什么是JWT

JWT是什么

JWT全称(Json web token),JWT是一种标准,用于以JSON对象的形式在各方之间安全的传输信息。

JWT的组成部分

  • Header
  • Payload
  • Signature

JWT通常看起来像这样:
xxxxx.yyyyy.zzzzz

接下来让我们对其三个组成部分进行拆分讲解。

header由两部分组成,第一部分是token的类型(JWT),第二部分是加密算法的名称(如SHA256、RSA和HMAC)。

例如:

json 复制代码
{
  "alg": "HS256",
  "typ": "JWT"
}

这段JSON将被使用Base64Url编码,然后作为JWT的一部分。

999999999999999999999999999999999999999999999999999999999999

Payload

JWT token的第二部分是包含了声明的负载。声明是陈述某个实体(通常式用户),及其附加数据的陈述99。声明的类型由三种:注册声明、公共声明和私有声明:

  • 注册声明(registered claims):这是一组预定义的声明,虽然不是强制性的,但建议使用,以提供一组有用且可互操作的声明。其中一些声明包括:iss(签发者)、exp(过期时间)、sub(主题)、aud(受众)等。

  • 公共声明(public claims):这些声明可以根据使用 JWT 的需求自由定义。为了避免冲突,它们应该在 IANA JSON Web Token 注册表中定义,或者作为一个包含防冲突命名空间的 URI 来定义。

  • 私有声明(private claims):这是为了在同意使用它们的各方之间共享信息而创建的自定义声明,既不是注册声明也不是公共声明

注意,声明名称长度仅为三个字符,因为 JWT 设计为紧凑型格式。

示例:

json 复制代码
{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

第二部分同样需要进行Base64Url编码。JWT是防篡改的,但是任何人都可以读取。除非加密,否则不要将机密信息放入JWT的有效负载或者标题元素中。

Signature

创建签名部分,需要取编码后的头部,编码后的负载,一个密钥以及头部中指定的算法进行签名。

例如:如果要使用 HMAC SHA256 算法,签名将按照以下方式创建:

复制代码
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)lo

签名用于验证消息在传输过程中未被篡改,并且,在使用私钥签名的情况下,还可以验证 JWT 发送者的身份是否如其所声称的一样。

综合

jwt最终是以三个点分隔的Base64-URL字符串。l

相关推荐
好家伙VCC6 分钟前
**发散创新:探索群体智能编程中的新境界**随着科技的飞速发展,群体智能逐渐成为编程领域的一大研究热点。本文将深入探讨群体智能的概念、优
java·python·科技
你的电影很有趣25 分钟前
lesson72:Node.js 安全实战:Crypto-Js 4.2.0 与 Express 加密体系构建指南
javascript·安全·node.js
TwoAnts&DingJoy40 分钟前
数据分析-泊松分布
python·机器学习·数据挖掘·数据分析·统计学·泊松分布
Lxinccode1 小时前
python(48) : 命名截图[Windows工具(3)]
开发语言·python·截图·快速截图
Giser探索家1 小时前
遥感卫星升轨 / 降轨技术解析:对图像光照、对比度的影响及工程化应用
大数据·人工智能·算法·安全·计算机视觉·分类
bestcxx1 小时前
0.2、AI Agent 开发中 ReAct 和 MAS 的概念
人工智能·python·dify·ai agent
全栈工程师修炼日记1 小时前
ARMv8系统的安全性(二):TrustZone架构如何重塑移动设备安全生态
安全
fsnine2 小时前
Python Web框架对比与模型部署
开发语言·前端·python
嗨丶王哪跑2 小时前
网络安全主动防御技术与应用
运维·网络·安全·web安全