leo*_*leo 47 java rest restful-authentication jwt http-token-authentication
我一直用Java编写RESTful服务.这是我到目前为止所理解的(如果我错了,请纠正我):
令牌授权使用JSON Web令牌(JWT)完成,它包含三个部分:头,有效负载和秘密(在客户端和服务器之间共享).
我理解这个概念,并在阅读JWT时偶然发现了JSON Web Signature(JWS).
JWS也是类似于JWT的编码实体,具有头部,有效载荷和共享秘密.
问题:两个概念有什么区别,即JWT和JWS?如果它们在技术上相似,那么它们的实现有何不同?
这是我第一次使用基于令牌的身份验证,所以我可能完全误解了这个概念.
PS我在浏览本网站上的示例时了解了JWS .
Han*_* Z. 43
JWT实际上使用 JWS作为其签名,来自规范:
JSON Web令牌(JWT)是一种紧凑的,URL安全的方式,用于表示要在双方之间转移的声明.JWT中的声明被编码为JavaScript对象表示法(JSON)对象,该对象用作JSON Web签名(JWS)结构的有效负载或JSON Web加密(JWE)结构的明文,使声明成为可能数字签名或MACed和/或加密.
因此,JWT是一个JWS结构,其中JSON对象作为有效负载.一些可选键(或权利要求书)已经被定义,例如iss,aud,exp等.
这也意味着其完整性保护不仅限于共享秘密,还可以使用公钥/私钥密码术.
| 归档时间: |
|
| 查看次数: |
20006 次 |
| 最近记录: |