JWT令牌技术(新手学习日记)

已于 2024-06-24 16:47:50 修改
阅读量480 收藏 6
点赞数 9
文章标签: 学习 java 开发语言
于 2024-06-24 16:44:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_82119611/article/details/139930354
版权

sJWT令牌 全称:JSON Web Token (ww.jwt.io)

组成:

        第一部分 : Header(头) , 记录令牌类型 , 签名算法等.

        第二部分: Paylaoad(有效载荷) , 携带一些自定义信息,默认信息等. (不要往里面存敏感信息 账号 密码等)

        第三部分 : Signature(签名) , 放置Token 被篡改 ,确保安全性 将header , payload 并加入指定秘钥 , 通过指定签名算法计算而来

Base64 : 是一种基于64个可打印字符(A-Z a-z 0-9 + /)来标识二进制数据的编码方式

本身数据是json格式,根据Base64编码,变成字符串 将经过编码的三个部分组成令牌即JWT令牌

JWT流程:

        令牌生成: 登录成功后,生成JWT令牌并返回给前端

        令牌检验: 在请求到达服务端后,对令牌进行统一拦截,校验

场景 : 登录认证

1.登录成功后, 服务端生成令牌,将令牌返回给浏览器存储

2.后续每个请求,都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后,再处理

生成 :

        第一步 导入依赖:

<dependency>
     <groupId>io.jsonwebtoken</groupId> 
     <artifactId>jjwt</artifactId> 
     <version>0.9.1</version> 
</dependency>
 //如果出现报错的情况,请导入下面的pom依赖 
<dependency> 
     <groupId>javax.xml.bind</groupId>
     <artifactId>jaxb-api</artifactId>
     <version>2.3.1</version> 
</dependency>

         第二步 生成令牌:

void Insert() {
    //将令牌荷载添加进Map<String, Object>的键值对中 
    Map<String, Object> claims = new HashMap<>();
    //存储信息
    claims.put("id", "1");
    claims.put("username", "tom");
    
    String jwt = Jwts.builder()
            .signWith(SignatureAlgorithm.HS256, "hevttc")//设置签名算法和秘钥
            .setClaims(claims)//荷载 = 自定义内容
            //根据当前的毫秒值加一个小时的时间作为过期时间 , 1000ms = 1s 一个小时 3600s
            .setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000)) //口令过期时间
            .compact();

    System.out.println(jwt);
}

令牌破解:

        因为令牌是使用Base64编码组成的字符串,所以使用Base64解码工具即可看到其中信息

假如刚刚生成的口令为:

eyJhbGciOiJIUzI1NiJ9.eyJpZCI6IjEiLCJleHAiOjE3MTg3MDE2MDQsInVzZXJuYW1lIjoidG9tIn0.sEDW0vEIMGzmiiUl_aBJaBTTu0owOcjHxbKT1sHTkp0

进行base64编码的解码(jwt官网也有),可以看到其中的信息,荷载中加了一个属性exp 它存储截止时间的毫秒值.

口令部分,经过了签名算法,算法不可逆,没办法反推信息 , 所以出现乱码

        承接上文,为什么不要往荷载里面存敏感信息,因为荷载中的账户密码等敏感信息经过令牌破解会有泄露风险

口令校验 :

public static void parseJwt(String token){
    Map<String, Object> claims = Jwts.parser()
            //签名秘钥
            .setSigningKey("hevttc")
            //输入解析口令
            .parseClaimsJws(token)
            //获取荷载(自定义信息)
            .getBody();
            //将获取的信息输出    
    System.out.println(claims);
}

如果口令出现报错信息, 说明口令被篡改或者逾期

爱加瓦小瑞小瑞
关注
会话跟踪技术——JWT令牌
cl的博客
01-18 998
服务器会接收很多的请求,但是服务器是需要识别出这些请求是不是同一个浏览器发出来的。比如:1和2这两个请求是不是同一个浏览器发出来的,3和5这两个请求不是同一个浏览器发出来的。如果是同一个浏览器发出来的,就说明是同一个会话。如果是不同的浏览器发出来的,就说明是不同的会话。而识别多次请求是否来自于同一浏览器的过程,我们就称为会话跟踪。我们使用就是要。
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
JWT令牌 --学习笔记
m0_71386740的博客
04-28 1297
令牌就是用户身份的标识,其本质就是一个字符串。令牌的形式有很多,JWT就是功能强大的一种令牌JWT令牌定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的简洁:是指jwt就是一个简单的字符串。可以在请求参数或者是请求头当中直接传递。自包含:指的是jwt令牌,看似是一个随机的字符串,但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。如:可以直接在jwt令牌中存储用户的相关信息。
JWT令牌技术
不能再留遗憾了的博客
03-10 1616
JWT令牌技术实现用户登录信息的验证
JWT令牌在项目中的实战操作
2302_79840586的博客
07-23 1054
JWT,全称JSON Web Token,官网(),定义了一种间接的,自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。通俗来讲,我们可以通过JWT令牌来实现对于用户登录权限的校验以此达到安全性。
JWT令牌——详解
2302_77758423的博客
09-11 1042
在当今的Web开发中,安全认证和授权变得尤为重要。JWT(JSON Web Tokens)是一种开放标准(RFC 7519),它定义了一种简洁、紧凑且自包含的方式,用于在各方之间安全地传输信息。这种信息可以被验证和信任,但不需要依赖服务器来解析。
03-JWT令牌和普通令牌的区别,JWT令牌的格式和生成
欢迎阅读我的博客
12-27 1014
03-JWT令牌和普通令牌的区别,JWT令牌的格式和生成
详细讲解Cookie、Session、JWT令牌技术
2301_77358195的博客
03-26 1258
这篇文章将带你彻底理解会话跟踪方案的三种技术,分别是Cookie、Session、令牌技术, 揭示它们的原理以及对各个技术进行通俗化,让你更好的了解,它们的交互过程 ! ! !
JWT令牌技术实现登录校验
fjf_666的博客
05-14 1114
介绍JWT令牌会话技术实现登录校验
[JavaWeb]——JWT令牌技术,如何从获取JWT令牌
Panci_的博客
11-03 1002
JWT(JSONWebToken),用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。其实就是通过加密得来的一串字符串。这就是经过编码加密得到的一个JWT令牌,就是一串字符串头部(Header):1.记录令牌的类型 2.加密算法(例如HMAC、RSA等)。负载(Payload):携带自定义信息、默认信息,例如{"id", 1, "username", "name"}
Java实现JWT令牌技术
m0_67713667的博客
04-03 842
实现jwt
jwt-decode, 解码JWT令牌;适用于浏览器应用程序.zip
10-10
jwt-decode, 解码JWT令牌;适用于浏览器应用程序 jwt解码是一个小型浏览器库,可以帮助解码Base64Url编码的JWTs标记。注意:这个库没有验证令牌,任何格式良好的JWT都可以解码。 应该使用 express JWT 。koa JWT 。 ...
JWT令牌认证技术.zip
11-29
以下是对JWT令牌认证技术的详细说明: 1. **JWT结构**: JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部和载荷都是JSON对象,然后它们被Base64编码。签名是通过编码后的头部、编码后...
.NET Core 生成JWT令牌源码
04-27
单点登录(SSO):用户在登录一个应用程序后,可以通过JWT令牌在其他应用程序中进行身份验证,实现单点登录的效果。 在.NET Core中,可以使用Microsoft.IdentityModel.Tokens库来处理JWT。该库提供了一些类和方法...
计算机毕业设计之:基于微信小程序的诗词智能学习系统(源码+文档+解答)
程序员阿龙的博客
09-22 4401
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
D15【python接口自动化学习】-python基础之内置数据类型
tian_nx的博客
09-22 602
为字典增加或移除键值对,如果新增键已存在,则更新该键对应的值...
大模型输入参数学习
AI智能,无处不在
09-25 272
top_p和top_k:用于控制生成文本的多样性和连贯性。较小的值会使生成的文本更连贯但缺乏多样性,较大的值会使生成的文本更随机和多样。:用于控制生成文本的随机性。较高的值增加随机性,较低的值增加确定性。:用于控制生成文本的长度。
Linux入门学习:进程概念
Lvision2的博客
09-24 1056
在课本的概念中,进程程序的一个执行实例,正在执行的程序。其内核观点:担当分配系统资源(CPU时间,内存)的实体。但这些概念太笼统,并不能让我们更加清晰的知道进程是什么,实际上,进程是内核数据结构(pcb) + 程序的代码与数据。pcb(process control block)进程控制块,进程信息被放在一个叫pcb的数据结构中,可以理解为进程属性的集合。在Linux入门学习:深刻理解计算机硬件与OS体系中,我们已经了解到。
H.264学习笔记
最新发布
zfenggo的博客
09-26 569
H.264凭借其出色的压缩效率、灵活的编码方式以及高质量的视频表现,成为了现代视频技术的核心标准之一。它不仅减少了存储需求,还提高了流媒体和实时视频传输的可行性。对于从高清到超高清视频,H.264的编码能力仍然广泛适用。H.264的帧结构设计(I帧、P帧和B帧)极大地提高了视频编码的压缩效率。I帧保存完整的图像信息,P帧通过参考之前的帧减少冗余数据,而B帧则通过双向参考提供进一步的压缩优势。这种帧间的协同工作大幅降低了带宽需求和存储成本,同时保持了视频的高质量。NALU头。
登录及身份验证使用 JWT 令牌技术流程以及怎么实现
09-11
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用环境间传递声明(claims)的紧凑的自包含方式。JWT 令牌技术在登录和身份验证流程中可以提供一种安全且简洁的方法来处理身份验证和信息交换。以下是使用 JWT 进行登录及身份验证的一般流程: 1. 用户登录:用户通过登录界面输入用户名和密码,后端系统验证这些凭据的正确性。 2. 生成 JWT 令牌:一旦用户身份被验证,后端服务就会创建一个 JWT 令牌,并将其返回给用户。该令牌通常包含三个部分: - Header(头部):通常包含两部分信息:令牌类型(即 JWT),以及所使用的签名算法,如 HMAC SHA256 或 RSA。 - Payload(载荷):包含所谓的“声明”(claims),声明是关于实体(通常是用户)和其他数据的声明。claims可以是用户的权限、角色、令牌的有效时间等。 - Signature(签名):为了创建签名部分,您必须有编码后的 Header 和 Payload,然后使用密钥对它们进行签名。签名用于验证消息在此过程中未被篡改,并且在从服务器发送至客户端时保持了完整性。 3. 存储和传输:用户收到 JWT 令牌后,通常将其存储在客户端的本地存储中(例如 localStorage 或 sessionStorage),并在后续的请求中将其添加到 HTTP 头的 Authorization 字段中(通常以 "Bearer token" 的格式),用以访问受保护的资源。 4. 服务器验证:每当用户尝试访问一个受保护的路由或资源时,服务器端会解码并验证 JWT 令牌的有效性。服务器会检查签名、令牌的过期时间以及其他声明信息。 5. 响应:如果 JWT 令牌有效,服务器将处理用户请求并返回相应的数据或资源;如果无效,则返回错误信息。 以下是使用 Node.js 和 Express 实现 JWT 身份验证的一个简单例子: ```javascript const express = require('express'); const jwt = require('jsonwebtoken'); const bcrypt = require('bcryptjs'); // 假设我们有一个用户模型和验证用户的方法 const User = require('./models/User'); const verifyUser = require('./utils/verifyUser'); const app = express(); app.use(express.json()); // 登录接口 app.post('/login', async (req, res) => { const { username, password } = req.body; const user = await User.findOne({ username }); if (user && bcrypt.compareSync(password, user.password)) { const token = jwt.sign({ id: user._id }, 'secret_key', { expiresIn: '1h' }); res.status(200).json({ token }); } else { res.status(401).send('用户名或密码错误'); } }); // 受保护的路由 app.get('/protected', verifyUser, (req, res) => { // 这里处理业务逻辑 res.status(200).send('protected route accessed'); }); app.listen(3000, () => { console.log('Server is running on port 3000'); }); // 使用中间件来验证 JWT const verifyUser = (req, res, next) => { try { const token = req.headers.authorization.split(' ')[1]; // 假设请求中携带的格式为 'Bearer token' const decoded = jwt.verify(token, 'secret_key'); req.userId = decoded.id; next(); } catch (error) { res.status(401).send('Invalid token'); } }; ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值