jwt-handbook.pdf资源-CSDN文库

JWT

5星 · 超过95%的资源需积分: 10 146 浏览量 2018-01-21 14:20:42 上传评论 1 收藏 1.28MB PDF 举报

资源推荐

资源详情

资源评论

Contents

Special Thanks 4

1 Introduction 5

1.1 What is a JSON Web Token? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1.2 What problem does it solve? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.3 A little bit of history . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

2 Practical Applications 8

2.1 Client-side/Stateless Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2.1.1 Security Considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2.1.1.1 Signature Stripping . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2.1.1.2 Cross-Site Request Forgery (CSRF) . . . . . . . . . . . . . . . . . . 10

2.1.1.3 Cross-Site Scripting (XSS) . . . . . . . . . . . . . . . . . . . . . . . 11

2.1.2 Are Client-Side Sessions Useful? . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.1.3 Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.2 Federated Identity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

2.2.1 Access and Refresh Tokens . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

2.2.2 JWTs and OAuth2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

2.2.3 JWTs and OpenID Connect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2.2.3.1 OpenID Connect Flows and JWTs . . . . . . . . . . . . . . . . . . . 20

2.2.4 Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2.2.4.1 Setting up Auth0 Lock for Node.js Applications . . . . . . . . . . . 21

3 JSON Web Tokens in Detail 23

3.1 The Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

3.2 The Payload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

3.2.1 Registered Claims . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

3.2.2 Public and Private Claims . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

3.3 Unsecured JWTs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

3.4 Creating an Unsecured JWT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

3.4.1 Sample Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

3.5 Parsing an Unsecured JWT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

3.5.1 Sample Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

4 JSON Web Signatures 30

4.1 Structure of a Signed JWT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

4.1.1 Algorithm Overview for Compact Serialization . . . . . . . . . . . . . . . . . 32

4.1.2 Practical Aspects of Signing Algorithms . . . . . . . . . . . . . . . . . . . . . 33

4.1.3 JWS Header Claims . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

4.1.4 JWS JSON Serialization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

4.1.4.1 Flattened JWS JSON Serialization . . . . . . . . . . . . . . . . . . . 38

4.2 Signing and Validating Tokens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

4.2.1 HS256: HMAC + SHA-256 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.2.2 RS256: RSASSA + SHA256 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.2.3 ES256: ECDSA using P-256 and SHA-256 . . . . . . . . . . . . . . . . . . . . 40

5 JSON Web Encryption (JWE) 41

5.1 Structure of an Encrypted JWT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

5.1.1 Key Encryption Algorithms . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

5.1.1.1 Key Management Modes . . . . . . . . . . . . . . . . . . . . . . . . 46

5.1.1.2 Content Encryption Key (CEK) and JWE Encryption Key . . . . . 47

5.1.2 Content Encryption Algorithms . . . . . . . . . . . . . . . . . . . . . . . . . . 48

5.1.3 The Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

5.1.4 Algorithm Overview for Compact Serialization . . . . . . . . . . . . . . . . . 49

5.1.5 JWE JSON Serialization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

5.1.5.1 Flattened JWE JSON Serialization . . . . . . . . . . . . . . . . . . 52

5.2 Encrypting and Decrypting Tokens . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

5.2.1 Introduction: Managing Keys with node-jose . . . . . . . . . . . . . . . . . . 52

5.2.2 AES-128 Key Wrap (Key) + AES-128 GCM (Content) . . . . . . . . . . . . 54

5.2.3 RSAES-OAEP (Key) + AES-128 CBC + SHA-256 (Content) . . . . . . . . . 54

5.2.4 ECDH-ES P-256 (Key) + AES-128 GCM (Content) . . . . . . . . . . . . . . 55

5.2.5 Nested JWT: ECDSA using P-256 and SHA-256 (Signature) + RSAES-

OAEP (Encrypted Key) + AES-128 CBC + SHA-256 (Encrypted Content) . 55

5.2.6 Decryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

6 JSON Web Keys (JWK) 58

6.1 Structure of a JSON Web Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

6.1.1 JSON Web Key Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

7 JSON Web Algorithms 61

7.1 General Algorithms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

7.1.1 Base64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

7.1.1.1 Base64-URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

7.1.1.2 Sample Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

7.1.2 SHA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

7.2 Signing Algorithms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

7.2.1 HMAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

7.2.1.1 HMAC + SHA256 (HS256) . . . . . . . . . . . . . . . . . . . . . . . 71

7.2.2 RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

7.2.2.1 Choosing e, d and n . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

7.2.2.2 Basic Signing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

剩余95页未读，继续阅读

评论收藏

内容反馈

洞庭秋波

2019-07-19

挺不错的参考资料
Mr_Lc

2018-06-27

英文的，可借鉴！
chx_man

2018-05-09

正好用到JWT
aguncn

2018-05-04

这个资源不错，对我现在的工作很重要哈，感谢

lichunyuan12

粉丝: 0
资源: 9

jwt-handbook.pdf

前后端接口安全技术JWT极速入门教程.pdf

jwt-handbook

JWT handbook JWT手册

asp.net中用到的JWT身份验证 JWT.dll 下载

jwt-handbook-v0_14_1 jwt官方文档 zip压缩 pdf mobi epub 三合一

JWT帮助文档

JWT 生成Token实战验证.pdf

JWT认证.pdf

The woork handbook.pdf

typescript-handbook.pdf

jwt-handbook-v0_14_1_官网下载版.pdf

JWT(json web token加密算法) for C# dll 文件，亲测可用

JWT 生成Token及验证.PDF

jwt-handbook-v0_14_1

frm handbook 第六版 中文

JWT Token生成及验证

SPRINGBOOT+JWT

max2_handbook.pdf

patmos_handbook.pdf

JWT web token

jwt_token_test.zip

最新资源

frm handbook 第六版中文