JWT介绍

JWT是什么

JWT全称是JSON Web Tokens,是RFC 7519标准,用于安全校验两方可信性的安全措施。

JWT解决了哪些问题?

JWT本身设计是用于解决Session机制不能够很好的在SPA/API类型(restful)应用中处理身份认证问题。通常API的调用是无状态(stateless)的,使用Session等形式会有上下文要求。如当用户登录完成后,可以通过下发JWT的形式进行无状态的API调用。在此之前通常是使用的方式包括不限于如Basic Auth、Oauth2或Token形式进行。

JWT相比是额外添加了签名校验方式,本质上来说对抗如暴力碰撞等形式有一些作用。但是由于本身长度的限制,存储的信息量有限。

JWT处理方式

JWT内容主要分为三段,分别对应头部信息,存储数据和签名信息三部分,中间使用『.』符号连接,三段信息均进行Base64编码。

具体实现方式可参考如下伪代码实现:

encodeBase64(header) + ‘.’ + encodeBase64(payload) + ‘.’ + Sign(key + encodeBase64(header) + ‘.’ + encodeBase64(payload))

其中Sign的算法是可以在header中进行定义,支持如HMAC-SHA256和RSA-SHA256等方式。key则是用于验证的key信息。

其中header格式如下:

{

  “alg”: “HS256”, //指定加密算法,可以选择RS256等。

  “typ”: “JWT”

}

payload为存储的数据区块,由于此部分未进行加密,不建议存储敏感信息。内容为字典结构。

JWT存在的安全问题

JWT披露了一个比较严重的安全问题:JWT中允许设置加密方法『alg』为none,这样签名信息可设置为””,这样就给恶意用户伪造JWT的可能。并且该验证是在验证签名之前(决定签名使用算法),所以在安全实现JWT时需要对验证算法进行可信安全校验。

还有一个问题是JWT本身并不会加密payload中的信息,因此在传递敏感信息时需要单独对数据进行个别处理。

参考连接

  1. JWT.io http://jwt.io/

转自:http://ipfans.github.io/2015/08/jwt-basic/

56 thoughts on “JWT介绍

  1. Pingback: RAP/DILM/HIP-HOP

  2. Pingback: ธนาธร จึงรุ่งเรืองกิจ

  3. Pingback: 바카라사이트

  4. Pingback: p1276#blog o marketingu

  5. Pingback: MyWeb

  6. Pingback: Replica Watch Rolex

  7. Pingback: Drogen kaufen im Darknet

  8. Pingback: link vao 12bet

  9. Pingback: nhà cái m88

  10. Pingback: porn

  11. Pingback: porn

  12. Pingback: 카지노

  13. Pingback: final expense

  14. Pingback: your koi guide

  15. Pingback: 조커바카라

  16. Pingback: knockoff Breitling Watch Fakes

  17. Pingback: KIU-Engineering School

  18. Pingback: pomoshh-psihologa-online

  19. Pingback: satta king

  20. Pingback: psyhelp_on_line

  21. Pingback: coronavirus

  22. Pingback: 토토사이트

  23. Pingback: 바카라 사이트 추천

  24. Pingback: PSYCHOSOCIAL

  25. Pingback: rasstanovka hellinger

  26. Pingback: auto generated contents

  27. Pingback: child porn

  28. Pingback: Cherekasi film 2020

  29. Pingback: film doktor_liza

  30. Pingback: djoker film

  31. Pingback: viagra

  32. Pingback: generic viagra

  33. Pingback: viagra online

  34. Pingback: buy viagra online

  35. Pingback: gidonline-filmix.ru

  36. Pingback: koronavirus-v-ukraine-doktor-komarovskiy

  37. Pingback: over the counter viagra

  38. Pingback: Canadian Online Pharmacies

  39. Pingback: Canadian Pharmacy

  40. Pingback: syair togel

  41. Pingback: google chrome indir

  42. Pingback: Tess ter Horst

  43. Pingback: t.me/psyhell

  44. Pingback: Ïñèõîëîã îíëàéí

  45. Pingback: bitly.com

  46. Pingback: viagra 100mg

  47. Pingback: viagra price

  48. Pingback: viagra generic

  49. Pingback: viagra coupon

  50. Pingback: cheap viagra

  51. Pingback: cialis

  52. Pingback: cialis coupon

  53. Pingback: canadian pharmacy cialis

  54. Pingback: cialis 5mg

  55. Pingback: guaranteed ppc

  56. Pingback: rlowcostmd.com

Comments are closed.