JWT学习

最新推荐文章于 2025-12-05 17:27:06 发布
原创 最新推荐文章于 2025-12-05 17:27:06 发布 · 873 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #java

JWT 的定义

JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用间安全地传递声明的紧凑且自包含的方式。它以 JSON 对象的形式传输信息,并通过数字签名或加密确保数据的完整性和可信性。

JWT 的结构

JWT 由三部分组成,用点号(.)分隔:

  • Header:包含令牌类型(如 JWT)和签名算法(如 HMAC SHA256 或 RSA)。 
    {
  "alg": "HS256",
  "typ": "JWT"
}

    Header是JWT的第一个部分,是一个JSON对象,主要声明了JWT的签名算法,如"HS256”、"RS256"等,以及其他可选参数,如"kid"、"jku"、"x5u"等

    alg字段通常用于表示加密采用的算法。如"HS256""RS256"

    typ字段通常用于表示类型

    还有一些其他可选参数,如"kid""jku""x5u"

  • Payload:存储声明(claims),包括用户身份、权限和其他元数据。声明分为三类:
    • Registered claims:预定义字段(如 iss 签发者、exp 过期时间)。
    • Public claims:自定义公开字段。
    • Private claims:双方约定的私有字段。
    {
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

    Payload是JWT的第二个部分,这是一个JSON对象,主要承载了各种声明并传递明文数据,用于存储用户的信息,如id、用户名、角色、令牌生成时间和其他自定义声明。

    iss:该字段表示jwt的签发者。

    sub:该jwt面向的用户。

    aud:jwt的接收方。

    exp:jwt的过期时间,通常来说是一个时间戳。

    iat:jwt的签发时间,常来说是一个时间戳。

    jti:此jwt的唯一标识。通常用于解决请求中的重放攻击。该字段在大多数地方没有被提及或使用。因为使用此字段就意味着必须要在服务器维护一张jti表, 当客户端携带jwt访问的时候需要在jti表中查找这个唯一标识是否被使用过。使用这种方式防止重放攻击似乎让jwt有点怪怪的感觉, 毕竟jwt所宣称的优点就是无状态访问

  • Signature:对前两部分 Base64 编码后的字符串进行签名,防止篡改。 
    HMACSHA256(
  base64UrlEncode(header) + "." + base64UrlEncode(payload),
  secret_key
)

    Signature是对HeaderPayload进行签名,具体是用什么加密方式写在Header的alg 中。同时拥有该部分的JWT被称为JWS,也就是签了名的JWT。

    HeaderPayload进行签名,具体是用什么加密方式写在Header的alg中。

    同时拥有该部分的JWT被称为JWS,也就是签了名的JWT。

    第一部分:对 JSON 的头部做 base64 编码处理得到

    第二部分:对 JSON 类型的 payload 做 base64 编码处理得到

    第三部分:分别对头部和载荷做base64编码,并使用.拼接起来

    使用头部声明的加密方式,对base64编码前两部分合并的结果加盐加密处理,作为JWT

    在线解析:https://jwt.io/

    BURP插件:Hae 或 JSON Web Tokens

靶场测试

1.None无签名认证

进入靶场显示

尝试抓包获取信息

转发发现admin

将JWT放到官网解析

重新编码,将user改为admin

重发得到flag

2.None算法绕过签名

重复上述操作,无回显,将算法修改为none

重复得到flag

3.弱口令密钥获取

抓包显示JWT为三部分,存在签名

使用JWT_tool破解密码为123456

在官网将 user 改为admin后重新发包获得flag

K丶0x01
关注
Burp靶场JWT学习笔记1
Tonight_Fantasy的博客
04-24 1498
从其名字就可以看出来,它具有表示身份的作用,其本质是将用户信息储存到一串json字符串中再将其编码得到一串tokenJWT由三部分组成,分别是例如:#一大堆加密后的信息(签名)
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
jwt学习
2301_79469341的博客
05-12 370
secret_key是保存在服务端的,jwt的签发也发生在服务端,secret_key就是用来进行jwt的签发和验证。如果可以将alg字段设成None,那么jwt的第三部分会被置空,这样任何token都是有效的,即造成任意用户访问。客户端接收服务器端返回的jwt,并存储在cookie或localStorage中,接下来的交互都会带有jwt。存放数据有效信息的地方,包含三部分:标准中注册的声明、公共的声明、私有的声明。● exp: jwt的过期时间,这个过期时间必须要大于签发时间。
JWT学习
qq_54655539的博客
03-09 665
JWT,全称JSON WEB TOKEN,是一种JSON格式的Web应用令牌,它是基于令牌去做认证。什么是令牌,举个例子,古代调兵用的虎符,这就相当于是令牌,有了虎符,才能调兵。而令牌也是,有了令牌,才能访问后端接口。以下是官网介绍大致就是JWT能够通过HMAC算法(默认算法),或者通过RSA、ECDSA算法生成数字签名(Signature)。
ctfshow jwt学习
hcja666的博客
05-02 1248
JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。此信息可以被验证和信任,因为它是数字签名的。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。Header报头Payload有效载荷Signature签名因此,JWT通常看起来如下所示。Header报头Payload有效载荷iss:发行人exp:到期时间sub:主题aud:用户。
Burp靶场JWT学习笔记2
Tonight_Fantasy的博客
04-28 969
记录burp靶场portswigger的JWT学习笔记
JWT学习流程及使用
m0_62356399的博客
07-19 863
然而,Session 是在服务器端的,而 JWT 是在客户端的。因为 JWT 可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。单点登录是现在广泛使用的 JWT 的一个特性,因为它的开销很小,而且可以轻松地跨域使用。JWT 一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。JWT,即 JSON Web Token,定义了一种紧凑的、自包含的方式,用于在网络应用环境间以 JSON 对象安全地传输信息。
JWT学习总结
2303_80236475的博客
06-30 1168
注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,**在任何场景都不应该流露出去。无法修改已生成的token,其exp无法更新,但可以通过token的刷新机制,但短期 Token(如 15 分钟)配合刷新 Token(Refresh Token)的机制,可兼顾安全性和用户体验,且无需服务器存储全量认证数据。:向服务器证明客户端的身份(如 “我是已登录的用户 XXX”),仅在需要身份验证的请求中使用。
【后端】JWT学习笔记
qq_26127905的博客
05-06 797
参考资料1参考资料2通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。
jwt学习Spring-security
01-18
jwt学习Spring-security Spring Security 是一个广泛使用的 Java 认证和授权框架,用于保护基于 Java 的 web 应用程序。它提供了一个灵活的安全机制来保护 web 应用程序免受未经授权的访问。Spring Security 提供...
JWT学习资料.zip
11-18
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一...通过深入学习和实践,你可以掌握使用JWT和Spring Boot构建安全、可扩展的微服务系统的技能。
JWT学习1
08-08
JSON Web Token(JWT)是一种广泛使用的身份验证和信息交换的标准,尤其在Web应用程序中。JWT允许客户端和服务器之间安全地传递信息,而无需在每个请求中携带完整的认证信息。JWT的结构由三个部分组成:头部(Header...
冬季安全用电监测案例
Jima_的博客
12-03 638
本文介绍了一套针对工厂宿舍用电安全的智能监测系统。系统通过安装DAM-E3501NT采集模块,实时监测各宿舍的用电参数和环境温度,并通过以太网将数据传输至主控室。系统具备高精度测量(0.2%)、过载预警、阈值自动告警等功能,当检测到异常用电(如持续1小时功率>3kW)时可自动报警。该系统采用"感知-分析-预警-控制"的闭环架构,实现从被动防范到主动监测的转变,适用于工厂、教育机构等多种场所的用电安全管理。
视频直播点播平台EasyDSS构建安全高效的医疗培训直播新体系
音视频流媒体技术
12-02 335
医疗培训的数字化转型不是简单的技术应用,而是医疗教育模式的深刻变革。
凌科芯安LKT6850安全MCU的技术特性与多领域应用
这里是数字化与人工智能的 “实验场” 与 “瞭望台”
12-02 784
凌科芯安LKT6850是一款基于ARM Cortex-M0内核的高安全性MCU,集硬件级加密、低功耗与丰富外设于一体。其核心优势包括:三层安全防护机制(硬件加密引擎、物理攻击防护、运行监控)、48MHz主频处理器、64KB加密存储及多通信接口。在智能家居、工业物联网和金融终端领域表现突出,如智能门锁的防破解设计、工业传感器的加密数据传输及POS机的合规交易保护。开发支持Keil/IAR工具链,提供完整驱动库,显著降低硬件成本20%-30%,满足国密算法要求,缩短开发周期至1-2个月,是中小规模安全控制场景的
智能巡检系统:智能化管理的安全守护者
Guheyunyi的博客
12-03 478
传统的巡检工作主要依赖人工完成,这种方式存在着多重挑战:首先,人工巡检的效率有限,难以实现全天候、全方位的覆盖;最重要的是,在一些危险作业环境中,巡检人员的人身安全难以得到充分保障。智能巡检系统代表着安全管理的发展方向。在工业园区,系统能够对生产设备进行全方位监控,及时发现异常状况,确保生产安全。在数字化转型的浪潮中,智能巡检系统正成为越来越多企业的优先选择,帮助他们在激烈的市场竞争中赢得先机。传统的巡检方式虽然在一定程度上保障了运营安全,但随着企业规模的扩大和设备复杂度的提升,其局限性也日益凸显。
IPPBX技术深度解析:3CX 路由电话机——安全远程办公架构的战略性选择
最新发布
电话交换机IPPBX软件3CX是一个完整的通信平台,为客户提供简单、灵活且经济实惠的通话、视频和在线聊天解决方案。
12-05 677
随着混合办公模式的普及,企业通信系统往往需要将终端分机部署在多个分散的远程位置(如员工居家办公或小型分支机构)。在没有硬件 SBC (Session Border Controller) 的情况下,让分散的 IP 话机安全、稳定地穿透 NAT(网络地址转换)防火墙,并连接到云端的 3CX PBX 服务器,一直是一个复杂的运维挑战。3CX 路由电话机功能正是为此设计,它提供了一种软件层面的安全网关方案,改变了传统点对点的连接模式。
5.14、AI安全运维体系:构建企业级的“安全超脑”
骥龙信息的博客
12-02 618
未来的企业安全体系将呈现三个趋势: 1. AI 驱动,而非规则驱动 2. 自动化处理,而非人工疲于响应 3. 预测性防御,而非事后补救 AI 不是为了取代安全人员,而是让安全团队具备“超能力”。
JWT学习教程与实战代码大全
在标题中提到的“JWT学习资料.zip”表明我们即将学习的是关于JWT技术的综合资料,这些资料将通过ZIP文件的形式进行压缩分发。从描述中我们可以得知,该压缩文件包含JWT的相关教程和实战代码。这意味着学习者除了理论...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值