一篇文章带你分清楚JWT,JWS与JWE

网络 网络管理
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在两个组织之间传递安全可靠的信息。

随着移动互联网的兴起,传统基于session/cookie的web网站认证方式转变为了基于OAuth2等开放授权协议的单点登录模式(SSO),相应的基于服务器session+浏览器cookie的Auth手段也发生了转变,Json Web Token出现成为了当前的热门的Token Auth机制。

Json Web Token(JWT)

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在两个组织之间传递安全可靠的信息。

官方定义:JSON Web Token (JWT) is a compact URL-safe means of representing claims to be transferred between two parties

一篇文章带你分清楚JWT,JWS与JWE

JWT Auth

现在网上大多数介绍JWT的文章实际介绍的都是JWS(JSON Web Signature),也往往导致了人们对于JWT的误解,但是JWT并不等于JWS,JWS只是JWT的一种实现,除了JWS外,JWE(JSON Web Encryption)也是JWT的一种实现。

下面就来详细介绍一下JWT与JWE的两种实现方式:

一篇文章带你分清楚JWT,JWS与JWE

JWT,JWS与JWE

JSON Web Signature(JWS)

JSON Web Signature是一个有着简单的统一表达形式的字符串:

一篇文章带你分清楚JWT,JWS与JWE

JWS

1. 头部(Header)

头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。

JSON内容要经Base64 编码生成字符串成为Header。

2. 载荷(PayLoad)

payload的五个字段都是由JWT的标准所定义的。

  • iss: 该JWT的签发者
  • sub: 该JWT所面向的用户
  • aud: 接收该JWT的一方
  • exp(expires): 什么时候过期,这里是一个Unix时间戳
  • iat(issued at): 在什么时候签发的

后面的信息可以按需补充。

JSON内容要经Base64 编码生成字符串成为PayLoad。

3. 签名(signature)

这个部分header与payload通过header中声明的加密方式,使用密钥secret进行加密,生成签名。

JWS的主要目的是保证了数据在传输过程中不被修改,验证数据的完整性。但由于仅采用Base64对消息内容编码,因此不保证数据的不可泄露性。所以不适合用于传输敏感数据。

JSON Web Encryption(JWE)

相对于JWS,JWE则同时保证了安全性与数据完整性。

JWE由五部分组成:

一篇文章带你分清楚JWT,JWS与JWE

JWE组成

具体生成步骤为:

  • JOSE含义与JWS头部相同。
  • 生成一个随机的Content Encryption Key (CEK)。
  • 使用RSAES-OAEP 加密算法,用公钥加密CEK,生成JWE Encrypted Key。
  • 生成JWE初始化向量。
  • 使用AES GCM加密算法对明文部分进行加密生成密文Ciphertext,算法会随之生成一个128位的认证标记Authentication Tag。
  • 对五个部分分别进行base64编码。

可见,JWE的计算过程相对繁琐,不够轻量级,因此适合与数据传输而非token认证,但该协议也足够安全可靠,用简短字符串描述了传输内容,兼顾数据的安全性与完整性。

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2022-02-21 09:44:45

Git开源分布式

2023-05-12 08:19:12

Netty程序框架

2021-06-30 00:20:12

Hangfire.NET平台

2020-11-05 12:07:12

JWTJWS前端

2020-02-28 11:29:00

ElasticSear概念类比

2021-07-01 10:01:16

JavaLinkedList集合

2022-12-14 08:03:27

CSS变量前端

2021-06-04 09:56:01

JavaScript 前端switch

2021-02-02 18:39:05

JavaScript

2021-01-29 18:41:16

JavaScript函数语法

2020-11-10 10:48:10

JavaScript属性对象

2021-05-15 09:18:04

Python进程

2023-09-06 14:57:46

JavaScript编程语言

2024-04-19 14:23:52

SwitchJavaScript开发

2023-07-30 15:18:54

JavaScript属性

2021-09-27 09:18:30

ListIterato接口方法

2023-05-08 08:21:15

JavaNIO编程

2021-03-05 18:04:15

JavaScript循环代码

2024-01-30 13:47:45

2021-02-26 20:01:57

SVG滤镜元素
点赞
收藏

51CTO技术栈公众号