我一直在用Java编写一个 RESTful 服务。到目前为止,这是我所理解的:
使用 JSON Web Tokens (JWT) 进行令牌授权,其中包括三个部分:标头、负载和密钥(客户端和服务器之间共享)。
我理解了这个概念,并在阅读有关 JWT 的文章时遇到了 JSON Web Signature (JWS)。
JWS 也是一个类似于 JWT 的编码实体,具有标头、负载和共享密钥。
这两个概念之间有什么区别,即 JWT 和 JWS?如果它们在技术上相似,那么在它们的实现中有什么区别?
这是我第一次使用基于令牌的身份验证,因此我可能完全误解了这个概念。
P.S.:我在浏览此网站的示例时了解了 JWS:http://connect2id.com/products/nimbus-jose-jwt。
JSON Web Token (JWT) 是一种紧凑可 URL 安全传输的方法,用于在两个方之间传递声明信息。根据规范摘要:
JWT 将声明编码为 JavaScript Object Notation (JSON) 对象,并将其作为 JSON Web Signature (JWS) 结构或 JSON Web Encryption (JWE) 结构的有效载荷,使得这些声明可以被数字签名、MAC 或加密。
因此,JWT 实际上是一个具有 JSON 对象有效载荷的 JWS 结构。还定义了一些可选的键(或声明),例如 iss、aud、exp 等。
这也意味着,它的完整性保护不仅限于共享密钥,还可以使用公钥/私钥加密。
"alg":"none"。
- 声明作为JWS的有效负载进行编码(即加密签名)。这是典型的三部分签名JWT。
- 声明作为JWE的明文进行编码(即加密)。这具有更多的组件(头部、加密密钥、随机化、密文、完整性等)。
- 嵌套的JWT...