今天也是阳光正好

  博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

  例子:token = SlwJwt.createToken(TokenUtil.header, secretKey.getBytes(), payload);

JSON Web令牌以紧凑的形式由三部分组成,这些部分由点(.)分隔,分别是:头(Header)、有效载荷(Playload)、签名(Signature);

Header:对TokenUtil.header(含有加密算法)进行Base64Url编码得到jwt的第一部分;

Playload:存放有效信息的地方,Base64Url编码得到第二部分;

Signature:是整个数据的认证信息。一般根据前两步的数据,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第3部分

  此时 signature字段就是关键了,能被解密出明文的,只有header和payload

假如黑客/中间人串改了payload,那么服务器可以通过signature去验证是否被篡改过

在服务端在执行一次 signature = 加密算法(header + “.” + payload, 密钥);, 然后对比 signature 是否一致,如果一致则说明没有被篡改。

  所以为什么说服务器的密钥,也就是例子中的secretKey.getBytes()不能被泄漏。只要密钥不被泄露,Signature无法正确,所以就会被服务器识别出来伪造信息。

 

posted on 2021-02-26 16:40  今天也是阳光正好  阅读(3704)  评论(0编辑  收藏  举报