指的是一种开放标准(RFC 7519),用于在网络应用环境间安全地传输信息。一个JWT通常由三部分组成:头部(Header)、载荷(Payload)和签名(Signature),各部分用点号连接。头部描述令牌类型和签名算法,载荷包含实际数据(如用户信息),签名用于验证令牌的完整性。JWT本身不加密数据,因此不适合传输敏感信息。了解更多关于JWT的信息
是JWT的一种实现形式,专注于数据签名。它在JWT的基础上添加了签名部分,通过声明签名算法(如HS256或RS256)来确保数据在传输过程中未被篡改。JWS的主要目的是验证数据的完整性和真实性,但签名不提供数据加密,因此内容仍可被读取。
是JWT的另一种实现,侧重于数据加密。它对整个JWT进行加密,包括头部和载荷,以保护数据的隐私性。JWE使用加密算法(如AES-GCM)和密钥封装机制,确保只有授权方能解密和读取内容。JWE更适合传输敏感数据,但其计算开销较大,通常不用于简单的认证令牌。
JWK(JSON Web Key)是一种标准格式,用于表示加密密钥(如对称密钥或公钥/私钥对)。JWK被JWS和JWE使用,以统一管理密钥。例如,在JWS中,JWK提供签名验证所需的密钥;在JWE中,JWK用于加密和解密操作。JWK可包含密钥ID(kid)、密钥用途等元数据,并可通过URL(如JKU字段)引用外部密钥集合。
