Kas ir parakstīšanas atslēga JWT?

2024 Autors: Lynn Donovan | [email protected]. Pēdējoreiz modificēts: 2023-12-15 23:50

JSON tīmekļa marķieris ( JWT ) ir atvērts standarts (RFC 7519), kas definē kompaktu un autonomu veidu drošai informācijas pārsūtīšanai starp pusēm kā JSON objektu. JWT var būt parakstīts izmantojot noslēpumu (ar HMAC algoritmu) vai publisku/privātu taustiņu savienojiet pārī, izmantojot RSA vai ECDSA.

Tādā veidā, kā jūs parakstāt JWT?

Puse izmanto savu privāto pusi, lai zīme a JWT . Uztvērēji savukārt izmanto šīs puses publisko atslēgu (kurai ir jābūt koplietotai tāpat kā HMAC koplietotajai atslēgai), lai pārbaudītu JWT . Saņēmējas puses nevar izveidot jaunus JWT, izmantojot sūtītāja publisko atslēgu.

Vai arī JWT var uzlauzt? JWT , jeb JSON tīmekļa marķieri, ir defacto standarts mūsdienu tīmekļa autentifikācijā. Tas tiek izmantots burtiski visur: no sesijām līdz marķieriem balstītai autentifikācijai pakalpojumā OAuth un beidzot ar visu formu un formu pielāgotu autentifikāciju. Tomēr, tāpat kā jebkura tehnoloģija, JWT nav imūna pret uzlaušana.

Attiecīgi, kā darbojas JWT paraksts?

JWT vai JSON Web Token ir virkne, kas tiek nosūtīta HTTP pieprasījumā (no klienta uz serveri), lai pārbaudītu klienta autentiskumu. JWT ir izveidota ar slepeno atslēgu, un šī slepenā atslēga ir jums privāta. Kad saņemat a JWT no klienta, varat to pārbaudīt JWT ar šo slepeno atslēgu.

Kas ir hs256?

HS256 . Jauktā ziņojuma autentifikācijas kods (HMAC) ir algoritms, kas apvieno noteiktu lietderīgo slodzi ar noslēpumu, izmantojot kriptogrāfisku jaucējfunkciju, piemēram, SHA-256. Rezultāts ir kods, ko var izmantot, lai pārbaudītu ziņojumu tikai tad, ja gan ģenerējošā, gan verificējošā puse zina noslēpumu.