JWK和JWT 学习

大家好，欢迎来到IT知识分享网。

JWK和JWT 介绍

JWK (JSON Web Key) 和 JWT (JSON Web Token) 是现代Web应用程序中用于安全通信的两个重要概念。它们都是基于JSON的，并且是OAuth 2.0和OpenID Connect等协议的核心组成部分。

官方文档

• JWT官方网站
• JWK和JWK Set的RFC文档
• JWT的RFC文档

JWK (JSON Web Key)

JWK是一种表示密钥信息的JSON数据结构。它用于以紧凑、URL安全的方式表示加密和签名密钥。JWK可以表示各种类型的密钥，如RSA、EC（椭圆曲线）和Octet（对称密钥）。JWK通常与JWK Set（一个包含一个或多个JWK的JSON对象）一起使用，以便于管理和传输多个密钥。

JWK的结构：

一个基本的JWK可能包含以下字段：

• kty (Key Type): 密钥类型，如RSA、EC、Oct等。
• kid (Key ID): 密钥的唯一标识符。
• use (Public Key Use): 密钥的用途，如签名或加密。
• n (Modulus for RSA and other modular algorithms): RSA密钥的模数。
• e (Exponent for RSA and other modular algorithms): RSA密钥的公共指数。
• d (Private Exponent for RSA and other modular algorithms): RSA密钥的私有指数。
• x (X Coordinate for EC and other elliptic curve algorithms): 椭圆曲线密钥的X坐标。
• y (Y Coordinate for EC and other elliptic curve algorithms): 椭圆曲线密钥的Y坐标。

JWK的用途：

• 在OAuth 2.0中，JWK用于公开服务器用于验证JWT的公钥。
• 在JWT验证过程中，客户端可以使用JWK来验证JWT的签名。

JWT (JSON Web Token)

JWT是一种开放标准（RFC 7519），它定义了一种紧凑且自包含的方式，用于在各方之间作为JSON对象安全地传输信息。这些信息可以被验证和信任，因为它是数字签名的。JWT可以使用密钥（对称或非对称）进行签名，或者使用密钥进行加密。

JWT的结构：

JWT由三部分组成，每部分由.分隔，分别是：

1. Header：包含令牌的类型（即JWT）和所使用的签名算法，如HMAC SHA256或RSA。
2. Payload：包含声明（claims）。声明是关于实体（通常是用户）和其他数据的声明。
3. Signature：需要使用Header中指定的算法对Header和Payload进行签名。

JWT的用途：

• 在身份验证过程中，用户成功登录后，服务器会返回一个JWT，客户端通常会将其存储在本地（如浏览器的localStorage或cookie中）。
• 在随后的请求中，客户端会将JWT包含在请求中（通常在Authorization头部中），服务器会验证JWT的签名以确认用户的身份。
• JWT还可以用于信息交换，因为它们可以被签名（例如，使用公钥/私钥对），以确保发送者是他们声称的人。