JWT一篇通

JWT 是什么?

JWT(JSON Web Token)是一种开放的标准,标准的编号是RFC7591。用于在不同实体之间安全地传输信息。它是基于 JSON 编码的令牌。

JWT 的组成

JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature)。

  1. 头部(Header)包含了令牌的类型(typ)和所使用的签名算法(alg),通常使用 Base64 编码表示。示例如下:
plaintext 复制代码
{
  "alg": "HS256",
  "typ": "JWT"
}
  1. 载荷(Payload)是令牌的主要信息存储部分,包含了各种声明(claims),用于表示关于实体(用户、设备或其他主体)和其他补充数据的信息。载荷可以包含标准声明(例如:iss,sub,exp,nbf,iat,aud 等),也可以包含自定义声明。载荷同样会被进行 Base64 编码表示,并传输在令牌中。示例如下:
plaintext 复制代码
{
  "sub": "myapp",
  "name": "oscar",
  "role": "admin"
}
  1. 签名(Signature)是使用密钥对头部和载荷进行签名的哈希值,以确保令牌不会被篡改。签名通常使用头部中指定的算法(例如:HMAC、RSA 等)和密钥来生成,并以字符串形式附加在令牌的末尾。签名验证可以用于验证令牌的完整性和真实性。

以Java语言产生JWT的过程来看,步骤如下:

  1. 产生头部的Base64编码串

    String header = "{"alg":"HS256","typ":"JWT"}";
    String encodedHeader = Base64.getEncoder().encodeToString(header.getBytes());

  2. 产生载体的Base64编码串

     	String payload = "{\"sub\":\"myapp\",\"name\":\"oscar\"}";
     	String encodedPayload = Base64.getEncoder().encodeToString(payload.getBytes());
    
  3. 使用点号. 连接头部和载体之后, 再使用签名算法进行签名, 将签名后的内容附加在整个字符串的后面

     	Key secretKey = Keys.secretKeyFor(SignatureAlgorithm.HS256);
     	String concatenated = encodedHeader + '.' + encodedPayload;
    
     	Mac sha256_HMAC = Mac.getInstance("HmacSHA256");
     	sha256_HMAC.init(secretKey);
     	byte[] signature = sha256_HMAC.doFinal(concatenated.getBytes("utf-8"));
     	String compact = concatenated + '.' + Base64.getEncoder().encodeToString(signature);
    

产生后得到的完整字符串如下:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJteWFwcCIsIm5hbWUiOiJvc2NhciJ9.5z6NoiF7MR999wOPn2NU6HnyPODx66qm5yRT+n8pNHs=

通过 https://base64.us/ 解码之后获取的内容如下图:

从上面可以看出, JWT的令牌就是一串字符串。

JWT 的作用

JWT 适用于在网络请求中传输身份验证和授权信息,常用于构建无状态(stateless)的身份验证和访问控制机制。客户端在接收到令牌后,可以通过对令牌进行解码和验证来验证其有效性,并使用其中的信息进行授权和身份验证。

总结起来,JWT 是一种使用 JSON 编码的安全令牌,由头部、载荷和签名部分组成,可用于在实体之间传递信息和验证身份。它提供了一种简单、可扩展和自包含的机制,用于处理身份验证和授权 相关的任务。

JWT也经常用于单点登录, 就是用户登录A系统之后,产生一个令牌, 之后访问其他系统都带上这个 Token,进而可以访问B,C,D等系统。

JWT优缺点

  1. 基于JSON,方便解析
  2. 可以在令牌中定义丰富的内容,易于扩展
  3. 通过非对称加密和数字签名,防篡改,安全性高
  4. 资源服务使用JWT就可以完成授权,不需要依赖授权服务器

缺点:

  • JWT令牌较长, 占用较多的存储空间。

JWT的加密解密

JWT 的加密和解密通常涉及到以下三个步骤:

  1. 创建 JWT:

    创建 JWT 需要准备三个部分:头部(Header)、载荷(Payload)和签名(Signature)。在创建 JWT 时,首先将头部和载荷进行 Base64 编码,并将这两个编码后的字符串用点号连接起来形成 JWT 的第一部分。接着,使用密钥和指定的签名算法对前面的字符串进行签名,生成签名字符串,并与前面的字符串用点号连接起来形成 JWT 的最终形式。

  2. 验证 JWT:

    验证 JWT 的过程通常包括以下几个步骤:首先,对 JWT 中的头部和载荷部分进行Base64解码,提取其所包含的信息。接下来,用与创建 JWT 相同的算法和密钥,对头部和载荷部分计算签名。最后,将计算得出的签名字符串与 JWT 中的签名部分进行比较。如果两者相等,则表明 JWT 未被篡改过,可以被信任。

  3. 解码 JWT:

    如果需要查看 JWT 中包含的数据,可以对 JWT 的第一部分进行 Base64 解码,以得到头部和载荷的信息。解码后的结果通常为 JSON 格式的字符串,可以通过相应的 JSON 解析库将其转换为对象。

需要注意的是,JWT 中的头部和载荷信息并没有加密,只进行了 Base64 编码。因此,这些信息可以被轻易地获取。为了保护数据的机密性,通常会使用加密算法加密载荷部分,即将其转换为 JWE(JSON Web Encryption)格式。JWE 提供了一种标准化的加密方式,以保护 JWT 中的敏感信息。加密 JWE 包括头部、密钥和加密后的密文等部分,需要使用相应的算法和密钥来进行解密。

总的来说,JWT 的加密和解密通常包括创建 JWT、验证 JWT 和解码 JWT 等步骤。其中,验证 JWT 可以用于验证 JWT 是否被篡改过,以保证 JWT 的完整性和可信度。而将载荷部分加密则可以保护 JWT 中的敏感信息,提高 JWT 的机密性。



相关推荐
kali-Myon6 天前
ctfshow-web入门-JWT(web345-web350)
前端·学习·算法·web安全·node.js·web·jwt
NiNg_1_23413 天前
Spring Boot 集成JWT实现Token验证详解
spring boot·后端·jwt·token
春天的菠菜16 天前
【django】Django REST Framework (DRF) 项目中实现 JWT
后端·python·django·jwt
我叫于豆豆吖16 天前
了解云计算工作负载保护的重要性及必要性
负载··保护
景天科技苑20 天前
【Golang】Gin框架中如何使用JWT来实现登录认证
开发语言·golang·gin·jwt·登录认证·go jwt
nameofworld1 个月前
前端面试题-token的登录流程、JWT
前端·面试·jwt·token·1024程序员节
Z3r4y2 个月前
【JWT安全】portswigger JWT labs 全解
web安全·网络安全·jwt·jwt安全·portswigger
Lsland..2 个月前
JWT令牌技术介绍及使用
springboot·jwt
我叫于豆豆吖2 个月前
了解云计算工作负载保护的重要性,确保数据和应用程序安全
负载··保护
stark张宇2 个月前
lnmp - 登录技术方案设计与实现
php·jwt