JWT中token的理解
今天我们来聊一聊关于JWT授权的事情。
JWT:Json Web Token。顾名思义,它是一种在Web中,使用Json来进行Token授权的方案。
既然没有找好密码,token是如何解决信任问题的呢?
解决信任问题,只需要解决两个问题即可:
token是不是来自我信任的机构颁发
token中的信息是否被篡改
对于第一个问题而言,确认token确实是由被信任的第三方颁发的,一般都是通过加密算法来建立信任,颁发时使用密钥进行加密,如果能够对加密内容进行正常解密说明token来自信任方。常用的加密算法分为:
对称可逆加密:使用同一个秘钥来加密解密,如果token能解密就能证明来源,秘钥不对外公开
非对称可逆加密:使用一组秘钥对(私钥加密+公钥解密),如果token能使用公钥进行解密就能证明来源,公钥与私钥之间互相不可推算
优缺点:
对称可逆加密效率高,速度快,但是由于对称可逆加密使用的是同一个秘钥,所以必须向解密的应用提供秘钥,相对而言不安全,所以一般只用于内部应用之间。
非对称可逆加密速度相对慢一些,但是加密时通过私钥加密而解密时只需要提供公钥即可,所以用于对外提供加密机制更加安全可靠,所以多用于向第三方提供加密服务时使用。
算法举例:
HS256
HS256 (带有 SHA-256 的 HMAC 是一种对称算法, 双方之间仅共享一个 密钥。由于使用相同的密钥生成签名和验证签名, 因此必须注意确保密钥不被泄密。
2 RS256
RS256 (采用SHA-256 的 RSA 签名) 是一种非对称算法, 它使用公共/私钥对: 标识提供方采用私钥生成签名, JWT 的使用方获取公钥以验证签名。由于公钥 (与私钥相比) 不需要保护, 因此大多数标识提供方使其易于使用方获取和使用 (通常通过一个元数据URL)。
JWT格式说明
| JWT令牌格式 | 作用 | |
| Header | 头 | { "alg": "HS256", "typ": "JWT"} |
| Payload | 有效载荷 | 使用base64进行序列化,任何人都可以读到,所以不要包含敏感信息 |
| Signature | 签名 |
防止抵赖-防止篡改,一旦头和有效载荷有内容被篡改,则生成签名部分必将与原内容不同 =HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) |
JWT如何解决信任问题的呢?
将签名部分使用秘钥进行解密,如果可以正常解开,说明令牌来自信任方颁发,将解密后的内容与JWT的头部和有效载荷的base64编码内容对比是否一致,如果一致,说明令牌未被篡改。也就解决了token信任的第二个问题。
算法实现:
下面是使用上述的两种加密算法生成的jwt
HS256算法实现
1 public string GetToken(UserInfoDTO userInfo)
2 {
3 string secretKey = _configuration["SercetKey"];
4 var signingCredentials = new SigningCredentials(new SymmetricSecurityKey(Encoding.UTF8.GetBytes(secretKey)), SecurityAlgorithms.HmacSha256);
5
6 var claims = new Claim[] {
7 new Claim("id",userInfo.Id.ToString()),
8 new Claim("age",userInfo.Age.ToString()),
9 new Claim("name",userInfo.Name),
10 new Claim("mobile",userInfo.Mobile),
11 new Claim("email",userInfo.EMail),
12 new Claim("role",userInfo.Role),
13 };
14
15 var token = new JwtSecurityToken(
16 issuer: _configuration["Issuer"], //发行人
17 audience: _configuration["Audience"], //受众人
18 claims: claims,
19 expires: DateTime.UtcNow.AddMinutes(2),//60分钟有效期
20 notBefore: DateTime.UtcNow.AddMinutes(1),//1分钟后有效
21 signingCredentials: signingCredentials);
22 string returnToken = new JwtSecurityTokenHandler().WriteToken(token);
23 return returnToken;
24 }
RSA256算法实现
1 public string GetToken(UserInfoDTO userInfo)
2 {
3 string filepath = Directory.GetCurrentDirectory();
4 RSAParameters rSAParameter = default(RSAParameters);
5 //没有生成过私钥文件,就创建,否则读取私钥
6 if (!File.Exists(Path.Combine(filepath, "key.private.json")))
7 {
8 rSAParameter = GenerateAndSaveKey(filepath);
9 }
10 else
11 {
12 rSAParameter = JsonConvert.DeserializeObject<RSAParameters>(File.ReadAllText(Path.Combine(filepath, "key.private.json")));
13 }
14
15 var signingCredentials = new SigningCredentials(new RsaSecurityKey(rSAParameter), SecurityAlgorithms.RsaSha256);
16 var claims = new Claim[] {
17 new Claim("id",userInfo.Id.ToString()),
18 new Claim("age",userInfo.Age.ToString()),
19 new Claim("name",userInfo.Name),
20 new Claim("mobile",userInfo.Mobile),
21 new Claim("email",userInfo.EMail),
22 new Claim("role",userInfo.Role),
23 };
24
25 var token = new JwtSecurityToken(
26 issuer: _configuration["Issuer"], //发行人
27 audience: _configuration["Audience"], //受众人
28 claims: claims,
29 expires: DateTime.UtcNow.AddMinutes(60),//60分钟有效期
30 notBefore: DateTime.UtcNow.AddMinutes(1),//1分钟后有效
31 signingCredentials: signingCredentials);
32 string returnToken = new JwtSecurityTokenHandler().WriteToken(token);
33 return returnToken;
34 }
在postman中请求:

将返回的jwt拿到jwt官网解析即可看到已经包含了我们需要传递的内容。因为jwt中传递的内容可以被看到,所以一定不要传递类似密码这类敏感信息

创建一个webapi项目,作为受保护的资源,开启权限认证,并使用jwt作为鉴权方式
1 services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
2 .AddJwtBearer(configureOptions =>
3 {
4 configureOptions.TokenValidationParameters = new TokenValidationParameters
5 {
6 ValidAudience = Configuration["Audience"],
7 ValidateAudience = true,
8 ValidIssuer = Configuration["Issuer"],
9 ValidateIssuer = true,
10 ValidateLifetime = false,
11 LifetimeValidator = (notBefore, expires, securityToken, validationParameters) => {
12 DateTime now = DateTime.UtcNow;
13 if (now.CompareTo(notBefore) < 0 || now.CompareTo(expires) > 0)
14 return false;
15 return true;
16 },
17 IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["SercetKey"])), //对称加密方式,获取密钥
18 //IssuerSigningKey = new RsaSecurityKey(GetPulicKey()), //非对称加密方式,获取第三方提供的公钥
19 ValidateIssuerSigningKey = true,
20
21 };
22 });
不传递token请求受保护的api,则会返回401

加上获取的token,则可以正常请求

项目源码链接: https://pan.baidu.com/s/1u9Lu7rLq7swSXOdV_sNh-g?pwd=mxfg
JWT中token的理解的更多相关文章
- Jwt 中 token应该存储到哪里?
关于 token 的存储问题 JWT: csrf 攻击无法获取第三方的 cookie,而是直接使用 cookie进行查询的时候会自动携带 cookie. xss攻击通过代码注入可以获取 cookie. ...
- jwt的token如何使用
JWT简介: JWT(JSON WEB TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式).它是在Web环境下 ...
- ASP.NET WebApi 基于JWT实现Token签名认证
一.前言 明人不说暗话,跟着阿笨一起玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将会是需要思考的问题.在ASP.NET WebServi ...
- 国服最强JWT生成Token做登录校验讲解,看完保证你学会!
转载于:https://blog.csdn.net/u011277123/article/details/78918390 Free码农 2017-12-28 00:08:02 JWT简介 JWT(j ...
- SpringBoot集成JWT实现token验证
原文:https://www.jianshu.com/p/e88d3f8151db JWT官网: https://jwt.io/ JWT(Java版)的github地址:https://github. ...
- 基于JWT的Token开发案例
代码地址如下:http://www.demodashi.com/demo/12531.html 0.准备工作 0-1运行环境 jdk1.8 maven 一个能支持以上两者的代码编辑器,作者使用的是ID ...
- 利用jwt生成token,用于http请求身份验证
前段时间在做移动端接口过程中,考虑到安全性,所有移动端发送请求(除了登录请求)过程中进行token有效验证. 1.利用jwt生成token a.导入jwt相关包 <!-- jwt --> ...
- cookie,session,token的理解
Get POST 区别异同点 淘宝token的 理解 过程算法 防止伪造请求 伪造相对难 简单发展史 登录的操作: 哪些人往自己的购物车中放商品, 也就是说我必须把每个人区分开,这就是一个 ...
- tp5使用jwt生成token,做api的用户认证
首先 composer 安装 firebase/php-jwt github:https://github.com/firebase/php-jwt composer require firebas ...
随机推荐
- Git 07 IDEA集成Git
参考源 https://www.bilibili.com/video/BV1FE411P7B3?spm_id_from=333.999.0.0 版本 本文章基于 Git 2.35.1.2 IDEA 是 ...
- String vs StringBuffer vs StringBuilder
String vs StringBuffer vs StringBuilder 本文翻译自:https://www.digitalocean.com/community/tutorials/strin ...
- 【Java】学习路径55-练习:制作一个聊天室(多线程、UDP、双向传输数据)
创建四个类,实现双向聊天的功能. 接收线程: import java.io.IOException; import java.net.*; public class ReceiveThread imp ...
- 在Laravel框架blog中,终端的一些命令
创建控制器php artisan make:controller TestController数据库迁移php artisan make:migration create_goods_table实行迁 ...
- 一次较波折的MySQL调优
春节长假某日,阳光明媚,春暖花开,恰逢冬奥会开幕,想着一定是一个黄道吉日,必能顺风顺水.没想到却遇到一个有点小波折 的客户报障. 01故障起因 故障起因是客户前一天从自建MySQL迁移到云上RDS,在 ...
- 仙人指路,引而不发,Go lang1.18入门精炼教程,由白丁入鸿儒,Golang中New和Make函数的使用背景和区别EP16
Golang只有二十五个系统保留关键字,二十几个系统内置函数,加起来只有五十个左右需要记住的关键字,纵观编程宇宙,无人能出其右.其中还有一些保留关键字属于"锦上添花",什么叫锦上添 ...
- 【读书笔记】C#高级编程 第二章 核心C#
(一)第一个C#程序 创建一个控制台应用程序,然后输入代码,输入完毕后点击F5 Console.WriteLine();这条语句的意思:把括号内的内容输出到界面上: Console.ReadKey() ...
- Hive的基本知识与操作
Hive的基本知识与操作 目录 Hive的基本知识与操作 Hive的基本概念 为什么使用Hive? Hive的特点: Hive的优缺点: Hive应用场景 Hive架构 Client Metastor ...
- Openstack Neutron : 安全
目录 - iptable:起源 - tables - chains - rules - 方向 - Security group 安全组: - Firewall 防火墙: - 更高的安全 - 无处安放的 ...
- java script 日常学习 正则表达式
<!DOCTYPE html><html><head> <title>函数的运用</title> <meta charset=&quo ...