??博客主页:大家好我是poizxc2014的博客主页
✨欢迎关注?点赞?收藏⭐留言✒
?个人主页:poizxc2014的博客_CSDN博客-数据库,mysql,java领域博主?首发时间:?2022年08月07日?
???????如果觉得博主的文章还不错的话,?请三连支持一下博主哦?最后的话,在很多方面还做的不好的地方,欢迎大佬指正,一起学习哦,冲冲冲
什么是JWT?官网介绍如下图所示:
1、通俗解释
JWT简称JSON Web Token,也就是通过JSON形式作为Web应用的令牌, 用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。
说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。
| 传统的session认证 | 基于token | |
存储位置 |
服务器 |
客户端(但产生在服务端) |
安全性 |
相对高 |
比session更高 |
占用服务器资源 |
当访问多时,消耗服务器的资源 |
|
作用 |
|
|
优点 |
|
|
缺点 |
|
|
适用范围 |
Session更适用于客户端代码和服务端代码运行在同一台服务器上; |
Token更适用于项目级的前后端分离(前后端代码运行在不同的服务器下); |
2、JWT的构成
第一部分我们称它为头部(header)
第二部分我们称其为载荷(payload, 类似于飞机上承载的物品)
第三部分是签证(signature)
2.1、头部(Header)
标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如HMAC SHA256或RSA。它会使用 Base64 编码组成,JWT 结构的第一部分。 **注意:**Base64是一种编码,也就是说,它是可以被翻译回原来的样子的。它并不是一种加密过程。
jwt的头部承载两部分信息: 声明类型:这里是jwt 声明加密的算法:通常直接使用 HMAC SHA256 完整的头部就像下面这样的JSON:
{
'typ': 'JWT',
'alg': 'HS256'
}2.2、有效载荷(Payload)
令牌的第二部分是有效负载, 其中包含声明。声明式有关实体(通常是用户)和其他数据的声明。同样的,它会使用 Base64 编码组成 JWT 结构的第二部分。
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分 1、标准中注册的声明 2、公共的声明 3、私有的声明
2.3、有效载荷(Payload)
前端两部分都是使用 Base64 进行编码的,即前端可以解开知道里面的信息。Signature 需要使用编码后的 header 和 payload 以及我们提供的一个密钥,然后使用 header 中指定的签名算法(HS256)进行签名。签名的作用是保证 JWT 没有被篡改过
2.3.1、签名目的
最后一步签名的过程, 实际上是对头部以及负载内容进行签名, 防止内容被篡改。如果有人对头部以及负载的内容解码之后进行修改, 再进行编码, 最后加上之前的签名组合形成新的JWT的话, 那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名, 在不知道服务器加密时用的密钥的话, 得出来的签名也是不一样。
2.3.2、信息安全问题
在这里大家一定会问一个问题: Base64是一种编码, 是可逆的, 那么我的信息不就被暴露了吗? 是的。所以, 在JWT中, 不应该在负载里面加入任何敏感的数据。在上面的例子中, 我们传输的是用户的User ID。这个值实际上不是什么敏感内容, 一般情况下被知道也是安全的。但是像密码这样的内容就不能被放在JWT中了。如果将用户的密码放在JWT中, 那么怀有恶意的第三方通过 Base64 解码就能很快地知道你的密码了。因此JWT适合用于向Web应用传递一些非敏感信息。JWT还经常用于设计的用户认证和授权系统, 甚至实现Web应用的单点登录。
2.3.3、signature
jwt的第三部分是一个签证信息,这个签证信息由三部分组成:header (base64后的) payload (base64后的) secret 这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。