JWT JWS JWE
Json Web Token(JWT)
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在两个组织之间传递安全可靠的信息。
现在网上大多数介绍JWT的文章实际介绍的都是JWS(JSON Web Signature),也往往导致了人们对于JWT的误解,但是JWT并不等于JWS,JWS只是JWT的一种实现,除了JWS外,JWE(JSON Web Encryption)也是JWT的一种实现。
JWT与JWE的两种实现方式:
JSON Web Signature(JWS)
JSON Web Signature是一个有着简单的统一表达形式的字符串:
头部(Header)
头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。 JSON内容要经Base64 编码生成字符串成为Header。
载荷(PayLoad)
payload的五个字段都是由JWT的标准所定义的。
iss: 该JWT的签发者
sub: 该JWT所面向的用户
aud: 接收该JWT的一方
exp(expires): 什么时候过期,这里是一个Unix时间戳
iat(issued at): 在什么时候签发的
后面的信息可以按需补充。 JSON内容要经Base64 编码生成字符串成为PayLoad。
签名(signature)
这个部分header与payload通过header中声明的加密方式,使用密钥secret进行加密,生成签名。 JWS的主要目的是保证了数据在传输过程中不被修改,验证数据的完整性。但由于仅采用Base64对消息内容编码,因此不保证数据的不可泄露性。所以不适合用于传输敏感数据。
JSON Web Encryption(JWE)
相对于JWS,JWE则同时保证了安全性与数据完整性。 JWE由五部分组成:
JWE组成
具体生成步骤为:
JOSE含义与JWS头部相同。
生成一个随机的Content Encryption Key (CEK)。
使用RSAES-OAEP 加密算法,用公钥加密CEK,生成JWE Encrypted Key。
生成JWE初始化向量。
使用AES GCM加密算法对明文部分进行加密生成密文Ciphertext,算法会随之生成一个128位的认证标记Authentication Tag。 6.对五个部分分别进行base64编码。
可见,JWE的计算过程相对繁琐,不够轻量级,因此适合与数据传输而非token认证,但该协议也足够安全可靠,用简短字符串描述了传输内容,兼顾数据的安全性与完整性。
JWT JWS JWE相关推荐
- JWT JWS JWE三者区别
JWT & JWS & JWE JWT : Json Web Token Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准( ...
- 【JWT】JWT JWS JWE | 在线JWS解析工具
JWT.JWS.JWE 主要参考: https://www.51cto.com/article/630971.html 辅助参考: https://www.jianshu.com/p/50ade6f2 ...
- 一文读懂JWT,JWS,JWE
点击上方"后端技术精选",选择"置顶公众号" 技术文章第一时间送达! 作者:zh_coder https://blog.csdn.net/hellowordap ...
- 一篇文章带你分清楚JWT,JWS与JWE
随着移动互联网的兴起,传统基于session/cookie的web网站认证方式转变为了基于OAuth2等开放授权协议的单点登录模式(SSO),相应的基于服务器session+浏览器cookie的Aut ...
- JJWT:JWS, JWE, JWK, JWA, JWT
JWS, JWE, JWK, JWA, JWT JWS:JSON Web Signature,Digital signature/HMAC specification(签名) JWE:JSON Web ...
- java jwe/jws_一篇文章带你分清楚JWT,JWS与JWE
随着移动互联网的兴起,传统基于session/cookie的web网站认证方式转变为了基于OAuth2等开放授权协议的单点登录模式(SSO),相应的基于服务器session+浏览器cookie的Aut ...
- JWT,JWS与JWE区别
JWT,JWS与JWE区别 原文:https://www.jianshu.com/p/50ade6f2e4fd 随着移动互联网的兴起,传统基于session/cookie的web网站认证方式转变为了基 ...
- JWT、JWE、JWS 、JWK 到底是什么?该用 JWT 还是 JWS?
JWT 相信很多小伙伴都知道,JSON Web Token,如果在项目中通过 jjwt 来支持 JWT 的话,可能只需要了解 JWT 一个概念即可,但是现在很多时候我们可能不是使用 jjwt,而是选择 ...
- 面试官: 你知道 JWT、JWE、JWS 、JWK嘛?
想起了 之前做过的 很多 登录授权 的项目 它相比原先的session.cookie来说,更快更安全,跨域也不再是问题,更关键的是更加优雅 ,所以今天总结了一篇文章来介绍他 JWT 指JSON Web ...
最新文章
- moss得log文件不断增长的解决办法
- String类型数组 根据首字母排序
- 【BZOJ4069】【APIO2015】巴厘岛的雕塑 [贪心][DP]
- flink 三种时间机制_Flink的时间与watermarks详解
- DL之BP:神经网络算法简介之BP算法简介(链式法则/计算图解释)、案例应用之详细攻略
- 区块链BaaS云服务(18)华为 BCS“跨链”
- ZkServer服务启动的逻辑-NIOServerCnxnFactory.start
- AVC sequence header AAC sequence header
- SAP Spartacus的Responsive和adaptive特性
- 内存条上面参数详解_为什么买内存条要看时序?别以为内存频率高性能就好
- 一款可留言的恋爱计时HTML源码
- xp本地服务器虚拟目录创建,WindowsXp系统怎么创建虚拟目录
- 单片机的C语言中位操作用法
- IOS 使用webview 显示 doc/docx/xls/pdf等
- unity 字体 素材_unity中文字体制作工具
- AUTOCAD——坐标标注
- 实践论和矛盾论是任何人必修的一课
- 【IEEE】IEEE论文接收后proof(校样)全流程实例讲解
- 一个大二渣渣准程序员的感动
- 游戏开发心得——书籍篇——《游戏引擎框架》-导论