闲鱼面试:说说JWT工作原理?

JWT(JSON Web Token)一种开放的标准规范(RFC 7519),用于在网络上安全的传输信息,通常被用于身份验证。

简单来说,你可以把 JWT 想象成一张小巧的、自包含的电子通行证。这张通行证里面包含了用户的身份信息,就像你在某个俱乐部的会员卡,上面有你的名字、会员等级等信息,拿着这张卡,你就能证明你是谁,享受相应的服务。

1.JWT组成

JWT 由三部分组成:头部(Header)、载荷(Payload)和签名(Signature),如下图所示:

alt

  1. 头部(Header):包含了关于生成该 JWT 的信息以及所使用的算法类型。
  2. 载荷(Payload):包含了要传递的数据,例如身份信息和其他附属数据。JWT 官方规定了 7 个字段,可供使用:
    1. iss (Issuer):签发者。
    2. sub (Subject):主题。
    3. aud (Audience):接收者。
    4. exp (Expiration time):过期时间。
    5. nbf (Not Before):生效时间。
    6. iat (Issued At):签发时间。
    7. jti (JWT ID):编号。
  3. 签名(Signature):使用密钥对头部和载荷进行签名,以验证其完整性。

JWT 官网:https://jwt.io/

2.JWT工作原理

JWT 工作原理包含三部分:

  1. 生成 JWT
  2. 传输 JWT
  3. 验证 JWT

下面分别来看。

1.生成JWT

在用户登录时,当服务器端验证了用户名和密码的正确性后,会根据用户的信息,如用户 ID 和用户名称,加上服务器端存储的 JWT 秘钥一起来生成一个 JWT 字符串,也就是我们所说的 Token,这个 Token 是 Encoded 编码过的,类似于:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Decoded 解码后会得到三部分内容:头部(Header)+载荷(Payload)+签名(Signature)。

  1. 头部(Header):包含了关于生成该 JWT 的信息以及所使用的算法类型。
  2. 载荷(Payload):包含了要传递的数据,例如身份信息和其他附属数据。
  3. 签名(Signature):使用密钥对头部和载荷进行签名,以验证其完整性。

2.传输JWT

JWT 通常存储在客户端的 Cookie、LocalStorage、SessionStorage 等位置,客户端在每次请求时把 JWT 放在 Authorization 头中或作为参数传递给服务器端。

3.验证JWT

  1. 服务器端接收到 JWT 的 Token 后,会先将 Token Decoded 解码,之后会得到头部(Header)+载荷(Payload)+签名(Signature)。
  2. 然后服务器端会使用它本地存储的秘钥,以及头部(Header)中的加密算法和载荷(Payload)中的信息进行重新加密,得到一个新的签名。
  3. 最后会判断 Token 的真伪,用上一步新生成的签名和 Decoded 解码得到的签名(Signature)进行判断,如果二者一致,则说明当前的 Token 有效性的、完整的,可以执行后续的操作了,否则则返回 Token 错误。当然在这一步判断时,我们通常也要看载荷(Payload)中的过期时间是否有效,如果无效,则需要提示用户重新登录。

3.JWT优势

JWT 相较于传统的基于会话(Session)的认证机制,具有以下优势:

  1. 无需服务器存储状态:传统的基于会话的认证机制需要服务器在会话中存储用户的状态信息,包括用户的登录状态、权限等。而使用 JWT,服务器无需存储任何会话状态信息,所有的认证和授权信息都包含在 JWT 中,使得系统可以更容易地进行水平扩展。
  2. 跨域支持:由于 JWT 包含了完整的认证和授权信息,因此可以轻松地在多个域之间进行传递和使用,实现跨域授权。
  3. 适应微服务架构:在微服务架构中,很多服务是独立部署并且可以横向扩展的,这就需要保证认证和授权的无状态性。使用 JWT 可以满足这种需求,每次请求携带 JWT 即可实现认证和授权。
  4. 自包含:JWT 包含了认证和授权信息,以及其他自定义的声明,这些信息都被编码在 JWT 中,在服务端解码后使用。JWT 的自包含性减少了对服务端资源的依赖,并提供了统一的安全机制。
  5. 扩展性:JWT 可以被扩展和定制,可以按照需求添加自定义的声明和数据,灵活性更高。

使用 JWT 相较于传统的基于会话的认证机制,可以减少服务器存储开销和管理复杂性,实现跨域支持和水平扩展,并且更适应无状态和微服务架构。

课后思考

JWT如何实现自动续期?

参考 & 鸣谢

www.javacn.site

#java#
Java面试精讲 文章被收录于专栏

Java常见面试题、场景题、企业真题精讲。

全部评论
🐮
2 回复 分享
发布于 2024-06-21 15:32 上海

相关推荐

04-29 12:48
华南师范大学 Java
腾讯音乐 面经
一面多级缓存下,它的这个跟数据库一致性它怎么做去保证的?(关于 mget 改成 get 的优化)那其实我这里有点好奇是说,因为其实 mget 是一个批处理的获取命令。它如果在全部改成 get 的话,现在网络开销会增加不少。那为什么的 RT 时间会减少呢?(针对简历描述“减少每日 53K 批量操作”)减少每日 53K,其实我感觉好像这个 KP(QPS?) 的不是很高... 这个 S 的这个操作好像也对不上。(质疑/要求澄清优化效果与描述的关联)那权益卡那边有做一些,比如说超发了一些防护吗?就是一些问题吗?对于你负责的那个业务模块里面,有没有遇到什么一些服务问题?就你遇到这个问题到当时是怎么解决的...
点赞 评论 收藏
分享
04-20 18:35
网易互娱_前端开发(准入职员工)
点赞 评论 收藏
分享
05-16 16:30
已编辑
广西大学 Java
平安产险已OC
终于可以来还愿了!作为25届应届生,经历了大半年的实习+秋招提前批鏖战,终于拿到了平安产险后端开发的offer,整体流程走下来体验很好,最后也决定接了这个offer,来牛客分享一下自己的经历和选择原因,希望能给同样在求职的伙伴一些参考~1. 为什么选择平安产险?说实话,秋招初期我也海投了不少公司,但平安产险的offer确实是我综合比较后最满意的选择之一,原因主要有几点:业务稳定性强:产险是平安的核心业务之一,相比一些互联网大起大落的赛道,金融+保险的领域抗风险能力更强,对于应届生来说算是比较稳妥的起点。技术不落后:面试时和团队聊过,技术栈以Java为主,部分业务线已经在用云原生和微服务架构,也...
查看6道真题和解析
点赞 评论 收藏
分享
05-18 10:34
广州软件学院 前端工程师
JWT 的工作原理
JWT 的工作原理用户通过用户名和密码等凭据进行身份验证。服务器验证用户的凭据,生成 JWT,并将其返回给用户。JWT 通过 Base64Url 编码而成。用户存储 JWT,通常存储在浏览器的 localStorage 或 sessionStorage 中。用户在每次请求时将 JWT 发送到服务器,通常通过 HTTP 请求的 Authorization 头部。服务器接收到 JWT 后验证其签名与内容。如果有效,服务器执行该请求;如果无效,返回相应的错误信息。JWT 的优势无状态:JWT 以自包含的方式存储用户信息,服务器不需要存储用户会话信息,适合分布式系统。跨域支持:由于 JWT 是基于标准的字符串格式,可以轻松支持跨域请求。灵活性:可以在 Token 中存储自定义数据,不仅限于身份验证相关的信息。安全性:通过签名算法保证数据的完整性,避免被篡改。JWT 的缺点不可撤销性:JWT 一旦生成,无法简单地撤销,除非设计了 Token 刷新机制。过期管理:需要合理设置过期时间,过长会带来安全隐患,过短则可能影响用户体验。隐私问题:JWT 中的信息是Base64Url编码的,并未加密,因此敏感信息不应直接放在 Token 中。常见用例#牛客AI配图神器#用户身份验证:用户登录成功后,会话管理通过发放 JWT 实现。API 访问控制:保护 API 端点,确保只有持有有效 Token 的用户才能访问。单点登录(SSO):多个系统之间共享 JWT,实现单点登录。
社畜职场交流圈
点赞 评论 收藏
分享
头像
05-09 16:22
已编辑
华南师范大学 Java
卓望 java 一面面经(校招)base广州
#卓望数码##面试经验# #面试问题记录# 一面四小时后通知次日二面——————————🧠 个人背景与项目经历1.XX系统是你们这边的项目吗?你一直在做这个项目吗?2.做过一个XX项目是吧?是学习项目还是公司项目?3.项目中你主要负责了什么?4.你参与的项目经验多吗?5.除了XX和XX系统,有没有别的项目可以讲讲?💻 技术能力 - 后端开发6.数据库与安全7.你们系统是怎么存储用户密码的?8.单纯用 MD5 会有撞库风险,如何防御?9.接口调用怎么验证调用方身份?10.使用 MD5 校验上传文件的目的是什么?☕Java & Spring11.Spring Boot 用了哪些 starter?各自的作用是什么?12.如果第三方 starter 功能不够怎么办?13.Spring Boot 中有没有用到 AOP?14.可以用来扩展 starter 的方式有哪些?15.Spring 全家桶覆盖的范围够用吗?多线程与线程安全16.ConcurrentHashMap 为什么线程安全?17.JDK1.8 之前和之后的实现有何区别?18.size() 方法是怎么统计的?是否加锁?🔐 安全性与权限控制19.上传文件前需要做哪些安全校验?接口安全20.接口层面做了哪些安全处理?21.JWT 是怎么生成的?22.JWT 是用哪个库实现的?签名算法是什么?23.Token 刷新的触发机制是什么?24.项目中有没有做 token 自动续期?幂等性25.接口幂等性有哪些实现方式?⚙️ 系统架构与中间件26.Redis 与缓存机制27.什么是缓存穿透?怎么解决?28.什么是缓存击穿?怎么解决?29.什么是缓存雪崩?怎么解决?30.热 key 会带来什么问题?如何应对?MQ & 延迟任务31.用 MQ 实现了什么业务?32.如何通过 MQ 做延迟队列?解决了什么问题?🧱 设计模式33.工厂模式和抽象工厂模式的区别是什么?34.代理模式和装饰器模式有什么不同?🧠 Java 基础知识35.Java 能否继承多个类?36.接口中能定义实现方法吗?JDK8 之后呢?37.接口中 default 方法你了解吗?🧪 Linux 运维基础38.在 Linux 下怎么查看远程端口是否可达?39.除了 telnet 还有什么命令可以测试端口?(比如 nc)
卓望公司一面28人在聊 面试问题记录
点赞 评论 收藏
分享
评论
7
36
分享

招聘动态

查看更多

vivo蓝极星

25届+26届招募启动

国央企投递合集(含实习)

26届投递链接合集

快手

25届补录+26届实习

26届实习内推合集

南银理财

26届实习+校园招聘

全站热榜

更多

创作者周榜

更多
正在热议
更多
# 一人一个landing小技巧 #
31025次浏览 578人参与
# 选offer应该考虑哪些因素 #
1280次浏览 39人参与
# 你想留在一线还是回老家? #
32296次浏览 392人参与
# 聊聊你的职场新体验 #
153101次浏览 1353人参与
# 三一集团提前批进度交流 #
19986次浏览 129人参与
# 米哈游工作体验 #
13547次浏览 108人参与
# 你们公司哪个部门最累? #
11855次浏览 91人参与
# 大学最后一个寒假,我想…… #
34145次浏览 393人参与
# 牛友们的论文几号送审 #
32025次浏览 679人参与
# 你们公司几号发工资 #
15947次浏览 106人参与
# 四大天坑是哪四家? #
68762次浏览 197人参与
# 这些公司卡简历很严格 #
30848次浏览 151人参与
# 怎么防止在试用期被辞退 #
117582次浏览 874人参与
# 查收我的offer竞争力报告 #
179314次浏览 1140人参与
# 你小时候最想从事什么职业 #
87988次浏览 1639人参与
# 总结:哪家公司最喜欢泡池子 #
125742次浏览 457人参与
# 应届生进小公司有什么影响吗 #
69253次浏览 995人参与
# 你觉得机械有必要实习吗? #
5454次浏览 59人参与
# 工作压力大怎么缓解 #
73486次浏览 916人参与
# 机械人,你的秋招第一份简历被谁挂了 #
136027次浏览 1967人参与
牛客网
牛客企业服务