服务器验证JWT_token的过程

旧城等待， 2023-10-04 21:19 17阅读 0赞

> Json Web Toke（JWT）是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准RFC7519。

#### 一、先讲加密： ####

众所周知，JWT token 由三部分组成：`Header.Payload.Signature`，其中 Signature 的加密形式为：

HMACSHA256(
      base64UrlEncode(Header) + "." 
      + base64UrlEncode(Payload),
      secret_key)

由上面可以知道，Signature 的加密方式为`哈希算法`，其过程不可逆，也就是说加密后就不可逆，Signature 本身为一串哈希值。（**注意**：secret\_key 作为本次哈希加密的盐值，只存在于各大服务器中，不可泄露）

[RFC 7518 - JSON Web Algorithms (JWA)][RFC 7518 - JSON Web Algorithms _JWA] 中给出的 JWT 算法列表如下：

+--------------+-------------------------------+--------------------+
    | "alg" Param  | Digital Signature or MAC      | Implementation     |
    | Value        | Algorithm                     | Requirements       |
    +--------------+-------------------------------+--------------------+
    | HS256        | HMAC using SHA-256            | Required           |
    | HS384        | HMAC using SHA-384            | Optional           |
    | HS512        | HMAC using SHA-512            | Optional           |
    | RS256        | RSASSA-PKCS1-v1_5 using       | Recommended        |
    |              | SHA-256                       |                    |
    | RS384        | RSASSA-PKCS1-v1_5 using       | Optional           |
    |              | SHA-384                       |                    |
    | RS512        | RSASSA-PKCS1-v1_5 using       | Optional           |
    |              | SHA-512                       |                    |
    | ES256        | ECDSA using P-256 and SHA-256 | Recommended+       |
    | ES384        | ECDSA using P-384 and SHA-384 | Optional           |
    | ES512        | ECDSA using P-521 and SHA-512 | Optional           |
    | PS256        | RSASSA-PSS using SHA-256 and  | Optional           |
    |              | MGF1 with SHA-256             |                    |
    | PS384        | RSASSA-PSS using SHA-384 and  | Optional           |
    |              | MGF1 with SHA-384             |                    |
    | PS512        | RSASSA-PSS using SHA-512 and  | Optional           |
    |              | MGF1 with SHA-512             |                    |
    | none         | No digital signature or MAC   | Optional           |
    |              | performed                     |                    |
    +--------------+-------------------------------+--------------------+

#### 二、验证过程 ####

服务器在接收到 token 后，会将 `Header.Payload` 先提取出来，然后按照之前加密的方式一样，对其进行哈希运算，最终得到一串新的哈希值。

# 这里的加密方式与原先一样
    HMACSHA256(
      base64UrlEncode(Header) + "." 
      + base64UrlEncode(Payload),
      secret_key)

服务器将新的哈希值与请求携带过来的 `Signature` 进行比较，如果一模一样则认证成功；不一样则认证失败。

#### 三、总结 ####

最后总结一下，这种验证方式最主要的安全措施就是把哈希运算的盐值 `secret_key` 始终保存在各大服务器中，并不对外公布。  
但是如果盐值泄露则会造成不可挽回的损失，即其他人也可以拿着盐值对任意用户进行签名，伪造登录。那么如何才能避免这种情况呢？请看我的下一篇博客：[使用非对称加密加强JWT验证][JWT]

[RFC 7518 - JSON Web Algorithms _JWA]: https://tools.ietf.org/html/rfc7518
[JWT]: https://blog.csdn.net/qq_35760825/article/details/129029468

发表评论取消回复

表情：

评论列表（有 0 条评论，17人围观）

还没有评论，来说两句吧...

相关阅读

相关 Java安全认证：JWTtoken失效问题详解

JWT（JSON Web Token）是Java安全认证中常用的一种方式，它通过JSON格式在客户端和服务器之间传递信息，并且包含了身份验证和权限控制的功能。 JWT tok

不念不忘少年蓝@/ 2024年10月13日 00:24/ 0 赞/ 76 阅读

相关 SpringSecurity结合JwtToken验证(后端部分)

SpringSecurity结合JwtToken验证简介：本文在SpringSecurity基础公共之上，整合JwtToken功能，本文是后端部分。对于Spring

以你之姓@/ 2024年03月26日 22:17/ 0 赞/ 107 阅读

相关服务器验证JWT_token的过程

> Json Web Toke（JWT）是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准RFC7519。一、先讲加密：众所周知，JWT token

旧城等待，/ 2023年10月04日 21:19/ 0 赞/ 18 阅读

相关使用Python生成和解码JWTToken

一种用以产生访问令牌（token）的开源标准；是目前Token鉴权机制下最流行的方案。 PyJWT是一个[Python][]库，[官方文档][Link 1]，安装如下：`p

梦里梦外;/ 2023年10月04日 17:36/ 0 赞/ 50 阅读

相关 DotnetCore 使用Jwks验证JwtToken签名

[Fact] public async Task VerfiyJwtTokenUseJwks() { var jwt = @"

秒速五厘米/ 2023年08月17日 17:46/ 0 赞/ 170 阅读

相关 05 【若依框架解读】登录认证JWTtoken验证机制

背景今天讲下若依框架对于登录认证方面的实现，这个方面若依做的不算太好，如果项目中想用的话需要参考其他框架的实现，做的更好一些。我建议是前后端放在一起来看，单纯看后端

柔情只为你懂/ 2022年12月27日 01:23/ 0 赞/ 3902 阅读

相关 AccessToken和JwtToken使用经验

AccessToken和JwtToken使用经验 AccessToken 优点：刷新令牌后，上一个令牌失效缺点：不支持加密传输数据 JwtToken 优点：支

迈不过友情╰/ 2022年11月15日 12:54/ 0 赞/ 297 阅读

相关汇编验证过程

汇编简单验证过程 .section .text .global _start _start: movl $0x50f498cd, %ea

落日映苍穹つ/ 2022年02月17日 07:17/ 0 赞/ 235 阅读

相关 Webx服务器端验证

Webx3支持服务器端验证，目前还不支持客户端验证。服务器端验证配置在form.xml中，配置大致如下： 1. <?xmlversion="1.0"encoding="UT

不念不忘少年蓝@/ 2022年02月02日 04:37/ 0 赞/ 252 阅读

相关 HTTPS客户端验证服务器端的过程

理解HTTPS客户端验证服务器端的过程转载自[https://www.cnblogs.com/kabi/p/6200434.html][https_ww

男娘i/ 2022年01月11日 12:17/ 0 赞/ 298 阅读