安全|jwt与base64和base64url

2022-03-20 安全前端

base64编码效果：使用64个可打印的字符来表示二进制数据的方法。
A-Z a-z 0-9 + /
一共64个字符，本质上是进行表示，并不是加密（但如果打乱字符顺序，也可以达到加密的效果）
具体原理见博客：[一篇文章弄懂Base64编码原理_mijichui2153的博客-CSDN博客]()
base64Url编码 base64编码将’+’、’/‘替换成’-’、’_’，将=去掉，就成为了base64url编码，因为这三个字符在url有特殊意义。
JWT
json web token
JWT是一种用户认证方案，用于保持登录等。

用户进行登录，用户名和密码传给后端
【安全|jwt与base64和base64url】后端对header和payload进行base64Url编码，再用字符 ‘.’ 进行连接
配置一个密钥（只有后端持有），对编码后的串进行签名，得到一个token字符串
将token字符串传给客户端
之后每次客户端发起有权限限制的请求时，都在请求头中的authorization中携带这个token字符串（记得前面加上Bearer + 空格）
后端每次拿到请求，先检查（当然是用之前那个密钥进行解密）这个token是否过期，是否正确，通过后再进行其他响应

jwt的header中：

'alg':'HS256'
'typ': 'JWT'

表示所用的签名算法，以及令牌(token)类型，token也分类型的，这里的类型是jwt令牌
payload:
payload就是传输的具体内容，默认不加密，所以敏感的内容，比如密码，不加密的情况下就不要往里放。
参考阮一峰先生的博客：JSON Web Token 入门教程

推荐阅读

上一篇：计网|WebSocket JS

下一篇：激光雷达和三维点云PCL|自动驾驶中激光雷达如何检测障碍物