zoukankan      html  css  js  c++  java

  • JSON WEB Token(JWT)

    最近面试被问及单点登陆怎么解决?自己的项目前后端分离,自己实现token认证,token有失效时间,token中包含用户基本的信息。且一个当用户重新登陆后,原来的token就会失效,这么安全的一个token怎么就被别人认为不安全了呢?自己孤陋寡闻,被问及jwt?没听过的名词,一查rfc,原来这么回事,和自己实现的token认证完全差不多嘛,而且比jwt本身更安全,即使token被泄露,只需要用户重新登陆认证一次,泄露的token立即失效,但jwt不一样,它如果泄露,在有效期内,依然有效,不可控。不过应该也能通过技术手段解决这种问题

    JSON WEB Token (JWT)

    摘要

    JSON Web Token(JWT) 是一个简洁,两者传输之间是URL安全的方式。
    这个声明在JWT中被编码为JSON对象被用于负载(payload)(JWS)签名结构或作为一个明文的
    JSON Web 加密(JWE)结构,以MAC(消息授权码)或加密方式使这个声明为数字签名或完整性保护

    • 1 介绍
    • 2 术语
    • 3 JWT概述
    • 3.1 JWT例子
    • 4 JWT声明
    • 4.1 注册声明名称
    • 4.1.1 iss(Issuer)声明
    • 4.1.2 sub(Subject)声明
    • 4.1.3 aud(Audience)声明
    • 4.1.4 exp(Expiration Time)声明
    • 4.1.5 nbf(Not Before)声明
    • 4.1.6 iat(Issued At)声明
    • 4.1.7 jti(JWT ID)声明
    • 4.2 公共声明名称
    • 4.3 私有声明名称
    • 5 JOSE 头部
    • 5.1 typ(Type)头部参数
    • 5.2 cty(Content Type)头部参数
    • 5.3 将声明复制为头部参数
    • 6 非安全(Unsecured)的JWTs
    • 6.1 非安全的JWTs例子
    • 7 创建和验证JWTs
    • 7.1 创建一个JWT
    • 7.2 验证一个JWT
    • 7.3 字符串比较规则
    • 8 实现要求
    • 9 URI是一个JWT
    • 10 IANA思考
    • 10.1 JSON Web Token声明注册
    • 10.1.1 注册模版
    • 10.1.2 初始化注册内容
    • 10.2 子命名空间注册 urn:ietf:params:oauth:token-type:jwt
    • 10.2.1 注册内容
    • 10.3 媒体类型注册
    • 10.3.1 注册内容
    • 10.4 头部参数名称注册
    • 10.4.1 注册内容
    • 11 安全考虑
    • 11.1 信任依据
    • 11.2 签名或加密顺序
    • 12 隐私考虑
    • 13 参考
    • 13.1 规范参考
    • 13.2 信息性参考
    • 附录A JWT例子
    • a.1 JWT加密示例
    • a.2 JWT嵌套示例
    • 附录B JWTs到SAML关系断言
    • 附录C JWTs到SWTs(简单Web token)关系

    1.介绍

    JWT 是一个简洁声明格式,同于空间受限的环境,如HTTP授权头部和URI查询参数。
    JWT将声明编码为JSON对象用于传输。它使用一个JWS的数据结构或JWE的数据结构。
    JWT与jot单词发音一样

    2.术语

    JWS定义规范

    • JSON Web Signature(JWS)
    • Base64uri Encoding
    • Header parameter
    • JOSE Header
    • JWS Compact Serialization
    • JWS payload
    • JWS Signature
    • Unsecured JWS

    JWE定义规范

    • JSON Web Encryption(JWE)
    • Content Encryption Key(CEK)
    • JWE Compact Serialization
    • JWE Encrypted Key
    • JWE Initialization Vector

    Internet Security Glossary定义规范

    • Ciphertext
    • Digital Signature
    • Message Authentication Code(MAC)
    • Plaintext

    JSON Web Token(JWT)

    • 一个字符串的集合声明作为一个JSON对象编码于JWS或JWE结构内,使这个声明变为数字签名或MAC或加密

    JWT Claims Set

    • 包含由JWT传输的声明的JSON对象

    Claim

    • 关于某个主题的一条信息,一个声明表示由一个名称和值组成的
    • Claim Name
      这个名称是声明的一部分,总是一个字符串类型
    • Claim Value
      这个值是声明的一部分,一个声明的值可以是任意的JSON对象
    • Nested JWT
      使用嵌套签名和/或加密的JWT,在嵌套的JWT中,被用作一个有效载荷或明文值分别包含JWS或JWE结构
  • 相关阅读:
    AWK用法详解
    追加内容到指定的行
    自动scp(二)
    Spring 容器IOC解析及简单实现
    Spring 容器AOP的实现原理——动态代理
    Try语句中有return,那么finally中的code会执行吗?什么时候执行?
    Java中HashMap和TreeMap的区别
    HashTable和HashMap的区别详解
    ArrayList、LinkedList与Vector的对比
    事务是什么
  • 原文地址:https://www.cnblogs.com/zengchunyun/p/9012981.html
Copyright © 2011-2022 走看看