秒懂生活常识

  1. 首页 > 生活杂烩 > >

jwt有哪几部分组成 jwt( 二 )

生活百科


私有的声明 :私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息 。
定义一个payload:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true}
然后将其进行base64加密,得到Jwt的第二部分 。
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行secret组合加密,然后就构成了jwt的第三部分 。
// javascriptvarencodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
varsignature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
将这三部分用.连接成一个完整的字符串,构成了最终的jwt:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去 。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了 。
一般是在请求头里加入Authorization,并加上Bearer标注:
fetch('api/user/1', {
headers: {
}
})
服务端会验证token,如果验证通过就会返回相应的资源 。整个流程就是这样的:
1. 用户使用账号和密码发出post请求;
2. 服务器使用私钥创建一个jwt;
3. 服务器返回这个jwt给浏览器;
4. 浏览器将该jwt串在请求头中向服务器发送请求;
5. 服务器验证该jwt;
6. 返回响应的资源给浏览器 。
身份认证在这种场景下,一旦用户完成了登陆,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证 。由于它的开销非常小,可以轻松的在不同域名的系统中传递,所有目前在单点登录(SSO)中比较广泛的使用了该技术 。信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的 。
来,科普一下JWT 1. JSON Web Token是什么
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息 。该信息可以被验证和信任,因为它是数字签名的 。
2. 什么时候你应该用JSON Web Tokens
下列场景中使用JSON Web Token是很有用的:
Authorization (授权) :这是使用JWT的最常见场景 。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源 。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用 。
Information Exchange (信息交换) :对于安全的在各方之间传输信息而言,JSON Web Tokens无疑是一种很好的方式 。因为JWTs可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人 。另外,由于签名是使用头和有效负载计算的,您还可以验证内容没有被篡改 。
3. JSON Web Token的结构是什么样的
JSON Web Token由三部分组成,它们之间用圆点(.)连接 。这三部分分别是:
因此,一个典型的JWT看起来是这个样子的:
接下来,具体看一下每一部分:
Header
header典型的由两部分组成:token的类型(“JWT”)和算法名称(比如:HMAC SHA256或者RSA等等) 。
例如:
然后,用Base64对这个JSON编码就得到JWT的第一部分
Payload
Public claims :可以随意定义 。
下面是一个例子:
对payload进行Base64编码就得到JWT的第二部分
Signature
为了得到签名部分,你必须有编码过的header、编码过的payload、一个秘钥,签名算法是header中指定的那个,然对它们签名即可 。
例如:
签名是用于验证消息在传递过程中有没有被更改,并且,对于使用私钥签名的token,它还可以验证JWT的发送方是否为它所称的发送方 。
看一张官网的图就明白了:
4. JSON Web Tokens是如何工作的
在认证的时候,当用户用他们的凭证成功登录以后,一个JSON Web Token将会被返回 。此后,token就是用户凭证了,你必须非常小心以防止出现安全问题 。一般而言,你保存令牌的时候不应该超过你所需要它的时间 。

秒懂生活扩展阅读


上一篇:WPS中误删的内容如何恢复

下一篇:为什么感冒鼻涕总是擤不完 感冒口渴是不是快好了