一、JWT加密演算法
JWT(Json Web Token)是一種用於互聯網之間傳遞信息的機制。其中的Payload為封裝了加密信息的內容,在Payload中被加密的信息是自包含的。JWT有三個部分:Header, Payload, Signature。其中Header包含了該Token使用的加密演算法,通常使用的加密演算法有以下幾種:
1、HS256 – 使用HMAC algorithim SHA-256;
2、HS384 – 使用HMAC algorithim SHA-384;
3、HS512 – 使用HMAC algorithim SHA-512;
4、RS256 – 使用RSA algorithim SHA-256;
5、RS384 – 使用RSA algorithim SHA-384;
6、RS512 – 使用RSA algorithim SHA-512;
7、ES256 – 使用ECDSA algorithim SHA-256;
8、ES384 – 使用ECDSA algorithim SHA-384;
9、ES512 – 使用ECDSA algorithim SHA-512。
二、JWT加密RSA是可逆的嗎
在JWT中,使用RSA加密可以保證密鑰的安全性。RSA加密採用公鑰加密,私鑰解密,屬於非對稱加密演算法,這樣就能保證數據的安全性。因此,在使用RSA加密的時候,密鑰是不可逆的。
三、JWT加密方式
JWT 支持兩種加密方式,分別是HS256和RS256。HS256使用HMAC 演算法,RS256使用RSA 證書,且輸入的 jwk 和 x5c 可以使用不同的公鑰證書。
四、JWT加密安全嗎
JWT採用的加密方式是非常安全的,我們可以使用JWT的payload部分加密來進行鑒權,並且這種方式相對於傳統的cookie與session認證方式更為安全。但是如果把JWT存儲在localStorage和sessionStorage中,會面臨如下風險:
1、XSS攻擊,攻擊者可以通過XSS攻擊,獲取用戶的JWT。
2、CSRF攻擊,攻擊者可以通過偽造一個請求,再把假的JWT傳過去,這時後台就會認為該用戶已經登錄,攻擊者就可以做一些非法的事情。
五、JWT加密token
// 生成Token的基本步驟 1.使用Header中聲明的加密演算法計算簽名; 2.將Header和Payload組合在一起,中間用「.」分隔; 3.再將第2步得到的結果進行Base64加密,最終就得到了Token。
六、JWT加密解密代碼 php
PHP是一種非常適合做後台的開發語言,下面是JWT加密解密的示例:
"http://example.org",
"aud" => "http://example.com",
"iat" => $time,
"exp" => $time + 3600,//過期時間
"uid" => $uid
);
$jwt = JWT::encode($token, $key);
return $jwt;
}
//解密Token
function decodeToken($token){
$key = '123456';//密鑰
$decoded = JWT::decode($token, $key, array('HS256'));
return (array)$decoded;
}
?>
七、JWT加密密鑰
在使用JWT進行加密時,一定要保護好密鑰。因為如果密鑰泄漏,攻擊者可以使用該密鑰生成有效的Token,從而訪問到一些敏感數據。
八、JWT加密密碼
在進行密碼加密時,要使用bcrypt這樣的哈希演算法,可以在一定程度上保證密碼的安全性。
九、JWT加密過程
JWT中的加密過程在上面已經進行了詳細的介紹,這裡總結一下:
1、使用Header中聲明的加密演算法計算簽名;
2、將Header和Payload組合在一起,中間用「.」分隔;
3、再將第2步得到的結果進行Base64加密,最終就得到了Token。
十、JWT加密好處
相對於傳統的cookie與session認證方式,JWT認證有很多好處:
1、前後端分離:使用JWT,後端不需要保存session,從而讓API更容易擴展。
2、無狀態:JWT本身是無狀態的,每個請求的Token都是獨立的,減少了Server的開銷。
3、安全性高: JWT採用了加密演算法,從而保證了用戶數據的安全。
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/151201.html
微信掃一掃 
支付寶掃一掃 