安全攻防 | JWT认知与攻击

文章预览

本文主要普及一下JWT(JSON Web Token)的相关知识以及安全性问题。 01 JWT简介      JWT是JSON web Token的缩写，它是为了在网络应用环境间传递声明而执行的一种基于JSON的开放式标准(RFC 7519)，该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的业务逻辑所必须声明信息，该token也可被直接用于认证，也可用作加密。 02 JWT应用场景 (1) 授权 这个是使用JWT最常见的场景，一旦用户登录，后续每个请求都将包括JWT，从而允许用户访问该令牌允许的路由、服务以及资源。单点登录(SSO)是目前使用JWT最广泛的一个场景，JWT的方式可以让用户在不同的域中轻松灵活使用。 (2) 构成 JWT由三部分构成，第一部分我们称它 ………………………………