对称加密与非对称加密在 JWT 中的应用详解

原创 已于 2025-05-22 15:27:42 修改 · 1.1k 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #eclipse #maven #spu #加密

于 2025-05-18 21:46:28 首次发布

文章目录

对称加密与非对称加密在 JWT 中的应用详解

引言

JSON Web Token(JWT)是一种开放标准(RFC 7519),用于在各方之间安全地传输声明(Claims)。JWT 通常由三部分组成:Header(头部)Payload(载荷)Signature(签名)。其中,签名 是 JWT 的核心,用于确保数据的完整性和真实性。

在 JWT 中,签名可以使用 对称加密(如 HS256)非对称加密(如 RS256) 生成。本文将详细介绍这两种加密方式的区别,并深入讲解它们在 JWT 生成和验证过程中的具体实现。

对称加密与非对称加密概述

对称加密(Symmetric Encryption)

  • 定义:加密和解密使用相同的密钥。
  • 特点
    • 效率高:计算速度快,适合加密大量数据。
    • 密钥管理复杂:通信双方必须共享同一密钥,密钥分发存在风险。
  • 常见算法:AES(高级加密标准)、DES(数据加密标准)、3DES、ChaCha20。
  • 应用场景:数据库加密、文件加密、VPN 通信(如 IPsec)、硬盘加密(如 BitLocker)。

非对称加密(Asymmetric Encryption)

  • 定义:使用一对密钥(公钥和私钥),公钥加密的数据只能用私钥解密,反之亦然(部分算法支持签名功能)。
  • 特点
    • 安全性高:无需共享私钥,公钥可公开分发。
    • 计算开销大:速度比对称加密慢,通常用于小数据量或密钥交换。
  • 常见算法:RSA、ECC(椭圆曲线加密)、ElGamal、DH(Diffie-Hellman,密钥交换协议)。
  • 应用场景:数字签名、SSL/TLS 握手、SSH 登录、加密货币(如比特币)。

注意:在jwt中,使用对称加密和非对称加密不是用来加密的,是用来计算签名的

对称加密生成和验证 JWT 的过程

生成 JWT(HS256 示例)

  1. 准备数据

    • Header:指定算法(“alg”: “HS256”)和类型(“typ”: “JWT”)。
    • Payload:存储实际数据(如用户信息、过期时间 exp)。
    • Secret Key:用于签名(仅签名方持有)。

  2. Base64Url 编码 Header 和 Payload

    • 将 Header 和 Payload 分别进行 Base64Url 编码,得到 encodedHeader 和 encodedPayload。

  3. 计算签名

    • 拼接字符串:signingInput = encodedHeader + “.” + encodedPayload。
    • 使用 HMAC-SHA256 算法,对 signingInput 和 Secret Key 计算签名:signature = HMAC-SHA256(signingInput, SecretKey)。
    • 将签名进行 Base64Url 编码,得到 encodedSignature。

  4. 组合成 JWT

    jwt = encodedHeader + “.” + encodedPayload + “.” + encodedSignature

验证 JWT

  1. 解析 JWT
    • 分割 jwt 为 encodedHeader、encodedPayload 和 encodedSignature。
  2. 重新计算签名
    • 拼接字符串:signingInput = encodedHeader + “.” + encodedPayload。
    • 使用相同的 HMAC-SHA256 算法和 Secret Key 计算签名。
  3. 比对签名
    • 比较重新计算的签名和 JWT 中的 encodedSignature 是否一致。
    • 如果一致,则验证通过;否则,验证失败。
  4. 验证其他声明(可选):
    • 检查 Payload 中的 exp(过期时间)、nbf(生效时间)等声明。

非对称加密生成和验证 JWT 的过程

生成 JWT(RS256 示例)

  1. 准备数据

    • Header:指定算法(“alg”: “RS256”)和类型(“typ”: “JWT”)。
    • Payload:存储实际数据(如用户信息、过期时间 exp)。
    • Private Key:用于签名(仅签名方持有)。
    • Public Key:用于验证(可公开分发)。

  2. Base64Url 编码 Header 和 Payload

    • 将 Header 和 Payload 分别进行 Base64Url 编码,得到 encodedHeader 和 encodedPayload。

  3. 计算签名

    • 拼接字符串:signingInput = encodedHeader + “.” + encodedPayload。
    • 对signingInput进行哈希(如 SHA-256),然后用 RSA 私钥加密哈希值(生成签名):signature = RSA_Sign(SHA256(signingInput), PrivateKey)
    • 将签名进行 Base64Url 编码,得到 encodedSignature。

  4. 组合成 JWT

    jwt = encodedHeader + “.” + encodedPayload + “.” + encodedSignature

验证 JWT

  1. 解析 JWT
    • 分割 jwt 为 encodedHeader、encodedPayload 和 encodedSignature。
  2. 重新计算签名
    • 拼接字符串:signingInput = encodedHeader + “.” + encodedPayload。
    • 对 signingInput进行哈希(SHA-256),然后用 RSA 公钥解密 JWT 中的签名,比对哈希值是否一致:is_valid = RSA_Verify(SHA256(signingInput), encodedSignature, PublicKey)
  3. 比对签名
    • 如果解密后的哈希值与重新计算的哈希值一致,则验证通过;否则,验证失败。
  4. 验证其他声明(可选):
    • 检查 Payload 中的 exp(过期时间)、nbf(生效时间)等声明。

对称加密与非对称加密在 JWT 中的对比

特性对称加密(HS256)非对称加密(RS256/ES256)
密钥共享密钥(Secret Key)私钥签名,公钥验证
安全性较低(密钥共享)更高(私钥保密)
适用场景内部系统、简单应用分布式系统、OAuth/OpenID Connect
性能较快(HMAC 计算简单)较慢(RSA/ECDSA 计算开销大)
签名计算HMAC-SHA256RSA/ECDSA 签名
密钥管理密钥共享,风险较高私钥保密,公钥可公开分发

总结

  • 对称加密(HS256):
    • 使用相同的密钥进行签名和验证。
    • 适合内部系统,但密钥管理复杂。
  • 非对称加密(RS256/ES256):
    • 使用私钥签名,公钥验证。
    • 安全性更高,适合分布式系统(如 OAuth/OpenID Connect)。
  • 选择建议:
    • 如果安全性要求高,且系统是分布式的,优先选择非对称加密。
    • 如果是内部系统,且对性能要求较高,可以选择对称加密。
Aric_Jones
关注
非对称密钥加密算法 RSA/ECC 详解
悦分享
01-23 302
使用密钥对进行加解密,导致其算法更为复杂只能加密/解密很短的消息在 RSA 系统中,输入消息应该被转换为大整数(例如使用 OAEP 填充),然后才能进行加密。一些非对称密码系统(如 ECC)不直接提供加密能力,需要结合使用更复杂的方案才能实现加解密此外,非对称密码比对称密码慢非常多。比如 RSA 加密比 AES 慢 1000 倍,跟 ChaCha20 就更没法比了。为了解决上面提到的这些困难并支持加密任意长度的消息,现代密码学使用「非对称加密方案」来实现消息加解密。
JWT(auth0):RS256对称加密算法实现Token的签发、验证
西门阿浪的博客
05-31 6516
前言  日常开发中,客户端与服务器通常采用HTTP协议进行通信,但HTTP是没有状态的,无法记录用户的身份信息行为。  会话跟踪技术是一种在客户端与服务器间保持HTTP状态的解决方案,我们所熟知的有Cookie + Session、URL重写、Token等。  Cookie在浏览器保存SessionID、Session实际内容保存在服务端,目前的项目都是前后端分离 + 微服务,所以会面临Session共享问题,随着用户量的增多,开销就会越大。URL重写又是通过明文传输,不安全容易被劫持。   Toke.
JWT(数据结构、认证流程、加密、解密过程)、对称加密对称加密
codekingo的博客
01-18 1504
JWT是JSON Web Token的缩写。是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于**分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者服务提供者间传递被,以便从资源服务器获取资源,也可以增加一些额外的其他业务逻辑所必须的是个声明信息。该token可直接被用于认证,也可被加密。简单来说,JWT是一种基于JSON的用于身份验证传递信息的开发标准。
JWT学习小计,对称加密与非对称加密
yihaochengxuyuan的博客
11-25 1505
使用RSA非对称加密技术实现JWT的登录校验功能,同时利用Redis实现JWT校验的性能优化
JWT 签名算法的选择:HS256RS256、ES256 ED25519 的对比与应用
最新发布
2201_75798391的博客
03-01 1405
在构建基于 JWT(JSON Web Token)的认证系统时,选择合适的签名算法至关重要。不同的算法在安全性、性能适用场景上各有优劣。本文将详细介绍常见的 JWT 签名算法(HS256RS256、ES256 ED25519),并对比它们的特点、优缺点适用场景,帮助你选择最适合的算法。JWT 通常使用签名算法来确保 Token 的完整性真实性。:对称加密算法。:非对称加密算法。:基于椭圆曲线的加密算法。ED25519:现代椭圆曲线签名算法。
RS256 vs HS256 有什么不同(JWT签名)?
DachuiLi的博客
12-24 775
原文链接。
JWT RS256加解密、JWK获取PublicKeyPrivateKey、从已存在公私钥加解密JWT
badboy_fzk的博客
07-29 2万+
JWT的简介就没什么必要了,https://jwt.io/官网在这, 直接重点, 在alg=RS256时, 怎么从现有的JWK中获取到公私钥?拿到公私钥后如何加密解密? 背景是在使用kong网关时, 使用jwt插件遇到的问题. https://mkjwk.org/ jwk在线生成https://jwt.io/ jwt官网http://jwt.calebb.net/ jwt反解 背景, 从其他网关切换到kong后, 有关jwt的配置需要从现有的jwk配置获取, jwk的形式如下...
JWT 公钥 私钥 生成 代码
坚持就是胜利的博客
01-06 4430
这里用到的是MAVEN 工程 需要引入 依赖 <dependencies> <dependency> <groupId>joda-time</groupId> <artifactId>joda-time</artifactId> </...
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名密码请求登录 服务端收到请求,验证用户名密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
JWT背后的加密原理:认证中的对称与非对称应用
[JWT背后的加密原理:认证中的对称与非对称应用](https://www.suibibk.com/fileupload/images/20200328/1585385667546.png) # 1. JWT与认证机制概述 在现代Web应用中,JSON Web Tokens(JWT)已成为一种流行的认证...
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的...基于JWT.NET的使用详解JWT是一种优秀的身份验证授权的方式,可以广泛应用于web开发中。
JWTRS256HS256签名算法Demo.zip
03-23
最近需要使用JWT_RS256做签名校验,网上相关的资源比较少,所以写了JWT的常用的两种签名密钥Demo,希望对JWT的小白们有帮助
Jwt 加密 解密 公钥 私钥
yangkecheng2021的博客
08-27 1273
jwt的创建解析,公钥私钥的生成
jwt的概念、非对称加密对称加密(详细介绍)_jwt对称加密
2401_83739434的博客
04-15 378
首先得把依赖导入进来。
【无RS256HS256的区别,他们与SHA-256的联系标题】
wssen321的博客
11-04 1451
RS256HS256的区别,他们与SHA-256的联系
jwt私钥公钥怎么获取_jwtrsa公钥私钥进行验证(python发送,java接受)
weixin_42503660的博客
02-01 1042
JWT的主要应用场景身份认证在这种场景下,一旦用户完成了登陆,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务资源的访问权限进行验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,所有目前在单点登录(SSO)中比较广泛的使用了该技术。 信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造...
JWT签名算法
weixin_30745641的博客
08-17 1848
JWT签名算法 JWT签名算法中,一般有两个选择,一个采用HS256,另外一个就是采用RS256。 签名实际上是一个加密的过程,生成一段标识(也是JWT的一部分)作为接收方验证信息是否被篡改的依据。 RS256 (采用SHA-256RSA 签名) 是一种非对称算法, 它使用公共/私钥对: 标识提供方采用私钥生成签名, JWT 的使用方获取公钥以验证签名。由于公钥 (与私钥...
springboot实现jwt HS256加密及验证
qq_45632313的博客
10-13 5694
最近项目需要用到类似access token进行加解密、验签的需求,本人在此做个小笔记记录一下,以供他人参考。 一共会用到2中加解密,HS256 RS256,本文只是对 HS256做个备注,好了直接上代码,先引入jar包 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1&lt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值