSON Web Token)的基本原理
2401_84153285的博客
05-13 1289
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
JWT实现原理
wangyangzxc123的博客
10-11 115
注释: JWT是目前最流行的跨域认证方案 工作原理: 登录请求 验证.通过以后加密生成Token还给客户端 客户端存储在本地 客户端发起请求的时候.通过请求头把TOken发给服务器 服务器还原加密token认证成功以后把客户端个人的页面内容响应给客户端 ...
JSON Web Tokens (JWT): 实现高效的身份验证机制
weixin_66153022的博客
07-29 418
JWT是一种开放标准(RFC 7519),用于在各方之间以安全的方式传输信息。JWT是一个自包含的令牌,其中包含了用户身份信息和其他自定义声明,被编码成一个紧凑的URL安全字符串。JWT的设计目的是用于身份验证和信息交换,它允许信息在不受信任的环境中以安全的方式传递。
如何在Flask应用程序中使用JSON Web Tokens进行安全认证
晓风晓浪
04-22 859
JSON Web Tokens,简称JWTs,是一种用于在客户端和服务器之间安全传输信息的认证机制,使用JSON格式。这些信息可以被验证和信任,因为它使用HMAC算法或使用RSA或ECDSA的公钥/私钥对进行数字签名。**Header:**这定义了令牌的类型(JWT)和使用的签名算法。**Payload:**这承载着用户特定的数据,如用户ID、用户名、角色和您想要包含的任何其他声明。此有效载荷被Base64编码以获得最大的安全性。
JWT实现原理
weixin_45640168的博客
10-16 1571
JWT实现原理一、传统的session流程二、JWT简介以及实现原理三、 一、传统的session流程  1.浏览器发起请求登陆  2.服务端验证身份,生成身份验证信息,存储在服务端,并且告诉浏览器写入 Cookie  3.浏览器发起请求获取用户资料,此时 Cookie 内容也跟随这发送到服务器  4.服务器发现 Cookie 中有身份信息,验明正身  5.服务器返回该用户的用户资料 二、JWT简介以及实现原理 1. 定义  JWT,全称为Json Web Token,是风格轻量级的授权和身份认证规范,可实
jsonwebtoken原理
qq_21522331的博客
10-31 273
阮一峰
Node.JS如何实现JWT原理
12-16
1.为什么需要会话管理 我们用nodejs为前端或者其他服务提供resful接口时,http协议他是一个无状态的协议,有时候我们需要根据这个请求的上下获取具体的用户是否有权限,针对用户的上下文进行操作。所以出现了cookies session还有jwt这几种技术的出现, 都是对HTTP协议的一个补充。使得我们可以用HTTP协议+状态管理构建一个的面向用户的WEB应用。 2.session和cookies session和cookies是有联系的,session就是服务端在客户端cookies种下的session_id, 服务端保存session_id所对应的当前用户所有的状态信息。每次客户端请
Json web token (JWT)原理
Song_Of_Sea海歌同学的博客
08-16 2162
JWT01、什么是JWT:02、JWT作用:02-1、3个特性02-2、多点登陆03、JWT实现原理03-1、jwt令牌(token值)其实就是一个字符串03-2、三段组成03-2.1 第一段字符串,称之为**头信息(header)**03-2.2 第二段字符串,称之为**载荷(payload)**03-2.3 第三段字符串,称之为**签名(signature)**04、结语: 01、什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准
json web token原理和使用
饶一熊的博客
03-19 327
jwt原理和使用 JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。 1.jwt认证流程 在项目开发中,一般回按照上图所示的过程进行认证,即:用户登陆成功之后,服务端给用户浏览器返回一个token,以后用户浏览器要携带token再去向服务端发送请求,服务端校验token的合法性,合法...
python重构解释器_Python 之父考虑重构 Python 解释器​​​​​​​
weixin_39519769的博客
02-21 96
7 月 22 日,Python 之父 Guido 在 Medium 上发表了他的第一篇博文《PEG Parser》。在该文中,Guido 说他正在考虑使用 PEG Parser 代替现有的类 LL(1) Parser(名为pgen),来重构 Python 解释器。原因是现在的 pgen 限制了 Python 语法的自由度,使得一些语法难以实现,也让当前的语法树不够整洁,一定程度上影响了语法树的表意...
一篇文章告诉你JWT实现原理
xmt1139057136的专栏
04-02 1902
编辑:业余草来源:https://www.xttblog.com/?p=4940写篇文章不容易,昨天晚上深夜写完忘记保存了。联想一下那个画面,真的是泪目啊!哎,过去的就让他过去吧,今天...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值