一文精通JWT Token、ID Token、Access Token、Refresh Token

已于 2025-02-21 20:07:58 修改
阅读量1.8k 收藏 10
点赞数 45
分类专栏: 架构之海 文章标签: Access Token Id Token Refresh Token JWT Token
于 2025-02-21 19:29:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feeltouch/article/details/145764306
版权

JWT Token

JSON Web Token (JWT,RFC 7519 (opens new window)),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519)。该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该 token 也可直接被用于认证,也可被加密。

JWT认证流程

用户认证的流程

  • 用户使用账号(手机/邮箱/用户名)密码请求服务器
  • 服务器验证用户账号是否和数据库匹配
  • 服务器通过验证后发送给客户端一个 JWT Token
  • 客户端存储 Token,并在每次请求时携带该 Token
  • 服务端验证 Token 值,并根据 Token 合法性返回对应资源

JWT Token的标准样式

JWT标准的令牌由三部分组成,这些部分均是URL安全的Base64编码的字符串,并且用点(.)分隔:

  • Header(头部)

  • Payload(有效载荷)

  • Signature(签名)

因此,一个典型的JWT看起来像这样:

xxxxx.yyyyy.zzzzz


每一部分的详细说明如下:

1. Header

Header通常由两部分组成:令牌的类型(即JWT)和签名使用的算法(如HS256)。例如:

{
  "alg": "HS256",
  "typ": "JWT"
}

然后将这个JSON对象进行Base64编码,得到Header部分。

2. Payload

Payload包含了要传递的实际声明信息,比如用户的ID、声明的权限、到期时间(exp)等。例如:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true,
  "iat": 1516239022
}

这个JSON对象也会被进行Base64编码,形成Payload部分。

3. Signature

Signature部分是对前两部分进行签名的,确保发出的信息未被篡改。它需要使用HEADER中指定的算法来进行计算,并且需要使用一个密钥(只有服务器知道)。具体步骤如下:

  • 将HEADER和PAYLOAD的Base64编码值连接起来,用点(.)分隔。
  • 使用指定的算法(如HS256)和密钥对上述连接的字符串进行签名。
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

最终的Signature部分就是这个签名值的Base64编码结果。

如果我们将上面的Header和Payload进行Base64编码,并假设使用了一个密钥来计算出Signature,那么完整的JWT可能看起来像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMH yaJr9inatingTypingThisIntoABrowserIsProbablyAGoodIdea

客户端附带 JWT Token 的方式

用户在完成认证后会返回开发者一个 JWT Token,开发者需将此 Token 存储于客户端,然后将此 Token 发送给开发者受限的后端服务器进行验证。

建议使用 HTTP Header Authorization 的形式携带 Token,以下以 JavaScript 的 axios 库为例示范如何携带:

const axios = require("axios");
axios
  .get({
    url: "https://yourd
最低0.47元/天 解锁文章
Token设计:Access TokenRefresh Token
常备不懈
08-07 2132
在现代Web应用中,身份验证和授权是确保安全性的关键部分。Access TokenRefresh Token是用于这一过程的重要组件。
JWT token心得与使用实例
热门推荐
God Liao On The Way
06-20 6万+
本文你能学到什么?token的组成 token串的生成流程。 token在客户端与服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码JWT token的组成头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符
JWT TokenID TokenAccess TokenRefresh Token
乌龟的专栏
02-22 8419
JWT TokenID TokenAccess TokenRefresh Token
【概念】什么是 JWT Token
最新发布
weixin_44174312的博客
04-26 787
(访问用的,短生命周期,比如 15分钟)(续命用的,长生命周期,比如 7天、30天)前端拿着 Refresh Token 向服务器请求一个新的 Access Token用户无感知刷新,不用重新登录![第一次登录] ->服务器发回 { accessToken + refreshToken } ->前端保存起来每次访问 -> 带上 accessToken如果 accessToken 过期 ->用 refreshToken 去请求新的 accessToken->
AccessTokenJwtToken使用经验
xzlAwin的博客
04-01 1581
AccessTokenJwtToken使用经验 AccessToken 优点:刷新令牌后,上一个令牌失效 缺点:不支持加密传输数据 JwtToken 优点:支持加密传输数据 缺点:刷新令牌后,之前的令牌不会失效 建议: 1.如果你想废弃之前的令牌,建议使用AccessToken 2.如果你想传输普通数据,不建议传输敏感数据,推荐使用JwtToken 3.如果你即想传输数据,又想手动控制令牌失效,建议使用redis存储令牌白名单,手动控制失效,这样做可能违背token无状态设计原理来换取token绝对
JWT的双tokenaccess_token+refresh_token)授权和续期
夕拾的博客
10-22 2536
当用户登出或检测到潜在的安全风险时,注销旧的token,使 access_tokenrefresh_token 失效,同时清空客户端的 access_tokenrefresh_toke。通常包含用户敏感信息且为了安全考虑设置较短的过期时间,这可能导致用户在长时间使用应用时频繁遇到登录过期的问题,特别是在进行长时间操作如填写复杂表单时,如在线考试。微服务架构中,JWT认证方案中,用户登录成功后,后端会生成一个JWT格式的。过期的错误码后,在用户无感知的情况下,使用。的使用应受频率限制,防止滥用。
jwtaccesstokenrefresh token详解
qq_37704442的博客
02-24 5190
jwtaccesstokenrefresh token详解
第十四: jwt token ,refresh token(二)
小画家
03-27 183
ErrorUserNotLogin = errors.New("当前⽤用户未登录")中间件 Middlewears。gin框架使⽤用jwt
JWT Token生成及验证
07-16
7. **刷新Token策略**:为了避免JWT长期有效带来的风险,通常会配合使用刷新TokenRefresh Token)。当JWT即将过期时,用户可以使用刷新Token获取新的JWT,而旧的JWT则失效。 8. **JWT在API安全中的应用**:JWT常...
基于acess_tokenrefresh_token实现token续签
03-19
5. **服务器处理**:服务器验证`refresh_token`的有效性,如果有效且未被撤销,服务器会生成新的`access_token`和可选的新`refresh_token`。新令牌被返回给客户端,旧`refresh_token`可能被标记为已使用或撤销。 6....
SpringSecurity Jwt Token 自动刷新的实现
08-19
1. 生成TokenrefreshToken:用户登录系统的时候,后台给用户生成TokenrefreshToken并放在响应头中返回。 2. 系统判断Token是否合法: Token未失效的时的处理token失效,如何使用refreshToken来生成新的Token。 ...
JWT refreshtoken 实践
weixin_34209406的博客
04-29 2555
Json web token (JWT), 根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直...
Web应用中用户身份认证(Session、Access Token/JWT)
你好
10-29 1962
文本将会讲述,在们web应用和服务端交互的过程中,用户身份认证相关的问题,你将会了解到`Session`方案和`Access Token`(`JWT`)的方案
详细分析Spring Security OAuth2中的JwtAccessTokenConverter基本知识(附Demo)
码农研究僧的博客
10-07 2069
JwtAccessTokenConverter 是 Spring Security OAuth2 中的一个重要组件,主要用于生成和验证 JSON Web Token (JWT) JWT 的结构: JWT 由三部分组成:头部(Header)、负载(Payload)和签名(Signature) 头部通常包含令牌的类型(JWT)和签名算法(如 HMAC SHA256) 负载部分包含声明(Claims),即与用户相关的信息,例如权限、过期时间等 签名是使用头部和负载生成的,用于验证令牌的完整性
使用JWT实现Token认证
ako881010的博客
08-04 175
为什么使用JWT? 随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。这里还有一个在...
JWT token
vengu733的博客
11-08 350
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密【可解析的】。官网: https://jwt.io/
JWT Token
小呆鸟blog
06-09 961
在项目期间,注册用户在下次登录的时候,经常需要重新输入用户名和密码比较麻烦,于是引入jwt Token。因为http协议本身是一种无状态的协议,而这就导致用户每次请求时,都需要携带用户名和密码来进行用户认证,因为根据http协议,我们不清楚是哪个用户发的请求。我们可以在服务器当中,存一份用户登录的信息,这份登录信息会在响应的时候发送给应用,这样应用就能知道识别是哪个用户请求的。这是传统的通常session保存在内存当中,这就意味着每次用户认证,都要请求这台服务器,服务器的开销比较大,这在分布式应用上,限制了
JWT Token
weixin_45072119的博客
06-17 2081
JWT是json web token的缩写,它将用户信息加密到token里,服务器不保存任何用户信息,服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。
关于JWT token
qq_36186068的博客
09-19 453
结合https://blog.csdn.net/qq_37636695/article/details/79265711谈一下如何在java中使用JWT 上述文章说明了在sso简单来说,单点登录SSO(Single SignOn)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录。也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如...
掌握token续签机制:从access_tokenrefresh_token
以下是使用access_tokenrefresh_token实现token续签的基本步骤: 1. 用户登录:用户通过提供用户名和密码登录系统,服务器验证凭据无误后,生成一个acess_token和一个refresh_token,并将它们发送回客户端。 2. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FeelTouch Labs

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值