2. 程式人生 > >JWT(JSON Web Token)原理簡介

JWT(JSON Web Token)原理簡介

阿新 發佈:2019-02-19
oem 相關 部分 bsp process post tis 輸入 檢查

原文:http://www.fengchang.cc/post/114

參考了一下這篇文章:https://medium.com/vandium-software/5-easy-steps-to-understanding-json-web-tokens-jwt-1164c0adfcec

原理說的非常清楚。總結如下:

首先這個先說這個東西是什麽,幹什麽用的,一句話說:就是這是一種認證機制,讓後臺知道請求是來自於受信的客戶端。

那麽從這個角度而言,這個東西跟瀏覽器的cookie是一個作用,好比我在一個網站登錄了,就可以往這個網站發送restful請求,請求的同時會捎帶上cookie,後臺檢查這個cookie發現你是合法的,才響應你的請求。

只不過這裏JWT的原理不同,但基本上最頂層的原理還是非常簡單:

技術分享圖片

這個圖中有三個主體: user, application server和authentication server

非常常見的一個架構,首先用戶需要 通過登錄等手段向authentication server發送一個認證請求,authentication會返回給用戶一個JWT(這個JWT的具體內容格式是啥後面會說,先理解成一個簡單的字符串好了)

此後用戶向application server發送的所有請求都要捎帶上這個JWT,然後application server會驗證這個JWT的合法性,驗證通過則說明用戶請求時來自合法守信的客戶端。

下面簡單說一下這個JWT的格式,十分簡單,就是一個三部分組成的字符串:

技術分享圖片

下面一部分一部分來講:

header, 一個例子是:

技術分享圖片

非常簡單,typ顧名思義就是type的意思,例如上面這裏就指明是JWT的類型。alg顧名思義是algorithm的意思,指代一個加密算法,例如上面指代HS256(HMAC-SHA256),這個算法會在生成第三部分signature的時候用到。

payload,一個例子是:

技術分享圖片

這部分的本質是用戶數據,怎麽理解呢,就是JWT的目的是認證身份來源,那麽你是不是得自報家門我是誰呢?所以總得往裏塞點跟用戶相關的信息吧,例如這裏就是userId

signature,一個例子是:

技術分享圖片

signature顧名思義就是簽名,簽名一般就是用一些算法生成一個能夠認證身份的字符串,具體算法就是上面表示的,也比較簡單,不贅述,唯一說明的一點是上面hash方法用到了一個secret,這個東西需要application server和authentication server雙方都知道,相當於約好了同一把驗證的鑰匙,最終才好做認證。

至此,三個部分,都解釋完了,那麽按照header.payload.signature這個格式串起來就行了,串之前註意,header和payload也要做一個base64url encoded的轉換。那麽最終拼出來的一個例子是:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VySWQiOiJiMDhmODZhZi0zNWRhLTQ4ZjItOGZhYi1jZWYzOTA0NjYwYmQifQ.-xN_h82PHVTCMA9vdoHrcZxH-x5mb11y1537t3rGzcM

再次強調一點,別看上面做了那麽多hash,其實目的不在加密保護數據,而是為了認證來源,認證來源,認證來源。JWT不保證數據不泄露,因為JWT的設計目的就不是數據加密和保護。

最後再解釋一下application server如何認證用戶發來的JWT是否合法,首先application server 和 authentication server必須要有個約定,例如雙方同時知道加密用的secret(這裏假設用的就是簡單的對稱加密算法),那麽在applicaition 收到這個JWT是,就可以利用JWT前兩段(別忘了JWT是個三段的拼成的字符串哦)數據作為輸入,用同一套hash算法和同一個secret自己計算一個簽名值,然後把計算出來的簽名值和收到的JWT第三段比較,如果相同則認證通過,如果不相同,則認證不通過。就這麽簡單,當然,上面是假設了這個hash算法是對稱加密算法,其實如果用非對稱加密算法也是可以的,比方說我就用非對稱的算法,那麽對應的key就是一對,而非一個,那麽一對公鑰+私鑰可以這樣分配:私鑰由authentication server保存,公鑰由application server保存,application server驗證的時候,用公鑰解密收到的signature,這樣就得到了header和payload的拼接值,用這個拼接值跟前兩段比較,相同就驗證通過。總之,方法略不同,但大方向完全一樣。

提兩個best practice:

1. 發送JWT要用https,原因前面說了,JWT本身不保證數據安全

2.JWT的payload中設置expire時間,為什麽要這樣做其實跟cookie為什麽要設置過期時間一樣,都是為了安全。

JWT(JSON Web Token)原理簡介

相關推薦

JWT(JSON Web Token)原理簡介

oem 相關 部分 bsp process post tis 輸入 檢查 原文:http://www.fengchang.cc/post/114 參考了一下這篇文章:https://medium.com/vandium-software/5-easy-ste

JWT--JSON WEB TOKEN

hmac 授權 消費者 隨著 相關 數據 cors 服務器端 容易 轉自簡書 http://www.jianshu.com/p/576dbf44b2ae 什麽是JWT Json web token (JWT), 是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標

JWT(JSON WEB TOKEN) / oauth2 / SSL

bash 字符 維護 ssl 信息 簡單 角色 ron 保存會話 1: JWT:   為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準((RFC 7519).該token被設計為緊湊且安全的,特別適用於分布式站點的單點登錄(SSO)場景。JWT的聲明一般被用來

JWT JSON Web Token

bubuko 可靠的 分組 使用 dig pan alt 可靠 stringify JWT(JSON Web Token) 允許我們使用JWT在用戶和服務器之間傳遞安全可靠的信息的規範。 JWT由三個部分組成:header(頭部)、payload(載荷)、signature

深入淺出JWT(JSON Web Token )

sha 安全 nature 調試器 orm 攔截 們的 登錄 長度限制 1. JWT 介紹 JSON Web Token(JWT)是一個開放式標準(RFC 7519),它定義了一種緊湊(Compact)且自包含(Self-contained)的方式,用於在各方之間以JSON

[認證授權] 2.OAuth2授權(續) & JWT(JSON Web Token)

har 表示 一個 wii body 是什麽 ibm 其他 user 1 RFC6749還有哪些可以完善的? 1.1 撤銷Token 在上篇[認證授權] 1.OAuth2授權 中介紹到了OAuth2可以幫我們解決第三方Client訪問受保護資源的問題,但是只提供了如何獲

API安全驗證之JWT(JSON WEB TOKEN) OLCMS

假如www.olcms.com/getUserInfo獲取使用者資訊,你怎麼知道當前使用者是誰?有人說登陸時候我把他UID寫入session了,如果是API介面,沒有session怎麼辦,那麼就需要把UID帶到引數裡面,如果直接帶裡面,安全怎麼辦?所以我們需要加密成別人看不懂的字串,這就是JWT(JSON W

Go實戰--golang中使用JWT(JSON Web Token)

今天就來跟大家簡單介紹一下golang中如何使用token,當然是要依賴一下github上的優秀的開源庫了。 首先,要搞明白一個問題,token、cookie、session的區別。 token、cookie、session的區別Cookie  Cookie總是儲存在客戶端中,按在

什麼是 JWT -- JSON WEB TOKEN

什麼是JWT Json web token (JWT), 是為了在網路應用環境間傳遞宣告而執行的一種基於JSON的開放標準((RFC 7519).該token被設計為緊湊且安全的,特別適用於分散式站點的單點登入(SSO)場景。JWT的宣告一般被用來在身份提供者和服務提供者間傳遞被認證的使用者身份資訊,

[認證授權] 2.OAuth2授權(續) & JWT(JSON Web Token)

1 RFC6749還有哪些可以完善的? 1.1 撤銷Token 在上篇[認證授權] 1.OAuth2授權 中介紹到了OAuth2可以幫我們解決第三方Client訪問受保護資源的問題,但是隻提供瞭如何獲得access_token,並未說明怎麼來撤銷一個access_token。關於這部分OAuth2單獨定義

Spring Boot實戰之Filter實現使用JWT進行介面認證 jwt(json web token) 使用者傳送按照約定,向服務端傳送 Header、Payload 和 Signature,

Spring Boot實戰之Filter實現使用JWT進行介面認證 jwt(json web token) 使用者傳送按照約定,向服務端傳送 Header、Payload 和 Signature,幷包含認證資訊(密碼),驗證通過後服務端返回一個token,之後使用者使用該

JWT- Java Web Token 原理

JWT是一個輕量級的規範,之前學習過,但一直沒有什麼應用。最近在做一個OAuth 2相關的專案,有用到JWT。於是,再複習一遍。JWT是什麼?JSON Web Token (JWT) 是一個簡潔的,自包含的,可安全的在兩個模組之間傳輸。這是JWT.io給出的定義。簡潔: JW

JSON Web TokenJWT原理和用法介紹

JSON Web Token(JWT)是目前最流行的跨域身份驗證解決方案。今天給大家介紹一下JWT的原理和用法。 一、跨域身份驗證 Internet服務無法與使用者身份驗證分開。一般過程如下。 1. 使用者向伺服器傳送使用者名稱和密碼。 2. 驗證伺服器後,相關資料(如使用者角色,登入時間等)將儲存在

JSON Web TokenJWT)使用步驟說明 JSON Web TokenJWT原理和用法介紹

在JSON Web Token(JWT)原理和用法介紹中,我們瞭解了JSON Web Token的原理和用法的基本介紹。本文我們著重講一下其使用的步驟: 一、JWT基本使用 Gradle下依賴 : compile 'com.auth0:java-jwt:3.4.0' 示例介紹: im

什麽是JWTJSON WEB TOKEN

加密 string style 直接 協議 策略 ade aud images 什麽是JWT Json web token(JWT)是為了網絡應用環境間傳遞聲明而執行的一種基於JSON的開發標準(RFC 7519),該token被設計為緊湊且安全的,特別適用於分

Json Web TokenJWT

.json import form hid color 執行 加密方法 isa dep Json web token (JWT),是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準((RFC 7519)。該token被設計為緊湊且安全的,特別適用於分布式站點的

JWTJSON WEB Token)正確使用場景

頁面包含 eth token 生成 example 各類 場景 bottom container https://www.jianshu.com/p/af8360b83a9f 講真,別再使用JWT了! ThoughtWorks中國 2017.08.16 08

Json Web Token(JWT)詳解

再次 即使 設備 系統 客戶 利用 fck 第三方服務 ont 什麽是Json Web Token Json web token (JWT), 是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準((RFC 7519).該token被設計為緊湊且安全的,特別

理解JWTJSON Web Token)認證及python實踐

原文:https://segmentfault.com/a/1190000010312468?utm_source=tag-newest 幾種常用的認證機制 HTTP Basic Auth HTTP Basic Auth 在HTTP中,基本認證是一種用來允許Web瀏覽器或其他客戶端程式在請求時

JWTJson Web Token)框架 jjwt 教程

JSON Web Token(JWT)是一個非常輕巧的規範。這個規範允許我們使用JWT在使用者和伺服器之間傳遞安全可靠的資訊。和 Cookie-Session 的模式不同,JSON Web Token(JWT)使用 Token 替換了 SessionId 的資源訪問和狀態的保持。基於JWT