JWT(JSON Web Token)簡介及實現

原創 fengbingchun 2020-06-22 11:06

JWT(JSON Web Token):是一個開放標準(RFC 7519),它定義了一種緊湊且自包含的方式,用於在各方之間作爲Json對象安全地傳輸信息。由於此信息是經過數字簽名的,因此可以被驗證和信任。可以使用HMAC SHA256或RSA等對JWT進行簽名。

JWT的組成:它是一個很長的字符串,中間用點(.)分隔成三個部分它的三個部分依次是:Header(頭部)、Payload(載荷)、Signature(簽名)。JWT默認是不加密的。

Header:是一個Json對象,描述JWT的元數據,例子如下:alg屬性表示簽名的算法,默認是HMAC SHA256,寫成HS256,也可使用RSA;typ屬性表示這個令牌(token)的類型,JWT令牌統一寫爲JWT;id屬性是用戶自定義的。最後將此Json對象使用base64url編碼成字符串。

{
	"alg": "HS256",
	"typ": "JWT",
	"id": "fengbingchun"
}

Payload:也是一個Json對象,用來存放實際需要傳遞的數據。JWT規定了7個官方字段,供選用:iss(Issuer):簽發人;exp(Expiration Time):過期時間;sub(Subject):主題;aud(Audience):受衆;nbf(Not Before):生效時間;iat(Issued At):簽發時間;jti(JWT ID):編號。除了官方字段,你還可以在這個部分定義私有字段。最後此Json對象也要使用base64url編碼成字符串。例子如下:

{
	"csdn": "https://blog.csdn.net/fengbingchun",
	"github": "https://github.com//fengbingchun"
}

Signature:是對前兩部分的簽名,防止數據篡改。首先需要指定一個密鑰(secret),然後使用Header裏面指定的簽名算法(默認是HMAC SHA256),按照以下的方式產生簽名:算出簽名後,也需要把此簽名通過base64url編碼成字符串。最後把Header、Payload、Signature三個部分編碼成的字符串拼成一個字符串,每個部分之間用”點”(.)分隔,形式如xxxx.yyyy.zzzz。

HMACSHA256(base64urlEncode(header) + "." + base64urlEncode(payload), secret)

base64url和base64區別:base64有三個字符+、/和=,在URL裏面有特殊含義,所以要被替換掉:=被省略、+替換成-,/替換成_,這就是base64url。

一般此JWT會放在HTTP請求的頭信息Authorization字段裏:

Authorization: Bearer <token>

注:以上內容主要來自網絡整理,主要參考:

1. https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

2. https://jwt.io/introduction/

3. https://tools.ietf.org/html/draft-ietf-oauth-json-web-token-32

以下是代碼實現:

Header和Payload內容如上所示,secret值爲:"1234567890+-!@#$%^&*x()_=QF{></?",代碼段如下:

int test_jwt()
{
	// encode header
	const char* header = "{\"alg\":\"HS256\",\"typ\":\"JWT\",\"id\":\"fengbingchun\"}";
	int length_header = strlen(header);
	int length_encoded_header = (length_header + 2) / 3 * 4;
	std::unique_ptr<char[]> encoded_header(new char[length_encoded_header]);
	int ret = base64url_encode((const unsigned char*)header, length_header, encoded_header.get());
	if (ret != BASE64_OK) {
		fprintf(stderr, "fail to encode header: %s\n", header);
		return -1;
	}
	fprintf(stdout, "encoded header: %s\n", encoded_header.get());

	// encode payload
	const char* payload = "{\"csdn\":\"https://blog.csdn.net/fengbingchun\",\"github\":\"https://github.com//fengbingchun\"}";
	int length_payload = strlen(payload);
	int length_encoded_payload = (length_payload + 2) / 3 * 4;
	std::unique_ptr<char[]> encoded_payload(new char[length_encoded_payload]);
	ret = base64url_encode((const unsigned char*)payload, length_payload, encoded_payload.get());
	if (ret != BASE64_OK) {
		fprintf(stderr, "fail to encode payload: %s\n", payload);
		return -1;
	}
	fprintf(stdout, "encoded payload: %s\n", encoded_payload.get());

	// signature
	std::string buffer;
	buffer.append(encoded_header.get(), strlen(encoded_header.get()));
	buffer.append(".");
	buffer.append(encoded_payload.get(), strlen(encoded_payload.get()));

	//const unsigned char key[] = { // 32 bytes
	//	0xee, 0xbc, 0x1f, 0x57, 0x48, 0x7f, 0x51, 0x92, 0x1c, 0x04, 0x65, 0x66,
	//	0x5f, 0x8a, 0xe6, 0xd1, 0x65, 0x8b, 0xb2, 0x6d, 0xe6, 0xf8, 0xa0, 0x69,
	//	0xa3, 0x52, 0x02, 0x93, 0xa5, 0x72, 0x07, 0x8f };
	const char key[] = { // 32 bytes
		'1', '2', '3', '4', '5', '6', '7', '8', '9', '0', '+', '-',
		'!', '@', '#', '$', '%', '^', '&', '*', 'x', '(', ')', '_',
		'=', 'Q', 'F', '{', '>', '<', '/', '?' };
	std::unique_ptr<unsigned char[]> signature(new unsigned char[EVP_MAX_MD_SIZE]);

	HMAC_CTX* ctx = HMAC_CTX_new();
	HMAC_CTX_reset(ctx);
	const EVP_MD* engine = EVP_sha256();

	unsigned int length_signature;
	HMAC_Init_ex(ctx, key, sizeof(key), engine, nullptr);
	HMAC_Update(ctx, reinterpret_cast<const unsigned char*>(buffer.c_str()), buffer.length());
	HMAC_Final(ctx, signature.get(), &length_signature);
	HMAC_CTX_free(ctx);

	// encode signature
	int length_encoded_signature = (length_signature + 2) / 3 * 4;
	std::unique_ptr<char[]> encoded_signature(new char[length_encoded_signature]);
	ret = base64url_encode(signature.get(), length_signature, encoded_signature.get());
	if (ret != BASE64_OK) {
		fprintf(stderr, "fail to encode signature\n");
		return -1;
	}
	fprintf(stdout, "encoded signature: %s\n", encoded_signature.get());

	buffer.append(".");
	buffer.append(encoded_signature.get(), strlen(encoded_signature.get()));
	fprintf(stdout, "jwt result: %s\n", buffer.c_str());

	return 0;
}

上面的HMAC-SHA256是調用OpenSSL的接口實現的,也可調用bearssl接口實現,代碼段如下:

	br_hmac_key_context key_ctx;
	br_hmac_context ctx;
	br_hmac_key_init(&key_ctx, &br_sha256_vtable, key, sizeof(key));
	br_hmac_init(&ctx, &key_ctx, 0);
	size_t length_signature = br_hmac_size(&ctx);

	br_hmac_update(&ctx, buffer.c_str(), buffer.length());
	std::unique_ptr<unsigned char[]> signature(new unsigned char[length_signature]);
	size_t length_signature2 = br_hmac_out(&ctx, signature.get());

採用OpenSSL和bearssl結果完全一致,執行結果如下所示:

將上面的Header、Payload、secret值填入jwt.io,得到的結果與程序實現結果一致,如下圖所示:

以上代碼段的完整code見:GitHub/OpenSSL_Test

GitHubhttps://github.com/fengbingchun/OpenSSL_Test

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

單點登錄認證系統 MaxKey v 2.0.0RC1

MaxKey介紹 MaxKey(馬克思的鑰匙),寓意是最大鑰匙, 是用戶單點登錄認證系統(Sigle Sign On System),支持OAuth 2.0/OpenID Connect、SAML 2.0、JWT、CAS等標準化的開放協議

shimingxy 2020-07-07 12:49:15

SpringBoot集成Security、Oauth2、JWT,實現授權(代碼完整可用附數據庫文件和測試文件)

目錄結構: pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmln

小石潭记丶 2020-07-06 15:17:48

[JWT]Auth0的JWT時間序列化問題

在SpringBoot項目上構建JWT訪問token和刷新token時,遇到一個Date類型的問題,由於序列化JWT token時只支持秒,將毫秒級自然丟棄。 <dependency> <groupId>com.auth0</g

古辛 2020-07-04 11:08:11

lumen7+jwt相對正確的使用方式

前言 當前官方Lumen最新版本:7.1.3 項目根目錄:/home/wwwroot/blog 項目域名:api.kimphp.com 安裝JWT composer require tymon/jwt-auth 修改app.ph

U.R.M.L 2020-07-01 03:49:08

SpringCloud+Spring Security OAuth2 實現微服務統一認證授權

目前正在做了一個基於Spring Cloud的微服務項目,現在的好多項目都是基於APP移動端以及前後端分離的項目,之前基於Session的前後端放到一起的項目已經慢慢失寵並淡出我們視線,尤其是當基於SpringCloud的微服務

一个BUG搞一天。 2020-06-30 17:34:33

【JWT】JSON Web Token

        JWT(Json Web Token)是一個開放的標準(RFC 7519),它定義了一個緊湊且自包含的方式,用於在各方之間以JSON對

郑晓东-Dongle 2020-06-30 03:14:31

Deno JWT token 應用

視頻演示: https://www.bilibili.com/video/BV1BT4y1E7Nh/?p=12 一起來完成以下步驟: 引用之前的工程代碼 創建員工信息interface和員工數組array 生成token 校

wenhaipan 2020-06-29 22:52:09

Cookie 跨域解決方案(頂級域名和子級域名之間的Cookie共享、修改、刪除)

最近項目中剛好涉及到了主域名和子域名之間的共享和相互修改、刪除,也就藉此機會總結一下常用的幾個場景,域名的話就拿頂級域名和二級域名爲例,其他的場景都是類似。 一、設置COOKIE 1、頂級域名 頂級域名只能設置domain爲頂級域名,不能

张志翔 2020-06-29 12:59:35

Nginx 跨域解決方案(CORS跨域配置、端口轉發)

最近在項目中遇到了跨域相關的問題,比較了幾種跨域解決方案,決定採取Nginx的方式來解決。 下面發一段我實際項目中的配置供參考,其中192.168.3.230爲Nginx所在機器的IP地址,80端口是Nginx監聽端口(可以同時監聽多個端

张志翔 2020-06-29 12:59:35

Cookie 跨域解決方案(IFrame跨域)

IFrame跨域思路:假設有a.haorooms.com/text.html和b.haorooms.com/text.html兩個頁面,通過a.haorooms.com/text.html頁面去修改b.haorooms.com/text.

张志翔 2020-06-29 12:59:34

JWT 單點登錄(項目實現)

如果還不知道什麼是JWT的同學,可以參考以下文章,傳送門如下: JWT 單點登錄(簡介) 下面以實際項目中的應用分析,首先看一下大致的數據流圖: 一、實現思路 1、項目一開始我先封裝了一個JWTHelper工具包,主要提供了生成JWT、

张志翔 2020-06-29 12:59:34

Bearer Token 一種安全的接口認證方式

因爲HTTP協議是開放的,可以任人調用。所以,如果接口不希望被隨意調用,就需要做訪問權限的控制,認證是好的用戶,才允許調用API。 目前主流的訪問權限控制/認證模式有以下幾種: 1、Bearer Token(Token 令牌) 定義:爲了

张志翔 2020-06-29 12:59:34

JWT 單點登錄(簡介)

首先介紹下JWT,可參考官網https://jwt.io/introduction/ 一、什麼是JSON Web Token(JWT)? JSON Web Token(JWT)是一個開放標準(RFC 7519),它定義了一種緊湊且獨立的方

张志翔 2020-06-29 12:59:34

JWT+SpringSecurity實現基於Token的單點登錄(二):認證和授權

前言 本章是基於上一章“JWT+SpringSecurity實現基於Token的單點登錄(一):前期準備”的基礎上進行開發的,如果前期準備還沒有做好的,可點擊鏈接至上一章。 代碼地址:gitee 一、JWT工具類 這裏我們使用jjwt

Gent_倪 2020-06-24 18:50:48

IT忍者神龜之JWT生成Token做登錄校驗講解

JWT簡介JWT(json web token)是爲了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準。JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息,以便於從資源服務器獲取資源。比如用在用戶登錄上。基

IT忍者神龟 2020-06-23 20:42:39