【JWT】令牌-概述&&基本使用

于 2024-05-13 09:51:34 发布
阅读量631 收藏 7
点赞数 14
分类专栏: 程序员 文章标签: 前端 ui
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84969363/article/details/138788341
版权
目录

JWT令牌的使用

1. 需求

​ 在实现系统登录功能的时候,我们需要实现用户完成一次登录之后,在后续的请求中不再需要反复登录,以前我们经常用到的技术是session

  • 即用户发出登录的请求到服务器。
  • 验证成功之后,创建session对象(用于存储数据)。
  • 服务器返回一个session对象的id到浏览器,浏览器以cookie的形式存储到浏览器端
  • 后续的浏览器的请求都携带这个cookie访问服务器就可以实现多次请求间的数据共享,包括登录状态

Alt

Alt

但是使用session存在以下缺点:

  1. session中与用户的会话数据是保存在服务器的内存中的,当session中的数据越来越大,会降低服务器运行的性能
  2. session无法用于集群环境,因为session是存储的服务器端的,这样子虽然安全,但集群环境中一般会布置多台服务器,用户在浏览器端二次请求使用的sessionID访问的不是第一次请求的服务器,就无法获取到session中的数据
  3. session底层是基于cookie实现的,cookie无法实现跨域(域指的是域名,即网址,只要协议、IP地址和端口号任意一个不同即为跨域)且cookie无法在移动端使用,这是浏览器出于安全禁止的。

​ 这时, JWT令牌技术就问世了,令牌技术将上面的问题基本都解决了,如下

  • 跨域问题:
    jwt令牌是无状态的,jwt令牌的编码所用的信息就有用户信息(如用户名和用户id等非敏感信息),因此,服务器不需要存储跟用户的会话信息,对jwt令牌解析之后,就可以确定该请求是否来自同一端,确保了服务器的安全问题。
    在跨域请求中,浏览器会自动检查请求的来源,如果不是同源的请求,会触发跨域安全机制导致请求被阻止。但通过使用令牌技术,可以将令牌作为请求的一部分发送,服务器接收到请求时会验证令牌的有效性,从而允许跨域请求。
  • 服务器存储压力:jwt令牌存储在浏览器端
  • PC和移动端都可以使用

2. 是什么

​ jwt令牌本质是一串字符串,由三部分组成,类似"xxx.yyy.zzz",前两部分(xxx.yyy)由json对象经过base64编码而来,“zzz”部分属于签名(通过加密算法和密钥生成的),jwt令牌由编码和加密而来,jwt令牌也可以被解析获取json对象中的信息,解析失败一般会导致程序的报错。
​ (参考课程笔记:javaweb)JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割)

  • 第一部分:Header(头), 记录令牌类型、签名算法等。 例如:{“alg”:“HS256”,“type”:“JWT”}
  • 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。 例如:{“id”:“1”,“username”:“Tom”}
  • 第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。

3. 工作流程

Alt

4. 怎么用

  1. 导入maven坐标,junit不是一定要导入,后续只是用作测试
		<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

		 <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.13.2</version>
            <scope>test</scope>
        </dependency>
  1. 创建令牌(注意密钥的长度要稍微大点)
@Test
    public void testGetJwt() {


        //模拟浏览器发请求携带的用户信息
        Map<String, Object> claims = new HashMap<>();
        claims.put("username", "aimin");
        claims.put("password", "123456");

        String jwtToken = Jwts.builder()
## 最后

**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**

![img](https://img-blog.csdnimg.cn/img_convert/8a38c853c93520466da2b3d7792bb139.png)

![img](https://img-blog.csdnimg.cn/img_convert/9751aaa315d239023e7f039dc03b84cd.png)

![img](https://img-blog.csdnimg.cn/img_convert/83b598292818101a2fcac43fd3882778.png)

![img](https://img-blog.csdnimg.cn/img_convert/ade78ade45d40c75c78fde2d46582bf1.png)

![img](https://img-blog.csdnimg.cn/img_convert/5b125d6358cf239fc91fd5792d7f3dbd.png)

 

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
2401_84969363
关注
  • 14
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt-token-verifier:验证JWT令牌OpenID提供程序
03-25
使用`jwt-token-verifier`时,开发者需要理解OAuth 2.0和OpenID Connect的基本概念,知道如何配置客户端ID、客户端秘密以及如何处理授权和令牌端点。同时,对于Go编程语言的了解也是必要的,以便能够正确集成和使用...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
本篇文章将深入探讨如何在Spring Boot应用中结合Spring Security实现JWT令牌的认证和授权。 首先,JWT令牌是一种轻量级的身份验证标准,它允许信息在多个服务之间安全地传输,而无需在服务器上存储会话信息。JWT...
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1472
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token ,判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWT token令牌使用
weixin_54925172的博客
01-23 507
JWT简称 json web token, 也就是通过JSON形式作为Web应用中的令牌,用于各方之间安全地将信息作为JSON格式进行传输。在传输过程中可以完成数据的加密,签名等相关处理。
Day975.如何使用JWT结构化令牌 -OAuth 2.0
阿昌爱Java
06-13 871
OAuth 2.0 的核心是授权服务,更进一步讲是令牌,没有令牌就没有 OAuth,令牌表示的是授权行为之后的结果。一般情况下令牌对第三方软件来说是一个随机的字符串,是不透明的。大部分情况下,提及的令牌,都是一个无意义的字符串。但是,人们“不甘于”这样的满足,于是开始探索有没有其他生成令牌的方式,也就有了 JWT 令牌,这样一来既不需要通过共享数据库,也不需要通过授权服务提供接口的方式来做令牌校验了。这就相当于通过 JWT 这种结构化的方式,在做令牌校验的时候多了一种选择。
JWT的简单说明与使用
jgdabc的博客
07-08 627
JWT是"JSON Web Token"的缩写,是一种用于在不同系统之间传输信息的开放标准。它通过将信息进行加密后生成一个安全的令牌,以便在网络请求中进行身份验证和授权。具体来说,JWT可以用于以下几个方面:身份验证:当用户登录系统时,服务器会生成一个JWT并将其发送给客户端。客户端在后续的请求中携带JWT作为身份凭证,服务器可以根据JWT验证用户的身份信息,从而实现无状态的身份验证。授权:JWT中可以包含一些声明信息,如用户角色、权限等。
jwt-decode:解码JWT令牌; 对浏览器应用程序有用
05-10
jwt-decode是一个小型浏览器库,有助于解码通过Base64Url编码的JWT令牌。 重要信息:该库不会验证令牌,任何格式正确的JWT都可以解码。 您应该使用 , , 等在服务器端逻辑中验证令牌。 警告:从版本2升级到版本3 ,...
tomcat-jwt-security:基于JWT令牌实现安全阀
05-10
基于Valve的身份验证应该可以与放置在web.xml文件中的Java标准安全性约束一起使用,并使服务器保持无状态:使用JWT令牌,您可以使Tomcat摆脱http会话的困扰。 从3.0.0版开始,已进行了一些改进(进行了许多重大...
jwt-react-authentication:使用JWT令牌保护React
05-01
8. **安全性考虑**:虽然JWT提供了安全性,但必须注意防止CSRF攻击,通常需要配合CORS策略,并且要定期刷新JWT,以防长期有效令牌被盗用。 9. **状态管理**:在React中,可能使用Redux或Context API来管理与认证...
【记录】JWT令牌使用(两步即可)
weixin_54345825的博客
09-10 1225
【记录】JWT令牌使用
JWT令牌-概述&&基本使用
最新发布
m0_63834571的博客
04-08 770
jwt概述基本使用
JWT令牌使用
Relievedz的博客
03-16 954
JWT (JSON Web Token) 是一种基于 JSON 的轻量级的开放标准(RFC 7519),用于在不同系统之间安全地传输信息。JWT 由三部分组成,分别是头部(Header)、载荷(Payload)和签名(Signature):1. **头部(Header)**:包含了两部分信息,即令牌的类型(即JWT)和所使用的签名算法(例如HMAC SHA256或RSA)。2. **载荷(Payload)**:也称为声明(claims),包含了需要传输的数据,例如用户的身份信息、权限等。
JWT令牌
qiumin的博客
07-14 3284
jwt令牌,前后端分离场景中常用于不同系统的信息交换,效率高于sesion
JWT 令牌使用
Leon_Jinhai_Sun的博客
12-18 126
JWT 令牌使用
普通令牌token和jwt令牌token区别以及使用场景
西京刀客
08-26 8522
文章目录token分类普通令牌JWT令牌 token分类 SpringSecurityOauth2令牌 参考URL: https://www.yuque.com/gaoxi-dj1fr/fxgaxe/ivvpqc 1.普通令牌的作用:唯一标识存贮在数据库或内存中的用户信息,在认证时,SpringSecurity拿着普通令牌去数据库中查询用户信息使用 2.jwt令牌的作用:jwt令牌中本身存储着用户信息,在认证时,SpringSecurity从jwt令牌中解析出用户信息即可,不需要借助数据库等进行存储 普通令
JWT令牌生成与使用
Sunchaser的博客
11-17 1932
该篇文章是从一份文档看到的,不清楚具体出处,如果原文作者看到请联系我附上出处 生成私钥和公钥 JWT令牌生成采用非对称加密算法 1、生成密钥证书 下边命令生成密钥证书,采用RSA 算法每个证书包含公钥和私钥 keytool -genkeypair -alias xckey -keyalg RSA -keypass xuecheng -keystore xc.keystore -storepas...
用户登录使用jwt令牌
02-20
用户登录使用JWT令牌的过程如下: 1. 用户提供用户名和密码进行登录。 2. 服务器验证用户提供的凭据是否正确。 3. 如果凭据正确,服务器生成一个JWT令牌,并将用户的身份信息和其他必要的信息(例如权限、角色等)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值