JAVA中应用JWT进行token会话

已于 2024-04-27 18:02:10 修改
阅读量962 收藏 8
点赞数 10
分类专栏: Java javaEE 文章标签: java 开发语言
于 2024-04-27 16:57:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77523019/article/details/138252463
版权
Java 同时被 2 个专栏收录
27 篇文章 0 订阅
订阅专栏
javaEE
5 篇文章 0 订阅
订阅专栏

一、概述

        JWT是一种用于身份验证和授权的开放标准(RFC 7519),它定义了一种紧凑且自包含的方式来在不同系统之间传输信息。JWT由三部分组成:头部(Header)、负载(Payload)和签名(Signature)。

  • 头部包含了描述该JWT的元数据,通常包含了使用的算法和令牌类型。
  • 负载包含了要传输的信息,可以自定义一些声明,例如用户ID、角色等。
  • 签名是对头部和负载的签名,用于验证JWT的真实性和完整性。
  • JWT是无状态的,可以在不同的请求之间传递,服务器不需要存储任何信息。由于JWT是自包含的,可以直接从JWT中读取信息,无需通过数据库或其他方式进行查询。
  • JWT可以被用于各种场景,例如身份验证、用户授权、信息交换等。
基于session认证所显露的问题

Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。

扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。

CSRF (跨站请求伪造):因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

为了解决这些问题,出现了JWT和Token。

二、JWT的三部分

 JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。就像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

1.头部

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt

  • 声明加密的算法 通常直接使用 HMAC HS256

完整的头部就像下面这样的JSON:

 {'typ': 'JWT','alg': 'HS256'}-->重新进行编码(不是加密)

然后将头部进行base64转码,构成了第一部分.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

2.载荷

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

  • 标准中注册的声明

  • 公共的声明

  •  公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务   需要的必要信息.但不建议添加敏感信息(例如密码),因为该部分在客户端可解密. id,用户名,头像名

  • 私有的声明

定义一个payload

{ "sub": "1234567890", "name": "John Doe","admin": true}

然后将其进行base64转码,得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

3.签名(类似于比特币)

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)

  • payload (base64后的)

  • secret

这个部分需要base64转码后的header和base64转码后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

 TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

        JWT生成Token的过程类似于比特币生成新区块的过程,这里的签名相当于是私钥,只有自己知道且难以用方法来破解。

三、Java中使用JWT生成token

1.引入JWT依赖

<dependency>

      <groupId>com.auth0</groupId>

      <artifactId>java-jwt</artifactId>

      <version>3.8.2</version>

</dependency>

注:可以根据个人情况引入,没必要必须用这个。

 2.生成token

/**
     * jwt生成token
     * @param id
     * @param account
     * @return
     */
    public static String token (Integer id, String account){
        String token = "";
        try {
            //过期时间 为1970.1.1 0:0:0 至 过期时间  当前的毫秒值 + 有效时间
            Date expireDate = new Date(new Date().getTime() + 10*1000);
            //秘钥及加密算法
            Algorithm algorithm = Algorithm.HMAC256("ZCEQIUBFKSJBFJH2020BQWE");
            //设置头部信息
            Map<String,Object> header = new HashMap<>();
            header.put("typ","JWT");
            header.put("alg","HS256");
            //携带id,账号信息,生成签名
            token = JWT.create()
                    .withHeader(header)
                    .withClaim("id",id)
                    .withClaim("account",account)
                    .withExpiresAt(expireDate)
                    .sign(algorithm);
        }catch (Exception e){
            e.printStackTrace();
            return  null;
        }
        return token;
    }

3.验证token是否正确

public static boolean verify(String token){
             try {
             //验签
                Algorithm algorithm = Algorithm.HMAC256("ZCEQIUBFKSJBFJH2020BQWE");
                JWTVerifier verifier = JWT.require(algorithm).build();
                DecodedJWT jwt = verifier.verify(token);
                return true;
    } catch (Exception e) {//当传过来的token如果有问题,抛出异常
     return false;
    }
}

4.获取token中的负载信息

public class main {

    public static void main(String[] args) {
        String token;
        Date expireDate = new Date(new Date().getTime() + 10*1000);
        //秘钥及加密算法
        Algorithm algorithm = Algorithm.HMAC256("ZCEQIUBFKSJBFJH2020BQWE");
        //设置头部信息
        Map<String,Object> header = new HashMap<String, Object>();
        header.put("typ","JWT");
        header.put("alg","HS256");
        //携带id,账号信息,生成签名
        token = JWT.create()
                .withHeader(header)
                .withClaim("id",123)
                .withClaim("account",123)
                .withExpiresAt(expireDate)
                .sign(algorithm);
        DecodedJWT verify = JWT.require(algorithm).build().verify(token);
        System.out.println(verify.getClaim("id").asInt());
        System.out.println(verify.getClaim("account").asInt());
    }
}

乔冠宇
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
JWTJava Web Token
从心初发
03-24 971
文章目录1. JWT 产生背景1.1 传统基于服务的认证方式1.2 基于Token的身份认证2. JWT 简介2.1 JWT 是什么2.2 JWT 结构说明2.2.1 Header2.2.2 Payload2.2.3 Signature3. JWT 是如何工作的?4. 我们为什么要使用JSON Web令牌?5. 为什么有人不推荐使用 JWT?5.1 为什么不推荐使用JWT?5.2 如何解决JWT...
JWT(java web Token)
01-22
token 去访问实现了jwt认证的web服务器。 token 可保存自定义信息,如用户基本信息, web服务器用解析token,解决跨域授权的问题
JavaJWT技术解析与实践:安全高效的身份认证
最新发布
Innocence_0的博客
05-30 687
什么是JWT(JSON Web Token)?JWT是一种用于身份验证和授权的开放标准(RFC7519),它是基于JSON格式的轻量级安全令牌。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。通常,JWT被用于在不同的系统之间传递安全性的声明信息,以便用户在跨域应用进行身份验证。JWT有什么好处,能干啥?轻量级:JWT是基于JSON格式的,相比于传统的XML格式,它更加轻巧且易于解析。
什么是JWT(JSON WEB TOKEN
weixin_34280237的博客
11-18 275
转自于:http://www.jianshu.com/p/576dbf44b2ae 什么是JWT Json web tokenJWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT声明一般被用来在身份提供者和服务提供...
java使用JWT
男儿当自强
01-04 7066
JWT:JSON Web Token,是通过数字签名,以JSON对象为载体在服务间安全传输信息的方式。JWT由三部分组成:头信息、有效载体和签名。头信息包括:令牌类型和签名算法信息;有效载体是使用一个JSON对象作为数据内容,由于只是采用base64运算,并没有进行加密,因此通常存放一些非敏感数据;签名是采用不可逆签名算法对base64后的头信息拼接上点拼接上base64后的有效载体及签名秘钥进行运算得出,防止token信息被篡改,最后生成的Token是由base64后的头信息拼接上点拼接上base64后的
java使用jwt
Linlietao0587的博客
01-27 1707
在一个标准项目,拦截器或者过滤器一定不会少了。有了这些,那必须使用令牌验证了。这里讲解的是jwt 可以去看一下我上一篇文章,使用token和redis验证 1、JWT 1️⃣什么是jwt jwt 全称是 json web token 在网络应用环境声明而执行的一种基于json的开发标准 jwt应用分布式的当点托登录系统,身份提供者和服务者提供者传递认证用户信息 2️⃣jwt认证流程 用户输入用户密码进行登录 服务判断用户登录是否正确 -如正确,则颁发给用户一个token 客户端存token,在以.
Java使用JWT生成Token进行接口鉴权实现方法
08-25
Java使用JWT生成Token进行接口鉴权实现方法 Java使用JWT生成Token进行接口鉴权实现方法是当前最流行的鉴权方式之一。通过本文,读者可以了解到使用JWT生成Token进行接口鉴权的详细实现方法。 什么是JWTJWT...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
JWT(Json Web Token)则是一种安全的身份验证机制,被广泛应用于微服务架构和API授权。本篇文章将深入探讨如何在Spring Boot应用结合Spring Security实现JWT令牌的认证和授权。 首先,JWT令牌是一种轻量级的身份...
JWT 生成Token实战验证
10-23
通过这个实战验证,你将学习如何在Java应用生成和验证JWT Token,理解其工作原理,以及如何在实际项目实现安全的身份验证。在实际操作过程,参考`JWT 生成Token实战验证@www.java1234.com.pdf`文档,会有更...
java token验证和注解方式放行
08-28
JWT可以在客户端保存,每次请求时发送到服务器进行验证,而OAuth2 access token通常由授权服务器发放,用于访问受保护的资源。 在描述提到的实现,集成了Token的校验功能,意味着系统可以接收用户的Token,验证...
jwt 简介(java
码基的博客
11-03 471
jwt 简介(java) 提示:jwt的相关概念,基本原理,常用命令及java实现。 文章目录jwt 简介(java)一、openssl生成密钥对二、java读取并使用密钥进行加解密三、jjwt 一、openssl生成密钥对 生成私钥 openssl genrsa -out privatekey.pem 2048 生成公钥 openssl genrsa -out privatekey.pem 2048 privatekey.pem -----BEGIN RSA PRIVATE KEY----- M
JwtUtils.java
10-16
文件为jwtUtils的java版本代码,其包含了生成token,解析token,生成秘钥的函数
java-jwt:JSON Web令牌(JWT)的Java实现
02-03
Java JWT Java实现 。 如果您正在寻找JWT Decoder的Android版本,请查看我们的库。 该库当前支持Java7。从不久开始,它将需要Java 8作为最低支持的Java版本。 有关其他信息和时间表,请参。 安装 该库在Maven Central和Bintray上均可用,并且Javadoc发布。 Maven < dependency> < groupId>com.auth0</ groupId> < artifactId>java-jwt</ artifactId> < version>3.12.1</ version> </ d
JWTJava的使用
ITKnight
08-08 645
概述 JSON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为 JSON 对象安全地传输信息。该信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 虽然 JWT 可以加密以在各方之间提供保密,但我们将重点关注签名令牌。签名令牌可以验证其包含的声明的完整性,而加密令牌则对其他方隐藏这些声明。当使用公钥/私钥对对令牌进行签名时,签名还证明只有持有..
Java使用JWT
热门推荐
cxmengxin的博客
07-31 1万+
JWT 一、简介 1、JWT JWT为 Json Web Token,是一种令牌生成算法。使用JWT能够保证Token的安全性,且能够进行Token时效性的检验。 2、JWT结构 JWT共由三部分组成,分别是数据头(Header)、Payload(数据体)、验证签名(Verify Signature)组成。其,Header的内容为加密信息以及Token的类别,Payload为用户数据、Verify Signature为校验数据。 二、依赖 JWT需要两个依赖java-jwt、jjwt <depe
Java 整合JWT
czxy_xingchen的博客
04-23 418
JWT,全称是JSON Web Token,是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;Token需要加密进行保护,采用RSA加密
Java-JWT 简介
huidalang123的博客
08-01 501
它是[JSON Web Token (JWT)]的一个java实现,可以用于身份验证,Java 8、11 和 17 支持此库。
java-jwt_JAVA使用JWT
weixin_31985599的博客
02-15 477
1. 导入maven依赖com.auth0java-jwt3.10.32. 登录成功后生成JWT@ApiOperation("登录")@ResponseBody@PostMapping("/login")public HttpResult login(@RequestBody User user) throws Exception {HttpResult result = new HttpResu...
java jwt令牌
10-20
Java JWT令牌是一种基于JSON Web TokenJWT标准的令牌,用于在Java应用程序进行身份验证和授权。JWT令牌由三部分组成:头部、载荷和签名。头部包含描述JWT元数据的JSON对象,载荷包含有关用户或实体的信息,签名用于验证令牌的完整性和真实性。Java应用程序可以使用第三方库来生成和验证JWT令牌,例如Java JWT库和Nimbus JOSE + JWT库。使用JWT令牌可以提高应用程序的安全性和可扩展性,因为它们可以在不同的应用程序和服务之间共享,并且不需要在服务器端存储会话信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乔冠宇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值