首页 > 其他分享 >jwt验证原理

jwt验证原理

时间:2022-09-23 14:14:17浏览次数:57  
标签:加密 验证 JWT jwt header token 服务器 原理

一、jwt原理

  • 服务器认证以后,签名生成一个 JSON 对象,发回给用户;之后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器就不保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展。这个对象,可以携带在访问的header中,或者body中、也可以是url中;
  • JWT 由三个部分组成:Header(头部)、Payload(负载)、Signature(签名)

 

header:保存元信息,签名的算法等;
Payload:存放实际需要传递的数据;
Signature:对前两部分的利用header中定义的算法来签名;

JWT缺陷

  • JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次;当不加密时,token中不要携带重要信息;
  • 由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
  • 为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输;

标签:加密,验证,JWT,jwt,header,token,服务器,原理
From: https://www.cnblogs.com/wuchangblog/p/16722508.html

相关文章