深入了解JWT以及JWT的执行机制

最新推荐文章于 2022-06-23 16:45:35 发布
转载 最新推荐文章于 2022-06-23 16:45:35 发布 · 127 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/zxh1297/p/9356806.html
文章标签:

#javascript #php #json #ViewUI

本文详细介绍了JSON Web Token (JWT) 的工作原理和技术细节,包括JWT的构成、各部分的作用、如何生成和验证JWT,以及在实际应用中的注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.JWT以什么样的形式存在?

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

2.JWT的构成?

第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature).

3.JWT的头部header

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt
  • 声明加密的算法 通常直接使用 HMAC SHA256

如下列例子:然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.

{
  'typ': 'JWT',
  'alg': 'HS256'
}

4.base64编解码

echo 'abc' | base64  编码

echo 'sdfsd==' | base64  -D  解码

5.载荷(payload)就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分,将其进行base64位编码,然后形成第二部分。

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明
{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

6.签证(signature)由三部分组成,经过base64位编码后的(header,payload,secret加密方式)

 这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

// javascript
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

7.应用JWT

一般是在请求头里加入Authorization,并加上Bearer

fetch('api/user/1', {
  headers: {
    'Authorization': 'Bearer ' + token
  }
})

8.JWT验证流程

(1)浏览器端(客户端)post/user/login + username and password 浏览器在登录表单中输入用户名密码进行登录操作。

(2)服务器接收到了用户名密码后,利用secret加密方式生成一个JWT,

(3)将该JWT返回给浏览器browser

(4)浏览器接收到JWT之后,将JWT放在自己的请求头中,想服务器端请求数据

(5)服务器端检查JWT的签证,获取到JWT中的payload中的声明信息

(6)然后将请求的数据响应给浏览器

9.JWT的优点

  • 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。
  • 因为有了payload部分,所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。
  • 便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。
  • 它不需要在服务端保存会话信息, 所以它易于应用的扩展

10.JWT的注意事项

  • 不应该在jwt的payload部分存放敏感信息,因为该部分是客户端可解密的部分。
  • 保护好secret私钥,该私钥非常重要。
  • 如果可以,请使用https协议

 

转载于:https://www.cnblogs.com/zxh1297/p/9356806.html

19、深入理解 JWT 与 OAuth2 授权机制
neovim7hacker的博客
07-22 21
本文深入探讨了 JWT 和 OAuth2 授权机制的核心概念、工作原理以及实际应用场景。详细介绍了 JWT 的结构、编码方式和验证步骤,以及 OAuth2 中常用的授权类型,如授权码授权、授权码授权 + PKCE 和客户端凭证授权。同时,还提供了关于刷新令牌管理和安全最佳实践的指导建议,帮助开发者更好地构建安全、可靠的 API 系统。
jwt使用小结(1)--概念详解
fengcai0123的专栏
05-22 1056
一、JWT JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。 jwt由三部分组成: Header(头部) Payload(负载) Signature(签名) 1.Header 加粗样式部分是一个json对象,通常如下的样子,使用的时候需要 Base64URL 算法转成字符串。 { "alg": "HS256", "typ": "JWT" } alg属性表示签...
JWT机制
qq_44787933的博客
02-23 5018
JWT(基于token的鉴权机制) jwt(json web token),网络应用环境间传递声明而执行的一种json的开放标准。可以为用户创建身份凭证。 secret是保存在服务器端的,jwt的签发也是在服务器端的,secret是用来签发和认证的。 客户携带用户名和密码登录服务器,在服务端生成jwt和secret,返回给客户端存起来,下次访问时带上,后端对jwt解析,拿出secret和后端进行对比。 步骤: 1、用户使用用户名密码来请求服务器 2、服务器进行验证用户的信息 3、服务器通过验证后生成一个to
JWT认证机制
qq_58235808的博客
06-23 480
JWT的组成部分:header(头部)、payload(有效荷载)、signature(签名) payload:是真正的用户信息,用户信息经过加密后生成的字符串 header和signature是安全性相关的部分,只是为了保证token的安全性 JWT工作原理: 1.客户端浏览器提交账号和密码后 2.服务器就进行验证账号密码 验证通过后 将用户的信息对象,经过加密之后生成Token字符串,然后发送给客户端 3.客户端将Token字符串存储到localstorage或sessionstorage。
什么是JWT?(细致讲解)
Ethereal的博客
05-29 8万+
什么是JWT?传统的session、token认证、JWT登录鉴权
JWT handbook JWT手册
06-26
An introduction to the wonders of JSON Web Tokens and associated technologies.
JWT——概念、认证流程、结构、使用JWT、SpringBoot整合JWT
Guizy
08-12 5667
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
深入理解JWT后端认证机制与实践
本项目将深入探讨如何在后端实现基于JWT的认证系统,包括用户注册、登录、身份验证、授权以及密码哈希等关键概念。 ### JWTJSON Web Tokens) JWT是一种紧凑型的、自包含的方式,用于在双方之间以JSON对象的形式...
深入理解JWT
[深入理解JWT](https://thiscute.world/posts/jwt-algorithm-key-generation/jwt.webp) # 摘要 JSON Web Tokens(JWT)是一种广泛应用于Web开发的开放标准,用于在各方间安全地传输信息。本文首先介绍了JWT的基本...
基于ThinkphpJWT认证库JWT-AUTH设计源码
最新发布
09-26
基于ThinkphpJWT认证库...JWT-AUTH为Thinkphp框架提供了一个实用的认证解决方案,而理解和掌握它的设计源码,不仅需要具备Thinkphp框架的知识,还需要对JWT认证机制有深入的了解,并且具备处理安全认证的实践经验。
JWTJWT 实现用户登录控制
qq_34416331的博客
06-10 1002
目录 一、JWT 简介 二、JWT 的构成 2.1 头部(Header) 2.2 载荷 (Payload) 2.3 签名 2.4 最后生成出的 jwt 一、JWT 简介 JSON Web Token(JWT) 是一种十分轻巧的规范,这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。 即 JWT 是用于在客户端和服务器之间传递用户信息的一段 JSON 格式的加密字符串,同时 JWT 可以用于让各个微服务识别用户的身份信息。即 JWT 中封装有用户的身份信息。 二、..
Nodejs + Expressjs+ JWTJWT使用
HiterCoder
11-29 1万+
为什么要用研究JWT呢,一次关于用户token传递到讨论中,研发部的同事提到 SpringCloud 的zuul网关中引入 JWT,底层服务进行无状态处理,来实现我们之前关于token 传递的技术需求。 JWT(JSON Web Token),字面意思很好理解,就是Web的JSON令牌。一种通过Web可以安全传递JSON格式信息的机制。优势体量小,防串改,数据相对安全。可以用于客户端到服务器端重
JWTJWT原理解析及实际使用
qq_38658567的博客
08-06 1万+
一、JWT 1、JWT介绍 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用户登录。在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保存一个session,服务端会返回给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId。
认识JWT
weixin_34244102的博客
07-07 604
1. JSON Web Token是什么 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2. 什么时候你应该用JSON Web Tokens 下列场景中使用JSON Web Token是很有用的: Authorization (...
JWTJson Web Token)
大白能的博客
04-11 1153
什么是JWTJson网络令牌) JWTJSON 网络令牌)是一个开源的标准(RFC 7519)。这个标准定义了一个简洁并且自包含的方法,以便在系统各个部分之间安全地传送JSON对象格式的信息。因为通过JWT传递的信息是被数字签名过的,所以是可以被证实和信任的。我们可以使用单一密钥来加密 JWT 的签名,比如 HMAC 算法;也可以使用 RSA 的公私密钥对来加密 JWT 的签名。 让我们更...
JWT令牌 JWT概述和简单使用
guohao_Kwok的博客
04-24 7411
面试:你懂什么是分布式系统吗?Redis分布式锁都不会?>>> ...
国服最强JWT生成Token做登录校验讲解,看完保证你学会!
热门推荐
u011277123的博客
12-28 12万+
Free码农 2017-12-28 00:08:02 JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值