之前调用一个第三方api的时候,看到需要在Authorization填写bearer + token,英文不好,看成了熊(bear),心里很疑惑?
实际上,“bearer”指的是持票人,Bearer Token用于授权访问资源。任何Bearer持有者都可以无需证明拥有加密密钥而访问相关资源。Bearer代表授权范围、有效期和其他授权信息 。
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),它定义了一种紧凑的,自包含的方法,用于以JSON对象的形式在各方之间安全地传输信息。这些信息可以得到验证和信任,因为它们经过了数字签名处理。
JWT其实就是一串字符,由 Header、Payload 和 Signature 三部分组成,然后用点号拼接。JWT 的数据结构如下图:
Header 部分是一个 JSON 对象,包含了 JWT 的元数据,一般是这样:
{
"alg": "HS256",
"typ": "JWT"
}alg(algorithm)表示签名的算法,默认是 HS256。typ(type)表示这个令牌(token)的类型,JWT 令牌统一写为JWT。最后,将上面的 JSON 对象去除缩进然后压缩后,使用 Base64URL 算法转成字符串。Base64URL算法:跟 Base64 算法基本类似,Base64 有三个字符+、/和=,在 URL 里面有特殊含义,所以要被替换掉:=被省略、+替换成-,/替换成_ 。
Payload部分也是一个JSON对象,用来存放实际需要传递的数据,编码方法和Header部分一致,例图上的文本解密后是这样的:
{
"iss": "yxy",
"exp": 1690602421
}Signature 部分是对前两部分的签名,防止数据被篡改。首先,需要指定一个密钥(secret)。这个密钥只存储在服务器上,不能泄露给用户。然后,使用 Header 里面指定的签名算法,按照下面的公式产生签名:
HMACSHA256(
base64UrlEncode(header)+"."+
base64UrlEncode(payload),
secret)如果你需要使用JWT,有几个在线工具可以简化JWT解密和加密的过程。这些工具提供用户友好的界面和直观的功能,使您能够轻松生成,验证或解码JWT。一些值得一提的流行的在线JWT加解密工具包括:
1. JSON Web Tokens (JWT) 在线解密, 开发工具箱 - JWT 在线解密 。这个网页提供了jwt解密功能。功能比较简单,上手很容易。
2. JWT parser, IT Tools - Handy online tools for developers 。这个网页也提供了jwt解密功能,比较上一个网页,这个网页的解密结果里会把payload里面的unix时间戳转成我们能看懂的时间格式。
3. ToolTT在线加解密, JWT Token在线解析解码 - ToolTT在线工具箱 。 JWT Token在线编码生成 - ToolTT在线工具箱 。这个网站的体验又比前两个网页的体验要好。额外支持jwt令牌的生成,令牌生成的选项比较细致,可读性墙方便操作。美中不足,不允许修改令牌的签发时间。
4. bejson在线工具, https://www.bejson.com/jwt 。如果您正在寻找一种可靠且高效的处理JWT的方式,它无疑是一个很好的选择。这个网页除了提供了全面的JWT加密和解密功能外,还提供了签名验证功能,如果你是一名全栈,需要验签,墙裂推荐收藏之,也别忘了给我点赞。
此外,JWT还具有以下重要特点和优点:
轻量级和跨平台:由于JWT是基于JSON的,它具有轻量级和可移植性的特点,可以在不同的平台和编程语言之间进行交互。
无状态性:JWT本身包含了所有必要的信息,无需在服务器端保存会话信息,减轻了服务器负担。
可扩展性:JWT可以通过添加自定义的声明来扩展其功能,以满足特定的业务需求。
安全性:JWT使用数字签名进行验证和信任,防止被篡改或伪造,确保数据的安全性。
在调用第三方API时正确理解并使用Bearer Token是非常重要的。JWT作为一种安全的传输和授权机制,可以提供灵活性和便捷性。通过使用在线JWT解密/加密工具,您可以简化处理JWT的过程。同时,了解JWT的特点和优点,可以更好地应用JWT来确保应用程序的安全性和功能性。为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。一旦 JWT 签发了,在到期之前就会始终有效,JWT 的有效期应该设置得比较短。