一文理解 JWT、JWS、JWE、JWA、JWK、JOSE

MateMaster

已于 2022-12-03 19:55:16 修改

阅读量8.2k

点赞数 1

分类专栏： springboot开发实践文章标签： java spring boot

于 2022-12-03 19:48:40 首次发布

本文链接： https://blog.csdn.net/m0_46296826/article/details/128165362

版权

本文深入解析了JsonWebToken的相关概念，包括unsecured JWT、JWS（SignedJWT）、JWE（EncryptedJWT）、JWA（涉及的密码学算法）、JWK（密钥）及其作用。详细阐述了JWS的签名流程、JSON序列化形式，以及JWE的加密过程。同时，文章介绍了JWK作为统一密钥格式的重要性，并给出了相关示例。

摘要由CSDN通过智能技术生成

原文收录

GitBook——统一接口认证解决方案

JsonWebToken

关于JsonWebToken的专业名词解释：

unsecured JWT：默认头部{“alg”: “none”}的jwt令牌
JWS(SignedJWT)：已签名的jwt,包含标准jwt结构：header、payload、signature
JWE(EncryptedJWT)：已加密的jwt，结构为：
JWA：所涉及的密码学算法
JWK：密码学算法所需的密钥

JsonWebToken主体分为三个部分：header、payload、signature

unsecured JWT结果示例：

eyJhbGciOiJub25lIn0.
eyJqdGkiOiJkZWJhNzhiZDZiNTI0ZTA2OWE4MmZjZTJlNzdmOTU2MSIsImlzcyI6Ik1hdGVNYXN0ZXIiLCJzdWIiOiLmnInmlYjotJ_ovb3mtYvor5UiLCJhdWQiOiJhdWRpZW5jZSIsImV4cCI6MTY3MDExNzIzMywibmJmIjoxNjcwMDMwODkzLCJpYXQiOjE2NzAwMzA4MzN9.

header

{
   
    "alg": "HS256",
    "typ": "JWT",
    "cty": ""
}

payload
有效负载一般分为两类：用户自定义、标准注册负载（iss、sub、aud、exp、nbf、iat、jti）

{
   
  "jti": "4a9813f957b84dda8091510402e7c33d",
  "iss": "MateMaster"

立减 ¥

1
点赞
踩
7

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

JWT最全知识点-动力节点

weixin_49543720的博客

10-20

1414

一个JWT，应该是如下形式的：eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9. TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 这些东西看上很凌乱，但是非常紧凑，并且是可打印的主要用于验证签名的真实性。JWT 解决什么问题？JWT的主要目的是在服务端和客户端之间以安全的方式来转移声明。主要的应用场景如下所

JWT、JWE、JWS 、JWK 都是什么鬼？还傻傻分不清？

radcb55226的博客

05-03

1639

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》，点击传送门，即可获取！一个JWT，应该是如下形式的：eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ这些东西看上很凌乱，但是非常紧凑，并且是可打印的主要用于验证签名的真实性。JWT的

1 条评论您还未登录，请先登录后发表或查看评论

JWT、JWE、JWS的区别

2401_83384536的博客

03-08

802

一个JWT，应该是如下形式的：这些东西看上很凌乱，但是非常紧凑，并且是可打印的主要用于验证签名的真实性。

Warning: formula.jws.json: update failed, falling back to cached version.

最新发布

前端开发

07-24

787

Warning: formula.jws.json: update failed, falling back to cached version.

关于 JWT、JWS、JWE

u012503481的博客

07-25

7163

JWT、JWS、JWE 格式与差异介绍

3 JWT 和 JWS

Markix的博客

08-29

1292

JSON Web Token (JWT) 是一个开放标准 (RFC 7519)，它定义了一种紧凑且自包含的方式，用于在各方之间传输信息（Claims）。这些信息以JSON格式定义。 JWT 可以理解为是一个规范。实际上，具体的实现方案有 JWS(JSON Web Signature) 和 JWE(JSON Web Encryption)。......

一文读懂JWT,JWS,JWE

Java笔记虾

11-24

6414

点击上方“后端技术精选”，选择“置顶公众号”技术文章第一时间送达！作者：zh_coderhttps://blog.csdn.net/hellowordapi/article1.JWT是何物，有哪些常用的场景JWT(json web token)是设计一种简洁，安全，无状态的token的实现规范rfc7519，通常用于网络请求方和网络接收方之间的网络请求认证。jwt的常用场景1.1: restful...

JWK和JWT 学习

一个写了10年bug的程序员日常笔记。

05-06

1637

和是现代Web应用程序中用于安全通信的两个重要概念。它们都是基于JSON的，并且是OAuth 2.0和OpenID Connect等协议的核心组成部分。官方文档JWT官方网站JWK和JWK Set的RFC文档JWT的RFC文档。

JWS, JWE, JWK, JWA, JWT

稀饭同学的专栏

08-02

1285

JWS：JSON Web Signature，Digital signature/HMAC specificationJWE：JSON Web Encryption，Encryption specificationJWK：JSON Web Key，Public key specificationJWA：JSON Web Algorithms，Algorit...

jose：JSON对象签名和加密框架（JWT，JWS，JWE，JWA，JWK，JWKSet等）

02-03

PHP JOSE库如果您真的喜欢那个图书馆，那么您可以帮我几个忙 :clinking_beer_mugs: ！ :warning: :warning: :warning: ... JWS或JWE对象支持可以编码为JSON的每个输入： string ， array ， integer ，

authlib：构建OAuth，OpenID Connect客户端和服务器的终极Python库。包括JWS，JWE，JWK，JWA，JWT

02-04

包括JWS，JWK，JWA，JWT。 Authlib与Python2.7 +和Python3.6 +兼容。 Authlib v1.0仅支持Python 3.6+。赞助商如果你想安全的基于令牌的认证快速添加到Python项目，随时检查Auth0的Python的SDK和自由计划在。 ...

jwt入门：Json Web令牌（JWT）及其相关的JWKJWS安全性交换入门的示例和参考

02-17

JWT示例当我们寻求更好的端到端验证时，分布式系统可能会带来新的挑战。其中之一是如何验证来自系统的消息确实来自该授权系统。有许多授权者可用，第4层安全性可以为您提供一定程度的保证，但是有状态和无状态防火墙维护只是第一步，更不用说您的服务可能有多个客户！鉴于需要这种支持； IEFT已制定并维护了最佳实践指南。您可以将其找到为 JWT并不复杂虽然许多加密安全措施可能难以实施，但此回购仅作为生成和使用JWT密钥甚至通过代码自动构建可旋转密钥所需的简单示例提供。在查看示例时，您会发现可以用少于50行的代码来生成和验证这些令牌。参考实施需要注意的是，尽管所有示例均作为参考实现。在实施时，请记住，安全密钥需要存储在经过身份验证和安全的存储机制内部的操作环境中（即对称机密，非对称私钥）。获得帮助如果您不熟悉所需的服务类型，请找专家，或者在Twitter 与我，我很乐意为您提

jose:通用的“ JSON Web几乎所有内容”-JWA，JWS，JWE，JWT，JWK，没有依赖项

03-30

乔瑟通用的“ JSON Web几乎所有内容”-使用本机加密运行时不依赖项的JWA，JWS，JWE，JWT，JWK 实施的规格和功能以下规范由jose实现 JSON Web签名（JWS） JSON Web加密（JWE） JSON Web密钥（JWK） JSON Web算法（JWA） JSON Web令牌（JWT） JSON Web密钥指纹 JWS未编码有效载荷选项 CFRG椭圆曲线ECDH和签名 secp256k1 EC密钥曲线支持该测试套件利用定义的来确认其JOSE实现是正确的。支持如果您或您的企业使用jose ，请考虑成为这样我就可以继续维护它，并随意添加新功能。安装 npm install jose 寻找仅限Node.js的发行版？（单击以展开） ESM模块（导入）： npm install jose@npm:jose-node-esm-runtim

JWT、JWE、JWS 、JWK 到底是什么？该用 JWT 还是 JWS？

热门推荐

程序员麦冬的博客（公众号同名）

11-04

1万+

JWT 相信很多小伙伴都知道，JSON Web Token，如果在项目中通过 jjwt 来支持 JWT 的话，可能只需要了解 JWT 一个概念即可，但是现在很多时候我们可能不是使用 jjwt，而是选择 nimbus-jose-jwt 库，此时就有可能接触到一些新的概念，如 JWE、JWS。那么 JWE、JWS 以及 JWT 之间是什么关系呢？松哥最近看到一篇不错的文章讲这个，我们一起来看下，以下是正文。什么是 JWT 一个JWT，应该是如下形式的： eyJhbGciOiJIUzI1NiIsInR5cCI6

JJWT：JWS, JWE, JWK, JWA, JWT

CrownP的博客

04-01

5614

JWS, JWE, JWK, JWA, JWT JWS：JSON Web Signature，Digital signature/HMAC specification（签名） JWE：JSON Web Encryption，Encryption specification（加密） JWK：JSON Web Key，Public key specification JWA：JSON Web ...

12. 更高级的通关文牒：JWT、JWE和JWS

weixin_45946850的博客

05-14

1963

在姜文导演的《让子弹飞》中，葛优饰演的马邦德在开头携带的委任状和我们今天讨论的JWT（ JSON Web Token）有异曲同工之妙，JSON Web Token（JWT）是一种开放标准，它定义了一种紧凑且自包含的方式，用于在各方之间安全地传输JSON对象信息。由IETF OAuth工作组开发的RFC 7519文档定义了JWT的结构和处理规则。

一篇文章带你分清楚JWT、JWS与JWE

ChaITSimpleLove的博客

09-08

1285

随着移动互联网的兴起，传统基于session/cookie的web网站认证方式转变为了基于OAuth2等开放授权协议的单点登录模式（SSO），相应的基于服务器session+浏览器cookie的Auth手段也发生了转变，Json Web Token出现成为了当前的热门的Token Auth机制。 Json Web Token(JWT) JSON Web Token（JWT）是一个非常轻巧的规范。这个规范允许我们使用 JWT 在两个组织之间传递安全可靠的信息。官方定义:JSON Web Token (.

nimbus-jose-jwt JWK 转换成X509Certificate

06-02

将一个 JWK 转换为 X509Certificate 是不可能的，因为它们是不同的密钥格式。JWK 是 JSON Web Key 的缩写，它是一种用于表示密钥的 JSON 格式。而 X509Certificate 是一种常用的公钥证书格式，用于证明公钥的合法性和身份。如果你需要将 JWK 转换为 X509Certificate，你需要先将 JWK 转换为一个 Java 的密钥对象，然后再使用 Java 的密钥工具将其转换为 X509Certificate，具体实现步骤如下： 1.使用 Nimbus JOSE+JWT 库将 JWK 转换为 Java 的密钥对象： ```java import com.nimbusds.jose.jwk.JWK; import com.nimbusds.jose.jwk.RSAKey; import java.security.interfaces.RSAPublicKey; JWK jwk = JWK.parse(jwkJsonString); RSAKey rsaJWK = (RSAKey) jwk; RSAPublicKey publicKey = rsaJWK.toRSAPublicKey(); ``` 2.使用 Java 的密钥工具将密钥对象转换为 X509Certificate： ```java import java.security.cert.CertificateFactory; import java.security.cert.X509Certificate; import java.security.cert.CertificateException; import java.security.cert.CertificateEncodingException; import java.security.cert.Certificate; public static X509Certificate getCertificateFromPublicKey(RSAPublicKey publicKey) throws CertificateEncodingException, CertificateException { CertificateFactory cf = CertificateFactory.getInstance("X.509"); byte[] certBytes = publicKey.getEncoded(); Certificate cert = cf.generateCertificate(new ByteArrayInputStream(certBytes)); return (X509Certificate) cert; } ``` 请注意，这里的代码示例仅为示范代码，实际使用时需要根据具体情况进行调整。