JWT
-
JWT(json web token)作为一个开放的标准,通过紧凑(compact)或者包含(self-contained)的方式,定义用于在各方之间发送的安全 josn对象。
-
JWT 可以很好的充当访问令牌和刷新令牌的载体,这时 web双方之间进行安全传输信息的良好方式。只有授权服务器持有签发和验证 JWT的密钥那么就只有授权服务器能验证 JWT的有效以及发送带有签名的 JWT,这就唯一保证了 JWT 载体的令牌的有效和安全性。
-
JWT的一般格式如下所示
eyJhbGciOiJIUzI1NiisinR5cCI6IkpXVCJ9 .eyJuYW11joiY2FuZyB3dSisimV4cCI6MTUxODA1MTElNywdXNlcklkijoMTizNDU2In0 .IV4XZOy0nMpmMX9orv0gqsEMOxXXNQOE680CKkkPQcs
-
它由三部分组成,每部分通过 . 分隔开,分别是
Header(头部)
Payload(有效负荷)
Signature(签名)
1. 头部(Header)
- 通常由两部分组成
- typ:类型,一般为 JWT
- alg:加密算法,通常是 HMAC,SHA256,RSA
{ "alg":"hs256", "typ":"jwt" } - 这部分 json会由 Base64Url编码,构成 JWT的第一部分
eyJhbGciOJIUzI1N i isinR5cCI6IkpXVCJ9
2. 有效负荷(Payload)
- 是 JWT的第二部分,是用来携带有效信息的载体,主要是关于用户实体和附加元素的声明,组成如下
- Registered claims(注册声明)。这是一组预定的声明,但并不强制要求。他提供了一套有用的,能共同使用的声明。主要由 iss(JWT 签发者),exp(JWT 过期时间),sub(JWT 面向的用户),aud(接受 JWT的一方)等。
- Public claims(公开声明)。公开声明中可以添加任何信息,一般是用户信息或者业务拓展信息等。
- Private claims(私有声明)。由 JWT 提供者和消费者共同定义的声明,既不属于注册声明也不属于公开声明。
- 一般不建议在 Payload中添加任何敏感信息,因为 Base64是对称解密的,这意味着 Payload中的信息是可见的。
{ "name":"cang wu", "exp":"1232323", "userId":"123456" } - 这部分 JSON会由 Base64编码,构成 JWT的第二部分,
eyJuYW11IjoiY2FuZyB3dSisimV4cCI6MTUxODA1MTE1NywidXNlcklkijoiMTizNDU2In0
3. 签名(Signature)
- 要创建签名,需要编码后的头部,编码后的 Payload,一个密钥,最后通过在头部 alg键值定义加密算法加密生成签名,生成签名的伪代码如下
HMACSHA256( base64Encode(header) + "." + base64Encode(payload) , secret ) - 上述代码中用到的加密算法为 HMACSHA256。密钥保存在服务端用于验证 JWT以及签发 JWT,所以必须由服务端持有,不该泄露出去。
IV4XZ0y0nMpmMX9orv0gqsEMOxXXNQOE680CKkkPQcs - 这将称为 JWT的第三部分。这三部分通过 “.”分隔,组成最终的 JWT。
https://jwt.io/
https://www.baeldung.com/spring-security-oauth-revoke-tokens
https://www.cnblogs.com/better-farther-world2099/p/9146143.html