当前位置:网站首页>JWT简单介绍
JWT简单介绍
2022-08-05 00:44:00 【周雨彤的小迷弟】
1、访问令牌的类型
By reference token (透明令牌)
随机生成的字符串标识符,无法简单猜测授权服务器如何颁发和存储
资源服务器必须通过后端渠道将token发送回OAuth2授权服务器的令牌检查端点,才能校验令牌是否有效,并获取claims、scopes等额外信息By value token (自包含令牌)
授权服务器颁发的令牌,包含关于用户的元数据和声明(claims)
通过检查签名,期望的颁发者(issuer),期望的接收者aud(audience),或者scope,资源服务器可以在本地校验令牌。经常使用的有 JSON Web
Tokens(JWT)
2、JWT的组成
该对象为一个很长的字符串,字符之间通过"."分隔符分为三个子串。
每一个子串表示了一个功能块,总共有以下三个部分:JWT 头、有效载荷和签名
JWT头
JWT 头部分是一个描述 JWT 元数据的 JSON 对象,通常如下所示
{
"alg": "HS256",
"typ": "JWT"
}
在上面的代码中,alg 属性表示签名使用的算法,默认为 HMAC SHA256(写为 HS256);typ 属性表示令牌的类型,JWT 令牌统一写为 JWT。最后,使用 Base64 URL 算法将上述JSON 对象转换为字符串保存。
有效载荷
有效载荷部分,是 JWT 的主体内容部分,也是一个 JSON 对象,包含需要传递的数据。 JWT指定七个默认字段供选择。
- iss:发行人
- exp:到期时间
- sub:主题
- aud:用户
- nbf:在此之前不可用
- iat:发布时间
- jti:JWT ID 用于标识该 JWT
除以上默认字段外,我们还可以自定义私有字段,如下例:
{
"sub": "1234567890",
"name": "Helen",
"admin": true
}
请注意,默认情况下 JWT 是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。
JSON 对象也使用 Base64 URL 算法转换为字符串保存。
签名哈希
签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。
首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为 HMAC SHA256)根据以下公式生成签名
HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(claims), secret)
在计算出签名哈希后,JWT 头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔,就构成整个 JWT 对象。
边栏推荐
- MBps与Mbps区别
- PCIe Core Configuration
- gorm joint table query - actual combat
- E - Distance Sequence (prefix and optimized dp
- node使用redis
- 《WEB安全渗透测试》(28)Burp Collaborator-dnslog外带技术
- Software Testing Interview Questions: What do you think about software process improvement? Is there something that needs improvement in the enterprise you have worked for? What do you expect the idea
- oracle create tablespace
- JUC thread pool (1): FutureTask use
- Pytorch usage and tricks
猜你喜欢
MongoDB construction and basic operations
Redis visual management software Redis Desktop Manager2022
《WEB安全渗透测试》(28)Burp Collaborator-dnslog外带技术
5. PCIe official example
【idea】idea配置sql格式化
软件基础的理论
SV 类的虚方法 多态
could not build server_names_hash, you should increase server_names_hash_bucket_size: 32
leetcode: 266. All Palindromic Permutations
2022 Hangzhou Electric Power Multi-School Session 3 K Question Taxi
随机推荐
阶段性测试完成后,你进行缺陷分析了么?
5.PCIe官方示例
2022 Nioke Multi-School Training Session 2 J Question Link with Arithmetic Progression
gorm joint table query - actual combat
tiup update
JUC线程池(一): FutureTask使用
[230]连接Redis后执行命令错误 MISCONF Redis is configured to save RDB snapshots
国内网站用香港服务器会被封吗?
Software testing interview questions: What are the strategies for system testing?
Zombie and orphan processes
2022牛客多校训练第二场 J题 Link with Arithmetic Progression
软件测试面试题:您以往所从事的软件测试工作中,是否使用了一些工具来进行软件缺陷(Bug)的管理?如果有,请结合该工具描述软件缺陷(Bug)跟踪管理的流程?
内存取证系列1
软件测试面试题:BIOS, Fat, IDE, Sata, SCSI, Ntfs windows NT?
Software Testing Interview Questions: What's the Key to a Good Test Plan?
If capturable=False, state_steps should not be CUDA tensors
"WEB Security Penetration Testing" (28) Burp Collaborator-dnslog out-band technology
Lattice PCIe 学习 1
2022 Nioke Multi-School Training Session H Question H Take the Elevator
Introduction to JVM class loading