溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶(hù)服務(wù)條款》

JWT如何應(yīng)用

發(fā)布時(shí)間:2022-01-06 09:15:13 來(lái)源:億速云 閱讀:109 作者:iii 欄目:大數(shù)據(jù)

本篇內(nèi)容介紹了“JWT如何應(yīng)用”的有關(guān)知識(shí),在實(shí)際案例的操作過(guò)程中,不少人都會(huì)遇到這樣的困境,接下來(lái)就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧!希望大家仔細(xì)閱讀,能夠?qū)W有所成!

什么是JWT

Json web token (JWT), 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開(kāi)放標(biāo)準(zhǔn)(RFC 7519).該token被設(shè)計(jì)為緊湊且安全的,特別適用于分布式站點(diǎn)的單點(diǎn)登錄(SSO)場(chǎng)景。

JWT的聲明一般被用來(lái)在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶(hù)身份信息,以便于從資源服務(wù)器獲取資源,也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息,該token也可直接被用于認(rèn)證,也可被加密。

JWT的構(gòu)成

第一部分我們稱(chēng)它為頭部(header)

第二部分我們稱(chēng)其為載荷(payload)

第三部分是簽證(signature).

header:

jwt的頭部承載兩部分信息:

  • 聲明類(lèi)型,這里是jwt

  • 聲明加密的算法 通常直接使用 HMAC SHA256

完整的頭部就像下面這樣的JSON:

JWT如何應(yīng)用

然后將頭部進(jìn)行base64加密(該加密是可以對(duì)稱(chēng)解密的),構(gòu)成了第一部分.

JWT如何應(yīng)用

playload:

載荷就是存放有效信息的地方。這個(gè)名字像是特指飛機(jī)上承載的貨品,這些有效信息包含三個(gè)部分

  • 標(biāo)準(zhǔn)中注冊(cè)的聲明

  • 公共的聲明

  • 私有的聲明

標(biāo)準(zhǔn)中注冊(cè)的聲明 (建議但不強(qiáng)制使用) :

  • iss: jwt簽發(fā)者

  • sub: jwt所面向的用戶(hù)

  • aud: 接收jwt的一方

  • exp: jwt的過(guò)期時(shí)間,這個(gè)過(guò)期時(shí)間必須要大于簽發(fā)時(shí)間

  • nbf: 定義在什么時(shí)間之前,該jwt都是不可用的.

  • iat: jwt的簽發(fā)時(shí)間

  • jti: jwt的唯一身份標(biāo)識(shí),主要用來(lái)作為一次性token,從而回避重放攻擊。

公共的聲明 :
公共的聲明可以添加任何的信息,一般添加用戶(hù)的相關(guān)信息或其他業(yè)務(wù)需要的必要信息.但不建議添加敏感信息,因?yàn)樵摬糠衷诳蛻?hù)端可解密.

私有的聲明 :
私有聲明是提供者和消費(fèi)者所共同定義的聲明,一般不建議存放敏感信息,因?yàn)閎ase64是對(duì)稱(chēng)解密的,意味著該部分信息可以歸類(lèi)為明文信息。

定義一個(gè)payload:

JWT如何應(yīng)用

然后將其進(jìn)行base64加密,得到Jwt的第二部分。

JWT如何應(yīng)用

 signature:

jwt的第三部分是一個(gè)簽證信息,這個(gè)簽證信息由三部分組成:

  • header (base64后的)

  • payload (base64后的)

  • secret  

這個(gè)部分需要base64加密后的headerbase64加密后的payload使用.連接組成的字符串,然后通過(guò)header中聲明的加密方式進(jìn)行加密 secret組合加密,然后就構(gòu)成了jwt的第三部分。

JWT如何應(yīng)用


將這三部分用.連接成一個(gè)完整的字符串,構(gòu)成了最終的jwt:

JWT如何應(yīng)用

注意:secret是保存在服務(wù)器端的,jwt的簽發(fā)生成也是在服務(wù)器端的,secret就是用來(lái)進(jìn)行jwt的簽發(fā)和jwt的驗(yàn)證,

所以,它就是你服務(wù)端的私鑰,在任何場(chǎng)景都不應(yīng)該流露出去。一旦客戶(hù)端得知這個(gè)secret, 那就意味著客戶(hù)端是可以自我簽發(fā)jwt了。

如何應(yīng)用

  在請(qǐng)求頭里加入Authorization,并加上Token標(biāo)注:

headers: { 'Authorization': 'Token' + token

服務(wù)端會(huì)驗(yàn)證token,如果驗(yàn)證通過(guò)就會(huì)返回相應(yīng)的資源。整個(gè)流程就是這樣的:

 JWT如何應(yīng)用

“JWT如何應(yīng)用”的內(nèi)容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)可以關(guān)注億速云網(wǎng)站,小編將為大家輸出更多高質(zhì)量的實(shí)用文章!

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

jwt
AI