标签:时间 头信息 计算 res 客户端 消息 令牌 http source
1.JSON WEB Token(JWT):
一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。
头信息指定了该JWT使用的签名算法:
header = ‘{"alg":"HS256","typ":"JWT"}‘
HS256 表示使用了 HMAC-SHA256 来生成签名。
消息体包含了JWT的意图:
payload = ‘{"loggedInAs":"admin","iat":1422779638}‘//iat表示令牌生成的时间
未签名的令牌由base64url编码的头信息和消息体拼接而成(使用"."分隔),签名则通过私有的key计算而成:
key = ‘secretkey‘
unsignedToken = encodeBase64(header) + ‘.‘ + encodeBase64(payload)
signature = HMAC-SHA256(key, unsignedToken)
最后在未签名的令牌尾部拼接上base64url编码的签名(同样使用"."分隔)就是JWT了:
token = encodeBase64(header) + ‘.‘ + encodeBase64(payload) + ‘.‘ + encodeBase64(signature)
# token看起来像这样: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJsb2dnZWRJbkFzIjoiYWRtaW4iLCJpYXQiOjE0MjI3Nzk2Mzh9.gzSraSYS8EXBxLN_oWnFSRgCzcmJmMjLiuyu5CSpyHI
JWT常常被用作保护服务端的资源(resource),客户端通常将JWT通过HTTP的Authorization header发送给服务端,服务端使用自己保存的key计算、验证签名以判断该JWT是否可信:
Authorization: Bearer eyJhbGci*...<snip>...*yu5CSpyHI
2.oauth2.0:
一种资源授权协议,授权框架.
3.spring security:
完成两件事:一件是认证,一件是授权.
标签:时间 头信息 计算 res 客户端 消息 令牌 http source
原文地址:https://www.cnblogs.com/arno92/p/9851305.html
