51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

闲鱼面试:说说JWT工作原理?

作者:磊哥
开发 前端
你可以把 JWT 想象成一张小巧的、自包含的电子通行证。这张通行证里面包含了用户的身份信息,就像你在某个俱乐部的会员卡,上面有你的名字、会员等级等信息,拿着这张卡,你就能证明你是谁,享受相应的服务。

JWT(JSON Web Token)一种开放的标准规范(RFC 7519),用于在网络上安全的传输信息,通常被用于身份验证。

简单来说,你可以把 JWT 想象成一张小巧的、自包含的电子通行证。这张通行证里面包含了用户的身份信息,就像你在某个俱乐部的会员卡,上面有你的名字、会员等级等信息,拿着这张卡,你就能证明你是谁,享受相应的服务。

1.JWT组成

JWT 由三部分组成:头部(Header)、载荷(Payload)和签名(Signature),如下图所示:

  • 头部(Header):包含了关于生成该 JWT 的信息以及所使用的算法类型。
  • 载荷(Payload):包含了要传递的数据,例如身份信息和其他附属数据。JWT 官方规定了 7 个字段,可供使用:
  1. iss (Issuer):签发者。
  2. sub (Subject):主题。
  3. aud (Audience):接收者。
  4. exp (Expiration time):过期时间。
  5. nbf (Not Before):生效时间。
  6. iat (Issued At):签发时间。
  7. jti (JWT ID):编号。
  • 签名(Signature):使用密钥对头部和载荷进行签名,以验证其完整性。

JWT 官网:https://jwt.io/

2.JWT工作原理

JWT 工作原理包含三部分:

  • 生成 JWT
  • 传输 JWT
  • 验证 JWT

下面分别来看。

(1)生成JWT

在用户登录时,当服务器端验证了用户名和密码的正确性后,会根据用户的信息,如用户 ID 和用户名称,加上服务器端存储的 JWT 秘钥一起来生成一个 JWT 字符串,也就是我们所说的 Token,这个 Token 是 Encoded 编码过的,类似于:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Decoded 解码后会得到三部分内容:头部(Header)+载荷(Payload)+签名(Signature)。

  1. 头部(Header):包含了关于生成该 JWT 的信息以及所使用的算法类型。
  2. 载荷(Payload):包含了要传递的数据,例如身份信息和其他附属数据。
  3. 签名(Signature):使用密钥对头部和载荷进行签名,以验证其完整性。

(2)传输JWT

JWT 通常存储在客户端的 Cookie、LocalStorage、SessionStorage 等位置,客户端在每次请求时把 JWT 放在 Authorization 头中或作为参数传递给服务器端。

(3)验证JWT

  • 服务器端接收到 JWT 的 Token 后,会先将 Token Decoded 解码,之后会得到头部(Header)+载荷(Payload)+签名(Signature)。
  • 然后服务器端会使用它本地存储的秘钥,以及头部(Header)中的加密算法和载荷(Payload)中的信息进行重新加密,得到一个新的签名。
  • 最后会判断 Token 的真伪,用上一步新生成的签名和 Decoded 解码得到的签名(Signature)进行判断,如果二者一致,则说明当前的 Token 有效性的、完整的,可以执行后续的操作了,否则则返回 Token 错误。当然在这一步判断时,我们通常也要看载荷(Payload)中的过期时间是否有效,如果无效,则需要提示用户重新登录。

3.JWT优势

JWT 相较于传统的基于会话(Session)的认证机制,具有以下优势:

  • 无需服务器存储状态:传统的基于会话的认证机制需要服务器在会话中存储用户的状态信息,包括用户的登录状态、权限等。而使用 JWT,服务器无需存储任何会话状态信息,所有的认证和授权信息都包含在 JWT 中,使得系统可以更容易地进行水平扩展。
  • 跨域支持:由于 JWT 包含了完整的认证和授权信息,因此可以轻松地在多个域之间进行传递和使用,实现跨域授权。
  • 适应微服务架构:在微服务架构中,很多服务是独立部署并且可以横向扩展的,这就需要保证认证和授权的无状态性。使用 JWT 可以满足这种需求,每次请求携带 JWT 即可实现认证和授权。
  • 自包含:JWT 包含了认证和授权信息,以及其他自定义的声明,这些信息都被编码在 JWT 中,在服务端解码后使用。JWT 的自包含性减少了对服务端资源的依赖,并提供了统一的安全机制。
  • 扩展性:JWT 可以被扩展和定制,可以按照需求添加自定义的声明和数据,灵活性更高。

使用 JWT 相较于传统的基于会话的认证机制,可以减少服务器存储开销和管理复杂性,实现跨域支持和水平扩展,并且更适应无状态和微服务架构。

责任编辑:姜华 来源: 磊哥和Java
JWT身份验证微服务
相关推荐
面试官:说说线程池的工作原理
Spring项目中,会使用代码可读性更高的ThreadPoolTaskExecutor来创建线程池,虽然它的底层也是通过ThreadPoolExecutor来实现的,但ThreadPoolTaskExecutor可读性更高,因为它不需要在构造方法中设置参数,而是通过属性设置的方式来设置参数的,所以可读性更高。

2024-03-11 18:18:58

项目Spring线程池
哈啰面试说说Dubbo运行原理
Dubbo是一款高性能、轻量级的开源RPC(远程过程调用)框架,主要用于构建分布式服务和微服务架构。那Dubbo又是如何运行的呢?让我们一起来看。

2024-06-20 08:06:51

如何保障交易链路质量
对于每一个大型应用程序来说,接口数量会不断增加,代码变更频率越来越大、系统不定期重构,这个接口的质量怎么来保障?传统编写脚本来进行的方式,投入的人力、时间成本过大,在实际的测试过程中我们探索了一些接口测试的新想法。

2021-07-09 11:29:22

交易链路闲鱼阿里云
阿里面试说说@Async实现原理
以SpringBoot项目为例,我们首先需要在SpringBoot的启动类,也就是带有SpringBootApplication注解的类上添加EnableAsync注解,以开启异步方法执行的支持。

2024-07-05 17:47:21

@Async项目启动类
面试官:说说SpringAOP实现原理
AOP可以通过预编译方式和运行期动态代理的方式来实现,它的主要目的是降低业务逻辑的耦合性,提高程序的可重用性和开发效率。

2024-03-05 10:33:39

AOPSpring编程
面试官:说说@Async实现原理
在AsyncAnnotationAdvisor中,会使用AsyncExecutionInterceptor来处理Async注解,它会在被Async注解标识的方法被调用时,创建一个异步代理对象来执行方法。这个异步代理对象会在一个新的线程中调用被Async注解标识的方法,从而实现方法的异步执行。

2024-08-22 10:39:50

@Async注解代理
面试官:说说读写锁实现原理
ReentrantReadWriteLock(读写锁)是Java并发包(java.util.concurrent.locks)中的一个类,它实现了一个可重入的读写锁。读写锁允许多个线程同时读取共享资源,但在写入共享资源时只允许一个线程进行。

2024-08-12 17:36:54

面试官:说说ConcurrentHashMap底层实现原理
ConcurrentHashMap在JDK1.7时使用的是数据加链表的形式实现的,其中数组分为两类:大数组Segment和小数组HashEntry,而加锁是通过给Segment添加ReentrantLock锁来实现线程安全的。

2024-08-29 16:30:27

面试官:说说MVCC的执行原理
MVCC主要应用于InnoDB引擎中的RC事务隔离级别和RR隔离级别,其中RC隔离级别每次快照读都会生成一个新的ReadView,而RR隔离级别只在第一次快照读时生成ReadView,之后会复用ReadView,从而解决了(部分)幻读问题。

2023-12-27 18:16:39

MVCC隔离级别幻读
面试官:说说MVCC的执行原理
MVCC的实现主要依赖读视图ReadView和UndoLog链,通过ReadView中的4个字段,判断要读取UndoLog中数据,从而解决了数据库并发访问中,数据一致性的问题。

2024-11-19 15:13:02

面试官:说说Volatile底层实现原理
我们知道Synchronized底层是通过监视器Monitor实现的,ReentrantLock底层是通过AQS的CAS实现的,那Volatile的底层是如何实现的?

2024-02-29 16:49:20

volatileJava并发编程
字节面试说说零拷贝技术实现原理
零拷贝技术可以利用Linux下的MMap、sendFile等手段来实现,使得数据能够直接从磁盘映射到内核缓冲区,然后通过DMA传输到网卡缓存,整个过程中CPU只负责管理和调度,而无需执行实际的数据复制指令。

2024-06-24 00:09:00

零拷贝技术MMapsendFile
在数据聚合上的探索与实践
闲鱼在降低开发成本,提高整体效率上做了一些尝试和实践。本文介绍闲鱼从数据聚合方面进行了一些探索和尝试,以及Graphql的引入给闲鱼带了研发效率的提升。

2018-08-25 14:07:24

数据聚合闲鱼前端
说说你对Redux的理解?其工作原理
React是用于构建用户界面的,帮助我们解决渲染DOM的过程,而在整个应用中会存在很多个组件,每个组件的state是由自身进行管理,包括组件定义自身的state、组件之间的通信通过props传递、使用Context实现数据共享

2021-07-16 07:57:34

ReduxDOM组件
面试官:说说零拷贝的实现原理
零拷贝技术可以利用Linux下的MMap、sendFile等手段来实现,使得数据能够直接从磁盘映射到内核缓冲区,然后通过DMA传输到网卡缓存,整个过程中CPU只负责管理和调度,而无需执行实际的数据复制指令。

2024-03-22 06:56:24

零拷贝技术数据传输数据拷贝
面试官:如何理解CDN?说说实现原理
构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。

2021-05-20 08:34:03

CDN原理网络
面试官:说说零拷贝的实现原理
使用零拷贝技术可以减少CPU拷贝,及减少了上下文的切换带来的性能开销,提高了程序的整体执行效率。

2024-09-20 08:36:43

零拷贝数据传输DMA
快手面试说说MySQL主从复制原理
MySQL主从复制用于多个数据库服务器之间的数据同步,它可以提供高可用性、提高数据库整体性能和吞吐量,以及可以进行数据备份和数据库恢复。

2024-07-04 17:22:23

面试官:说说Spring中IoC实现原理
IoC实现方式有很多种,例如依赖注入(DI)或依赖查找等,但DI是实现IoC的一种常见实现方法,它通过将依赖项注入到对象中来实现控制反转。

2024-03-28 10:37:44

IoC依赖注入依赖查找
面试官:说说零拷贝的实现原理
无论是传统IO,还是零拷贝,其中两次DMA拷贝都不能省略,这是为什么?零拷贝技术除了MMap和sendFile()之外,还有没有其他的技术实现?

2024-07-31 08:28:37

DMAIOMMap
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服