JWT之Token补充

最新推荐文章于 2024-08-20 13:24:05 发布
最新推荐文章于 2024-08-20 13:24:05 发布
阅读量356 收藏 8
点赞数 3
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_82994949/article/details/140784334
版权

JWT(JSON Web Tokens)的token在Web开发中有着广泛的应用,主要用于在用户与服务器之间安全地传输信息,实现身份验证和授权。以下是JWT token的一些主要用法:

1. 用户身份验证

JWT最常用的场景之一就是用户身份验证。当用户登录成功后,服务器会生成一个包含用户信息的JWT token,并返回给客户端。客户端在后续的请求中会将这个token放在HTTP请求的头部(如Authorization头),服务器通过验证token的有效性来确认用户的身份。这种方式避免了在服务端存储用户的会话信息,从而实现了无状态的认证机制。

2. 信息交换

JWT token还可以用于在双方之间安全地传输信息。由于JWT是基于JSON的,它天然支持在token中携带自定义信息。这些信息可以是用户的基本信息、权限信息、甚至是加密的数据等。接收方在验证token有效性的同时,也可以解析token中的信息,从而完成信息的交换。

3. 授权

JWT还可以用于实现基于角色的访问控制(RBAC)。服务器可以在JWT token中设置用户的角色信息,然后在客户端请求资源时,通过验证token中的角色信息来判断用户是否有权限访问该资源。这种方式简化了授权流程,提高了系统的安全性。

4. 单点登录(SSO)

在分布式系统中,JWT还可以用于实现单点登录(SSO)。用户只需在其中一个系统上登录成功,就可以获得一个JWT token。然后,用户可以携带这个token访问分布式系统中的其他系统,而无需再次登录。这种方式提高了用户体验,同时也简化了系统的登录流程。

5. 安全性

JWT通过数字签名来确保token的安全性。服务器在生成token时,会使用私钥对token进行签名。客户端在请求资源时,会携带签名后的token。服务器在验证token时,会使用对应的公钥来验证签名的有效性。如果签名无效,说明token可能已经被篡改,服务器将拒绝请求。这种方式确保了token在传输过程中的安全性。

6. 可扩展性

JWT具有良好的可扩展性。开发者可以根据自己的需求在JWT token中自定义字段,以满足不同的业务场景。同时,JWT也支持多种签名算法,开发者可以根据安全性的要求选择合适的签名算法。

7.实战

以下是一个生成JWT token的Java方法示例:

import io.jsonwebtoken.Claims;  
import io.jsonwebtoken.Jwts;  
import io.jsonwebtoken.SignatureAlgorithm;  
import java.util.Date;  
import java.util.HashMap;  
import java.util.Map;  
  
public class JwtUtil {  
  
    // 密钥,用于签名token  
    private static final String SECRET_KEY = "你的密钥";  
  
    // 生成JWT token  
    public static String generateToken(String subject, Map<String, Object> claims, long ttlMillis) {  
        long nowMillis = System.currentTimeMillis();  
        Date now = new Date(nowMillis);  
  
        // 设置token的过期时间  
        Date exp = new Date(nowMillis + ttlMillis);  
  
        // 构建JWT token  
        return Jwts.builder()  
                .setSubject(subject) // 主题,可以是用户ID等唯一标识  
                .setClaims(claims) // 自定义声明信息  
                .setIssuedAt(now) // 签发时间  
                .setExpiration(exp) // 过期时间  
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY) // 签名算法和密钥  
                .compact(); // 生成token字符串  
    }  
  
    // 示例用法  
    public static void main(String[] args) {  
        Map<String, Object> claims = new HashMap<>();  
        claims.put("username", "testUser");  
        claims.put("role", "ADMIN");  
  
        String token = generateToken("123456", claims, 60 * 60 * 1000); // 生成有效期为1小时的token  
        System.out.println("Generated Token: " + token);  
    }  
}

以下是一个验证JWT token的Java方法示例:

public static Claims parseToken(String token) {  
    try {  
        return Jwts.parser()  
                .setSigningKey(SECRET_KEY) // 设置签名密钥  
                .parseClaimsJws(token) // 解析token  
                .getBody(); // 获取载荷部分  
    } catch (Exception e) {  
        e.printStackTrace();  
        return null; // 解析失败返回null  
    }  
}  
  
// 示例用法  
public static void main(String[] args) {  
    // 假设token是从请求头或其他地方获取的  
    String token = "你之前生成的token字符串";  
  
    Claims claims = parseToken(token);  
    if (claims != null) {  
        System.out.println("Token Subject: " + claims.getSubject());  
        System.out.println("Username: " + claims.get("username"));  
        System.out.println("Role: " + claims.get("role"));  
    } else {  
        System.out.println("Token is invalid or expired");  
    }  
}

总结

JWT的token在Web开发中有着广泛的应用,主要用于用户身份验证、信息交换、授权、单点登录以及提高系统的安全性。通过JWT,开发者可以轻松地实现无状态的认证机制,简化系统的登录和授权流程,提高系统的可扩展性和安全性。

努力学习老猿
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt token注销_如何在注销时销毁JWT令牌?
weixin_30119251的博客
12-29 1万+
6 个答案:答案 0 :(得分:42)JWT存储在浏览器上,因此删除在客户端删除cookie的令牌如果您还需要在服务器端到期之前使令牌无效,例如帐户已删除/阻止/暂停,密码已更改,权限已更改,用户已由管理员注销,请查看Invalidating JSON Web Tokens一些公共技术,如创建黑名单或旋转令牌答案 1 :(得分:7)创建令牌后,无法手动使令牌失效。因此,实际上无法像在会话中那样在服...
Node.js的Koa实现JWT用户认证方法
10-18
Node.js的Koa框架是一种轻量级的Web应用开发框架,它的设计哲学是利用...开发者需要根据自身项目需求,补充相应的路由逻辑、用户信息处理和数据库交互等。同时,还需要关注安全性问题,比如密钥管理和token的安全存储。
jwt生成token与解析token
翎墨袅
11-06 4588
jwt token
JWT实现token机制
qq_36138652的博客
02-17 361
token
【经典】深入理解令牌JWTtoken
CodingLJ
04-06 836
目录 1、什么是JWT 2、JWT能做什么 3、为什么是JWT 基于传统的Session认证 基于JWT的认证 4、JWT的结构是什么 5、使用JWT 总结 1、什么是JWT JWT官网地址:https://jwt.io/introduction/ 官方解释:JWT是Java Web Token的首字母简写,它定义了一个紧凑的,自包含的方式,用于在各方之间以Json对象安全的传输信息。此信息可以验证和信任,因为它是数字签名。jwt可以使用签名算法进行签名...
JWT-token介绍
qq_43667836的博客
09-19 1474
token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 JWT(json web token) 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户 { "姓名": "张三", "角色": "管理员", "到期时间": "2022年7月11日0点0分" } 用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。 当然,为了防止用户篡改数据,服务器在生成这个对象的时候,会给他加密一下,就是我们看到的一个长长的字符串 出现解
【SpringBoot】JWT+TokenToken自动续期
低调做人,低调编码,神码都是浮云
05-31 618
Springboot+jwt+token实现双token认证
JWT管理token授权
天天向上
08-14 866
jwt和传统session的区别? 传统的session认证 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 sess...
JWT token 过期续签的问题想法
STR少寒的博客
12-09 1600
JWT token 过期续签的问题想法 服务端保存签发的token,进行失效判断,使用Redis保存 如果服务端,不保存token 客户端解析 token中 payload的数据,添加失效时间,再失效时间之前再次进行签到 客户端 保存两个 token:access_token、refresh_token refresh_token 的有效期比 access_token 长,成倍数2倍,当access_token 失效后,使用refresh_token去重新进行续签 如果refresh_tok
关于TokenJWT
weixin_48206782的博客
10-12 1267
Token:票据,令牌。当用户尝试登录,将请求提交到服务器端,如果服务器端认证通过,会生成一个Token数据并响应到客户端,此Token是有意义的数据,此客户端在后续的每一次请求中,都应该携带此Token数据,服务器端通过解析此Token来识别用户身份!关于Session与Token:Session默认是保存在服务器的内存中的数据,会占用一定的服务器内存资源,并且,不适合集群或分布式系统(虽然可以通过共享Session来解决),客户携带的Session ID只具有唯一性的特点(理论上),不具备数据含义……而
vue 导出文件,携带请求头token操作
10-14
通常,token是用于验证用户身份的一种安全机制,例如JWT(JSON Web Token)。 以下是一个示例代码,展示了如何使用axios库来完成这个任务: ```html 导出 import axios from "axios"; export default { ...
Vue中登录验证成功后保存token,并每次请求携带并验证token操作
10-14
补充知识:如果服务器使用JWT进行身份验证,登录后会在响应头中返回Authorization字段,包含JWT令牌。前端需要获取这个令牌并存储,然后在后续请求中设置相同的Authorization头。在Vue组件中,可以这样处理: ```...
Laravel jwt 多表(多用户端)验证隔离的实现
10-15
这样,通过在JWT token中携带用户角色信息,就可以在系统中区分不同用户端的token。当验证token时,可以检查"role"字段的值,并只允许与该token角色匹配的请求访问对应端的数据或操作。 Laravel的guard机制也可以...
苹果音乐令牌生成器
02-01
苹果音乐令牌生成器有助于开始创建在iOS上使用MusicKit所需的Apple Music JWT令牌的一些步骤最近变化添加了该解决方案的Ruby版本。入门这些说明补充了在Apple Music API参考文档的“入门”部分中找到的信息。 首先,...
【达梦数据库】-导入导出过程中get DDL复现过程
weixin_47686079的博客
08-20 308
在处理问题的过程中,客户反馈在达梦数据库中导入导出分区表,get 表的DDL,不会出现表的所有分区信息,ORACLE数据库却会出现所有分区表,事实真的如此吗?
linux安装达梦数据库
HAN_789的博客
08-19 216
如果无法创建dmdba 文件夹,需要进入root用户下 在管理员用户下,这种安装方式一般只用于验证,开发,测试,生产最好还是安装传统的方式安装。在 home/dmdba/dmdbms/bin 目录下执行。(1)将文件上传到 /home/dmdba/ 目录下。(2)加压:tar -xzvf dmdb.tar.gz。进入到root就可以创建dmdba 文件夹了。1、后台启动,一般建议用后台启动。
分布式事务:基本概念
最新发布
玉汝于成
08-20 268
事务可以看做事一次大的活动,它由不同的小的活动组成,这些活动要么全部成功,要么全部失败。
网上商品订单转手系统bootpf
weixin_43213064的博客
08-18 544
【代码】springboot网上商品订单转手系统bootpf
jwt 解析 token
05-16
JWT(JSON Web Token)是一种用于表示声明的方法,该声明是经过签名的以保证其真实性和完整性。JWT通常用于身份验证和授权。 要解析JWT Token,需要进行以下步骤: 1. 将Token拆分为三个部分:Header、Payload和Signature,它们之间用点号分隔。 2. 对Header和Payload部分进行Base64解码。 3. 验证JWT Token的签名是否有效。签名验证需要使用与签名时相同的算法和密钥。 4. 如果签名验证通过,就可以访问Payload中包含的声明数据。 以下是一个示例代码,用于解析JWT Token: ```python import jwt # JWT Token jwt_token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c" # JWT Secret Key jwt_secret = "mysecretkey" # 解析JWT Token decoded_token = jwt.decode(jwt_token, jwt_secret, algorithms=["HS256"]) # 获取Payload中的声明数据 user_id = decoded_token["sub"] username = decoded_token["name"] ``` 在上面的代码中,使用PyJWT库来解析JWT Token。首先需要提供JWT Token和密钥,然后使用`jwt.decode()`方法解码Token。最后,通过访问解码后的Payload中的声明数据来获取用户ID和用户名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值