学习ASP.NET Core的身份认证(基于JwtBearer的身份认证2)

根据参考文献8中的介绍,JWT Token主要分为3个部分:
  1)标题(Header):主要记录令牌类型、签名算法(加密算法)类型,格式为Json字符串,然后使用Base64编码字符串;
  2)有效负载(Payload):包括账号、姓名、颁发者等信息的声明集合,格式为Json字符串,然后使用Base64编码字符串。该部分为Token的关键内容,从中可以获取所用用户账号信息,但由于仅用Base64处理,没有什么安全性可言,最好不要在其中放置密码等敏感数据。参考文档8中将声明信息分为3类:已注册声明(参考文献10)、公共声明(参考文献9)、自定义声明(约定好的、在各个系统之间传递的数据);
  3)签名(Signature):该部分内容的产生方式是用标题中指定的加密算法,使用密钥对标题和有效负载加密或签名(如下图所示)。签名部分的数据起到防篡改的作用,只要密钥未泄露,接收JWT Token的一方根据标题和有效负载,使用相同的算法及密钥应该也能生成相同的签名(非对称算法应该是完成验签),只要和Token中的签名一致即表明Token未被篡改,是可信的。

  分析参考文献1-7,生成JWT Token主要使用Claim、SigningCredentials、JwtSecurityToken和JwtSecurityTokenHandler类:
  1)Claim:与之前基于Cookie、Session认证中的声明类一样,保存各类用户信息,Token中有效负载部分的主体内容即为Claim对象实例;
  2)SigningCredentials:加密类,该类的构造函数可以接收密钥及加密算法类型,以支持签名/验签操作;
  3)JwtSecurityToken:该类为Token的结构化数据类,如下图所示,通过该类可以设置Token中的有效负载、加密方式、过期时间等数据;

  4)JwtSecurityTokenHandler:该类的WriteToken函数基于JwtSecurityToken实例生成Token字符串。
  上一篇文章中的测试程序使用参考文献4的代码创建Token,将Token字符串放到参考文献8提供的Token解析页面,可以看到能正确的从Token中将标题和有效负载中的内容还原。

  找了个在线解析Base64字符串的页面,将Token中的有效负载内容解码,可以看到原始内容,因此最好不要在其中放置敏感内容,以防数据泄露。

参考文献:

1\]https://www.jianshu.com/p/a2804e72d296 \[2\]https://blog.csdn.net/sD7O95O/article/details/85043160 \[3\]https://www.cnblogs.com/qiongkangle/p/13347283.html \[4\]https://www.cnblogs.com/xbhp/p/17401507.html \[5\]https://www.cnblogs.com/superstar/p/16491428.html \[6\]https://blog.csdn.net/weixin_44877917/article/details/140609294 \[7\]https://blog.csdn.net/qq_40287041/article/details/143368882 \[8\]https://jwt.io/introduction \[9\]https://www.iana.org/assignments/jwt/jwt.xhtml \[10\]https://tools.ietf.org/html/rfc7519#section-4.1

相关推荐
安 当 加 密2 个月前
安当SLA操作系统登录双因素认证:全方位保障Windows系统登录安全
安全·数据安全·身份认证·双因素认证·操作系统登录双因素认证·ukey·otp动态口令
Amd7942 个月前
数据库安全管理中的用户和角色管理:打造安全高效的数据环境
用户管理·身份认证·数据库安全·权限控制·角色管理·数据库管理系统·安全最佳实践
gc_22992 个月前
学习ASP.NET Core的身份认证(基于JwtBearer的身份认证10)
cookie·身份认证·jwtbear
gc_22992 个月前
学习ASP.NET Core的身份认证(基于JwtBearer的身份认证9)
身份认证·jwtbear
gc_22992 个月前
学习ASP.NET Core的身份认证(基于JwtBearer的身份认证7)
身份认证·jwtbear
gc_22992 个月前
学习ASP.NET Core的身份认证(基于JwtBearer的身份认证6)
身份认证·jwtbear
安 当 加 密2 个月前
通过Ukey或者OTP动态口令实现windows安全登录
身份认证·权限控制·远程桌面登录·双因素认证·操作系统登录双因素认证·ukey·otp动态口令
gc_22993 个月前
学习ASP.NET Core的身份认证(基于JwtBearer的身份认证4)
身份认证·jwtbear
安 当 加 密3 个月前
中小学教室多媒体电脑安全登录解决方案
数据安全·访问控制·身份认证·日志审计·多因素认证·操作系统登录双因素认证