当前位置：首页 > news >正文

JWT原理

news 2026/2/9 20:31:07

JWT 介绍
JWT（JSON Web Token）是一个开放标准（RFC 7519），它定义了一种简洁的、自包含的方法用于通信双方之间以 JSON 对象的形式安全地传输信息。这种信息可以被验证和信任，因为它是数字签名的。JWT通常用于互联网应用程序中，用于身份验证和授权。
JWT 和传统 Token 的区别

	JWT	传统 Token
存储位置	JWT通常存储在客户端	传统的Token如Cookies和Session Tokens通常在服务器端存储状态
传输方式	JWT作为HTTP请求的一部分传输，可以直接在请求的Header中	传统Token通常通过Cookie在浏览器和服务器之间传输
状态管理	JWT是自包含的，不依赖于服务器的会话状态，减轻服务器负担。	传统Token通常与服务器的会话状态绑定，服务器需要存储用户的会话信息，这可能导致更高的服务器负载和状态管理复杂性。
安全性和隐私	JWT的所有信息都是加密的，并且可以设置权限，只有拥有正确密钥的用户才能解码信息。但是，如果密钥被泄露，那么所有的JWT都可能受到影响。	不包含敏感信息，因此不加密
跨域使用	由于 JWT 不依靠服务器状态，可以在不同域之间请求和传递用户信息，因此适合跨域请求	传统Token在跨域请求中可能需要服务器配置CORS（跨源资源共享）策略

JWT 组成部分
JWT由三部分组成：

头部（Header）：这部分通常是一个JSON对象，描述了JWT的签名算法和其它元数据。
有效载荷（Payload）：这部分也通常是一个JSON对象，包含了发行方信息、用户信息、过期时间等声明。
签名（Signature）：这是header和payload的数字签名，使用header中指定的签名算法生成，用于验证JWT的完整性和真实性。

由于JWT是自包含的，所以它不需要在服务器上存储状态，这减少了攻击面，并允许用户在没有状态的系统中进行认证。同时，由于JWT是在客户端和服务器之间传输的，所以它也易于跨域使用。
以下是一段 JWT的内容，我们需要找到令牌中的用户名
在这里插入图片描述
令牌详细部分如下

eyJhbGciOiJIUzI1NiJ9.ew0KICAiYXV0aG9yaXRpZXMiIDogWyAiUk9MRV9BRE1JTiIsICJST0xFX1VTRVIiIF0sDQogICJjbGllbnRfaWQiIDogIm15LWNsaWVudC13aXRoLXNlY3JldCIsDQogICJleHAiIDogMTYwNzA5OTYwOCwNCiAgImp0aSIgOiAiOWJjOTJhNDQtMGIxYS00YzVlLWJlNzAtZGE1MjA3NWI5YTg0IiwNCiAgInNjb3BlIiA6IFsgInJlYWQiLCAid3JpdGUiIF0sDQogICJ1c2VyX25hbWUiIDogInVzZXIiDQp9.9lYaULTuoIDJ86-zKDSntJQyHPpJ2mZAbnWRfel99iI

其中：

header 部分为eyJhbGciOiJIUzI1NiJ9

payload部分为ew0KICAiYXV0aG9yaXRpZXMiIDogWyAiUk9MRV9BRE1JTiIsICJST0xFX1VTRVIiIF0sDQogICJjbGllbnRfaWQiIDogIm15LWNsaWVudC13aXRoLXNlY3JldCIsDQogICJleHAiIDogMTYwNzA5OTYwOCwNCiAgImp0aSIgOiAiOWJjOTJhNDQtMGIxYS00YzVlLWJlNzAtZGE1MjA3NWI5YTg0IiwNCiAgInNjb3BlIiA6IFsgInJlYWQiLCAid3JpdGUiIF0sDQogICJ1c2VyX25hbWUiIDogInVzZXIiDQp9

signature部分为9lYaULTuoIDJ86-zKDSntJQyHPpJ2mZAbnWRfel99iI

通过放入解码平台我们可以看到解密后的文件，找出解密后的用户名从而通关靶场

在这里插入图片描述
用户在成功对服务器进行身份验证后使用用户名和密码登录返回。服务器创建一个新令牌，并将此令牌返回给客户端。当客户端连续调用服务器，在“Authorization”标头中附加新令牌。服务器读取令牌并首先验证签名，验证成功后，服务器使用令牌中用于标识用户的信息。

JWT原理

相关文章：

JWT原理

操作系统：一款纯正的“管理”软件

Mac笔记本聚焦SpotLight占用内存太高的解法

C++中.h和.hpp文件有什么区别？

MongoDB聚合运算符：$derivative

面试官：如果你现在有20个Spring Boot微服务，如何监视所有这些Spring Boot微服务？

冯诺依曼模型

高低拖延个体的任务决策及执行差异

数据分析Pandas专栏---第十三章＜Pandas训练题(初)＞

Delete `␍`eslint(prettier/prettier) 错误的解决方案

第3周 Python字典、集合刷题

文字校对的首选——爱校对：用户真实反馈汇编

Llama-3即将发布：Meta公布其庞大的AI算力集群

【JAVA】Date、LocalDate、LocalDateTime 详解，实践应用

分布式链路追踪（一）SkyWalking（1）介绍与安装

蓝桥杯历年真题省赛之 2016年第七届生日蜡烛

SCAU 8580 合并链表

Docker安装Gitlab

浅淡 C++ 与 C++ 入门

学习和认知的四个阶段，以及学习方法分享

【大模型RAG】拍照搜题技术架构速览：三层管道、两级检索、兜底大模型

Auto-Coder使用GPT-4o完成：在用TabPFN这个模型构建一个预测未来3天涨跌的分类任务

MySQL账号权限管理指南：安全创建账户与精细授权技巧

在鸿蒙HarmonyOS 5中使用DevEco Studio实现企业微信功能

TSN交换机正在重构工业网络，PROFINET和EtherCAT会被取代吗？

从零开始了解数据采集（二十八）——制造业数字孪生

Xcode 16 集成 cocoapods 报错

Python环境安装与虚拟环境配置详解

【技巧】dify前端源代码修改第一弹-增加tab页

联邦学习带宽资源分配