so导航喵绅hcmoic(喵绅hcmoic士在线访问)

令牌身份验证，OAuth或JSON Web令牌的新手？ 这是一个很好的起点！

不要将任何敏感数据存储在JWT中。这些令牌通常被签名以防止操纵（未加密），因此可以容易地解码和读取权利要求中的数据。如果您必须在其中放入敏感的，不透明的信息，请加密您的令牌。秘密签名密钥只能由发行方和消费者访问;它不应该在这两方之外进行。

应用程序确认用户身份的过程称为身份验证。传统上，应用程序通过会话cookie保持身份，这些cookie依赖于服务器端存储的会话ID。在此结构中，开发人员被迫创建独特且特定于服务器的会话存储，或实现为完全独立的会话存储层。

JWE - JSON Web加密

Java应用程序的令牌认证

JSONWebToken.io

将您的JWT存储在安全的HttpOnly cookie中。这可以防止跨站点脚本（XSS）攻击。

密码授予类型：提供基于用户名和密码获取访问令牌的功能

在此示例中，第1节是描述令牌的标头。 第2节是有效载荷，其中包含JWT的声明，第3节是签名散列，可用于验证令牌的完整性（如果您有用于签名的密钥）。

JWT的剖析

首先，什么是JSON Web令牌，或JWT（发音为“jot”）？ 简而言之，JWT是用于令牌认证的安全且值得信赖的标准。 JWT允许您使用签名对信息（称为声明）进行数字签名，并且可以在以后使用秘密签名密钥进行验证。

OAuth 2.0是与可以委派身份验证或提供授权的服务进行交互的框架。它被广泛用于许多移动和Web应用程序。 OAuth 2.0没有指定令牌格式，但JWT正在迅速成为业界的事实标准。

好吧，如果你是Java开发人员，你应该从JJWT开始。 JJWT是一个Java库，提供由我们自己的Les Hazlewood开发并由开发人员社区维护的端到端JSON Web令牌创建和验证。永远免费和开源（Apache许可证，版本2.0），它设计了一个以构建者为中心的界面，隐藏了其大部分复杂性。

String jwt = Jwts.builder() .setSubject("users/TzMUocMF4p") .setExpiration(new Date(1300819380)) .claim("name", "Robert Token Man") .claim("scope", "self groups/admins") .signWith( SignatureAlgorithm.HS256, "secret".getBytes("UTF-8") ) .compact();

一旦拥有JWT，您通常会将其交还给请求它的客户端。 然后，客户端将其存储并将请求中的令牌传递给您的应用程序。 这通常使用HTTP中的cookie值或授权标头来完成。 例如：

HTTP/1.1 GET /secure-resource Host: https://yourapplication.com Authorization: Bearer eyJraWQiOiIzMUUzRDZaM0xaMVdFSEJGWVRQRksxRzY4IiwiYWxnIjoiSFMyNTYifQ.eyJqdGkiOiI2a3NjVFMyUjZuYlU3c1RhZ0h0aWFXIiwiaWF0IjoxNDQ1ODU0Njk0LCJpc3MiOiJodHRwczovL2FwaS5zdG9ybXBhdGguY29tL3YxL2FwcGxpY2F0aW9ucy8zUUlNbEpLS04yd2hHQ1l6WFh3MXQ4Iiwic3ViIjoiaHR0cHM6Ly9hcGkuc3Rvcm1wYXRoLmNvbS92MS9hY2NvdW50cy8xeG15U0dLMXB5VVc1c25qOENvcmU1IiwiZXhwIjoxNDQ1ODU4Mjk0LCJydGkiOiI2a3NjVE9pTUNESVZWM05qVTIyUnlTIn0.VJyMOicMOdcOCtytsx4hoPHy3Hl3AfGNfi2ydy8AmG4

JJWT是一个易于使用的工具，供开发人员用Java创建和验证JWT。在Stormpath支持的许多库中，JJWT是完全免费和开源的（Apache License，Version 2.0），因此每个人都可以看到它的作用以及它是如何做到的。不要犹豫，报告任何问题，建议改进，甚至提交一些代码！

JSONwebtoken.io是我们创建的一个开发工具，可以轻松解码JWT。将现有JWT简单粘贴到适当的字段中以解码其标头，有效负载和签名。 JSONWebToken.io由nJWT提供支持，nJWT是Node.js开发人员最干净的免费和开源（Apache License，Version 2.0）JWT库。

这个人是谁以及他们的用户资源的URI（子要求）

JWS - JSON Web签名

JJWT使用了许多其他Exception类。它们都可以在JJWT源代码中的io.jsonwebtoken包中找到。

刷新授权类型：提供基于特殊刷新令牌生成另一个访问令牌的功能

令牌安全吗？

客户端凭据授权类型：提供为访问令牌交换API密钥对的功能。这通过API密钥管理功能得到支持

MalformedJwtException：当JWT未正确构造并且应该被拒绝时抛出

JWT检查器

ClaimJwtException：在验证JWT声明失败后抛出

JJWT

Stormpath支持开发几个与JWT相关的开源开发人员工具，包括：

什么是令牌认证？